23
Windows Server 2008 R2 - Kennwortrichtlinie nur in der Default Domain Policy ändern? JA-Nein? Bin verwirrt
Guten Morgen liebe Mitglieder,
ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, wohin ein Kollege (ein alter Admin) dazu kam und völlig hysterisch mich davon abhielt, es in der Default Domain Policy einzustellen.
Online habe ich zB. LINK gefunden, was aber von 2010 ist.
Ich brauche mal bitte von den erfahreneren Kollegen hier eine Meinung dazu
Ja, oder auf keinen Fall? Wie habt Ihr das bei euch eingestellt?
Danke an Alle
Liebe Grüße
Sachellen
ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, wohin ein Kollege (ein alter Admin) dazu kam und völlig hysterisch mich davon abhielt, es in der Default Domain Policy einzustellen.
Online habe ich zB. LINK gefunden, was aber von 2010 ist.
Ich brauche mal bitte von den erfahreneren Kollegen hier eine Meinung dazu
Ja, oder auf keinen Fall? Wie habt Ihr das bei euch eingestellt?Danke an Alle
Liebe Grüße
Sachellen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323237
Url: https://administrator.de/contentid/323237
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
23 Kommentare
Neuester Kommentar
Die Default Domain Policy bleibt wie sie ist, eine eigene Richtlinie wird erstellt und an die Domäne gehängt. Das ganze trenne ich schon allein aus Dokumentationsgründen.
1
Zitat von @ukulele-7:
Die Default Domain Policy bleibt wie sie ist, eine eigene Richtlinie wird erstellt und an die Domäne gehängt. Das ganze trenne ich schon allein aus Dokumentationsgründen.
Die Default Domain Policy bleibt wie sie ist, eine eigene Richtlinie wird erstellt und an die Domäne gehängt. Das ganze trenne ich schon allein aus Dokumentationsgründen.
Ich habe eine Domäne, unter der habe ich eine neue GPO mit "Kennwortrichtlinie" erstellt, unter dieser Computerkonfig > Richtlinien > Windows-Einst. > Sicherheitseinstellungen > Kontorichtlinie/Kennwortrichtlinie die Richtlinie aktiviert. Dazu habe ich unter der Sicherheitsfilterung Computer statt Benutzer eingetragen.
So ok?
Und dabei gilt diese höher als die Default Domain Policy ?
Moin,
Erfahrung eben
Dein Kollege hat Recht! Und er durfte durchaus hysterisch werden! Die DDP ist im WorstCase immer noch ein Rettungsanker (vorausgesetzt man hat sie nicht angefasst)
Gruß Krämer
Erfahrung eben
Dein Kollege hat Recht! Und er durfte durchaus hysterisch werden! Die DDP ist im WorstCase immer noch ein Rettungsanker (vorausgesetzt man hat sie nicht angefasst)
Gruß Krämer
1
Moin,
schau' mal hier nach http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
Hier sind Tipps wie man eine verhunste Default Domain Policy wieder herstellen kann und auch der Rat hier nichts einzustellen.
Ich habe das auch noch auf meiner Todo Liste, wenn es mich mal packt.
Gruss
schau' mal hier nach http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
Hier sind Tipps wie man eine verhunste Default Domain Policy wieder herstellen kann und auch der Rat hier nichts einzustellen.
Ich habe das auch noch auf meiner Todo Liste, wenn es mich mal packt.
Gruss
1
@Kraemer
Da gebe ich Dir Recht. Erfahrung ist unbezahlbar ^^
Kannst Du mir denn sagen, ob mein Vorgehen richtig war? s.O
Danke.
Da gebe ich Dir Recht. Erfahrung ist unbezahlbar ^^
Kannst Du mir denn sagen, ob mein Vorgehen richtig war? s.O
Danke.
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
nabend...
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
Zitat von @Sachellen:
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
Zitat von @Vision2015:
nabend...
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
nabend...
Zitat von @Sachellen:
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
Ich habe einen sehr schön erklärten Beitrag gefunden:
www.security-insider.de
Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst...
Frank
^^
Ich teste es mit einem Test Computer und Benutzerkonto
Hallo,
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
moin,
gut das die Antwort am Freitag kommt
Frank
gut das die Antwort am Freitag kommt
Frank
Zitat von @Pjordorf:
Hallo,
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
Hallo,
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?
Gruß,
Peter
Ich lese heraus, dass mein Vorgehen falsch ist? Wie wäre es besser? Eine Testumgebung habe ich leider nicht zu Verfügung stehend :/
moin...
dann finger wech..
oder..
zusehen das du von freitag auf Samstag ein funktionierendes- getestetes Backup /Image hast...
...um notfalls am sonntag alles wieder auf start zu bringen
Frank
dann finger wech..
oder..
zusehen das du von freitag auf Samstag ein funktionierendes- getestetes Backup /Image hast...
...um notfalls am sonntag alles wieder auf start zu bringen
Frank
Na alsooo bitte :/ Backups fahre ich schon täglich )
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
)Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Hallo,
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Zitat von @Sachellen:
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Was willst du noch? Du hast doch schon alles bekommen:Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Hallo,
Zitat von @Sachellen:
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Was willst du noch? Du hast doch schon alles bekommen:Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).
Was willst du noch? Eine Gehaltserhöhung?
Gruß,
Peter
Wenn du schon so fragst :D
Nein, ich danke Dir für deine Zusammenstellung
)
Hallo,
Schreib dir einen Scheck über 5 EURO Cent aus.
Gruß,
Peter
Schreib dir einen Scheck über 5 EURO Cent aus.
Gruß,
Peter
Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.
Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.
Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
Auf einem DC gibt es keinen lokalen Admin.
1Zitat von @Sachellen:
Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
ja.. wenn es da steht...Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.
hast doch nen backup / Image... also mach mal... Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
also was hast du übersehen ?
richtig... wir alten hasen wissen warum wir sowas sagen
Frank
1
Ich habe es jetzt Default DP umgestellt und es funkt 1A!
Sry, aber das Thema lasse ich als ungelöst aktiv, da keiner der "alten Hasen" mal eine anständige Info geben konnten, wie ich die Gruppenrichtlinie erstelle und höhe bekomme als die Default DP. Eine neue erstellen, mit der Domäne verknüpfen und aktivieren war nicht die Lösung! Die Default DP greift trotzdem höher.
Trotzdem danke für die Antworten.
Sry, aber das Thema lasse ich als ungelöst aktiv, da keiner der "alten Hasen" mal eine anständige Info geben konnten, wie ich die Gruppenrichtlinie erstelle und höhe bekomme als die Default DP. Eine neue erstellen, mit der Domäne verknüpfen und aktivieren war nicht die Lösung! Die Default DP greift trotzdem höher.
Trotzdem danke für die Antworten.
Moin .
Es kann nur eine Kennwortrichtlinie in der Domain geben.
Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen. Was zwingend ist das es bei dieser Variante immer nur eine GPO geben darf, die die Kennwortrichtlinien festlegt. Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten. Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Gruß mik
Es kann nur eine Kennwortrichtlinie in der Domain geben.
Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen. Was zwingend ist das es bei dieser Variante immer nur eine GPO geben darf, die die Kennwortrichtlinien festlegt. Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten. Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Gruß mik
Zitat von @131381:
Moin .
Moin,Moin .
Es kann nur eine Kennwortrichtlinie in der Domain geben.
richtig. Es sei der Vollständigkeit halber noch erwähnt, das damit natürlich auch Sub-Domains gemeint sindWenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Da es diese Funktion schon seit Server 2008 gibt, sollte diese alleine schon aufgrund ihrer granularen Möglichkeiten favorisiert werdenFine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen.
Grundsätzlich richtig. Nur gibt zu diesem Thema noch weitere Punkte, die man in seine Überlegungen mit einbeziehen sollte. Dokumentation z.B.Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten.
Naja diese Aussage kann man so nicht stehen lassen. Unstrittig sollte eigentlich sein, dass man die DDP nicht anfassen sollte (dieser vor allem aber nichts hinzufügen soll). Dieser Thread befasst sich nun leider mit einer der wenigen Ausnahmen zu diesem Thema: Es kann durchaus legitim sein, die Kennwortrichtlinien in der DDP zu ändern - vor allem vor dem Hintergrund, dass diese schon in der DDP geregelt sind. Und trotzdem macht es meistens Sinn, das nicht zu tun. Im allgemeinen werden neben den Grundeinstellungen noch weitere Themengleiche Einstellungen gesetzt, die eben nicht Bestandteil der DDP sind. Aufgrund dieses Umstandes drängt sich das Auslagern in eine eigene Richtlinie absolut auf.Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.Ich persönlich bevorzuge mittlerweile die Verwaltung des "Password Settings Container"s mittels Active Directory-Verwaltungscenters. Einfach, schnell, übersichtlich und granular. Mit den Einstellungen in der DDP bin ich in den meisten Fällen zufrieden und habe daher keinen Grund, diese zu ändern. Ansonsten gehe ich nach dem Grundsatz vor: Ein Thema = Eine Gruppenrichtlinie.
Gruß Krämer
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.
?? Best Practices ist nicht immer das Mittel der Wahl. Und was hat Best Practices bitte damit zu tun??Ich weiß nicht was an der DDP so besonders sein soll, es ist eine Policy wie jede andere auch mit natürlich essentiellen Settings für die gesamte Domain gelten. Natürlich ist Doku Pflicht an der Funktionalität ändert sich aber trotzdem nichts.
Das hat sich einfach so in Foren weiterverbreitet und jeder plappert es den anderen nach.
Eine Richtlinie die für alle Firmen gilt kann es nicht geben, jede Firma ist anders strukturiert und hat andere Anforderungen.
