golf4roy

Hat keiner eine Idee ?

Frohe Ostern und ein schönes WE

Das Problem ist meiner Meinung nach, das ich keine zweite Default Policy erstellen kann. So hätte ich doch eine "Default Policy" nur für User, bzw. "Defaulf Policy 2" nur für Admins. Meines wissen gibt es nun mal nur einen einzigen Default Policy.

Habt ihr evtl. noch Vorschläge für mein Problem ?

Tausend Dank und viele Grüße

Das Problem liesse sich mit Fine-Grained Password Policies am einfachsten lösen. ;-)

Mir erschließt sich allerdings nicht, warum man die Admins von der Passwort-Richtlinie ausnehmen sollte. Die sollten im Gegenteil sogar eine höhere Sicherheitsstufe haben.

Weil beispielsweise auch Admins nach 5- maligen falschen Loginversuchen ebenfalls gesperrt werden usw.

Adsiedit: Active Directory

Mein Leiter hat es mir verboten, mir der Begründung mein Problem sollte auch ohne ADSIEDIT machtbar sein :-/. Trotzdem dankeschön

Wenn du dafür andere Richtlinien benutzt sollte das zumindest bei verweigern Methode kein Problem sein.

Also könnte ich die "Default Policy" nur für die Domänen Benutzer benutzen + diese Policy für "Domänen Admins" verweigern.

Anschließend neben "Default Policy" eine ähnliche GPO erstellen in der nur die "Domänen Admins" verwalten werden.

Ist das möglich ? ( siehe Screenshot)

Eine Möglichkeit wäre die Domänen-Admins in eine eigene OU zu stecken und die Vererbung zu deaktivieren. Dann dürfte die Einstellung eigentlich nicht für diese gelten.

Eventuell lässt sich auch mit "Diese Richtlinie übernehmen" = verweigert für Domänen-Admins arbeiten.

Aber dann würde ich ja auch andere Konfigurationen wie Minimallänge oder auch KOmplexität usw. bedingt abschalten :-/ ?! Hab vorhin etwas über ADSIEDIT.MSC gelesen, weißt du vielleicht was dieses "Tools" auf sich hat?

Viele Grüße und tausend Dank.

Kennwortrichtlinien gelten für die komplette Domäne und müssen entsprechend auch dort angelegt werden.

Wenn du die Richtlinien nur einer bestimmten OU zuweist, dann gilt das ganze wenn überhaupt nur für lokale Benutzer des Servers/Clients.

Die Default Policy würde ich nicht anfassen, erstelle lieber eine eigene Richtlinie dafür.

Ich hab mal jetzt in der Lokalen Sicherheiteinstellungen wie beispielsweise nach 5 maligen Anmeldeversuch soll er das Konto z.B. für 3 minuten sperren ( klappt einwandfrei sowohl für Domänen Benutzer als auch Domänen Admins). Hier wäre das Problem, dass die Dömänen Admins ebenfalls gesperrt werden. Kann ich diese Lokale Sicherheitsrichtlinie speziel für Admins deaktivieren ?

Vielen vielen Dank Servior

Kennwortrichtlinien gehen nur auf Domänen-Ebene.

Versuch die Richtilinie auf der höchsten Ebene einzubinden.

Meinst du ich soll bei"default policy" die Kennwortrichtlinien Policy aktivieren ? Oder funktioniert diese Geschichte nur über "Local Policy" sprich Lokale Einstellungen?

Also gebe es keine andere Möglichkeit, diese Richtlinien sprich speziell für eine bestimmte OU einzustellen ?

Tausend Dank Servior

1. Du erstellst dir erst einmal eine OU.

2. In dieser OU legst du eine Richtlinie an und konfigurierst in der Computerkonfiguration den Loopbackmodus.

3. Danach verschiebst du die jeweiligen Clients/Server in die grade angelegte OU.

4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer.

5. Du meldest dich mit einem Benutzer an einem Rechner in dieser OU an, ggf. halt nochmal die Richtlinien aktualisieren (gpupdate /force).

Kann es sein das unter Computerkonfiguration -> Passwort Policy sprich Kennwortrichtlinien(Computerkonfiguration GPO) nicht vom Computer "xyz" erkannt bzw. aktiviert wird. Ich hab die Policy aktiviert Befehl "gpupdate /force" -> hat aber irgendwie nichts gebracht. Muss ich evtl. länger warten bis die Kennwortrichlinien beispielweise "chronik funktion" zur Geltung kommen?

Tausend Dank an an alle besonders an Servior

Benutzerkonfigurationen sollten doch in der "benutzer OU" aktiviert werden ? :confused:

Tausend Dank nochmal Servior :uli

Ok, habs jetzt verstanden ^^. Hab aber das gefühl das die "Richtlinien" etwas Zeit in Anspruch nehmen, bis diese "richtig" aktiviert sind.

viele Grüße

1. Du erstellst dir erst einmal eine OU.

2. In dieser OU legst du eine Richtlinie an und konfigurierst in der Computerkonfiguration den Loopbackmodus.

3. Danach verschiebst du die jeweiligen Clients/Server in die grade angelegte OU.

4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer.

5. Du meldest dich mit einem Benutzer an einem Rechner in dieser OU an, ggf. halt nochmal die Richtlinien aktualisieren (gpupdate /force).

4. Du legst weitere Richtlinien innerhalb dieser OU an und konfigurierst das was du brauchst, z.B. Laufwerke für Benutzer.

Benutzerkonfigurationen sollten doch in der "benutzer OU" aktiviert werden ? :confused:

Tausend Dank nochmal Servior :uli

Genau das muss eben nicht.

Wichtig ist der Computer, die Benutzer können in komplett anderen OUs sein. Dafür ist ja der Loopbackmodus gedacht.

Also nochmal zum mitschreiben. Das bedeutet um die Richtlinie "Computerkonfiguration" zu aktivieren, muss ich separat eine "Computer OU" einrichten. Diese bestimmte Computerkontos beispiel Rechnername "ABCwindows7" kommt in die "ComputerOU" rein. Wusste nicht das Benutzer und Computerkonfigurationen zwei "Paar" Schuhe sind :/ . Das heisst im klartext ich brauche eine eigene "Benutzer OU" sowie "Computer OU". Anschließend kommen die Benutzer in die "Benutzer OU" und die Computerkonten in die "Computer OU". Anschließend aktiviere ich "Loopbackverarbeitungsmodus" evtl. mit (Zusammen oder Ersetzen?). Damit verursache ich denke mal keine "kollision" zwischen den Richtlinien.

Tausend Dank an alle für eure Antworten. @ Servior, wenn du mir etwa den Vorgang sprich Schritt 1 bis Schritt .. kurz schreiben könntest wäre ich dir zu tiefst dankbar.

Vielen vielen vielen Dank

mach doch mal ein gpresult /h c:\temp\report.html (auf nem Windows 7 Client) und schau Dir das Ergebnis da an. Das ist manchmal um einiges erhellender, als die Ausgabe in der cmd.

Und wenn Du nichts an der Standardeinstellung herumgespielt hast, dann werden alles GPOs vererbt und nach gemäß Standardreihenfolge lokal - Site - Domain - OU - (OU) - (OU) abgearbeitet (falls es mehr als ein OU gibt ;-) )

manchmal hilft auch ein rsop.msc in der cmd für "Licht".

Was müsste ich denn machen damit die "Computerkonfiguration" Richtlinien übernehmen werden sollen mitsamt dem "Benutzer" wenn dieser sich am Computer anmeldet.

GPOs werden von unten (Temp) nach oben (TestOU) abgearbeitet. Das was du in den GPOs konfigurierst wird auch übernommen, zumindest wenn die Berechtigungen und die Vererbung stimmt.

Hört sich schonmal garnicht schlecht. an Weißt du vielleicht was ich nun an den Berechtigungen bzw. an der Vererbung einstellen müsste?! Tausend Dank:)

Hab mich leider geirrt. Die GPO's sollen alle zusammengeführt werden. Beispiel:

In der "OU TEMP" ist der User "Hans Meier". Dieser soll die gesammten GPO's sprich TEMP, Test1 und TestOU übernehmen. Hab das ganze versucht einzustellen, authenficated User rausgenommen usw. Admins verweigert auf die jeweilige Policy zu übernehmen. Irgendwie blick ich garnicht mehr durch und hoffe auf eure Hilfe (siehe Screenshot).

viele Grüße und tausend Dank

Hab nun das ganze auf der virtuellen Maschine eingerichtet, siehe da irgendwie funktionierts. Bin erst einmal super happy und bedanke mich über eure Hilfe vor allem an Servior für seine großartige Unterstützung.

Das ganze natürlich noch in der Firma probieren und melde mich wieder zurück.

Schönes WE an alle ))

Genau das hast du eben nicht gemacht, denn sonst würde bei "Security Filtering" (letzter Screenshot) nicht nur Authenticated Users, sondern auch Domänen-Admins stehen.

Den Haken für den Eintrag Domänen-Admins bei verweigert rausnehmen und bei Zulassen reinsetzen, oder alternativ einfach mal einen neuen Benutzer zum testen nehmen. Der braucht bis auf die Domänen-Benutzer Gruppe auch nichts anderes.

Ich hab mal das ganze so wie du es mir gesagt hast bei mir auf der virtuellen Platte erstellt sprich das selbe Szenario. Auf Anhieb super funktioniert. Müsste jetzt noch einiges ausprobieren und würde mich dann nochmal melden. Es würde mich sehr freuen wenn du mir weiterhelfen könntest. Tausend Dank und ein schönes vor allem sonniges Wochenende.^^

In deiner gpresult Abfrage steht dein Benutzer ist in der Gruppen Domänen-Administratoren. Guck dir die Delegierung an und schau bei der Gruppe Domänen-Administratoren, dort steht vermutlich der Haken auf "Diese Richtlinie übernehmen" = verweigern.

So war es zumindest bei unseren Domänen-Administratoren.

Morgen,

alles schon bereits gemacht. Kannst du mir vielleicht ein Beispiel Screenshot von der Registerkarte "Delegierung" zukommen lassen ? Das ich dort genau sehen könnte welche Gruppen, welche Berechtigungen zugewiesen werden sollen.

Tausend Dank

Die anderen angefragten Informationen ignorierst du einfach mal wieder... So kann ich dir einfach nicht ordentlich helfen.

Leg eine GPO in der Test OU nur mit dem Loopback-Eintrag an und probier es dann erneut.

Wenn es damit weiterhin nicht geht liefer endlich Screenshots von allen relevanten Konfigurationen, sowie den Inhalt des gpresults.

So hab nun paar Screenshots eingefügt, hoffe das bringt etwas Klarheit. Vielen Dank für eure Hilfe

Vererbung aktiviert?

Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen.

Hi Pantsoff,

vielen Dank für deine Antwort. Kannste mir vielleicht sagen wo ich die Vererbung aktiviere bzw. aktivieren kann ? Tausend Dank.

Anhand der jetzigen Informationen kann man nur schwer sagen woran es liegt.

Ich erwarte hier keine Firmenspezifischen Informationen, aber allgemeine Dinge zur Konfiguration wären schon hilfreich.

Bei deinem Screenshot oben ist die Struktur kaum zu erkennen: Wo befindet sich die "Test OU"?

Bitte zeige den Inhalt des gpresults, da können Hinweise drin sein die vllt. schon auf das Problem schließen lassen.

Bitte vielmals um Entschuldigung. Es ist die Gruppenrichtlinie mit der Bezeichnung "GPO" sprich vom Rang her die Nr. 1 usw.

Was hast du in den jeweiligen Richtlinien konfiguriert?

Bei GPO wurden u.a. Sachen wie Kennwortrichlinien Beispielsweise "Minimal Länge 8" usw. oder eben "komplexe Passwörter" aktiviert . Also nichts unbedingt weltbewegendes.

Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie

gesetzt?

Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt?

Ich glaube das könnte mein Problem sein. Die Berechtigung innerhalb der Richtlinie ist nach wie vor unverändert. Dort wurde nichts geändert. Ich habe nur einen User mit in die Berechtigung (Registerkarte "Deligierung") miteinbezogen. Könntest du mir evtl. hier einen Screenshot zukommen lassen? Die Sache ist ja auch die, wenn beispielsweise der "User" sich anmeldet an einem Computer namens "xyz", so soll die Richtlinie selbstverständlich nicht die dasselbe sein wie die für den "Admin-user" ( ist ja klar denke ich ). Wäre Super wenn du mir da irgendwie helfen könntest.

Welche Berechtigung hat der Benutzer mit dem du den Test durchführst?

Wie ist der genaue Inhalt vom gpresult?Es gibt viele Fehlerquellen, daher wäre es gut die Konfiguration möglichst genau zu beschreiben (am besten mit Screenshots).

Der Benutzer ist ein Test Account welche sich in der "Test OU" befindet. Also definitiv kein "Admin". Befehl "gpresult" sagt aus das "default" und "benutzer" Policy angewendet werden. Beim Rest steht "wird nicht angewendet" und eine zwischenbemerkung (bin mir nicht ganz sicher" mit "empty"?!. Ich hab das ganze mal beim TS- Server mit Computerkontos + Terminalservergruppen (Gruppe) gemacht, sprich über die Sicherheitsfilterung in der jeweiligen GPO + Loopbackverarbeitungsmodus aktiviert. Damals hat es prima geklappt. Aber dieses mal sind es ja insgesamt 4 OU's und 4 GPO's.

Habs heute nochmal mit LBVM probiert mehr mal "gpupdate /force" ausgeführt und neugestartet usw. -> leider ohne Erfolg.

Tausend Dank nochmal für deine Beiträge.

Viele Grüße

sezer1987

:old:old:old

So in Etwa siehts aus (Siehe Screenshot). Wie gesagt mit dem Befehl "gpresult" werden nur die Default Policy sowie benutzer Policy übernommen, alle anderen werden erst garnicht verwendet. Tausend Dank im voraus.

http://img560.imageshack.us/img560/822/gpo.png

Das ist halt die Einstellung, damit werden auch die Benutzerrichtlinien übernommen.

Habs vorhin bereits aktiviert. "gpupdate /force" wurde bereits durchgeführt. Ich muss doch bestimmt noch einiges Anpassen?

Tausend dank...!

Ich kann dir morgen gerne ein paar Screenshots davon machen, die Einstellungen stehen allerdings auch alle in dem Link.

Das wäre super nett. Ich probier aber schnell einmal den Loopbackverarbeitungsmodus und sag spätestens heute Abend bescheid.

Viele Grüße

sezer1987