Jump to content
Sign in to follow this  
Peerless

Domänen Policy ignorieren

Recommended Posts

Hallo,

 

hab ein Problem mit einem Dateiserver (win2k3) der ein Domänenmitglied ist.

Vorab, ich hab keinen Zugriff auf den Domänen Controller.

 

Und zwar soll die Kontosperrungsschwelle permanent auf 0 gesetzt werden. Dieses ist mir zwar mittels des Sicheheits-Analyse und -konfigurations Spnap-In möglich, allerdings verwirft mir der Server die Einstellung binnen eines Tages.

 

Nun meine Frage ob ich z.b. die Domänenrichtlinie komplett ignorieren und gegen die lokale tauschen, oder andersweitig die Konstosperrungsschwelle auf 0 behalten kann ? Zur not würde auch eine Batchbefehl reichen der das konfigurations Snap-In automatisch audführt.

Share this post


Link to post

Die lokale Richtlinie ist bei einem Domänenmitglied die Richtlinie mit der geringsten Priorität. Deswegen werden die Einstellungen immer von einer Domänenbasierten Richtlinie überschrieben, egal woher aus der Domäne sie kommt. Um Dein Problem zu lösen, musst Du wohl oder übel Deinen Domänenadmin konsultieren (der auch für den ordnungsgemässen Betrieb verantwortlich ist und sicher nicht grundlos irgendwelche Richtlinien konfiguriert hat) ...

Share this post


Link to post

Also den Domänenadmin zu konsutieren ist nicht möglich, da wir uns hier in einer recht grossen Firma mit diversen Ressorts befinden. Ich hatte in dem Zusammenhang mit dem Konfigurations Snap-In von einer ähnlichen Lösung über die Kommandozeile gehört, die man dann automatisch abrufen könnte. Kann mich aber leider nicht mehr an den Befehl erinnern....

Share this post


Link to post

Sicher geht das (temporär), aber damit umgehst Du die Einstellungen, die der Domänenadmin der Domäne, also auch dem besagten Server, auferlegt hat . Da Du keinen Zugriff auf den DC hast, bist Du mit Sicherheit kein Domänenadmin, konfigurierst es also wahrscheinlich ohne sein Wissen. Ich habe keine Ahnung, wie und wo der Admin was konfiguriert hat und aus welchem Grund und das weiss hier sicher auch kein anderer. Und genau aus diesem Grund supporten wir kein Austricksen des Admins, sorry ...

Share this post


Link to post

Die Anmeldung eines Benutzer basiert unter anderem auf dessen Benutzerkonto in der Domäne und nicht an einem Member.

 

Sicherheit ist ist eine ganzheitliche Angelegenheit der Domäne. Es kann (darf) keine Teilbereiche verschiedener Sicherheit(sanforderungen) und Stati geben. Das ist wohl derzeit Sachstand.

 

Mein Rat, lasse die Finger von Versuchen, die Sicherheit auszuhebeln. Bei uns würde bei einer Entdeckung solch eines Verrsuches mit sofortiger Entlassung reagiert.

Share this post


Link to post

Es geht an sich nicht um die Sperrungsrichlinie der Domänenkonten, sondern, um 3 lokale Konten die auf diesem Server betrieben werden. Bestes Beispiel: auf dem Server ist ein IIS am laufen, der eine geschlossene Benutzgruppe beinhaltet(mittels NT Authentifizierung). der Zugehöhrige Nutzeraccount liegt lokal auf dem Server. Hackt nun jemand das Passwort 3 mal falsch ein, können alle anderen User den Zugriff vergessen....

 

darum soll der Fehlercounter auf 0 Stehen, macht meines erachtens Sinn :-)

 

und zu der Administrations Sache, ich bin schon für mein Ressort zuständig, allerdings gibt es da noch diverse übergeordnete Instanzen.

Share this post


Link to post

Schon klar, auf Domänenkonten hast Du keinerlei Einfluss, wenn es nicht in der Default Domain Policy konfiguriert wird ...

Share this post


Link to post
Es geht an sich nicht um die Sperrungsrichlinie der Domänenkonten, sondern, um 3 lokale Konten die auf diesem Server betrieben werden.

 

1. Die lokale Richtlinie wird, wie schon beschrieben, von den Richtlinien in Active Directory überschrieben. Die Verabeitungreihenfolge ist: Local/Site/Domain/OU.

2. Passwortrichtlinien für Domänenbenutzer müssen domänenweit vergeben werden.

3. Stellt man per Gruppenrichtlinie auf einer OU, die Computerkonten enthält, eine weiter Passwortrichtlinie ein, so gilt diese nicht für Domänenbenutzer (siehe 2), sondern nur fü lokale Konten auf diesen Computern.

 

Nummer 3 wäre also deine Lösung, allerdings muss es in Active Directory eingerichtet werden. Darfst du das nicht, musst du es vernlassen. Ist es nicht gewollt hat es einen firmeninternen Grund und fertig.

Dafür sind Gruppenrichtlinien ja da :rolleyes:

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...