Gruppenrichtlinien für Passwörter

[hommling]

Hi zusammen!

IST-Situation

• Berufskolleg mit einem reinen Windows2000-Netzwerk
  
• Es gibt eine OU namens "Lehrer" und eine OU namens "Schüler und eine weitere namens "Rechner" (Alle Objekte sind jeweilig einsortiert!)
  
• Es existiert eine Kennwort-Richtlinie für alle
  

SOLL-Situation

• Getrennte Kennwort-Richtlinien für beide OUs
  
• Schüler-Kennwörter sollen aus mindestens fünf Zeichen bestehen.
  
• Lehrer-Kennwörter sollen aus mindestens sechs Zeichen bestehen, Groß- und Kleinschreibung beinhalten und eine Kennwort-Chronik von einem Kennwort aufweisen
  

Problem

Soweit ich weiß, kann man all das, was Kennwörter betrifft, nur für Maschinen definieren, nicht aber für Benutzer oder Benutzergruppen.

Täusche ich mich da? Ist es möglich, benutzerbezogene Kennwort-Richtlinien einzustellen?

Gruß

hommling

[hades]

Das was Du vorhast geht nicht.

Es koennen nur auf Domaenenebene Kennwortrichtlinien eingesetzt werden, nicht auf OU-Ebene.

Wenn mehrere, unterschiedliche Kennwortrichtlinien eingesetzt werden sollen, dann brauchst Du mehrere Domaenen.

[hommling]

Geht schon!

Man muss designierte Lehrer-Arbeitsplätze einführen und die Lehrer darauf aufmerksam machen, bei der Änderung ihres Kennworts auch genau an diesen Plätzen zu sitzen.

Struktur im AD:

/.

/Rechner

/Rechner/Lehrer-Arbeitsplätze <- hierauf die eine Richtlinie anwenden

/Rechner/Schüler-Arbeitsplätze <- und hierauf die andere

Ich persönlich finde dies unflexibel, aber durchaus gangbar! Ich dachte mir halt, dies ließe sich elgeganter lösen!

Tja...

Gruß

hommling

[hades]

Lt. Microsoft koennen Kennwortrichtlinien entweder lokal am System oder auf Domaenenebene eingesetzt werden.

siehe auch:

http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Vererbungen_Hierarchien.htm

Eine weitere Sonderstellung innerhalb der möglichen Einstellung nehmen die Kennwortrichtlinien ein. Jede Domäne hat genau eine Kontorichtlinie (i.d.R. Default Domain Policy). Die Einstellungen der Domänenrichtlinie gelten für die Domäne und damit für alle Domänenkonten. Es nicht möglich für die Nutzer in verschiedenen OUs unterschiedliche Kennwortrichtlinien (z.B.: Länge und Gültigkeit des Passwortes) einzustellen. Dieses ist nur pro Domäne möglich. Die Einstellung innerhalb einer OU wird nur von den Computerobjekten der OU übernommen (nicht von der Domäne) und wirken sich damit nur auf die jeweiligen lokalen Benutzerkonten aus.

Privater Kommentar von Mark Heitbrink, Autor des oben verlinkten Zitats:

Genau genommen würde es auch keinen Sinn ergeben, denn dann würde irgendein „ganz wichtiger“ Abteilungsleiter mit extrem ungesunden, profunden Halbwissen für seine Abteilung darauf bestehen, dass bei „ihm“ die Passwortlänge mit 3 Buchstaben genügen würde … *lol* Keine Chance. Der Admin legt die Richtlinie ja genau deswegen für alle verbindlich fest, damit eben nicht jeder sein eigenes Süppchen kochen kann.

D.h. Deine OU-Einstellung gilt nicht fuer die Domaenenkonten, sondern fuer lokale Benutzerkonten des betreffenden PCs.

[hommling]

Hallo!

Dass ich mich mit meiner Vorgehensweise an dem vorbeibewege, wie Winzigweich sich das zurechtgelegt hat, ist mir bewusst!

Deine OU-Einstellung gilt nicht fuer die Domaenenkonten, sondern fuer lokale Benutzerkonten des betreffenden PCs

Das stimmt, funktioniert aber in unserer Situation prächtig!

Einziger Haken ist natürlich der, dass man aufpassen muss, dass Lehrer sich eben nur dann neue Kennwörter verpassen dürfen, wenn sie an einem solchen designierten Arbeitsplatz sitzen.

Wenn ein Schüler sich nun an diesem Arbeitsplatz anmelden würde, bekäme er natürlich dieselbe Richtlinie aufgedrückt, obwohl sie eigentlich nicht für ihn gedacht ist.

Also ich resümiere dann mal:

Es gibt keine Lösung, einer bestimmten Personengruppe andere Kennwort-Richtlinien aufzudrücken als den restlichen - es sei denn, man hat einen konkreten Anwendungsfall wie bei uns und kann das Ziel über Umwege erreichen.

Danke trotzdem für alle postings!

Gruß

hommling