none
"Domänenrichtlinie" versus "Default Domain Policy" RRS feed

  • Frage

  • Hallo zusammen,

    bei einem Kunden bin ich in der Gruppenrichtliniekonsole über folgendes gestolpert:

    Es gibt eine Richtlinie "Domänenrichtlinie" und eine Richtlinie "Default Domain Policy". Aber welche ist jetzt wirklich die Standard-Domänenrichtlinie???

    Gibt es eine Möglichkeit, das festzustellen?


    ----------------------- Greetings from Germany, Martin

    Dienstag, 28. Februar 2012 07:29

Antworten

  • Hallo,

    zunächst einmal, Namen sind Schall und Rauch.
    Wichtig ist die GUID.

    Die Default Policy (Default Domain Policy) hat die GUID {31B2F340-016D-11D2-945F-00C04FB984F9}.

    Es sollte auch nur diese Policy verwendet werden um Kennwortrichtlinien zu definieren (zumindest ohne fine grained password policies).

    Ein Grund dafür, der PDC Emulator schreibt hardcoded in genau diese Richtlinie ({31B2F340-016D-11D2-945F-00C04FB984F9})

    Mehr dazu hier:

    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    PS:
    Das heißt natürlich nicht, dass du die andere Policy jetzt einfach löschen kannst.
    Ggf. musst du Einstellungen in die originale DDP übertragen.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/



    Dienstag, 28. Februar 2012 07:42
    Beantworter

Alle Antworten

  • Hallo,

    zunächst einmal, Namen sind Schall und Rauch.
    Wichtig ist die GUID.

    Die Default Policy (Default Domain Policy) hat die GUID {31B2F340-016D-11D2-945F-00C04FB984F9}.

    Es sollte auch nur diese Policy verwendet werden um Kennwortrichtlinien zu definieren (zumindest ohne fine grained password policies).

    Ein Grund dafür, der PDC Emulator schreibt hardcoded in genau diese Richtlinie ({31B2F340-016D-11D2-945F-00C04FB984F9})

    Mehr dazu hier:

    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    PS:
    Das heißt natürlich nicht, dass du die andere Policy jetzt einfach löschen kannst.
    Ggf. musst du Einstellungen in die originale DDP übertragen.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/



    Dienstag, 28. Februar 2012 07:42
    Beantworter
  • Hallo Matthias,

    danke für die schnelle und präzise Antwort.

    Im korrekten Fall hat die Richtlinie mit dem Name "Default Domain Policy" auch die von Dir erwehnte GUID "{31B2F340-016D-11D2-945F-00C04FB984F9}".

    Ich vermute, dass die "Domänenrichtlinie" von einem Upgrade des Domänenfunktionslevels übrig geblieben ist (Aktuell: 2008). Von den Sicherheitseinstellung her sind sie erfreulicher Weise nahezu identisch. Somit dürfte das Aufräumen kein größere Problem werden. Und natürlich gibt es Backups.

    Danke nochmals.


    ----------------------- Greetings from Germany, Martin

    Dienstag, 28. Februar 2012 08:00
  • Hallo, Namensvetter (-:
     
    > Ich vermute, dass die "Domänenrichtlinie" von einem Upgrade des
    > Domänenfunktionslevels übrig geblieben ist (Aktuell: 2008)
     
    Eher nicht - die wird auf Systemebene anhand ihrer GUID erkannt, und die
    ist immer und überall gleich. Dürfte eher eine Kopie sein - generell
    gilt es m.W. als Best Practice, Änderungen (auch für PW Policies) nicht
    direkt in der DDP zu machen, sondern in einer eigenen GPO auf
    Domänenebene, die man an Position 1 verlinkt.
     
    Vielleicht kriegst Du über den Owner oder das whenCreated/whenChanged
    noch Hinweise auf die Herkunft (Reiter "Details" in der GPMC).
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 28. Februar 2012 12:06
    Beantworter
  • Hi Martin,

    danke für die Info. Mal sehen, ob ich das noch rausbekomme, wo die GPO ursprünglich her kam.


    ----------------------- Greetings from Germany, Martin

    Dienstag, 28. Februar 2012 12:52
  • Am 28.02.2012 schrieb Rabbit_at_Net:
    Hi,

    danke für die Info. Mal sehen, ob ich das noch rausbekomme, wo die GPO ursprünglich her kam.

    Wahrscheinlich so, wie ich das bspw. auch immer bei diversen Konfigurationen
    definiere. Eine Richtlinie auf Domänenebene um wirklich alle User/Computer
    abzufangen und nicht mit der Default Domain Policy rummachen zu müssen. ;)
    Bei mir heißt sie im Allgemeinen "Domänenweite Einstellungen".

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Dienstag, 28. Februar 2012 17:20
    Moderator
  • Am 28.02.2012 18:20, schrieb Norbert Fehlauer [MVP]:

    Bei mir heißt sie im Allgemeinen "Domänenweite Einstellungen".

    Mit "ä"? Igitt. Schaem dich :-P

    Tschoe
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 28. Februar 2012 18:02

  • Bei mir heißt sie im Allgemeinen "Domänenweite Einstellungen".

    Mit "ä"? Igitt. Schaem dich :-P


    Bei mir ists die {20BD7E23-8DD6-471E-B038-59B882D55D67}, und ansonsten UTF-8 d-:

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 28. Februar 2012 18:50
    Beantworter
  • Am 28.02.2012 schrieb Mark Heitbrink [MVP]:
    Hi,

    Bei mir heißt sie im Allgemeinen "Domänenweite Einstellungen".

    Mit "ä"? Igitt. Schaem dich :-P

    Na klar mit ä. Aber ich werde die nächste dir zu Ehren dann Domünenweite
    Einstellungen nennen. ;) Ich poste dann hier den Screenshot :p

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Mittwoch, 29. Februar 2012 06:50
    Moderator