dankon7goo
03.03.2016, aktualisiert um 19:20:27 Uhr
view5465
view3
0
Goto Top

GPO um Computerkennwort von Domainmember zu deaktivieren

FrageMicrosoftWindows Server
Hallo,

ich versuche es mal so gut es geht zu umschreiben.

Ich habe hier in VMWARe Workstation 12 drei Golden Images (W7Enterprise, W81 Enterprise, W10 Enterpr)
die ich zum Testen von GPO Einstellungen und Softwaredeployment immer mal wieder an unser domain hänge.


Nun ist die Situation so dass , bei Wiederherstellen eines Snapshots natürlich das Computerkonto vom Domaincontroller nicht mehr akzeptiert wird.
  • Ich musste dann immer umständlichst das Konto deaktivieren und der Domain neu beitreteten ("Computerkonto resetten") , oder aber per Commandozeile
  • geht zwar, aber wenn man dann nach dem Reverten zu einem Snapshot eine neue GPO testen möchte auf der VM die ja Domainjoined war , ist das schon ärgerlich das jedes mal per Hand zu machen / per CMD,
es passiert in meinem beschriebe

Ich bin sicher dieses Problem mit domainangeubundenen VMS bei Nutzung von Snapshots ist ein bekanntes , das auch andere haben! Ich habe mir hier so beholfen.

Nun habe ich damals eine GPO angelegt und mit der OU Verknüpft wo die VMs alle sind:
Den Eintrag den ich nutze ist dieser :
  • Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen - >
-> Lokale Richtlinie - > Sicherheitsoptionen
  • dort habe ich folgende Einstellungen gesetzt
- "Domänencontroller:Änderungen von Computerkennwörtern verweigern : AKTIVIERT
- "Domänenmitglied: Maximalalter von Computerkennwörtern: 999 Tage

Das scheint soweit zumindest zu klappen, diese Einstellung oben nutze ich derzeit ...

Allerdings ist hiereine andereGPO Einstellung Lösung für das gleiche Problem beschrieben

  • Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen - >
-> Lokale Richtlinie - > Sicherheitsoptionen
  • hier muss dann lediglich diese GPO Einstellung aktiviert sein
- "Domänenmitglied: Änderung von Computerkennwörtern deaktivieren : AKTIV

Ich bin leider nicht so drin in (Security!) Policies und GPOS, aber denke dass dieser Post mit der Fragenstellung bestimmt auch für den ein oder anderen interessant sein wird.

Ich jedenfalls möchte meine VMs mit den Snapshots zum testen von GPOS und Softwaredeployment nicht mehr missen in meiner Domain. CMD /Powershell Eingaben zum Resetten des Computerkontos sind mir bekannt , aber keine Lösung in meinen Augen. Ich habe für jedes der drei Goldenimage VMs in der Domain ca. 10 -20 Snapshots,
sobald ich einen Snapshot switche tritt das Problem auf. Also Muss es über eine OU und GPO laufen

Nun also meine Fragen:
...grundsätzlich ist mir schon bewusst , dass solche Einstellungen nicht "OHNE" sind !
  • Aber wenn ich das auf nur diese eine OU beschränke müsste es doch kein großes Sicherheitsrisiko sein??
(die VMS werden nur zum Testen von GPOs und nicht produktiv genutzt...auch niemals aus dieser verschoben -
  • wobei sich mir doch die Frage stellt : würden diese Einstellungen beim Verschieben der VM in eine andere produktive GPO fortdauern ?? (Ein Stichwort war glaub ich tatooing! - wobei ich das wie gesagt nur zum Verständnis wissen möchte, ich habe GPOs gerade erst angefangen zu verstehen und teste eben mit diesen VMs - ich verschiebe die VMMaschinen nicht in Produktive Ous)
  • UND ganz wichtig : falls es jmd. weiß welche der beiden Einstellungen ist denn die besser für den beschriebenen Einsatz der Test-VMs

Vielen lieben Dank, Dankon7goo
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 298071

Url: https://administrator.de/contentid/298071

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
126919
126919 03.03.2016 aktualisiert um 16:23:36 Uhr
Goto Top
Ich musste dann immer umständlichst das Konto deaktivieren und der Domain neu beitreteten
Nö muss man nicht dafür gibts : Reset-ComputerMachinePassword

fk
dankon7goo
dankon7goo 03.03.2016 um 19:22:19 Uhr
Goto Top
danke !! war mir bewusst, hatte ich auch bei der Recherche gefunden , hab es mal im Thread ergänzt, dass ich auch keine CMD/ Powershellbefehle nutzen möchte. ES soll einfach in der OU wo die VMS sind einmalig eine GPO definiert werden, und nicht jedes mal ein Befehl eingetippt werden , wenn ich einen Snapshot reverte.
dankon7goo
dankon7goo 06.03.2016 um 22:17:48 Uhr
Goto Top
Push PUSH. Hat hier keiner eine ähnliche Lösung genutzt wie mir es mit dieser GPO vorschwebt??
FrageMicrosoftWindows Server
Mehr von dankon7goodankon7gooLAN Probleme mit USB-C bzw. Thunderbolt Docksdankon7goo - 3 Kommentaredankon7gooIntel VPro Enterprise - wer nutzt es hier? Use Casesdankon7goo - 3 Kommentaredankon7gooFrage: Wifi 6 AP Konfiguration 150 Laptops simultan in Auladankon7goo - 18 Kommentaredankon7gooHyperv: vm shared nicht VLAN mit hypervisor?dankon7goo - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare