3
GPO um Computerkennwort von Domainmember zu deaktivieren
Hallo,
ich versuche es mal so gut es geht zu umschreiben.
Ich habe hier in VMWARe Workstation 12 drei Golden Images (W7Enterprise, W81 Enterprise, W10 Enterpr)
die ich zum Testen von GPO Einstellungen und Softwaredeployment immer mal wieder an unser domain hänge.
Nun ist die Situation so dass , bei Wiederherstellen eines Snapshots natürlich das Computerkonto vom Domaincontroller nicht mehr akzeptiert wird.
Ich bin sicher dieses Problem mit domainangeubundenen VMS bei Nutzung von Snapshots ist ein bekanntes , das auch andere haben! Ich habe mir hier so beholfen.
Nun habe ich damals eine GPO angelegt und mit der OU Verknüpft wo die VMs alle sind:
Den Eintrag den ich nutze ist dieser :
- "Domänenmitglied: Maximalalter von Computerkennwörtern: 999 Tage
Das scheint soweit zumindest zu klappen, diese Einstellung oben nutze ich derzeit ...
Allerdings ist hiereine andereGPO Einstellung Lösung für das gleiche Problem beschrieben
Ich bin leider nicht so drin in (Security!) Policies und GPOS, aber denke dass dieser Post mit der Fragenstellung bestimmt auch für den ein oder anderen interessant sein wird.
Ich jedenfalls möchte meine VMs mit den Snapshots zum testen von GPOS und Softwaredeployment nicht mehr missen in meiner Domain. CMD /Powershell Eingaben zum Resetten des Computerkontos sind mir bekannt , aber keine Lösung in meinen Augen. Ich habe für jedes der drei Goldenimage VMs in der Domain ca. 10 -20 Snapshots,
sobald ich einen Snapshot switche tritt das Problem auf. Also Muss es über eine OU und GPO laufen
Nun also meine Fragen:
...grundsätzlich ist mir schon bewusst , dass solche Einstellungen nicht "OHNE" sind !
Vielen lieben Dank, Dankon7goo
ich versuche es mal so gut es geht zu umschreiben.
Ich habe hier in VMWARe Workstation 12 drei Golden Images (W7Enterprise, W81 Enterprise, W10 Enterpr)
die ich zum Testen von GPO Einstellungen und Softwaredeployment immer mal wieder an unser domain hänge.
Nun ist die Situation so dass , bei Wiederherstellen eines Snapshots natürlich das Computerkonto vom Domaincontroller nicht mehr akzeptiert wird.
- Ich musste dann immer umständlichst das Konto deaktivieren und der Domain neu beitreteten ("Computerkonto resetten") , oder aber per Commandozeile
- geht zwar, aber wenn man dann nach dem Reverten zu einem Snapshot eine neue GPO testen möchte auf der VM die ja Domainjoined war , ist das schon ärgerlich das jedes mal per Hand zu machen / per CMD,
Ich bin sicher dieses Problem mit domainangeubundenen VMS bei Nutzung von Snapshots ist ein bekanntes , das auch andere haben! Ich habe mir hier so beholfen.
Nun habe ich damals eine GPO angelegt und mit der OU Verknüpft wo die VMs alle sind:
Den Eintrag den ich nutze ist dieser :
- Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen - >
- dort habe ich folgende Einstellungen gesetzt
- "Domänenmitglied: Maximalalter von Computerkennwörtern: 999 Tage
Das scheint soweit zumindest zu klappen, diese Einstellung oben nutze ich derzeit ...
Allerdings ist hiereine andereGPO Einstellung Lösung für das gleiche Problem beschrieben
- Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen - >
- hier muss dann lediglich diese GPO Einstellung aktiviert sein
Ich bin leider nicht so drin in (Security!) Policies und GPOS, aber denke dass dieser Post mit der Fragenstellung bestimmt auch für den ein oder anderen interessant sein wird.
Ich jedenfalls möchte meine VMs mit den Snapshots zum testen von GPOS und Softwaredeployment nicht mehr missen in meiner Domain. CMD /Powershell Eingaben zum Resetten des Computerkontos sind mir bekannt , aber keine Lösung in meinen Augen. Ich habe für jedes der drei Goldenimage VMs in der Domain ca. 10 -20 Snapshots,
sobald ich einen Snapshot switche tritt das Problem auf. Also Muss es über eine OU und GPO laufen
Nun also meine Fragen:
...grundsätzlich ist mir schon bewusst , dass solche Einstellungen nicht "OHNE" sind !
- Aber wenn ich das auf nur diese eine OU beschränke müsste es doch kein großes Sicherheitsrisiko sein??
- wobei sich mir doch die Frage stellt : würden diese Einstellungen beim Verschieben der VM in eine andere produktive GPO fortdauern ?? (Ein Stichwort war glaub ich tatooing! - wobei ich das wie gesagt nur zum Verständnis wissen möchte, ich habe GPOs gerade erst angefangen zu verstehen und teste eben mit diesen VMs - ich verschiebe die VMMaschinen nicht in Produktive Ous)
- UND ganz wichtig : falls es jmd. weiß welche der beiden Einstellungen ist denn die besser für den beschriebenen Einsatz der Test-VMs
Vielen lieben Dank, Dankon7goo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 298071
Url: https://administrator.de/contentid/298071
Printed on: April 23, 2024 at 10:04 o'clock
3 Comments
Latest comment
Ich musste dann immer umständlichst das Konto deaktivieren und der Domain neu beitreteten
Nö muss man nicht dafür gibts : Reset-ComputerMachinePasswordfk
danke !! war mir bewusst, hatte ich auch bei der Recherche gefunden , hab es mal im Thread ergänzt, dass ich auch keine CMD/ Powershellbefehle nutzen möchte. ES soll einfach in der OU wo die VMS sind einmalig eine GPO definiert werden, und nicht jedes mal ein Befehl eingetippt werden , wenn ich einen Snapshot reverte.
Push PUSH. Hat hier keiner eine ähnliche Lösung genutzt wie mir es mit dieser GPO vorschwebt??
