Windows Server 2003 Passwortrichtlinien individuell festlegen?
Passwortrichtlinien für USer oder Gruppe festlegen.
Ist es unter Windows 2003 möglich, die Richtlinien für das Passwort für jeden User oder Grupen individuell festzulegen?
Wenn ja wie?
Ist es unter Windows 2003 möglich, die Richtlinien für das Passwort für jeden User oder Grupen individuell festzulegen?
Wenn ja wie?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158363
Url: https://administrator.de/forum/windows-server-2003-passwortrichtlinien-individuell-festlegen-158363.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
8 Kommentare
Neuester Kommentar
Servus,
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden.
Denn wenn du eine Kennwort-Richtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients.
Diese Kennwortrichtlinie gilt dann aber für ALLE Domänen-Benutzer in der Domäne. Mit Bordmittel hast du unter Windows Server 2003 keine Möglichkeit,
mehrere Kennwortrichtlinien zu erstellen. Ausser du erstellst mehrere Domänen, denn jede Domäne hat dann seine eigene Kennwortrichtlinie.
Mit Bordmittel funktioniert das erst ab Windows Server 2008 und nennt sich dort "Password Settings Objects" kurz PSO.
[LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten]
http://blog.dikmenoglu.de/Password+Setting+Objects+Erstellen+Und+Verwal ...
Wenn du unter Windows Server 2003 mit mehreren Kennwortrichtlinien arbeiten möchtest, musst du auf Dritt-Anbieter ausweichen.
Z.B.:
http://www.grurili.de/index.html?/Software/6.Specops_Password_Policy.ht ...
Viele Grüße
Yusuf Dikmenoglu
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden.
Denn wenn du eine Kennwort-Richtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients.
Diese Kennwortrichtlinie gilt dann aber für ALLE Domänen-Benutzer in der Domäne. Mit Bordmittel hast du unter Windows Server 2003 keine Möglichkeit,
mehrere Kennwortrichtlinien zu erstellen. Ausser du erstellst mehrere Domänen, denn jede Domäne hat dann seine eigene Kennwortrichtlinie.
Mit Bordmittel funktioniert das erst ab Windows Server 2008 und nennt sich dort "Password Settings Objects" kurz PSO.
[LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten]
http://blog.dikmenoglu.de/Password+Setting+Objects+Erstellen+Und+Verwal ...
Wenn du unter Windows Server 2003 mit mehreren Kennwortrichtlinien arbeiten möchtest, musst du auf Dritt-Anbieter ausweichen.
Z.B.:
http://www.grurili.de/index.html?/Software/6.Specops_Password_Policy.ht ...
Viele Grüße
Yusuf Dikmenoglu
Hallo.
Anzumerken noch zu Yusufs
Nehme ich nur die DDCP, schütze ich Domänmenkonten, habe aber als User die Freiheit, für ("eigene") lokale Konten keine Auflagen befolgen zu müssen, was Entwicklern manchmal mehr als Recht ist.
Nehme ich beide, kann ich die lokalen Konten mit der DDP beherrschen und schwächere Auflagen für diese machen, während auf den DCs, und somit für alle Domänenkonten gültig, die DDCP zieht, sie hat Vorrang.
PS: Wer's nicht glaubt, muss es wohl oder übel ausprobieren.
Anzumerken noch zu Yusufs
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden
Das ist Ermessenssache. Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.Nehme ich nur die DDCP, schütze ich Domänmenkonten, habe aber als User die Freiheit, für ("eigene") lokale Konten keine Auflagen befolgen zu müssen, was Entwicklern manchmal mehr als Recht ist.
Nehme ich beide, kann ich die lokalen Konten mit der DDP beherrschen und schwächere Auflagen für diese machen, während auf den DCs, und somit für alle Domänenkonten gültig, die DDCP zieht, sie hat Vorrang.
PS: Wer's nicht glaubt, muss es wohl oder übel ausprobieren.
Moin,
moment mal... langsam... Die Kennwortrichtlinie wird von Computer- und *nicht* von Benutzerkonten umgesetzt.
Und zwar:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien
und
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist,
wirkt sie eben nicht auf die Computerkonten der Clients.
Ein weiterer Grund warum die Kennwortrichtline in der DDP konfigurieren sollte ist,
man kann die Einstellungen für die Kennwortrichtlinie in einer GPO vornehmen *und* direkt in den Attributen (maxPwdAge, minPwdAge, minPwdLength, pwdHistoryLength, pwdProperties...) auf dem PDC-Emulator.
Gerade wenn es mehrere Administratoren gibt, könnte einer auf die Idee kommen, die Einstellungen direkt in den Attributen vorzunehmen.
Durch einen automatischen Prozess werden dann die Werte in die Kennwortrichtlinie, aber NUR in die DDP synchronisiert.
Damit es an dieser Stelle eben nicht zu Verwirrungen kommt, sollte die Kennwortrichtlinie in der DDP konfiguriert werden.
Gruß, Yusuf Dikmenoglu
Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.
moment mal... langsam... Die Kennwortrichtlinie wird von Computer- und *nicht* von Benutzerkonten umgesetzt.
Und zwar:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien
und
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist,
wirkt sie eben nicht auf die Computerkonten der Clients.
Ein weiterer Grund warum die Kennwortrichtline in der DDP konfigurieren sollte ist,
man kann die Einstellungen für die Kennwortrichtlinie in einer GPO vornehmen *und* direkt in den Attributen (maxPwdAge, minPwdAge, minPwdLength, pwdHistoryLength, pwdProperties...) auf dem PDC-Emulator.
Gerade wenn es mehrere Administratoren gibt, könnte einer auf die Idee kommen, die Einstellungen direkt in den Attributen vorzunehmen.
Durch einen automatischen Prozess werden dann die Werte in die Kennwortrichtlinie, aber NUR in die DDP synchronisiert.
Damit es an dieser Stelle eben nicht zu Verwirrungen kommt, sollte die Kennwortrichtlinie in der DDP konfiguriert werden.
Gruß, Yusuf Dikmenoglu
Moin Yusuf!
Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle: Man verliert die Möglichkeit, für lokale Konten eine andere Policy zu benutzen (bzw. keine Restriktionen zu setzen).
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist, wirkt sie eben nicht auf die Computerkonten der Clients.
Richtig, natürlich nicht. Wenn es um Domänenkonten geht, braucht sie das ja auch gar nicht zu tun.Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle: Man verliert die Möglichkeit, für lokale Konten eine andere Policy zu benutzen (bzw. keine Restriktionen zu setzen).
Bonjour,
doch, ich halte die DDP "per se" für jede Umgebung geeignet.
Denn in den Umgebungen die du ansprichst und die mit Sicherheit eher die Ausnahme sind, kann man dann zusätzlich eine extra OU erstellen,
die entsprechenden Clients in die neue OU verschieben und die GPO-Vererbung deaktivieren. Damit hast du dann an den entsprechenden Clients ebenfalls keine Restriktion.
Gruß, Yusuf
Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle
doch, ich halte die DDP "per se" für jede Umgebung geeignet.
Denn in den Umgebungen die du ansprichst und die mit Sicherheit eher die Ausnahme sind, kann man dann zusätzlich eine extra OU erstellen,
die entsprechenden Clients in die neue OU verschieben und die GPO-Vererbung deaktivieren. Damit hast du dann an den entsprechenden Clients ebenfalls keine Restriktion.
Gruß, Yusuf
Hallo Leute,
mal ne andere Frage zum Thema.
Wenn ich die Passwortrichtlinie von 7 auf 8 Charakters hochsetze, ab wann greift das denn?
Erst nachdem das aktuelle Passwort abgelaufen ist oder gleich bei der ersten Anmeldung?
Mir geht es da z.B. um Serviceaccounts, bei denen ich verhindern möchte, dass die nach dem hochsetzen auf 8 Zeichen nicht mehr funzen, aber natürlich auch um die Anwender, die idealerweise erst bei der nächsten Turnusmäßigen Passwortänderung damit konfrontiert werden sollen, sonst steigen die mir ins Hirn!
Danke und Gruß
Eric
mal ne andere Frage zum Thema.
Wenn ich die Passwortrichtlinie von 7 auf 8 Charakters hochsetze, ab wann greift das denn?
Erst nachdem das aktuelle Passwort abgelaufen ist oder gleich bei der ersten Anmeldung?
Mir geht es da z.B. um Serviceaccounts, bei denen ich verhindern möchte, dass die nach dem hochsetzen auf 8 Zeichen nicht mehr funzen, aber natürlich auch um die Anwender, die idealerweise erst bei der nächsten Turnusmäßigen Passwortänderung damit konfrontiert werden sollen, sonst steigen die mir ins Hirn!
Danke und Gruß
Eric
Das greift erst bei der nächsten Änderung/Ablauf.
Edit: Wg. Serviceaccounts und Kennwortablauf - denk mal drüber nach, das lokale Systemkonto zu verwenden. Bei Domänenzugehörigkeit kann dies auch im Netzwerk handeln. Das Kennwort des Systemkontos wird automatisch geändert und Du hast eine Sorge weniger.
Edit: Wg. Serviceaccounts und Kennwortablauf - denk mal drüber nach, das lokale Systemkonto zu verwenden. Bei Domänenzugehörigkeit kann dies auch im Netzwerk handeln. Das Kennwort des Systemkontos wird automatisch geändert und Du hast eine Sorge weniger.