Verständnisfrage: "Kennwort überprüfen" Personendokument vs. Richtlinie

[cyberfauli]

Hallo zusammen,

seit ca. einem halben Jahr bin ich u.a. für die Administration von Notesservern für unsere Kunden zuständig.
Dabei hat mir das Forum, Google und das Adminhandbuch schon so manche Frage beantwortet.

Aber... eines ist mir immer wieder auf den Tisch gekommen :

Grundsätzlich habe ich verstanden,
dass die Einstellung "Kennwort überprüfen" im Personendokument im Reiter "Administration" zu aktivieren ist, damit das eingegeben Passwort der ID Datei mit dem hinterlegten Passwort des Domino Servers überprüft wird.
dass dieses Feld im Adreßbuch durch Mehrfachauswahl + "Aktionen" "Kennwortfeld festlegen" gesetzt werden kann.
dass das Kennwort nur dann überprüft wird, wenn sowohl im Personendokument als auch in der Serverkonfiguration die Überprüfung aktiviert ist.

Um nun sicher zu stellen, dass das Kennwort immer überprüft wird, würde ich gern per Richtlinie das Feld "Kennwort überprüfen" auf "Kennwort überprüfen" setzen lassen.

Geht das? (Mir ist klar, dass die Einstellungen der Richtlinie im Personendokument nicht angezeigt wird, aber die Richtlinieneinstellungen greifen ja vor dem Personendokument)
Aktuell haben wir eine Richtlinie aktiv, die u.a. die "Kennwortablaufseinstellungen" steuert 30 Tage , nachfrist 6 Tage etc. Aber es gibt genau an dieser Stelle leider keine Option in der Richtlinie, die die "Kennwort überprüfen" Einstellung des Personendokuments steuert.
Oder sehe ich Sie nur nicht ? -- siehe Screenshot

[Pfefferminz-T]

Man kann das entweder im Personendokument oder über eine Richtlinie forcieren. Wenn Du das über eine Richtlinie vorgibst, dann musst Du das im Personendokument nicht mehr einstellen.

Auszug aus der Admin-Hilfe, Abschnitt "Setting up password verification":

You can enable password verification through the use of a security policy settings document, which allows you to enable this feature for multiple users, or you can enable password verification on an individual basis through the IBM® Lotus® Domino® Directory.

It is a good practice to select one method of password verification or ID lockout. You cannot use both a policy and the appropriate setting in the Person document. Policy settings will always supercede any settings in Person documents.

Die Admin-Hilfe solltest Du ja eigentlich kennen...

Gruss,
Thorsten

[cyberfauli]

Hi,

danke für die Info... und ja, den Teil kenne ich, weil ich genau diese Site offen und gebookmarkt habe .

Aber meine Frage war ja, ob die markierte Zuordnung in Gelb (mit den ) die korrekte zugeordnete Einstellung in der Richtlinie wäre.

Bewirkt die "Kennwortverwaltungsoption - Kennwort überprüfen anhand der Notes-ID-Datei" Einstellung genau das geleiche als würde ich nur im Personendokument die "Kennwort überprüfen" Option auf "Kennwort überprüfen" setzen?

Viellicht noch ergänzent:
       Ich habe eigentlich erwartet, dass wenn diese Option auf JA gesetzt ist und meine Vermutung stimmt, dass ich in einem "Policy Synopsis" einen Hinweis auf "Check Password" oder ähnliches finde

[Pfefferminz-T]

"Kennwort überprüfen anhand der Notes-ID-Datei" ist die Option, die Du aktivieren musst. Die aktiviert aber nicht die Einstellung im Personendokument!

Gruss,
Thorsten

[cyberfauli]

Ok... danke ... dann brauch ich das Kennwortfeld nicht mehr befüllen.

Wäre schon toll, wenn im Dokument da ein Hinweis stünde wie bei MS "Über Richtlinie verwaltet!" oder so )

[rambrand]

Hi,

wenn Du wissen willst welche Policies bei einem Benutzer gezogen werden, dann kannst Du im lokalen names.nsf in der Ansicht ($Policies) schauen.
Anhand der Dokumenteneigenschaften siehst Du, dass die Dokumente auch aktuell sind.

Bei mir kann ich leider nicht direkt die Dokumente öffnen, weil dem lokalen names die entsprechende Maske fehlt. Ich weiss jetzt nicht, ob das nur an unserer Schablone liegt, wobei wir keine angepasste verwenden, oder ob das generell so ist. Aber wenn Du die Felder anschaust, das Feld PWDCHK ist das was Du suchst.

Bye,
Markus

[Pfefferminz-T]

Das ist kein Fehler in der Schablone eures persönlichen Adressbuchs... die Maske gibt es im Standard nicht. Nach dem Datum/Uhrzeit schauen, um zu prüfen ob die Richtlinien aktuell sind.

Falls die Technote bzw. Webcasts für "Troubleshooting Policies" nicht helfen kann man die Dokumente in der Ansicht löschen. Bei laufendem Notes Client kann man dann mit "ndyncfg.exe -20" direkt neu ziehen lassen. Dabei muss der Anwender dann sein Notes-Kennwort eingeben.

Gruß,
Thorsten

[FunkyChris]

"Kennwort überprüfen anhand der Notes-ID-Datei" ist die Option, die Du aktivieren musst. Die aktiviert aber nicht die Einstellung im Personendokument!

Gruss,
Thorsten

Aber sie hat die gleiche Wirkung? In diesem Punkt finde ich die Beschriftung und Erklärung der Felder mehr als unglücklich. Ich würde daraus, wie auch der Threadstarter, zwei unterschiedliche Optionen interpretieren. Zumal in dem Richtlinien-Dokument völlig andere Optionen in diesem Feld zur Verfügung stehen.

[Pfefferminz-T]

Nein, ich hab mir nur einen Spaß erlaubt... mache ich immer wenn Leute hier Hilfe suchen ;-)

Die zusätzliche Option "Lockout ID" gibt es bei der Richtlinie nicht (http://www-01.ibm.com/support/docview.wss?uid=swg21206748). Da die Einstellung bewirkt, dass der User direkt vom Zugriff ausgeschlossen wird, kann man diese Option auch nicht in der Richtlinie umsetzen.

[FunkyChris]

Hallo,

das war auch keineswegs als Vorwurf gemeint. Ich bin nur generell über diese schlechte Beschriftung (vielleicht ist es aber auch nur ein Übersetzungsproblem) der beiden Felder unglücklich. Bei dem aktuellen Hilfetext denke ich da eher an "Konsistente Passwörter für mehrere ID-Dateien erzwingen".

Aber trotzdem vielen Dank Wir haben jetzt bei uns zum ersten Mal überhaupt den Kennwortverfall aktiviert und sind da gerade am testen...

[Pfefferminz-T]

Hatte ich auch nicht so aufgefasst... die Beschriftung und der Hilfetext dazu sind suboptimal, auch in der englischen Admin-Hilfe bzw. Schablone...