cheops
Goto Top

Einführen einer Kennwortrichtlinie über die Default Domain Policy oder nicht?

Hallo Admins,

ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.

Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.

Meine Überlegung wäre nun:

1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.

2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.

Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?

Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!

Grüße

Content-ID: 79854

Url: https://administrator.de/contentid/79854

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

rubberduck
rubberduck 04.02.2008 um 15:02:59 Uhr
Goto Top
Hi Cheops

Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.

Aber unter Windows 2008 soll es auch pro OU Möglich sein.

Gruss
rubberduck
51705
51705 04.02.2008 um 21:58:13 Uhr
Goto Top
Hallo Rubberduck,

deine Aussage:

Mehrere
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.

ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.

Grüße, Steffen
geTuemII
geTuemII 04.02.2008 um 21:58:44 Uhr
Goto Top
Hallo Cheops,

wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?

Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.

BTW: Ich schließe mich voll inhaltlich smerlin an.

geTuemII
rubberduck
rubberduck 05.02.2008 um 00:15:09 Uhr
Goto Top
Hallo srmerlin und geTuemII

Bitte lasst mich nicht Dumm sterben.

Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)

Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).

Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
51705
51705 05.02.2008 um 09:53:17 Uhr
Goto Top
Hallo rubberduck,

Ich weiss nur, dass wenn ich in einer OU
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt

du hast natürlich recht. Ich hab da nicht zuende gedacht.

Danke für die Richtigstellung,
Steffen
geTuemII
geTuemII 05.02.2008 um 15:31:04 Uhr
Goto Top
@rubberduck und smerlin:
Auch!

@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...

geTuemII
51705
51705 06.02.2008 um 12:57:41 Uhr
Goto Top
Kleine Anmerkung:

Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.


Oder liege ich auch hier falsch?

Grüße, Steffen