3
GPO-Richtlinie wird ohne ein Sicherheitsfilter angewendet
Hallo zusammen,
seit langem bin ich stiller Zuhörer - bis jetzt
Ich hab ein kleines "Problemchen":
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Tut mir leid falls ich aktuell auf dem Schlauch stehe (was nach 6h GPO`s durchsuchen vorkommen kann=)
seit langem bin ich stiller Zuhörer - bis jetzt
Ich hab ein kleines "Problemchen":
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Tut mir leid falls ich aktuell auf dem Schlauch stehe (was nach 6h GPO`s durchsuchen vorkommen kann=)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1715754919
Url: https://administrator.de/contentid/1715754919
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
3 Kommentare
Neuester Kommentar
Moin
Aus dem Artikel:
Ob sie wirklich genutzt wird kannst du allerdings am einfachsten über die Gruppenrichtlinienmodellierung direkt in der Gruppenrichtlinienverwaltung herausfinden. User und PC auswählen und schauen ob die gesuchte Policy dort auftucht.
Gruß
Doskias
Zitat von @eXesor:
Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Das Aussperren von Benutzern erfolgt über die Kontosperrungsrichtlinie, nicht über die Kennwortrichtlinie.Ich war bis vor kurzem der Meinung, dass die Kennwortrichtlinie über die "Default Domain Policy" eingerichtet ist.
Da häufig Nutzer sich aussperren (nach 3 Versuchen) war es nie ein Grund um genauer nachzuschauen.
Nun war ich dabei die GPO`s welche nicht verwendet werden auszumisten und siehe da eine selber erstelle Kennwort GPO welche aktiv ist.
Nun war ich kurz davor diese zu löschen, da ich unter Sicherheitsfilterung keine Gruppe / User zugewiesen habe.
Unter Delegierung jedoch ist mir aufgefallen, dass Gruppen zugewiesen sind also hab ich mir die Default Domain Policy etwas genauer angeschaut und bemerkt, dass die Kennwortrichtlinie "nicht definiert" ist.
Nachdem ich nun alle Richtlinien durch bin, kann es nur die von uns erstelle Richtlinie sein.
Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Eigentlich gar nicht. Wenn in den Sicherheitsfiltern wie bei dir geschrieben niemand drin steht, gilt sie auch für niemanden, egal wer in der Delegierung Zugriff hat. Allerdings sind die default Domain Policy und die Default Domain Controller Policy etwas besonders. Siehe: https://www.gruppenrichtlinien.de/artikel/default-domain-policy-und-defa ....Jetzt zu meiner Frage: Wie kann es sein, dass die Richtlinie zieht obwohl diese unter dem Reiter "Bereich" sowohl keine Verknüpfung als auch keine Sicherheitsfilterung enthält.
Aus dem Artikel:
Die beiden Default Richtlinien haben hardcodierte GUIDs
DefDomPol: {31B2F340-016D-11D2-945F-00C04FB984F9}
DefDomConPol: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Es gibt Abhängigkeiten und Automatismen zu diesen Objekten, möchte ich diese erhalten und nutzen, muss ich die beiden Objekte verwenden.
Kennwort- und Kontosperrungsrichtlinien werden von der Default Domain Policy in entsprechende Attribute im Domain Head des ADs geschrieben (siehe adsiedit.msc - Std. Namenskontext - Eigenschaften auf dc=eure,dc=dom). Direkte Änderungen im Domain Head werden durch das SYSTEM in die Default Domain Policy zurückgeschrieben. Allerdings nur vom DC mit der PDC Emulator Rolle.
Daher kann ich mir durchaus vorstellen, dass die GPO doch irgendwie genutzt wird, selbst wenn nichts im Sicherheitsfilter landet.DefDomPol: {31B2F340-016D-11D2-945F-00C04FB984F9}
DefDomConPol: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Es gibt Abhängigkeiten und Automatismen zu diesen Objekten, möchte ich diese erhalten und nutzen, muss ich die beiden Objekte verwenden.
Kennwort- und Kontosperrungsrichtlinien werden von der Default Domain Policy in entsprechende Attribute im Domain Head des ADs geschrieben (siehe adsiedit.msc - Std. Namenskontext - Eigenschaften auf dc=eure,dc=dom). Direkte Änderungen im Domain Head werden durch das SYSTEM in die Default Domain Policy zurückgeschrieben. Allerdings nur vom DC mit der PDC Emulator Rolle.
Ob sie wirklich genutzt wird kannst du allerdings am einfachsten über die Gruppenrichtlinienmodellierung direkt in der Gruppenrichtlinienverwaltung herausfinden. User und PC auswählen und schauen ob die gesuchte Policy dort auftucht.
Gruß
Doskias
Moin,
und
sind deine Freunde
lg,
Slainte
Get-ADUserResultantPasswordPolicyGet-ADDefaultDomainPasswordPolicylg,
Slainte
Vielen Dank für die schnelle und hilfreiche Antwort. Ich hab mal auf mein Testsystem (geklont/gleicher Zustand ) die Richtlinie die händisch erstellt wurde gelöscht. Ich hab die aktuell aktive Richtlinie ausgelesen und es war tatsächlich die Default Policy. In der GPO Modellierung hat sich dann herausgestellt das die von uns erstellt zwar aktiv ist jedoch nicht zieht.
Wie war das nochmal mit den Bäumen und dem Wald ?
Herzlichen Dank und bleibt gesund
Wie war das nochmal mit den Bäumen und dem Wald ?
Herzlichen Dank und bleibt gesund
