Jump to content

ADS Kennwortrestriktion nicht vererben

ralfh

By ralfh
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

ralfh Newbie

ralfh   10

Posted
Posted

Hallo zusammen,

 

Habe eine 2k3 AD Struktur in welcher eine Standard Policy in der obersten OU Ebene definiert ist, in der z.B.Kennwörter nach dem x-ten mal Fehleingabe gesperrt werden.

Es liegen aber auch in unteren OU`s noch Adminaccounts die es damit auch betreffen.

Leider greift aber das "Vererbung deaktivieren" für Kennwortrestriktion nicht wenn ich diese auf die OU mit den Adminaccounts lege.

Auch eine neue Policy für diese OU hat die Kennwortrestriktion nicht ausgeschalten.

 

Hat jemand einen Tip wie ich das abschalten kann, wäre sehr dankbar.

freak04 Community Regular

freak04   10

Posted
Posted

Hallo,

 

Kennwortrichtlinien müssen immer mit der Domäne verknüpft sein damit sie wirken.

 

Meine Empfehlung:

Die Standard - Domain - Policy sollte nach Möglichkeit nicht verändert werden, sondern neue GPO's (z.B. Kennwortrichtlinie, Internet Einstellungen, ...) erstellt werden.

Du könntest somit eine Kennwortrichtlinie erstellen, in der Deine Anforderungen definiert sind und anschliessend den DomAdmin "Richtlinie übernehmen" verweigern.

Allderdings solltest Du auch mit verweigern vorsichtig sein.

 

Schau mal in der Boardsuche, hierzu gibt es schon einige Beiträge.

 

mfg

kobalt Rising Star

kobalt   10

Posted
Posted

Die Kennwortrichtlinie muss immer mit der Domain verknüpft werden - soweit richtig. Alles andere funktioniert nicht und die Vererbung kann nicht blockiert werden, auch nicht für Admins!

 

Ergo: Eine Domäne, eine Richtlinie.

grizzly999 Grand Master

grizzly999   11

Posted
Posted
Original geschrieben von freak04

Hallo,

 

Kennwortrichtlinien müssen immer mit der Domäne verknüpft sein damit sie wirken.

 

Meine Empfehlung:

Die Standard - Domain - Policy sollte nach Möglichkeit nicht verändert werden, sondern neue GPO's (z.B. Kennwortrichtlinie, Internet Einstellungen, ...) erstellt werden.

Du könntest somit eine Kennwortrichtlinie erstellen, in der Deine Anforderungen definiert sind und anschliessend den DomAdmin "Richtlinie übernehmen" verweigern.

Allderdings solltest Du auch mit verweigern vorsichtig sein.

 

Schau mal in der Boardsuche, hierzu gibt es schon einige Beiträge.

 

mfg

Der erste Teil war richtig, es geht nur auf Domänenebene.

Aber: dann für alle User. Man diese Richtlinie nicht einzelnen Benutzern verweigern, es handelt sich um eine Computerrichtlinie.

 

Was haben wir einst gelernt? Für unterschiedliche Kennwortrichtlinen mehrere Domänen ... ;)

 

Grüße

 

grizzly999

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing


×
×
  • Create New...