none
Fine Grained Pasword Policy - kann man einzelnen Usern oder Gruppen die Anwendung eines PSO verweigern? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo werte Wissende,

    kann man die Anwendung eines Password Settings Object auch für einzelne Sicherheitsprinzipale verweigern? Hintergrund der Frage ist, dass wir User haben, deren Festplatten verschlüsselt sind, da diese größtenteils extern im Einsatz sind. Dort funktioniert es bisher nicht, dass, wenn die User per VPN verbunden, ihr Passwort ändern, diese Änderung in die Verschlüsselungs-PreBoot-Umgebung zurück gesynct wird. Deswegen sollen diese User erst einmal von der Kennwortrichtlinie ausgenommen werden. Da diese aber aus unterschiedlichsten Abteilungen stammen, würde ich gern alle Betreffenden in eine Gruppe packen und dieser dann die Übernahme des PSO´s verweigern.

    In der Hoffnung, mir kann geholfen werden,, verbleibe ich mit freundlichem Gruß

    K. Richter

    Chemnitz

    Dienstag, 4. April 2017 05:46
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 04.04.2017 um 07:46 schrieb Kay Richter:
    > kann man die Anwendung eines Password Settings Object auch für einzelne
    > Sicherheitsprinzipale verweigern?
     
    Ja. Zum einen liegen da dsacls drauf, die "verweigern" kennen, zum
    anderen kannst du es über die WErtigkeit/Reihenfolge mehrerer PSO steuern.
    Oder noch viel einfacher: Deine "exclude" User sind garnicht erst in der
    Gruppe, die das PSO übernehmen soll. Also nicht verweigern setzen,
    sonder mit Gruppen arbeiten, die dürfen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 4. April 2017 07:13
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 04.04.2017 um 07:46 schrieb Kay Richter:
    > kann man die Anwendung eines Password Settings Object auch für einzelne
    > Sicherheitsprinzipale verweigern?
     
    Ja. Zum einen liegen da dsacls drauf, die "verweigern" kennen, zum
    anderen kannst du es über die WErtigkeit/Reihenfolge mehrerer PSO steuern.
    Oder noch viel einfacher: Deine "exclude" User sind garnicht erst in der
    Gruppe, die das PSO übernehmen soll. Also nicht verweigern setzen,
    sonder mit Gruppen arbeiten, die dürfen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Dienstag, 4. April 2017 07:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark und danke für die Antwort,

    das Problem ist, dass hier "historisch gewachsene" (ich kann denn Begriff nicht mehr hören, respektive Lesen) entstandene Gruppen, die im Prinzip die Abteilungen repräsentieren, existieren, die wir natürlich gern in die berechtigte Gruppe aufnehmen würden. Da aber die User mit den verschlüsselten Notebooks über diese Gruppen ungleichmäßig verteilt sind, ist es hier nicht ganz einfach, diese Unterscheidung zu treffen. Daher hätte ich gern eine Gruppe, in die ich die betreffenden Accounts packe und denen ich die Übernahme verweigere, es sei denn, es gibt noch eine elegantere Lösung, die ich derzeit allerdings wohl nicht zu erkennen vermag. Wo und wie ist die DSACL für ein PSO zu ändern? Per ADSI-Editor?

    mfG Kay



    • Bearbeitet Kay Richter Dienstag, 11. April 2017 06:49
    Freitag, 7. April 2017 09:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Leute,

    habt Ihr noch eine Antwort auf diese Frage parat?

    mfG Kay

    Dienstag, 11. April 2017 07:02
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Kay,

    ich habe mal das für dich getestet.

    Ich habe 2 PSO Objects erstellt.

    KL4 Rangfolge 10

    KLSTAN Rangfolge 9

    2 Gruppen (global) erstellt

    GR4 (User, Anton, Max, Moritz)

    GRSTAN (User, Anton, Franz, Otto, Ali)

    PSO KL4 habe ich die Richtlinie Kennwortlänge auf 4 abgeändert und die übrigen Richtlinien abgeschaltet. Zudem habe ich die Gruppe GR4 eingefügt

    PSO KLSTAN habe ich die Richtlinien wie gehabt gelassen. Zudem habe ich die Gruppe GRSTAN eingefügt.

    Die Kennwortlänge für Max und Moritz können auf 4 Zeichen geändert werden.

    Die Kennwortlänge für Anton kann nicht auf 4 Zeichen geändert werden.

    Wenn ich Anton aus der Gruppe GRSTAN entferne, kann sein Kennwort auf 4 Zeichen abgeändert werden.

    Ich hoffe dir damit geholfen zu haben.

    Wichtig ist die Rangfolge, wenn in zwei PSOs gleiche User eingetragen sind, dann zieht die Rangfolge.

    Also 9 siegt vor 10

    Die Gruppen oder User werden bei "Direkt anwendbar auf" eingefügt und nicht unter "Erweiterungen"


    Dienstag, 11. April 2017 12:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Herr Kaplan,

    danke für die Antwort. Ich werde zeitnah testen, ob ich mit der Rangfolge der PSO´s zum gewünschten Ergebnis komme. Das würde meines Erachtens nach ja bedeuten, dass ich eine Gruppe für die "verschlüsselten" User anlege, denen allerdings die niedrigere Priorität zugewiesen wird, und eine Gruppe, in denen alle diese, von mir beschriebenen Abteilungsgruppen enthalten sind (und somit auch die "verschlüsselten User", welche mit der höheren Prio versehen würde. PSO 1 würde dann quasi einfach "leer" bleiben (ohne Einstellungen) und in PSO 2 würden dann die Standardeinstellungen definiert werden? Sehe ich das so richtig?

    mfG & schöne Feiertage

    K. Richter


    • Bearbeitet Kay Richter Donnerstag, 13. April 2017 08:22
    Donnerstag, 13. April 2017 08:07
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi
     
    Am 13.04.2017 um 10:07 schrieb Kay Richter:
    > [...] in PSO 2 würden dann die Standardeinstellungen definiert werden?
     
    Warum machst du es dir so kompliziert?
    Du hast 2 Anforderungen. Die ein wird durch die DefDomPol abgedeckt, die
    andere ist das PSO.
     
    In welche der beiden Settings du welche Gruppe steckst, ist nur noch
    deine persönliche Vorliebe nach Black oder Whitelist.
     
    Die DefDomPol gilt "für alle", das PSO für den Sonderfall. Was jetzt
    Sonderfall und was "für alle" ist, ist deine Definition.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 13. April 2017 09:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    danke für die Antwort. Man lernt nie aus. Ich werde das zur Diskussion stellen.

    mfG & schöne Feiertage

    Donnerstag, 13. April 2017 12:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Kay,

    na ja die Rangfolge macht nur dann Sinn, wenn in den Gruppen die Gleichen User drin sind.

    Als Beispiel:

    Gruppe1 mit Rang 11

    User: Hans, Franz, Anton, Lisa

    Strenge Regeln

    Gruppe2 mit Rang 10

    User: Helge, Bernd, Anton, Lisa

    eher einfache Regeln z. B. Nr. Kennwortlänge nur 4 und alles andere deaktiviert.

    Hans, Franz, Anton und Lisa hätten Strenge Regeln aber da Anton und Lisa auch in der Gruppe 2 mit niedriger Rangfolge sind, haben die Beide und natürlich Helge und ebenfalls der Bernd die einfacheren Regeln.

    Möchte ich aber aus speziellen Gründen z. B. Lisa wieder Strenge Regeln verpassen, so entferne ich Sie aus der Gruppe2.

    Wenn in den Gruppen nicht die gleichen Personen drin sind, dann ziehen die Regeln, die in der PSO eingestellt ist auf die Personen in der eingefügten Gruppe

    PS: So weit ich mich erinnern kann, funktionieren nicht alle Gruppen Typen, also ich denke, dass die universellen Gruppen keine Wirkung haben. Dass müsstest du ausprobieren.

    Viel Erfolg

    PS: Nachtrag,

    Wenn du das mit der Rangfolge testen möchtest, ob das dich zu dein Ziel führt, solltest du beachten, daß wenn du ein User anstatt eine Gruppe in die PSO einträgst, hat dieser PSO die höchste Rangfolge für diesen User , selbst wenn dieser User in einem anderen PSO in einer Gruppe mit höheren Rangfolge drin ist.



    Freitag, 14. April 2017 07:14
    |
  • Question
    Anmelden
    1
    Anmelden
    Moin,
     
    Am 14.04.2017 um 09:14 schrieb Servet Kaplan:
    > na ja die Rangfolge macht nur dann Sinn, wenn in den Gruppen die
    > Gleichen User drin sind.
     
    Eben. Und dann kommt noch Verweigern als höchstes Recht. Zu komplex ... :-)
     
    Nebenbei: PSO gelten erst nach der Erstellung eines Objekts.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 14. April 2017 10:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Ich möchte noch darauf hinweisen, dass in den Kontoeinstellungen im AD die Möglichkeit besteht für einzelne User die Option "Kennwort läuft nie ab" zu setzen, dann greift die Passwortrichtlinie für das maximale Kennwortalter der GPO für diese User nicht mehr. Auch kannst du hier den Usern die Möglichkeit nehmen das Passwort überhaupt zu ändern.

    MfG Stefan


    • Bearbeitet Stefan Jä Samstag, 15. April 2017 08:36
    Samstag, 15. April 2017 07:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Kay Richter,

    wenn Ihnen die Beiträge geholfen haben, markieren Sie bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als "Die Antwort".

    Danke und Gruß

    Michaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 9. Mai 2017 08:13
    |
    Moderator