Jump to content

Server Sicherheitseinstellungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo an alle Forum-Mitglieder,

 

ich mache gerade einige praktische Übungen im Bereich Sicherheitseinstellungen in meiner w2k Server (SP2) Testumgebung und bin in diesem Zusammehhang auf folgendes Problem gestoßen:

 

Ist-Zustand:

Domäne example.net mit dem DC server1

client1 (w2k Pro)

client1 ist Mitglied von OU Sales

User Jane Doe ist Mitglied von OU Sales

 

Aufgabe:

Einstellung einer Überwachungsrichtline (Anmeldeversuch überwachen, fehlgeschlagen) für client1

 

Aktion:

Einstellung der Richtlinie im (einzigen) GPO im Container Sales. Anmeldeversuch von Jane Doe an example.net mit falschem PW.

 

Ergebnis:

Fehlgeschlagene Anmeldung wird im Ereignisprotokoll nicht aufgezeichnet. Weder secedit /refreshpolicy MACHINE_POLICY noch der Reboot beider Rechner zeigen Wirkung.

 

Fehler-Tracking:

Wird die Überwachungsrichtlinie in der Default Domain Policy vorgenommnen, erfolgt die Aufzeichnung im Ereignisprotokoll erwartungsgemäß.

 

Mir ist klar, daß w2k Server in einer Domäne nur eine Domänenkontorichtrichtline zuläßt, so daß Kennwortrichtlinien und Kontosperrungsrichtlinien nur auf Domänen- nicht aber auf OU-Ebene eingestellt werden können. Ich habe leider keine Quelle dafür gefunden, daß dies auch für lokale Richtlinien (Überwachungsrichtlinien) Geltung hat. Der Resource-Kit (Planning Distributed Security, Group Policy Security Settings) gibt den Hinweis "... Of the security policy areas, Account policies and Public Key policies have domain-wide scope. All other policy areas can be specified at level of the organizational unit." Demnach müßte es für die Überwachungsrichtline funktionieren ... leider aber bei meinen Versuchen nicht.

 

Vielleicht hat jemand eine Idee, wo der Fehler liegt.

 

leporello

Link zu diesem Kommentar

@Christoph82

 

Vielleicht habe ich mich undeutlich ausgedrückt:

 

Die Überwachungsrichtline wird im GPO der OU Sales definiert. Zu diesem Zeitpunkt

ist die Überwachungsrichtlinie in der Default Domain Police nicht definiert.

 

Für das Fehler-Tracking wurde die gleiche Einstellung in der

Default Domain Police gesetzt und in der Organisationseinheit Sales deaktiviert.

 

leporello

Link zu diesem Kommentar

1. gpresult /c

 

Ergebnis:

 

The computer received "Security" settings from these GPOs

Default Domain Policy

Sicherheitsrichtlinie OU sales

 

Sicherheitsrichtlinie von GPO OU sales wird somit auf client1 angewendet. Jedoch bewirkt

die Definition der Überwachungsrichtlinie keinen Eintrag im Sicherheitsprotokoll des DC.

 

2. lokale Anmeldung an client1

 

Ergebnis:

 

Beim lokalen Anmeldversuch an client1 mit falschem PW wird das Ergeignis im lokalen Sicherheitsprotokoll von client1 aufgezeichnet.

 

Schlußfolgerung:

 

Es scheint, als gelte für lokale Richtlinien, Überwachungsrichtlinien die gleiche Regel wie für Kontorichtlinien:

 

1. Kontorichtlinien (Überwachungsrichtlinien) haben nur Auswirkungen auf Domänenkonten, wenn Sie auf Domänenebene festgelegt werden.

 

2. Ausnahme hiervon: Bei Konfiguration einer Kontorichtlinien (Überwachungsrichtlinie) für eine Organisationseinheit wirken sich die Einstellungen der Überwachungslinie auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden.

 

Zur Kontorichtlinie wird dies in dem Knowlegebase im Artikeln Q255550 - Configuring Account Policies in Active Directory dargelegt.

 

leporello

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...