Just nu i M3-nätverket
Jump to content

Password Policy Windows


sotarn

Recommended Posts

Hej

Håller på att ändra password policyn i en domän och vill inte ändra i Default Domain Policy eftersom jag av erfarenhet vet att supportsamtalen kommer att bli många när man ändrar till det sämre för användarna.

 

Har skapat nya OU och kopplat ny GPO. Tester visar dock att det verkar inte slå igenom, kan det va så att Default Domain Policy bestämmer rätt att man lägger en ny Password Policy på ett OU på lägsta nivån närmast användaren.

 

Någon som har gjort på samma sätt eller har något bättre förslag.

 

Sotarn

 

Link to comment
Share on other sites

hej

 

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx

"There can be only a single password policy for each account database."

 

Enligt den bör du skapa en Policy på rootnivån och kryssa i "no Override"

"right-click the Domain Password Policy, and then click No Override."

 

/JAG

 

Link to comment
Share on other sites

Hej .. tack för länken den är användbar.

 

Använder man "No Overide" på översta nivån kan man inte överstyra den policyn. Har testat att ta "No Overide" på den nya policyn och även "Block Inheritance" på det nya OU:t. Man ser då i GPMC att den inte ärver men kan det va så att p g a att vi just nu kör en blandad 2000 2003 domän fungerar inte detta tillvägagångssätt. Vet att i en strikt 2000 funkar det.

 

Testade att ändra i "Default Domain Policy" och då slog det igenom på det OU:t som hade "Block Inheritance" ... !!

 

Har även testat att disabla computerconfiguration i policyn på rotnivå och då slog inte ändringar igenom men de nya togs inte heller.

 

Testat att ta bort policyn på rootnivå och la på alla OU som ska ha den gamla och la den nya på de nya OU:na, men inte det heller fungerade.

 

Finns det nåt cache på "Default Domain Policy"? Tycker att det är mycke mysko och har surfat runt och sökt information på Microsoft och bara hittat just dom tillvägagångssätten jag testat.

 

Tacksam för mer ideer :)

 

Link to comment
Share on other sites

Om du ska ha olika password policys, så måste du enligt MS ha olika domäner, för den policyn kan bara appliceras per domän.

 

Men det finns tydlien ett "hack" för om man vill lägga på en ytterligrel en policy,.

 

Link to comment
Share on other sites

"Password policys är det ENDA och endast ENDA som får ändras i default domain policy, och i och med att det också är det ENDA man "får" ändra i policyn vet du också om vad det potentiellt är för ändring som är gjord om du skall titta i en DDP"

 

Kanske inte hjälper dig då du vill använda dig av andra polissar för att sköta det, men bara en tanke som brukar underlätta i praktiken.

 

I och med att du ändrar policyn till förmodligen något enklare än vad som är ställt som default, betyder juh inte att användarna inte använder sig av svårare passwords. Vid mina riggar ändrar jag den till just något enklare och allt som krävs är 5 bokstäver och lägger exempelvis in "hemligt" som standard-lösenord, men också en hänvisning till användarna när dom loggar in för första gången till att skriva in ett eget lösenord som är en mening. Därav är juh lösenordpolicyn ändå skärpt och ändringen av den är juh endbart till för att göra det enkelt för användaren första gången han/hon loggar in.

 

Det är juh ett känt faktum att det är lättare att knäcka "Kp9!f" än vad det är att knäcka en mening som "Jag vill ha en 18 årig blondin!" ;)

 

Jag skall se vad jag kan rota fram angående passwordpolicys gälande olika OU´s om du nu prompt måste ha det.. :P

 

///Det finns inget som jag inte ännu har lyckats virtualisera:thumbsup::thumbsup:

 

Link to comment
Share on other sites

Hej du ... har rotat fram en bra länk själv.

 

http://searchwinit.techtarget.com/tip/0,289483,sid1_gci1108125,00.html

 

Beskriver rätt väl men får det inte att slå igenom ändå tyvärr. Kör en Policy Result på Användaren och Datorn och resultatet då är att den nya policyn finns på datorn, men tyvärr så är det den gamla som fortfarande gäller.

 

Vill skärpa policyn lite :) ... men får väl antagligen ta hela domänen på en gång, men nu har det nästan blivit så att man bara vill lösa det så jag har inte givit upp ännu.

 

Link to comment
Share on other sites

hmm.. har varit i kontakt med "x-perter" på området och de säger att tyvärr gäller tydligen en password policy per domän. Det man KAN göra och om det finns tillräckligt med resurser är att köra vwware och skapa ytterliggare en domän "i" domänen och knyta dessa samman. Därav kan du använda en policy per domän beroende på vart användarna ansluter sig till. D vill säga Virtualisering.

 

Vågar inte säga mer om ämnet då det är utanför min kunskap, men det är i varje fall vad jag lyckats gräva fram.

 

///Det finns inget som jag inte ännu har lyckats virtualisera

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...