Passwordpolicy

[dasjonken 10]

Hallo!

Ich habe hier ein kleines Problem. Und zwar haben wir in unserer W2K Domaene eine Passwordpolicy erstellt, welche unter anderem die Komplexitaetsanforderung fuer Kennwoerter verlangt. Jetzt ist das Problem, dass wir mit RADA arbeiten und die entsprechenden Geraete mit der MAC Adresse als Namen und Kennwort als Account angelegt werden. Diese Accounts liegen alle in einer OU innerhalb unserer AD Struktur. Da das Kennwort ja in diesem Fall nicht der Komplexitaetsanforderung entspricht, weil es den Benutzernamen enthaelt, haben wir da jetzt ein Problem, welches geloest werden will. Es soll auf jeden Fall der Benutzername und das Kennwort so verbleiben, wie es jetzt ist, also die MAC Adresse. Auf die OU brauche ich ja auch keine neue Kennwortrrichtlinie zu legen, da die dann ja nur fuer die lokalen Accounts gelten wuerde. Hat vielleicht jemand eine ganz kreative Idee, wie dieses Problem geloest werden koennte? Ich waere aber sowas von dankbar!!!!! ;)

[Hirgelzwift 10]

hast du die PW komplexität in der defaultdomainpolicy festgelegt?

[dasjonken 10]

Ja, hab ich, weil es nicht wirklich einen Sinn gemacht haette, dafuer eine neue Policy zu erstellen.

[Hirgelzwift 10]

wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren. seit W2K3 empfiehlt MS ausdrücklich die DDP überhaupt nicht mehr anzufassen, nicht mal mehr für die kennwortrichtlinien.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx

 

wenn du die policy trennst und in der hirachie so einstellst das sie auf die OU der RADA nicht wirkt, durch blockieren, dann kann bzw. könnte es gehen.

[IThome 10]

Deaktiviere doch temporär die Komplexität, setze die Kennwörter der entsprechenden Accounts und setze die Haken , dass das Kennwort nicht geändert werden muss und darf und aktiviere die Komplexität dann wieder ... (oder habe ich da was falsch verstanden)

[dasjonken 10]

@IThome

nee, haste richtig verstanden, aber: man muesste die Komplexitaet dann jedes mal ausschalten, wenn ein neuer Computer oder Drucker ins Netz genommen werden soll. Das ist in meinen Augen wenig praktikabel.

@Hirgelzwift

Ja, das hatte ich befuerchtet, ist aber auch kein grosser Act. Dann mache ich einfach eine neue Policy und deaktiviere die fuer die RADA OU. Vielen Dank!!! :)

[Hirgelzwift 10]

.... und was wenn er neue geräte bekommt und oder änderungen vornahmen muss? soll er dann jedesmal erst die richtlinie "verbiegen". (edit: (MVL :D ))

 

unter W2K wäre es kein prob gewesen. da konnte der admin auch kennwörter setzen, auch mit komplexität, die nicht komplex waren. oder gibt es dafür evtl. einen schalter den ich noch nicht kenne, das man es dem admin erlaubt?

[Nocturne 10]

wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren.

Ob die Richtlinie in der DDP oder in einer eigenen GPO definiert wird spielt keine Rolle, da du die Kennwortrichtlinie sowieso nicht blockieren kannst.

Ich würde hier auch die DDP nehmen, weil es schlichtweg keinen Sinn macht widersprüchliche GPOs in der Domäne zu haben.

Es wird wohl auf die Lösung von IThome hinauslaufen. :)

[IThome 10]

Die Kennwortrichtlinie kann man blockieren ...

http://support.microsoft.com/kb/269236/en-us

[Hirgelzwift 10]

aber ich bin schon die ganze zeit am grübeln, irgendwas gefällt mir noch nicht. wenn man es so macht wie es in dem link von MS steht dann musst du die password GPO erzwingen auch wenn diese in der hirachie über der DDP steht. wenn sie auf oberster ebene erzwungen ist kannst du sie weiter unten nicht blockieren. erzwingen hat vorrang......

 

also wenn man sie wirklich erzwingen muss dann wird es wieder nix mit dieser lösung oder man müsste die policy jeweils seperat mit allen OU's, ausser die es nicht treffen soll, einzeln verlinken und erzwingen oder in der rangfolge verschieben!? ich habe das noch nicht probiert.

 

oder denke ich falsch?

[dasjonken 10]

Also ich hab jetzt folgendes probiert:

Ich habe eine neue GPO auf Domaenenebene erstellt und den Gruppen, in denen sich alle RADA-Clients befinden das lesen der Policy verweigert. Klappt nicht.

Dann habe ich auf der OU in der sich die Clients befinden das Blocken aktiviert. Klappt auch nicht. Irgendwie lassen sich die Passwortrichtlinien nicht blocken. So ein Aerger!

[IThome 10]

Doch schon, aber nur in der Domain Controllers OU, siehe den Artikel weiter oben (das macht man aber nicht) ...

[nerd 28]

Hi,

 

also nach meinem Veständnis kannst du dein Problem nur mit einer weiteren Domäne innerhalb deiner Gesamtstruktur lösen. Auch der verlinkte MS Artikel sagt nichts anderes!

 

Es kann in einer Domäne nur eine einheitliche GPO für die Domänenkonten geben - da führt meiner Meinung kein Weg dran vorbei - zumindest habe ich noch keine Lösung in diese Richtung gesehen!

 

Liebe Grüße

[IThome 10]

Genau, so habe ich es auch gelernt ...

[dasjonken 10]

Heul, so eine verdammige Axt. Das mit der neuen Domaene geht auch keinen Fall. Na dann muss ich mal sehen, ob man die Switche auch so konfigurieren kann, dass sie ein anderes Passwort als die MAC akzeptieren.