oliver16
Goto Top

Local Security Policy vs. Default Domain Policy

Hi @ Forum,

auf einem Windows Server 2008 R2 ist als lokale Security Policy einen Min Passwortlänge von 8 gesetzt. Über die Gruppenrichtlinie wird eine Mindestpasswortlänge von 20 verlangt.

Welcher Wert gilt auf dem System? Oder anders gefragt, welche Policy schlägt welche Policy?

Vielen Dank im Voraus
Oliver

Content-Key: 525130

Url: https://administrator.de/contentid/525130

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: 142232
142232 13.12.2019 aktualisiert um 17:29:56 Uhr
Goto Top
Domain Policy überschreibt die Local Policy
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/

Über die Gruppenrichtlinie wird eine Mindestpasswortlänge von 20 verlangt.
Btw. zum Thema minimale Kennwortlänge solltest du mal dringend lesen
Böser Bug in Domänenkennwortrichtlinie!
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 13.12.2019 aktualisiert um 19:01:07 Uhr
Goto Top
ob eine GPO auf dem Zielsystem angewendet wird, wird man mit dem gpresult feststellen können, wobei auch den nicht definierten Policies eine gewisse Bedeutung zukommt, und die kann man bei Microsoft nachlesen.

Je nach Serverversion und Patchstand gibt es auch bei nicht definierten Policies mal diese oder jene Regel. Und ich meine ab Windows 2016 erzwingt Microsoft 8 Zeichen schon mal ganz von alleine (und das account lockout nach 10 erfolglosen versuchen, den Lockout-couter-reset nach 24 Stunden, die Kontoentsperrung nach 24 Stunden und die Paßworthistory). Deshalb muß man eine Paßwortpolicy mit 8 Zeichen NICHT noch mal explizit setzen.

Und was in der Domänen-Policy gilt, und mindestens einmal auf dem Zielsystem angewendet wurde, kann man dort später nicht mehr direkt ändern, die Option ist dann ausgegraut. Oder man ändert die dazugehörige STelle in der Registry, die Rechner holen sich die System-Policies aber alle 90 Minuten und überschreiben dann eventuelle Abweichungen, die User-Policies werden ab der nächsten Anmeldung angewendet.
Mitglied: Oliver16
Oliver16 04.02.2020 um 11:16:17 Uhr
Goto Top
Noch mal eine Frage zu Domain Policy überschreibt Local Policy. Gilt die Domain Policy dann auch für lokaler User Accounts oder nur für Domänen Accounts. Oder andersrum gefragt, gilt für lokale Accounts (Administrator etc.) vielleicht doch die lokale Policy trotz Domain Policy.

Danke für den Input
Mitglied: 142232
142232 04.02.2020 aktualisiert um 13:43:53 Uhr
Goto Top
Zitat von @Oliver16:

Noch mal eine Frage zu Domain Policy überschreibt Local Policy. Gilt die Domain Policy dann auch für lokaler User Accounts oder nur für Domänen Accounts. Oder andersrum gefragt, gilt für lokale Accounts (Administrator etc.) vielleicht doch die lokale Policy trotz Domain Policy.
Die Maschinen/Computer-Policies gelten auch für alle lokalen Accounts da sie schon vor der Anmeldung angewendet werden und für den Fall ohne Verbindung zum AD gecached werden. Benutzer-Policies gelten wie der Name schon sagt nur für die entsprechenden User/Gruppen auf die sie im AD auch angewendet werden.