Benutzer mit den meisten Antworten
ldapserverintegrity

Frage
-
Ich habe zur Erhöhung der Sicherheit die domain default policy derart geändert, dass eine Signatur erforderlich ist.
Gleichzeitig habe ich in der im Register den Wert bezüglich der ldapserverintegrity auf 2 geändert.
Das Problem ist, wenn der Rechner längere Zeit ausgeschaltet gewesen ist, wird der Wert automatisch wieder auf 1 gesetzt.
Wie kann geändert werden, dass der Wert auf 2 bleibt.
Antworten
-
Hi Matthias,
vermutlich überschreibt eine Policy die Einstellung wieder - tritt das Problem denn an allen Servern auf oder zum Beispiel nur DCs?
Zieh doch einmal einen GPMC Group Policy Results Report eines Systems, auf dem der Schlüssel überschrieben wird und prüfe, ob der Wert konfiguriert wird.
In dem Zusammenhang würde ich auch empfehlen, den Schlüssel nicht manuell über die Registrierung, sondern per Gruppenrichtlinie zu konfigurieren. Viele Grüße Fabian
http://blogs.technet.com/deds- Als Antwort vorgeschlagen Fabian Müller [MSFT]Microsoft employee Freitag, 23. Oktober 2009 11:03
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 27. Oktober 2009 14:47
Alle Antworten
-
Hi Matthias,
vermutlich überschreibt eine Policy die Einstellung wieder - tritt das Problem denn an allen Servern auf oder zum Beispiel nur DCs?
Zieh doch einmal einen GPMC Group Policy Results Report eines Systems, auf dem der Schlüssel überschrieben wird und prüfe, ob der Wert konfiguriert wird.
In dem Zusammenhang würde ich auch empfehlen, den Schlüssel nicht manuell über die Registrierung, sondern per Gruppenrichtlinie zu konfigurieren. Viele Grüße Fabian
http://blogs.technet.com/deds- Als Antwort vorgeschlagen Fabian Müller [MSFT]Microsoft employee Freitag, 23. Oktober 2009 11:03
- Als Antwort markiert Andrei TalmaciuModerator Dienstag, 27. Oktober 2009 14:47
-
Hallo Fabian,
ich muß gestehen, dass ich, was Server 2008 anbelangt, blutiger Anfänger bin.
Ich habe mir das Ganze mal, wie vorgeschlagen, über die Gruppenrichtlinienverwaltung (GPMC.MSC) angesehen und habe festgestellt, dass nicht bei allen Policys eine Signaturanforderung eingetragen war. Ich habe die Einstellungen vor Ort gleich vorgenommen und hoffe, dass der Rechner (DC) jetzt den Wert beibehält.
Bis dahin ersteinmal Danke für die Hilfe.
/Matthias -
Hi Matthias,
Du mußt die Policy-Einstellung nicht in allen GPOs setzen - das wäre sogar kontraproduktiv. :-)
Daher meine Frage, ob das System ein DC ist: Meine Vermutung ist, daß die EInstellung schlichtweg von der "Default Domain Controllers Policy" überschrieben wird. Damit würde die Änderung in dieser Richtlinie ausreichen.
Wie immer an dieser Stelle der Hinweis, die Einstellung vorher ausgiebig zu testen.
Viele Grüße
Fabian
http://blogs.technet.com/deds -
Ich habe den den Rechner heute morgen gestartet und es gibt keine Probleme mehr. Ich habe sogar den Eindruck, dass er schneller hochfährt.
Weiterhin hat der Rechner jetzt automatisch eine Hierarchie bezüglich der beiden Policys "Default Domain Controllers Policy" und "Default Domain Policy" angelegt.
Grüße
Matthias