Einführen einer Kennwortrichtlinie über die Default Domain Policy oder nicht?
Hallo Admins,
ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.
Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.
Meine Überlegung wäre nun:
1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.
2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.
Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?
Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!
Grüße
ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.
Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.
Meine Überlegung wäre nun:
1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.
2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.
Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?
Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79854
Url: https://administrator.de/forum/einfuehren-einer-kennwortrichtlinie-ueber-die-default-domain-policy-oder-nicht-79854.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Hi Cheops
Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.
Aber unter Windows 2008 soll es auch pro OU Möglich sein.
Gruss
rubberduck
Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.
Aber unter Windows 2008 soll es auch pro OU Möglich sein.
Gruss
rubberduck
Hallo Rubberduck,
deine Aussage:
ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.
Grüße, Steffen
deine Aussage:
Mehrere
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.
ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.
Grüße, Steffen
Hallo Cheops,
wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?
Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.
BTW: Ich schließe mich voll inhaltlich smerlin an.
geTuemII
wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?
Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.
BTW: Ich schließe mich voll inhaltlich smerlin an.
geTuemII
Hallo srmerlin und geTuemII
Bitte lasst mich nicht Dumm sterben.
Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)
Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).
Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
Bitte lasst mich nicht Dumm sterben.
Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)
Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).
Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
Hallo rubberduck,
du hast natürlich recht. Ich hab da nicht zuende gedacht.
Danke für die Richtigstellung,
Steffen
Ich weiss nur, dass wenn ich in einer OU
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt
du hast natürlich recht. Ich hab da nicht zuende gedacht.
Danke für die Richtigstellung,
Steffen
@rubberduck und smerlin:
Auch!
@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...
geTuemII
Auch!
@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...
geTuemII
Kleine Anmerkung:
Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.
Oder liege ich auch hier falsch?
Grüße, Steffen
Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.
Oder liege ich auch hier falsch?
Grüße, Steffen