Local Security Policy vs. Default Domain Policy
Hi @ Forum,
auf einem Windows Server 2008 R2 ist als lokale Security Policy einen Min Passwortlänge von 8 gesetzt. Über die Gruppenrichtlinie wird eine Mindestpasswortlänge von 20 verlangt.
Welcher Wert gilt auf dem System? Oder anders gefragt, welche Policy schlägt welche Policy?
Vielen Dank im Voraus
Oliver
auf einem Windows Server 2008 R2 ist als lokale Security Policy einen Min Passwortlänge von 8 gesetzt. Über die Gruppenrichtlinie wird eine Mindestpasswortlänge von 20 verlangt.
Welcher Wert gilt auf dem System? Oder anders gefragt, welche Policy schlägt welche Policy?
Vielen Dank im Voraus
Oliver
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 525130
Url: https://administrator.de/contentid/525130
Ausgedruckt am: 24.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Domain Policy überschreibt die Local Policy
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
Böser Bug in Domänenkennwortrichtlinie!
https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/
Über die Gruppenrichtlinie wird eine Mindestpasswortlänge von 20 verlangt.
Btw. zum Thema minimale Kennwortlänge solltest du mal dringend lesenBöser Bug in Domänenkennwortrichtlinie!
ob eine GPO auf dem Zielsystem angewendet wird, wird man mit dem gpresult feststellen können, wobei auch den nicht definierten Policies eine gewisse Bedeutung zukommt, und die kann man bei Microsoft nachlesen.
Je nach Serverversion und Patchstand gibt es auch bei nicht definierten Policies mal diese oder jene Regel. Und ich meine ab Windows 2016 erzwingt Microsoft 8 Zeichen schon mal ganz von alleine (und das account lockout nach 10 erfolglosen versuchen, den Lockout-couter-reset nach 24 Stunden, die Kontoentsperrung nach 24 Stunden und die Paßworthistory). Deshalb muß man eine Paßwortpolicy mit 8 Zeichen NICHT noch mal explizit setzen.
Und was in der Domänen-Policy gilt, und mindestens einmal auf dem Zielsystem angewendet wurde, kann man dort später nicht mehr direkt ändern, die Option ist dann ausgegraut. Oder man ändert die dazugehörige STelle in der Registry, die Rechner holen sich die System-Policies aber alle 90 Minuten und überschreiben dann eventuelle Abweichungen, die User-Policies werden ab der nächsten Anmeldung angewendet.
Je nach Serverversion und Patchstand gibt es auch bei nicht definierten Policies mal diese oder jene Regel. Und ich meine ab Windows 2016 erzwingt Microsoft 8 Zeichen schon mal ganz von alleine (und das account lockout nach 10 erfolglosen versuchen, den Lockout-couter-reset nach 24 Stunden, die Kontoentsperrung nach 24 Stunden und die Paßworthistory). Deshalb muß man eine Paßwortpolicy mit 8 Zeichen NICHT noch mal explizit setzen.
Und was in der Domänen-Policy gilt, und mindestens einmal auf dem Zielsystem angewendet wurde, kann man dort später nicht mehr direkt ändern, die Option ist dann ausgegraut. Oder man ändert die dazugehörige STelle in der Registry, die Rechner holen sich die System-Policies aber alle 90 Minuten und überschreiben dann eventuelle Abweichungen, die User-Policies werden ab der nächsten Anmeldung angewendet.
Zitat von @Oliver16:
Noch mal eine Frage zu Domain Policy überschreibt Local Policy. Gilt die Domain Policy dann auch für lokaler User Accounts oder nur für Domänen Accounts. Oder andersrum gefragt, gilt für lokale Accounts (Administrator etc.) vielleicht doch die lokale Policy trotz Domain Policy.
Die Maschinen/Computer-Policies gelten auch für alle lokalen Accounts da sie schon vor der Anmeldung angewendet werden und für den Fall ohne Verbindung zum AD gecached werden. Benutzer-Policies gelten wie der Name schon sagt nur für die entsprechenden User/Gruppen auf die sie im AD auch angewendet werden.Noch mal eine Frage zu Domain Policy überschreibt Local Policy. Gilt die Domain Policy dann auch für lokaler User Accounts oder nur für Domänen Accounts. Oder andersrum gefragt, gilt für lokale Accounts (Administrator etc.) vielleicht doch die lokale Policy trotz Domain Policy.