Windows Server 2008 R2 - Kennwortrichtlinie nur in der Default Domain Policy ändern? JA-Nein? Bin verwirrt
Guten Morgen liebe Mitglieder,
ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, wohin ein Kollege (ein alter Admin) dazu kam und völlig hysterisch mich davon abhielt, es in der Default Domain Policy einzustellen.
Online habe ich zB. LINK gefunden, was aber von 2010 ist.
Ich brauche mal bitte von den erfahreneren Kollegen hier eine Meinung dazu Ja, oder auf keinen Fall? Wie habt Ihr das bei euch eingestellt?
Danke an Alle
Liebe Grüße
Sachellen
ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, wohin ein Kollege (ein alter Admin) dazu kam und völlig hysterisch mich davon abhielt, es in der Default Domain Policy einzustellen.
Online habe ich zB. LINK gefunden, was aber von 2010 ist.
Ich brauche mal bitte von den erfahreneren Kollegen hier eine Meinung dazu Ja, oder auf keinen Fall? Wie habt Ihr das bei euch eingestellt?
Danke an Alle
Liebe Grüße
Sachellen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323237
Url: https://administrator.de/forum/windows-server-2008-r2-kennwortrichtlinie-nur-in-der-default-domain-policy-aendern-ja-nein-bin-verwirrt-323237.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
23 Kommentare
Neuester Kommentar
Moin,
Erfahrung eben
Dein Kollege hat Recht! Und er durfte durchaus hysterisch werden! Die DDP ist im WorstCase immer noch ein Rettungsanker (vorausgesetzt man hat sie nicht angefasst)
Gruß Krämer
Erfahrung eben
Dein Kollege hat Recht! Und er durfte durchaus hysterisch werden! Die DDP ist im WorstCase immer noch ein Rettungsanker (vorausgesetzt man hat sie nicht angefasst)
Gruß Krämer
Moin,
schau' mal hier nach http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
Hier sind Tipps wie man eine verhunste Default Domain Policy wieder herstellen kann und auch der Rat hier nichts einzustellen.
Ich habe das auch noch auf meiner Todo Liste, wenn es mich mal packt.
Gruss
schau' mal hier nach http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
Hier sind Tipps wie man eine verhunste Default Domain Policy wieder herstellen kann und auch der Rat hier nichts einzustellen.
Ich habe das auch noch auf meiner Todo Liste, wenn es mich mal packt.
Gruss
nabend...
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
Zitat von @Sachellen:
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
Hallo,
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
Hallo,
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Zitat von @Sachellen:
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Was willst du noch? Du hast doch schon alles bekommen:Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Hallo,
Schreib dir einen Scheck über 5 EURO Cent aus.
Gruß,
Peter
Schreib dir einen Scheck über 5 EURO Cent aus.
Gruß,
Peter
Zitat von @Sachellen:
Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
ja.. wenn es da steht...Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.
hast doch nen backup / Image... also mach mal... Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
also was hast du übersehen ?
richtig... wir alten hasen wissen warum wir sowas sagen
Frank
Moin .
Es kann nur eine Kennwortrichtlinie in der Domain geben.
Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen. Was zwingend ist das es bei dieser Variante immer nur eine GPO geben darf, die die Kennwortrichtlinien festlegt. Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten. Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Gruß mik
Es kann nur eine Kennwortrichtlinie in der Domain geben.
Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen. Was zwingend ist das es bei dieser Variante immer nur eine GPO geben darf, die die Kennwortrichtlinien festlegt. Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten. Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Gruß mik
Zitat von @131381:
Moin .
Moin,Moin .
Es kann nur eine Kennwortrichtlinie in der Domain geben.
richtig. Es sei der Vollständigkeit halber noch erwähnt, das damit natürlich auch Sub-Domains gemeint sindWenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Da es diese Funktion schon seit Server 2008 gibt, sollte diese alleine schon aufgrund ihrer granularen Möglichkeiten favorisiert werdenFine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen.
Grundsätzlich richtig. Nur gibt zu diesem Thema noch weitere Punkte, die man in seine Überlegungen mit einbeziehen sollte. Dokumentation z.B.Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten.
Naja diese Aussage kann man so nicht stehen lassen. Unstrittig sollte eigentlich sein, dass man die DDP nicht anfassen sollte (dieser vor allem aber nichts hinzufügen soll). Dieser Thread befasst sich nun leider mit einer der wenigen Ausnahmen zu diesem Thema: Es kann durchaus legitim sein, die Kennwortrichtlinien in der DDP zu ändern - vor allem vor dem Hintergrund, dass diese schon in der DDP geregelt sind. Und trotzdem macht es meistens Sinn, das nicht zu tun. Im allgemeinen werden neben den Grundeinstellungen noch weitere Themengleiche Einstellungen gesetzt, die eben nicht Bestandteil der DDP sind. Aufgrund dieses Umstandes drängt sich das Auslagern in eine eigene Richtlinie absolut auf.Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.Ich persönlich bevorzuge mittlerweile die Verwaltung des "Password Settings Container"s mittels Active Directory-Verwaltungscenters. Einfach, schnell, übersichtlich und granular. Mit den Einstellungen in der DDP bin ich in den meisten Fällen zufrieden und habe daher keinen Grund, diese zu ändern. Ansonsten gehe ich nach dem Grundsatz vor: Ein Thema = Eine Gruppenrichtlinie.
Gruß Krämer
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.
?? Best Practices ist nicht immer das Mittel der Wahl. Und was hat Best Practices bitte damit zu tun??Ich weiß nicht was an der DDP so besonders sein soll, es ist eine Policy wie jede andere auch mit natürlich essentiellen Settings für die gesamte Domain gelten. Natürlich ist Doku Pflicht an der Funktionalität ändert sich aber trotzdem nichts.
Das hat sich einfach so in Foren weiterverbreitet und jeder plappert es den anderen nach.
Eine Richtlinie die für alle Firmen gilt kann es nicht geben, jede Firma ist anders strukturiert und hat andere Anforderungen.