exesor
Goto Top

GPO-Richtlinie wird ohne ein Sicherheitsfilter angewendet

Hallo zusammen,

seit langem bin ich stiller Zuhörer - bis jetzt face-smile
Ich hab ein kleines "Problemchen":
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.

Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.

Tut mir leid falls ich aktuell auf dem Schlauch stehe (was nach 6h GPO`s durchsuchen vorkommen kann=)

Content-Key: 1715754919

Url: https://administrator.de/contentid/1715754919

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: Doskias
Lösung Doskias 12.01.2022 um 15:51:28 Uhr
Goto Top
Moin

Zitat von @eXesor:
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Das Aussperren von Benutzern erfolgt über die Kontosperrungsrichtlinie, nicht über die Kennwortrichtlinie.

Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Eigentlich gar nicht. Wenn in den Sicherheitsfiltern wie bei dir geschrieben niemand drin steht, gilt sie auch für niemanden, egal wer in der Delegierung Zugriff hat. Allerdings sind die default Domain Policy und die Default Domain Controller Policy etwas besonders. Siehe: https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ....
Aus dem Artikel:
Die beiden Default Richtlinien haben hardcodierte GUIDs
DefDomPol: {31B2F340-016D-11D2-945F-00C04FB984F9}
DefDomConPol: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Es gibt Abhängigkeiten und Automatismen zu diesen Objekten, möchte ich diese erhalten und nutzen, muss ich die beiden Objekte verwenden.
Kennwort- und Kontosperrungsrichtlinien werden von der Default Domain Policy in entsprechende Attribute im Domain Head des ADs geschrieben (siehe adsiedit.msc - Std. Namenskontext - Eigenschaften auf dc=eure,dc=dom). Direkte Änderungen im Domain Head werden durch das SYSTEM in die Default Domain Policy zurückgeschrieben. Allerdings nur vom DC mit der PDC Emulator Rolle.
Daher kann ich mir durchaus vorstellen, dass die GPO doch irgendwie genutzt wird, selbst wenn nichts im Sicherheitsfilter landet.

Ob sie wirklich genutzt wird kannst du allerdings am einfachsten über die Gruppenrichtlinienmodellierung direkt in der Gruppenrichtlinienverwaltung herausfinden. User und PC auswählen und schauen ob die gesuchte Policy dort auftucht.

Gruß
Doskias
Mitglied: SlainteMhath
SlainteMhath 12.01.2022 um 15:51:51 Uhr
Goto Top
Moin,

Get-ADUserResultantPasswordPolicy
und
Get-ADDefaultDomainPasswordPolicy
sind deine Freunde face-smile

lg,
Slainte
Mitglied: eXesor
eXesor 12.01.2022 um 16:22:33 Uhr
Goto Top
Vielen Dank für die schnelle und hilfreiche Antwort. Ich hab mal auf mein Testsystem (geklont/gleicher Zustand ) die Richtlinie die händisch erstellt wurde gelöscht. Ich hab die aktuell aktive Richtlinie ausgelesen und es war tatsächlich die Default Policy. In der GPO Modellierung hat sich dann herausgestellt das die von uns erstellt zwar aktiv ist jedoch nicht zieht.

Wie war das nochmal mit den Bäumen und dem Wald ?

Herzlichen Dank und bleibt gesund face-smile