Passwordpolicy

[Velius 10]

Heul, so eine verdammige Axt. Das mit der neuen Domaene geht auch keinen Fall. Na dann muss ich mal sehen, ob man die Switche auch so konfigurieren kann, dass sie ein anderes Passwort als die MAC akzeptieren.

 

Vielleicht hilft dir das? http://www.specopssoft.com/products/specopspasswordpolicy/Default.asp

[Nocturne 10]

Die Kennwortrichtlinie kann man blockieren ...

http://support.microsoft.com/kb/269236/en-us

Nein, kann man nicht. Was du blockieren kannst ist die *Verarbeitung* der Richtlinie. Wenn du die DCs blockierst werden die sicherheitsrelevanten Einstellungen nicht mehr verarbeitet und damit auch in der gesamten Domäne nicht mehr wirksam sein.

 

Dasjonken will aber eine beliebige OU aussparen. Das geht nicht!

[Hirgelzwift 10]

ein kollege von mir behauptet er hätte es schon mal gemacht alle hätten ein starkes PW gebraucht aber für eine OU konnte er es abschalten. er kann sich aber nicht mehr genau erinnern wie er es gemacht hat.

 

ich versuche mal wiederzugeben wie ich es testen würde.

 

die RADA OU in die oberste ebene. die PW GPO in der rangfolge über DDP stellen aber nicht erzwingen. der RADA OU die vererbung deaktivieren. wenn es nicht gehen würde warum dann der link den IThome eingestellt hat, der das deaktivieren beschreibt!? :suspect:

[Velius 10]

 

Dasjonken will aber eine beliebige OU aussparen. Das geht nicht!

 

 

Siehe mein Link!! :D

[IThome 10]

Das meinte ich damit (das ist eine Fehlerkonfiguration bzw. keine gewollte Konfiguration), sowas macht man nicht.

[dasjonken 10]

Na dann werde ich mal mit der Trialversion versuchen, ob das Problem damit behoben werden kann. Eine schoene, vielleicht auf Berechtigungen ausgelegte Loesung waere zwar schoener, aber was nicht geht das geht nicht, Vielen Dank auf jeden Fall!!!

[Nocturne 10]

wenn es nicht gehen würde warum dann der link den IThome eingestellt hat, der das deaktivieren beschreibt!? :suspect:

Weil das die komplette verarbeitung der GPO verhindert ;)

Das Zusatztool, welches Velius erwähnt hat, hört sich aber ganz nett an... alles andere - was Microsoft Bordmittel anbelangt - ist nach meinem Wissensstand nicht möglich.

[Hirgelzwift 10]

wenn es ein tool gibt das das machen kann dann muss es im grunde auch so gehen wenn man weis wie es geht, die kochen auch nur mit wasser und dann hatte mein kollege doch recht. ob das ein fehler ist... kann schon sein. aber warum nicht den "fehler" positiv nutzen ?

[Velius 10]

wenn es ein tool gibt das das machen kann dann muss es im grunde auch so gehen wenn man weis wie es geht, die kochen auch nur mit wasser und dann hatte mein kollege doch recht. ob das ein fehler ist... kann schon sein. aber warum nicht den "fehler" positiv nutzen ?

 

Das ist kein Fehler, das ist "by design". Das Zusatztool ist aber auch nicht ohne, denn da muss ein Agent auf den Controllern vorgeschaltet(installiert) werden, ähnlich wie bei den grossen Identitäts-Lösungen wie MIIS.

[dasjonken 10]

Aber doch wohl hoffentlich nicht auf jedem DC, oder? Ich hab in die Beschreibung noch nicht wirklich reingeschaut.

[Hirgelzwift 10]

hätt ich ne testdomäne würde ich es probieren, wenn mein kollege sagt er hat es geschafft dann glaube ich ihm das.

[nerd 28]

hätt ich ne testdomäne würde ich es probieren, wenn mein kollege sagt er hat es geschafft dann glaube ich ihm das.

 

Meine Logik sowie alle meine Unterlagen sagen, dass das mit MS Boardmitteln nicht geht / gehen kann. Aber ich lerne gerne dazu.

 

Gruß

[Velius 10]

Aber doch wohl hoffentlich nicht auf jedem DC, oder? Ich hab in die Beschreibung noch nicht wirklich reingeschaut.

 

Dem 1. Screenshot nach zu urteilen schon: http://www.specopssoft.com/products/specopspasswordpolicy/screenshots/default.asp

 

@Hirgelzwift

 

Man muss nicht gleich alles glauben (wenn der Tag lang ist erzählt noch mancher vieles... ;) BTW: Es würde wohl kaum ein Hersteller solch eine Software verkaufen wenn das verhalten nicht "by Design", und so leicht änderbar wäre.)

[Hirgelzwift 10]

das tool kann ja noch mehr und hier geht es ja nur um einen kleinen teil das für diese diskussion von interesse ist.

 

BTW - ich habe ihn nochmal gefragt und wir haben das nochmal durchdiskutiert und er meinte dann:

 

1. DDP in bezug auf PW alles default (nicht konfiguriert) lassen.

2. GPO1 mit starkem PW

3. GPO1 ohne starkem PW

4. GPO1 auf die Benutzer OU anwenden und erzwingen. davon ausgehend das die benutzer alle in eine GPO verschoben wurden und nicht im default container sind

5. GPO2 auf die RADA GPO anwenden und erzwingen. ausgehend davon das diese OU auf der selben ebene steht wie die benutzer OU bzw. keine sub OU der benutzer OU ist.

 

ob es dann letztlich geht habe ich noch nicht versucht, kann auch sein das es schmarrn ist und da wie gesagt keine testdomäne zur hand. an die produktive gehe ich jetzt nicht dran weil leider unsere PW GPO auch in der DDP definiert ist (war schon so bevor ich hier angefangen hatte)

[dasjonken 10]

Ich kann doch die Passwort GPO nicht auf eine OU anwenden, denn meines Wissens muss sie doch immer auf Domaenenebene liegen. Das ist ja das Problem! Oder hab ich dich falsch verstanden?