none
ldapserverintegrity RRS feed

  • Frage

  • Ich habe zur Erhöhung der Sicherheit die domain default policy derart geändert, dass eine Signatur erforderlich ist.

    Gleichzeitig habe ich in der im Register den Wert bezüglich der ldapserverintegrity auf 2 geändert.

    Das Problem ist, wenn der Rechner längere Zeit ausgeschaltet gewesen ist, wird der Wert automatisch wieder auf 1 gesetzt.

    Wie kann geändert werden, dass der Wert auf 2 bleibt.
    Donnerstag, 22. Oktober 2009 10:58

Antworten

  • Hi Matthias,

    vermutlich überschreibt eine Policy die Einstellung wieder - tritt das Problem denn an allen Servern auf oder zum Beispiel nur DCs?
    Zieh doch einmal einen GPMC Group Policy Results Report eines Systems, auf dem der Schlüssel überschrieben wird und prüfe, ob der Wert konfiguriert wird.

    In dem Zusammenhang würde ich auch empfehlen, den Schlüssel nicht manuell über die Registrierung, sondern per Gruppenrichtlinie zu konfigurieren. Viele Grüße Fabian
    http://blogs.technet.com/deds
    Donnerstag, 22. Oktober 2009 14:24

Alle Antworten

  • Hi Matthias,

    vermutlich überschreibt eine Policy die Einstellung wieder - tritt das Problem denn an allen Servern auf oder zum Beispiel nur DCs?
    Zieh doch einmal einen GPMC Group Policy Results Report eines Systems, auf dem der Schlüssel überschrieben wird und prüfe, ob der Wert konfiguriert wird.

    In dem Zusammenhang würde ich auch empfehlen, den Schlüssel nicht manuell über die Registrierung, sondern per Gruppenrichtlinie zu konfigurieren. Viele Grüße Fabian
    http://blogs.technet.com/deds
    Donnerstag, 22. Oktober 2009 14:24
  • Hallo Fabian,

    ich muß gestehen, dass ich, was Server 2008 anbelangt, blutiger Anfänger bin.

    Ich habe mir das Ganze mal, wie vorgeschlagen, über die Gruppenrichtlinienverwaltung (GPMC.MSC) angesehen und habe festgestellt, dass nicht bei allen Policys eine Signaturanforderung eingetragen war. Ich habe die Einstellungen vor Ort gleich vorgenommen und hoffe, dass der Rechner (DC) jetzt den Wert beibehält.

    Bis dahin ersteinmal Danke für die Hilfe.

    /Matthias
    Donnerstag, 22. Oktober 2009 19:17
  • Hi Matthias,

    Du mußt die Policy-Einstellung nicht in allen GPOs setzen - das wäre sogar kontraproduktiv. :-)

    Daher meine Frage, ob das System ein DC ist: Meine Vermutung ist, daß die EInstellung schlichtweg von der "Default Domain Controllers Policy" überschrieben wird. Damit würde die Änderung in dieser Richtlinie ausreichen.

    Wie immer an dieser Stelle der Hinweis, die Einstellung vorher ausgiebig zu testen.

    Viele Grüße
    Fabian 
    http://blogs.technet.com/deds
    Freitag, 23. Oktober 2009 06:33
  • Ich habe den den Rechner heute morgen gestartet und es gibt keine Probleme mehr. Ich habe sogar den Eindruck, dass er schneller hochfährt.

    Weiterhin hat der Rechner jetzt automatisch eine Hierarchie bezüglich der beiden Policys "Default Domain Controllers Policy" und "Default Domain Policy" angelegt.

    Grüße
    Matthias
    Freitag, 23. Oktober 2009 10:20
  • Optimal. Schön zu hören, daß es nun geklappt hat. :)
    Die "Hierarchie" ist schon der Standard, d.h. diese Prioritäten wurden nicht erst angelegt. ;-)

    Viele Grüße
    Fabian


    http://blogs.technet.com/deds
    Freitag, 23. Oktober 2009 11:03