12
PSO Kennwortrichtlinie greift nicht?
Hallo Zusammen
Ich versuche gerade bei uns eine sinnvolle Passwortrichtlinie für unsere Mitarbeiter durchzusetzen. Bin nach folgender Anleitung vorgegangen: http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...
Jedoch weiss ich nicht ob diese Policy wirklich greift, bei Tests greift z.B. die Komplexitätsrichtlinie, wenn ich mir jedoch das maximale Kennwortalter anschaue, dann wird das auf 43 Tage gesetzt obwohl ich 180 Tage konfiguriert habe. Andere Passwortrichtlinien in der Domäne sind mir nicht bekannt. Da dies keine eigentliche GPO ist, kann ich mit gpresult nicht prüfen ob sie greift.
Kennt da jemand mehr darüber?
Freundliche Grüsse
Michael
Ich versuche gerade bei uns eine sinnvolle Passwortrichtlinie für unsere Mitarbeiter durchzusetzen. Bin nach folgender Anleitung vorgegangen: http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...
Jedoch weiss ich nicht ob diese Policy wirklich greift, bei Tests greift z.B. die Komplexitätsrichtlinie, wenn ich mir jedoch das maximale Kennwortalter anschaue, dann wird das auf 43 Tage gesetzt obwohl ich 180 Tage konfiguriert habe. Andere Passwortrichtlinien in der Domäne sind mir nicht bekannt. Da dies keine eigentliche GPO ist, kann ich mit gpresult nicht prüfen ob sie greift.
Kennt da jemand mehr darüber?
Freundliche Grüsse
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193720
Url: https://administrator.de/contentid/193720
Printed on: April 23, 2024 at 15:04 o'clock
12 Comments
Latest comment
MOin.
Zur Erleichterung der Arbeit nimm dies: http://www.parhelia-tools.com/products/ppm/Download.aspx?id=ppm.exe - seriöse Freeware dafür. Zeigt auch an, ob/welche PSO auf einem Nutzerobjekt greift. Als Dom-Admin auf dem DC oder Client auszuführen.
Zur Erleichterung der Arbeit nimm dies: http://www.parhelia-tools.com/products/ppm/Download.aspx?id=ppm.exe - seriöse Freeware dafür. Zeigt auch an, ob/welche PSO auf einem Nutzerobjekt greift. Als Dom-Admin auf dem DC oder Client auszuführen.
Hi
Danke für den Tipp.
Es zeigt an, dass die PSO von der Benutzergruppe angewendet wird, jedoch erklärt es die Ablaufzeit von 43d weiterhin nicht, es ist jedenfalls nichts ersichtlich, hmm?
Danke für den Tipp.
Es zeigt an, dass die PSO von der Benutzergruppe angewendet wird, jedoch erklärt es die Ablaufzeit von 43d weiterhin nicht, es ist jedenfalls nichts ersichtlich, hmm?
hab das jetzt nochmals durchgetestet, die PSO scheint zu funktionieren. Änderungen an der Komplexität oder der Kennwortlänge werden sofort angenommen, nur die 180d wollen irgendwie nicht.
...ok...
wenn ich mir jedoch das maximale Kennwortalter anschaue, dann wird das auf 43 Tage gesetzt
Wo siehst Du das?
net user xy /Domain
zudem habe ich ein Skript, dass die User per Mail vor abgelaufenen Passwörtern warnt, auch das sieht es so
zudem habe ich ein Skript, dass die User per Mail vor abgelaufenen Passwörtern warnt, auch das sieht es so
net user xy /Domain
Sagt leider nichts aus, denn net user kennt keine PSOs!Und was macht Dein Skript für eine Prüfung? Vermutlich auch inkompatibel mit PSOs.
mmmh, das wird es wohl sein, da muss also doch noch irgendwo eine policy stören.
-> gefunden
dann werde ich das wohl anpassen müssen
-> gefunden
dann werde ich das wohl anpassen müssen
Ich weiß jetzt nichts mit diesem leztten Kommentar anzufangen.
Was für eine Policy stört(e)?
Ich wollte ausdrücken, dass Du mit net user nicht prüfen kannst, denn die net.exe kennt keine PSOs, ist also dazu untauglich.
Was für eine Policy stört(e)?
Ich wollte ausdrücken, dass Du mit net user nicht prüfen kannst, denn die net.exe kennt keine PSOs, ist also dazu untauglich.
genau, aber da ich trotzdem irgendwo 42 tage als maximales Passwortalter hatte, habe ich mich auf die Suche danach gemacht. Es gab noch eine Policy für den DC, dort war das hinterlegt.
Im Moment habe ich leider keine Zeit das Skript anzupassen, darum werde ich jetzt das maximale Passwortalter per GPO Domänenweit setzen.
Im Moment habe ich leider keine Zeit das Skript anzupassen, darum werde ich jetzt das maximale Passwortalter per GPO Domänenweit setzen.
Ich verstehe das noch immer nicht. Die PSO zählt. Was Dir die unfähigen Skripte / net user anzeigt, zählt nicht. Warum also per GPO das Alter setzen, wo es über die PSO bereits definiert ist?
weil die gpo in diese Angelegenheit auch noch hinein spielt, oder täusche ich mich da?
Ja, Du täuscht Dich________.
