Server 2003 - Kennwortrichtlinien für eine OU deaktivieren
Hallo Leute,
ich brauche wieder mal eure Hilfe. ;)
Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.
Leider greift das ganze aber nicht, hat jemand eine Idee warum?
Danke.
mfg
ich brauche wieder mal eure Hilfe. ;)
Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.
Leider greift das ganze aber nicht, hat jemand eine Idee warum?
Danke.
mfg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183961
Url: https://administrator.de/forum/server-2003-kennwortrichtlinien-fuer-eine-ou-deaktivieren-183961.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
11 Kommentare
Neuester Kommentar
Hmmm, auch mal mit "gpupdate /force" versucht? Sind die Objekte richtig verknüpft?
NACHTRAG
Gerade gelesen, dass es sich um einen Windows Server 2003 handelt. Meiner Meinung nach ist es bei der Version nur möglich, EINE gültige Kennwort-Policy zu verwenden. Erst ab Version 2008 hat MS dies geändert, dass man Kennwortrichtlinien auch für Gruppen, Benutzer etc. über GPO steuer kann.
NACHTRAG 2
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Active Directory hat bis einschließlich Windows Server 2003 die Einschränkung, nur eine einzige für die ganze Domäne gültige Passwortrichtlinie definieren zu können. Eine Passwortrichtlinie wirkte somit für alle Benutzer in der Domäne verbindlich – Ausnahmen, um für weitere Benutzer andere Einstellungen definieren zu können gab es nicht. Das war ziemlich einschränkend, zumal man sicherlich für einige Benutzergruppen andere Richtlinien vergeben möchte als für den Rest des Unternehmens. Ausweg waren bisher nur 3rd-Party-Tools die dieses "Feature" nachrüsten können oder die Aufsplittung eines Unternehmenszweiges in eine zusätzliche Domäne.
Also über GPO kannst du so was nicht einstellen.
Da alle User über den DC laufen muss auch dort alles geändert werden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.
Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...
Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.
Hoffe mal das hilft dir so
MFG
Edit:
Noch ein wichtiger Hinweis:
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.
Also nicht mit einer OU.
Da alle User über den DC laufen muss auch dort alles geändert werden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.
Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...
Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.
Hoffe mal das hilft dir so
MFG
Edit:
Noch ein wichtiger Hinweis:
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.
Also nicht mit einer OU.
Hi SirAnimus.
Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Aber nun kommt's:
Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Da alle User über den DC laufen muss auch dort alles geändert werden
Korrekt. Bis 2003 Server konnte man die Kennwortrichtlinie für Domänenkonten nur auf die OU mit den DCs anwenden.Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen
Auch korrekt. Weitere Richtlinien sind möglich, sofern man auch definiert, dass sie nicht von der anderen Policy überschrieben werden. Für lokale Konten gehen demnach also jederzeit mehrere Richtlinien, auch bei 2003 schon.Aber nun kommt's:
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen
Du fängst hier an, PSOs zu beschreiben - diese gibt es jedoch erst seit 2008 Server.Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen. Also nicht mit einer OU.
Wenn man weiter von 2003 bei ihm ausgeht, ist auch der Satz sogar komplett falsch.