Kontosperrungsrichtlinie für Domänen-Admins verweigern

12/01/2009 - 10:24 von Manuel Behner | Report spam
Hi NG,

ich habe eine Frage zu den Kontosperrungsrichtlinien unter Windows Server
2003. Leider kann man diese ja nur in der Defualt Domain Policy definieren
(das ist ja endlich seit 2008 nicht mehr so).
Gibt es eine Möglichkeit zu verhindern, wenn eine Kontosperrungsschwelle
definiert ist, dass jemand mutmaßlich alle Domànen-Admins deaktiviert? Auch
wenn keine Kontosperrdauer definiert wàre?
Eigentlich ist diese Funktion ja da um Mißbrauch einzuschrànken / zu
verhindern. Klar, man könnte über die Sicherheitsfilterung ein
Verweigerunsrecht setzen, dass die gesamte Richtlinie nicht von den
Domànen-Admins übernommen werden darf, aber das halte ich nicht für
sonderlich glücklich.
Gibt es eine Möglichkeit, die ich noch nicht bedacht habe?

Vielen Dank!

Gruß

Manuel
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
12/01/2009 - 11:14 | Warnen spam
Hi,

Manuel Behner schrieb:
Gibt es eine Möglichkeit zu verhindern, wenn eine Kontosperrungsschwelle
definiert ist, dass jemand mutmaßlich alle Domànen-Admins deaktiviert?



Bin gerade nicht sicher, sollte aber schon so sein, zumindest für das
BuiltIn Konto.

Klar, man könnte über die Sicherheitsfilterung ein Verweigerunsrecht setzen,
dass die gesamte Richtlinie nicht von den Domànen-Admins übernommen
werden darf, aber das halte ich nicht für sonderlich glücklich.



Nö, das birngt garnichts. Warum? Weil es eine Computerrichtlinie ist, die
vom Domànen Controller gelesen und übernommen wird. Demm Benutzer Account
als Ziel der GPO ist die Einstellung total Wurst.
Der BEnutzer ist ja kein Computer, also kann er auch die Computerkonfig
nicht lesen/übernehmen.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen