(her)inrichting Active Directory

heb je de snap-in van microsoft wel eens geprobeerd?
GMPC.exe, dat maakt het veel overzichtelijker

de defaults er gewoon afgooien en zelf een mooie maken, vind ik...!

Afblijven van die policy's tenzij het echt niet anders kan! Zelf policies aanmaken is the way to go.

In de praktijk is de ongeschreven (?) regel dat je niet aan de default domain policy komt. Sowieso wordt het gezien als een best practise om je policies zo specifiek mogelijk te plaatsen, dat is vrijwel nooit op het niveau van de default domain policy.

Hint: Kerberos? Windows Time Service configureren (zowel op servers als clients)!

Volgens mij moet je even een goed boek gaan lezen over AD en policies of er zelf eens mee gaan testen...

Heeft een client PC rechten op die policy voor domain controllers?

Verwijderd schreef op vrijdag 20 oktober 2006 @ 17:57:
Maar een collega van me maakt de opmerking dat de "user right en security settings" die je in de default domain controllers policy definieert worden DOORGEGEVEN aan de clients.

Dat is toch onjuist voor zover ik me herinner. Deze settings zijn dan toch ALLEEN van toepassing op de domaincontrollers in desbetreffende OU.

User Account policies (password beleid bijvoorbeeld) doen het dan wel.
Logisch ook, omdat in een Domain alleen je domain controllers je accounts en de daaraan gerelateerde security "beheren"..

Daarom heeft een password complexity policy voor je domain users ook alleen nut op domain(controller) nivo.
Zou je die op een werkstation OU zetten dan worden immers alleen de lokale accounts voorzien van de complexity eisen

ik neem toch aan dat je als bedrijf zijnde zelf je policies op wilt stellen, en niet dat je de "default domain controller" policy aan wilt laten staan .. ? je loopt alle policies toch gewoon door? en je kiest wat juist is voor jouw bedrijf! (bijvoorbeeld password policies jah)

default domain policy moest je vroeger gebruiken om pasword policy's op te zetten. Verder blijf ik er ook liever af. Default domain controller policy dient enkel voor de DC's. Persoonlijk deel ik mn GPO's zo in:

Computer policy
User Policy
Software install policy

voor de terminal servers heb ik dan weer 3 andere policy's

Vroeger had ik 30 GPO's verdeeld op basis van gebruikersgroepen en OU's, nu probeer ik het wat meer gelijk te houden voor iedereen. Voor beide opties valt wat te zeggen

test je GPO's zorgvuldig en gebruik gpmc + simulaties en rosp, tis een kachtige tool, maar zorg dat je eerst de basic's van GPO's snapt (volgorde van toepassen enzo)

rosp.msc ken ik niet? is dat xp only?

een soort gptester las ik

[ Voor 30% gewijzigd door sjongenelen op 24-10-2006 15:34 ]

TheNymf schreef op dinsdag 24 oktober 2006 @ 15:30:
rosp.msc ken ik niet? is dat xp only?

een soort gptester las ik

rsop.msc that is..

Verwijderd schreef op vrijdag 20 oktober 2006 @ 16:55:
Momenteel ben ik druk doende een Active Directory te herstructureren. Ik weet dat er heel wat diverse mogelijkheden zijn om dit te doen. Echter mij staat momenteel de volgende werkwijze voor:

default domain policy: gebruikers- wachtwoord en kerberos beleid
default domain controllers policy: met name de gebruikersrechten
computer- gebruikerspolicy: beveiligingsopties en indviduele instellingen per gebruiker of machine.

Is bij de laatste optie ook mogelijk, de "beveiligingsopties" voor de clients geheel in de default domain controllers policy te integreren, of is dit vooral onwenselijk.

Bedankt alvast voor de reacties.

Nooit de default domain policy wijzigen. 2 jaar later is er namelijk nauwelijks meer te achterhalen wat er gewijzigd is. Als je een nieuwe policy maakt, kan je deze simpelweg unlinken op het moment dat je moet troubleshooten oid.
Zelfde geldt voor de default domain controller policy.

TheNymf schreef op zondag 22 oktober 2006 @ 01:03:
ik neem toch aan dat je als bedrijf zijnde zelf je policies op wilt stellen, en niet dat je de "default domain controller" policy aan wilt laten staan .. ? je loopt alle policies toch gewoon door? en je kiest wat juist is voor jouw bedrijf! (bijvoorbeeld password policies jah)

Boeie, als ik er een andere, eigen policy naast zet is die met de juiste vinkjes op de goeie plaats toch echt wel ruling over de DDP.

jah, dat kan wel zijn, maar is weer extra werk. gewoon de DDP en DDCP unlinken en zelf maken. Ik werk met 'elke policy een ander object'. Ik heb er dan ook wel veel maar is wel érg overzichtelijk en snel.

Ik zou de Deafult policies niet wijzigen nee, stel dat je ooit eens in een situatie zit dat je alles terug naar standaard moet brengen kun je wel ff snel dat policieobject pakken.

Mja dan flikker je dus alle zelf gemaakte policies er ff af

TheNymf schreef op woensdag 25 oktober 2006 @ 08:44:
Ik werk met 'elke policy een ander object'. Ik heb er dan ook wel veel maar is wel érg overzichtelijk en snel.

Ik wil jouw sysvol replicatietijden niet weten