ccna2000 10 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 Hi Leute, so, da bin ich wieder. Habe nur eine kleine Frage. Habe einen Rechner in die Domäne gehängt. Das ist auch alles gut und schön. nur kann ich jetzt bei dem lokalen benutzer, das Passwort nicht mehr nehmen, weil der PC ein sicheres haben will (z.B. wDu6$we) Dabei MUSS ich nochmal das alte eingeben können. Wo ändere ich das, dass er es nicht mehr haben will, sondern ein "unsicheres" zulässt? Danke schonmal! Gruß Tim Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 Das solte gehen, wenn du z.B. in der lokalen Gruppenrichtlinie des PC die Komplexitätsanforderungen deaktiviertst, für diese OU, in der der PC ist, die Vererbung der GPOs in der Domäne deaktiverst und ein gpupdate /force durchführst. Danach wieder alles umkehren grizzly999 Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 nein grizzly das wird so nicht gehen da der rechner mitglied der domäne ist und wenn eine policy über dieser OU ein starkes passwort anfordert kannst du es unten nicht abschalten, zumindest nicht per GPO. der ansatz in bezug auf das lokale pw ist schon richtig, aber dann eben nur für lokale passwörter, aber ich fürchte auch das wird nicht gehen solange der pc mitglied der domäne ist. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 nein grizzly das wird so nicht gehen da der rechner mitglied der domäne ist und wenn eine policy über dieser OU ein starkes passwort anfordert kannst du es unten nicht abschalten, zumindest nicht per GPO. der ansatz in bezug auf das lokale pw ist schon richtig, aber dann eben nur für lokale passwörter, aber ich fürchte auch das wird nicht gehen solange der pc mitglied der domäne ist. Hä, ich hab hier Rechner und User in der Domäne, die benötigen kein starkes Passwort, obwohl das in der Domäne aktiviert ist. Dieser OU entziehst Du, wie Grizzly es anführt, die Vererbung und schon gelten die übergeordneten GPO's nicht mehr. Grüsse Gulp Zitieren Link zu diesem Kommentar
ccna2000 10 Geschrieben 18. Januar 2006 Autor Melden Teilen Geschrieben 18. Januar 2006 hi hirgel. hast recht. habe den pc auf der domäne genommen und schon geht das alte passwort wieder. ich könnte mir in den ***** beissen. meist ist der einfachste weg auch der richtige. aber meist sieht man den wald vor lauter bäumen nicht oder man denkt zu kompliziert. danke euch allen! Gruß Tim ;) Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 @gulp es gibt keine möglichkeit passwort richtlinien zu deaktivieren die in einer übergeordneten policy, bitte beachte die formulierung, aktiviert sind. es gelten immer die kennwortrichtlinien die zuoberst festgelegt wurden. danach wirst du in allen prüfungen zu ad etc. bis zum erbrechen gefragt. im grunde gelten die richtlinien der DDP. ich habe aber mittlerweile gerlernt das du eine extra policy machen kannst die aber in der aktivierungsreihenfolge über der DDP stehen muss damit das funktioniert. http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx und das schaffst du nur wenn du sie auf der selben ebene anwendest wie die DDP. auf einer OU auf keinen fall. darauf verwette ich meinen MCSE oder verklage MS. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 Hehe, so kann man es ja auch machen, dürfte auch die schnellste Variante sein. Ergänzend bleibt noch hinzuzufügen: Wird die Vererbung auf eine OU geblockt, gelten übergeordnete GPO's nicht. Mit 2 Ausnahmen: - Default Domain Policy - wenn die Kennwortrichtlinien hier gesetzt werden, hilft alles Blocken nix. - Kein Vorrang - hat die übergeordnete OU die Einstellung "kein Vorrang", wird die GPO auch nicht geblockt. Grüsse Gulp Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 @gulpes gibt keine möglichkeit passwort richtlinien zu deaktivieren die in einer übergeordneten policy, bitte beachte die formulierung, aktiviert sind. es gelten immer die kennwortrichtlinien die zuoberst festgelegt wurden. danach wirst du in allen prüfungen zu ad etc. bis zum erbrechen gefragt. im grunde gelten die richtlinien der DDP. ich habe aber mittlerweile gerlernt das du eine extra policy machen kannst die aber in der aktivierungsreihenfolge über der DDP stehen muss damit das funktioniert. http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx und das schaffst du nur wenn du sie auf der selben ebene anwendest wie die DDP. auf einer OU auf keinen fall. darauf verwette ich meinen MCSE oder verklage MS. "Kein Vorrang" vs. "No Override" Wenn eine Richtlinie "keinen Vorrang" hat, dann wird sie wörtlich gesehen, eine vorhandene Einstellung nicht überschreiben, aber genau das Gegenteil ist der Fall. Die Richtlinie steht auf NO OVERRIDE, sie kann nicht von den ihr folgenden Richtlinien überschrieben werden. "Vererbung Deaktivieren" – vs. "Block Inheritance" Es wird nicht die von ihr ausgehende Vererbung deaktiviert, sondern die darüber liegende Richtlinieneinstellung wird nicht geerbt. Sie wird "blockiert" => BLOCK INHERITANCE Wichtige Regeln dazu: Hat mehr als eine GPO die Option „Kein Vorrang“ aktiviert, so setzt sich die im Active Directory hierarchisch höchste durch. Sind diese GPO-Objekte auf gleicher Ebene so, setzt sich die mit der höchsten Priorität durch. Über die Option „Vererbung Deaktivieren“ kann eine Übernahme der übergeordneten Einstellungen verhindert werden. Mit einer Einschränkung: Ist bei dem hierarchisch übergeordneten Objekt „Kein Vorrang“ (NO OVERRIDE) aktiviert, so kann die Vererbung nicht verhindert werden. Somit kann sich der Domänen-Administrator mit seinen Einstellungen immer durchsetzen J Quelle: http://www.gruppenrichtlinien.de Anwenden der Gruppenrichtlinie Die folgenden Schritte zeigen Ihnen, wie die Gruppenrichtlinie angewendet wird und Sicherheitsgruppen zum Zuweisen von Benutzerrechten hinzugefügt werden. • So wenden Sie die Gruppenrichtlinie auf eine Organisationseinheit oder eine Domäne an 1. Klicken Sie auf Start, Verwaltung und Active Directory-Benutzer und -Computer, um das Dialogfenster Active Directory-Benutzer und -Computer zu öffnen. 2. Markieren Sie die gewünschte Domäne oder Organisationseinheit, klicken Sie auf das Menü Aktion , und wählen Sie Eigenschaften. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. Hinweis: Auf jeden Container können mehrere Richtlinien angewendet werden. Sie werden beginnend am unteren Ende der Liste verarbeitet. Bei Auftreten eines Konflikts hat die zuletzt angewandte Richtlinie Vorrang. 4. Klicken Sie auf Neu, um eine neue Richtlinie zu erstellen, und vergeben Sie einen aussagekräftigen Namen, zum Beispiel Domänenrichtlinie. Hinweis: Die Option Kein Vorrang kann durch Klicken auf die Schaltfläche Optionen konfiguriert werden. Kein Vorrang wird für jede einzelne Richtlinie und nicht für den Container insgesamt konfiguriert, während die Option Richtlinienvererbung deaktivieren für den gesamten Container gilt. Bei einem Konflikt zwischen den Einstellungen Kein Vorrang und Richtlinienvererbung deaktivieren hat die Einstellung Kein Vorrang Vorrang. Zum Konfigurieren der Einstellung Richtlinienvererbung deaktivieren aktivieren Sie das entsprechende Kontrollkästchen in den Eigenschaften der Organisationseinheit. Quelle: Microsoft Technet (http://www.microsoft.com/germany/technet/datenbank/articles/900129.mspx) Man beachte die fett hervorgehobenen Stellen. ;) Grüsse Gulp Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 nein grizzly das wird so nicht gehen da der rechner mitglied der domäne ist und wenn eine policy über dieser OU ein starkes passwort anfordert kannst du es unten nicht abschalten, zumindest nicht per GPO. der ansatz in bezug auf das lokale pw ist schon richtig, aber dann eben nur für lokale passwörter, aber ich fürchte auch das wird nicht gehen solange der pc mitglied der domäne ist. Aber natürlich kann man das. Schliesslich handelt es sich bei der Anforderung, bei dieser speziellen Anforderung, um ein LOKALES Konto. Und da hat er die strengen Richtlinien einzig und allein nur deshalb, weil der Rechner die Default Domain Policy erbt. Verhindere ich diese Vererbung und setze ihm lokal eine andere Richtlinie, wird die Default Domain Policy auf den lokalen Rechner nicht mehr angewendet, Punkt. So ist das :) Davon unberührt bleibt die Kennwortrichtline für Domänenbenutzer, die ja aber auch über die Domänen Controller umgesetzt wird, und nicht vom lokalen Rechner. Ansonsten kann ich nur sagen: Machen ... ;) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.