Mr. Smith 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 Hallo, ich habe auf der Domäne in folgender Reihenfolge GPOs 1. Passwort GPO 2. Default Domain Policy In der Passwort GPO sind die Kennwortrichtlinien (restriktiver als Default) eingestellt. Die Default Domain Policy ist unverändert. Auf der Passwort GPO habe ich meinem Benutzerkonto das Recht "GPO übernehmen" "Verweigern" vergeben. Rein theoretisch müssten an meinem Client PC nun die Kennwortrichlinieneinstellungen der Default Domain Policy wieder Anwendung finden ... tun sie aber nicht. In den lokalen Sicherheitseinstellungen meines ClientPCs sind immer noch die Kennworteinstellungen der Passwort GPO zu sehen. Gibt es hierfür eine technische Erklärung ?
BABA 11 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 Hast Du mal bei 2000 secedit /refreshpolicy user_policy bei 2003 gpupdate ausgeführt? Gruß Baba
cyrus the virus 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 hi, es kann doch immer nur eine Password policy pro domain angewendet werden. Das wird vermutlich der Grund sein. Gruß Cyrus
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 Beim gpresult wird mir sogar folgendes angezeigt: Passwort GPO Filterung: Verweigert (Sicherheit)
IThome 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 Einführung Alle Kontorichtlinieneinstellungen werden auf Domänenebene festgelegt. In der integrierten Standarddomänencontrollerrichtlinie für Kontorichtlinien, Kontosperrungsrichtlinien und Kerberos-Richtlinien sind Standardwerte vorhanden. Achten Sie beim Einstellen dieser Richtlinien in Microsoft Active Directory darauf, dass unter Microsoft Windows nur eine Domänenkontorichtlinie zulässig ist: Die Kontorichtlinie, die auf die Stammdomäne der Domänenstruktur angewendet wird. Die Domänenkontorichtlinie wird zur Standardkontorichtlinie aller Windows-Systeme, die Mitglieder der Domäne sind. Die einzige Ausnahme ist das Festlegen einer Kontorichtlinie für eine Organisationseinheit. Die Einstellungen der Kontorichtlinie für die Organisationseinheit (OE) wirken sich auf die lokale Richtlinie auf jedem in der Organisationseinheit enthaltenen Computer aus. Die Einstellungen der einzelnen Richtlinientypen werden im Laufe dieses Moduls beschrieben. der gesamte Artikel ist hier ... http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 @ cyrus the virus Klar es kann nur eine Einstellung geben. Hierbei ist doch die Abarbeitungsreihenfolge von GPL wichtig. 1. Passwort GPO 2. Default Domain Policy
BABA 11 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 cyrus the virus hat schon recht. Einmal legst Du ne Richtlinie fest und dann wieder nicht. Ich wäre für eine Richtlinie. Denn die gelten ja dann für die gesamte Domäne. Gruß Baba
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 Ich glaube es liegt daran, dass ich dem Benutzerkonto das Verweigern zugeordnet habe. Ich muss dem Computerkonto die Übernahme verweigern ... sind ja Computerpolicies.
IThome 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 Es liegt daran, dass Du mehr als eine Richtlinie hast ...
cyrus the virus 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 @Mr. Smith, mit der Reihenfolge geb ich Dir ja auch recht, das zieht auch bei allen anderen Einstellungen die Du über GPO´s verteillest, nur nicht bei der password policy, da es nur eine pro domain geben kann. Hier gilt: ES KANN NUR EINE GEBEN Aber warum willst Du eigentlich das die restriktive password policy bei Dir nicht zieht? Gerade als Admin solltest Du für Dich keine Ausnahme machen, oder? ;) Gruß Cyrus
dadadum 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 Laut microsoft doku kann man passwortrichtlinen nur domänenweit vergeben. Was wiederum heißt das er die Richtline aus der default gpo nemen wird egal was u einstellst.
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 Ich teste es nur mit meinem Konto. Es ist auch kein Adminkonto ... nur mal so am Rande. Ich muss es aber ggf. für jemanden umsetzen. Mit seinem User arbeiten andere Leute wie Sekretärinnen usw.. Das hat zur Folge das gelegentlich der User gesperrt ist. Am Userkonto hängen jedoch noch andere Sachen wie Blackberry, MDA und MXP usw.. Trotzdem verstehe ich nicht, warum das verweigern Recht hier nicht zieht. @dadadum Hallo, das stimmt nicht. Es werden standardmäßig die Einstellungen der Passwort GPO gezogen.
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 Kann mir keiner eine handfester Erklärung geben, warum man Kennwortrichtlinien nicht verweigern kann ???
dadadum 10 Geschrieben 26. August 2005 Melden Geschrieben 26. August 2005 wie die GPO heißt is ja egal ich wollte damit nur sagen das du das nur domänenweit machen kannst wenn du für dich eine eigene willst dan musst du eine 2. domäne anlegen. wie cyros schon so fett geschreiben hatt ES KANN NUR EINE GEBEN
Mr. Smith 10 Geschrieben 26. August 2005 Autor Melden Geschrieben 26. August 2005 Hallo, das ist mir schon klar, das es NUR EINE GEBEN KANN Aber nochmal ... WARUM kann man die Übernahme alle anderen Policies über die Sicherheitseinstellungen verweigern und DIESEN NICHT ???
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden