6
Active Directory - Kontensperrungsschwelle mit Ausnahmen
Guten Tag allerseits,
ich habe ein kleines Problem und hoffe das mir hier jemand weiterhelfen kann.
Bei uns werden Benutzerkonten nach 4 fehlerhaften Anmeldeversuchen automatisch für 30min gesperrt was in den meisten fällen auch sinnvoll ist.
Doch leider haben wir einige Komiker in der Firma die nach dem Start des Computers erst X mal versuchen ihr Passwort einzugeben bevor realisiert wird das in der Anmeldung ein anderer Benutzer drin steht. Dadurch wird der Benutzer des Mitarbeiters der vorher angemeldet war natürlich gesperrt. Eigentlich ist es mir ziemlich egal wenn sich die Mitarbeiter auf diese Weise gegenseitig auf die Nerven gehen doch wenn ich mal aus Wartungsgründen an einem dieser Computer war ist kurz darauf natürlich auch mein Benutzer gesperrt und da ich der Admin bin ist das mehr als nur Nervtötend.
Deshalb meine Frage:
Weiss einer wie man im Active Directory dafür sorgen kann das bestimmte Benutzer nicht von dieser Kontensperrungsschwelle betroffen sind ohne dabei gleich eine separate Gruppenrichtlinie erstellen zu müssen?
Doch leider haben wir einige Komiker in der Firma die nach dem Start des Computers erst X mal versuchen ihr Passwort einzugeben bevor realisiert wird das in der Anmeldung ein anderer Benutzer drin steht. Dadurch wird der Benutzer des Mitarbeiters der vorher angemeldet war natürlich gesperrt. Eigentlich ist es mir ziemlich egal wenn sich die Mitarbeiter auf diese Weise gegenseitig auf die Nerven gehen doch wenn ich mal aus Wartungsgründen an einem dieser Computer war ist kurz darauf natürlich auch mein Benutzer gesperrt und da ich der Admin bin ist das mehr als nur Nervtötend.
Deshalb meine Frage:
Weiss einer wie man im Active Directory dafür sorgen kann das bestimmte Benutzer nicht von dieser Kontensperrungsschwelle betroffen sind ohne dabei gleich eine separate Gruppenrichtlinie erstellen zu müssen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165167
Url: https://administrator.de/contentid/165167
Printed on: April 19, 2024 at 07:04 o'clock
6 Comments
Latest comment
Hallo @schmidicom,
Du wirst wohl nicht darum herum kommen, eine eigene Gruppenrichtlinie für die 'unsperrbaren' Accounts zu erstellen.
Ausnahme: Du bist (im Gegensatz zu den anderen) in einer Gruppe, welche höhergestellt ist als die User und damit diese Richtlinie für deinen Fall überschreibt.
GRuß
Snow
Du wirst wohl nicht darum herum kommen, eine eigene Gruppenrichtlinie für die 'unsperrbaren' Accounts zu erstellen.
Ausnahme: Du bist (im Gegensatz zu den anderen) in einer Gruppe, welche höhergestellt ist als die User und damit diese Richtlinie für deinen Fall überschreibt.
GRuß
Snow
Hallo Schmidicom,
kannst du nicht auch eine GPO setzen, damit der letzte Username NICHT angezeigt wird ?!
Aber zu deiner Mutmaßung:
Bei 2k8 war es möglich, je nach OU, unterschiedliche Passwortrichtlinien zu setzen, aus der Theorie heraus solle das für dich passen.
Gruß
Carsten
kannst du nicht auch eine GPO setzen, damit der letzte Username NICHT angezeigt wird ?!
Aber zu deiner Mutmaßung:
Bei 2k8 war es möglich, je nach OU, unterschiedliche Passwortrichtlinien zu setzen, aus der Theorie heraus solle das für dich passen.
Gruß
Carsten
Moin.
Klingt doch nach einer einfachen Lösung: einfach den letzten Usernamen nicht anzeigen lassen - dafür gibt es eine Policy: Do not display last user name in logon screen Group Policy (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Klingt doch nach einer einfachen Lösung: einfach den letzten Usernamen nicht anzeigen lassen - dafür gibt es eine Policy: Do not display last user name in logon screen Group Policy (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Zitat von @DerWoWusste:
Moin.
Klingt doch nach einer einfachen Lösung: einfach den letzten Usernamen nicht anzeigen lassen - dafür gibt es eine
Policy: Do not display last user name in logon screen Group Policy (Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options
Moin.
Klingt doch nach einer einfachen Lösung: einfach den letzten Usernamen nicht anzeigen lassen - dafür gibt es eine
Policy: Do not display last user name in logon screen Group Policy (Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options
Das hatte ich testweise bei 3 Computer lokal auch mal so eingestellt doch begeistert waren die Leute davon nicht. Letztlich musste ich es wieder rückgängig machen da die 3 Testpersonen damit, vorsichtig ausgedrückt, unzufrieden waren.
Mir wird demnach also nichts anderes übrig bleiben als alle Admins im AD so zu verschieben das sie nicht mehr den selben Gruppenrichtlinien unterliegen wie der Rest...
Zitat von @schmidicom:
Das hatte ich testweise bei 3 Computer lokal auch mal so eingestellt doch begeistert waren die Leute davon nicht. Letztlich musste
ich es wieder rückgängig machen da die 3 Testpersonen damit, vorsichtig ausgedrückt, unzufrieden waren.
Das hatte ich testweise bei 3 Computer lokal auch mal so eingestellt doch begeistert waren die Leute davon nicht. Letztlich musste
ich es wieder rückgängig machen da die 3 Testpersonen damit, vorsichtig ausgedrückt, unzufrieden waren.
Dann musst du wohl deinen Mitarbeitern sagen, dass die Umstellung eine notwendige Maßnahme ist, weil ein beträchtlicher Anteil der MA es wohl nicht auf die Reihe bekommen, den Benutzernamen zu überprüfen und es daduch regelmäßig zu Arbeitsausfällen kommt.
Gruß
Snow
Ein paar Einwände:
Man kann sich seine Nutzer nicht aussuchen, ist schon klar... aber es ist eine Notwendigkeit und die wiegt die Faulheit der Leute, Ihren Namen einzugeben, wohl auf.
Wenn Du es über PSOs (Password settings objects) lösen willst, brauchst Du keine neuen OUs, informier Dich. Aber: DCs müssen 2008/2008 R2 sein und auch im Funktionslevel 2008 eingestellt sein.
begeistert waren die Leute davon nicht. Letztlich musste ich es wieder rückgängig machen da die 3 Testpersonen damit, vorsichtig ausgedrückt, unzufrieden waren
Man kann sich seine Nutzer nicht aussuchen, ist schon klar... aber es ist eine Notwendigkeit und die wiegt die Faulheit der Leute, Ihren Namen einzugeben, wohl auf.
Wenn Du es über PSOs (Password settings objects) lösen willst, brauchst Du keine neuen OUs, informier Dich. Aber: DCs müssen 2008/2008 R2 sein und auch im Funktionslevel 2008 eingestellt sein.
