GPO-Richtlinie wird ohne ein Sicherheitsfilter angewendet

Hallo zusammen,

seit langem bin ich stiller Zuhörer - bis jetzt :) face-smile
Ich hab ein kleines "Problemchen":
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.

Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.

Tut mir leid falls ich aktuell auf dem Schlauch stehe (was nach 6h GPO`s durchsuchen vorkommen kann=)

Content-Key: 1715754919

Url: https://administrator.de/contentid/1715754919

Ausgedruckt am: 28.01.2022 um 21:01 Uhr

Mitglied: Doskias
Lösung Doskias 12.01.2022 um 15:51:28 Uhr
Goto Top
Moin

Zitat von @eXesor:
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Das Aussperren von Benutzern erfolgt über die Kontosperrungsrichtlinie, nicht über die Kennwortrichtlinie.

Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Eigentlich gar nicht. Wenn in den Sicherheitsfiltern wie bei dir geschrieben niemand drin steht, gilt sie auch für niemanden, egal wer in der Delegierung Zugriff hat. Allerdings sind die default Domain Policy und die Default Domain Controller Policy etwas besonders. Siehe: https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ....
Aus dem Artikel:
Die beiden Default Richtlinien haben hardcodierte GUIDs
DefDomPol: {31B2F340-016D-11D2-945F-00C04FB984F9}
DefDomConPol: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Es gibt Abhängigkeiten und Automatismen zu diesen Objekten, möchte ich diese erhalten und nutzen, muss ich die beiden Objekte verwenden.
Kennwort- und Kontosperrungsrichtlinien werden von der Default Domain Policy in entsprechende Attribute im Domain Head des ADs geschrieben (siehe adsiedit.msc - Std. Namenskontext - Eigenschaften auf dc=eure,dc=dom). Direkte Änderungen im Domain Head werden durch das SYSTEM in die Default Domain Policy zurückgeschrieben. Allerdings nur vom DC mit der PDC Emulator Rolle.
Daher kann ich mir durchaus vorstellen, dass die GPO doch irgendwie genutzt wird, selbst wenn nichts im Sicherheitsfilter landet.

Ob sie wirklich genutzt wird kannst du allerdings am einfachsten über die Gruppenrichtlinienmodellierung direkt in der Gruppenrichtlinienverwaltung herausfinden. User und PC auswählen und schauen ob die gesuchte Policy dort auftucht.

Gruß
Doskias
Mitglied: SlainteMhath
SlainteMhath 12.01.2022 um 15:51:51 Uhr
Goto Top
Moin,

und
sind deine Freunde :) face-smile

lg,
Slainte
Mitglied: eXesor
eXesor 12.01.2022 um 16:22:33 Uhr
Goto Top
Vielen Dank für die schnelle und hilfreiche Antwort. Ich hab mal auf mein Testsystem (geklont/gleicher Zustand ) die Richtlinie die händisch erstellt wurde gelöscht. Ich hab die aktuell aktive Richtlinie ausgelesen und es war tatsächlich die Default Policy. In der GPO Modellierung hat sich dann herausgestellt das die von uns erstellt zwar aktiv ist jedoch nicht zieht.

Wie war das nochmal mit den Bäumen und dem Wald ?

Herzlichen Dank und bleibt gesund :) face-smile
Heiß diskutierte Beiträge
question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
OS-Installation auf ProLiant Microserver Gen10 Plus schlägt fehl gelöst keine-ahnungVor 8 StundenFrageWindows Installation12 Kommentare

Moin at all, ich habe gestern stundenlang mit der o.g. Kiste gekämpft, um dort ein Windows 2016 (HPE ROK) zu installieren - keine Chance. In ...

question
Macos monterey auf normalen PC installierenjj-webhostingVor 22 StundenFrageMac OS X5 Kommentare

Hallo zusammen, Mich würde mal folgendes interessieren, kann man MacOS Monterey auch auf ein normalen PC installieren? Sprich auf kein Macbook? Wäre für mich interessant, ...

question
Desaster Recovery Replikation ins Rechenzentrum?Leo-leVor 1 TagFrageVirtualisierung8 Kommentare

Hallo zusammen, wir werden zukünftig unsere Landschaft ( VMware 7 + Veeam 11) für den Desaster Recovery Fall in ein RZ ausbreiten. Die Replikation dorthin ...