8
Kennwortrichtlinie GPO greift nicht ganz, was tun?
Hallo wieder mal an alle,
wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.
So, nun zum Problem:
Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.
Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:
Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage
Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.
Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.
Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.
Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.
Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.
Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.
wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.
So, nun zum Problem:
Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.
Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:
Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage
Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.
Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.
Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.
Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.
Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.
Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 235749
Url: https://administrator.de/contentid/235749
Printed on: April 24, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hi,
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
Hi,
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.
Gruß
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.
Gruß
Zitat von @Xaero1982:
Hi,
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2
Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich
unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht
zeitgleich erfolgt.
Gruß
Hi,
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2
Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich
unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht
zeitgleich erfolgt.
Gruß
Hi, was die GPO da zu suchen hat, habe ich mir hier rausgelesen, vielleicht täusche ich mich ja (1. Antwort von DerWoWusste):
Kennwortrichtlinie für Bestimmte OU s
Das unsere User ihr eigenes Kennwort nicht ändern dürfen, ist nicht auf meinem Mist gewachsen :D, war eine Einstellung noch vor meiner Zeit. Das soll ja aber jetzt geändert werden.
Wenn ich das falsch verstanden haben sollte,...
Wo kommt die Richtlinienverknüpfung dann hin?
Grüße
Zitat von @TlBERlUS:
Hi,
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
Hi,
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
auf 1. hätte ich gesagt, ja sie ist richtig verknüpft, aber nachdem ich 2. gelesen und ausgeführt habe, denke ich, nein sie ist nicht richtig verknüpft.
Ich hab mir das irgenwie einfacher vorgestellt, so naiv wie ich bin.
Gruppenrichtlinienobjekt erstellen --> mit OU verknüfen, wo die User drin sind --> GPO auf Client aktualisieren (Neustart bzw. gpupdate /force) --> Relaxen
Das mit der kontrollierten PW Änderung ist für mich so vorgeschrieben. Erst mal für uns in der EDV testen, ob die Richtlinie überhaupt funktioniert, dann eine Abteilung nach der anderen PW Änderungen veranlassen.
Ich habe im AD unter Benutzer mehrere OUs die nach den Abteilungen benannt sind (Fibu, Vertrieb, Einkauf usw.) und in denen sind die jeweiligen User drin. Ich hätte es ja am liebsten so, dass ich die Richtlinie mit der OU verknüpfe, bei der ich eine PW Änderung veranlassen möchte, aber irgendwie hat das letzte Woche nicht geklappt. Also habe ich die Lösungsansätze hier mal verwenden wollen.
Grüße
Hi.
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden, Vorgehen somit sinnlos.Zitat von @DerWoWusste:
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
Moin,
Tatsache, ich hab nochmal nachgesehen, bei uns habe ich die PW-GPO auch an die Default Domain Policy gehängt...
(hab vergessen, dass das eine Einstellung der Computer-Konfiguration, und net Benutzer-Konfig ist)
Mea Maxima Culpa
http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...
shame on me...
Grüße,
Tiberius
Zitat von @DerWoWusste:
Hi.
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen,
so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU
"Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2)
muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
Hi.
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen,
so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU
"Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2)
muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
Ich habe die Richtlinie auf den Domain Head verlinkt und siehe da, es funktioniert tatsächlich. Anfangs hat er nicht alle Richtlinieneinstellungen übernommen. Dann hab ich mir die Default Domain Policy, die ebenfalls an der selben Stelle verlinkt ist, angeschaut.
Es war schon mal was eingestellt, wurde aber nur halbherzig umgesetzt. Habe dann die DDP so abgeändert, dass meine Gruppenrichtlinie nicht mehr nötig war. Hätte es von Anfang an so machen sollen.
Das Problem ist damit gelöst. Vielen Dank an alle für die Unterstützung!!!
Gerne doch.
Wie ich ja schon sagte, hat die da wo du sie ursprünglich verlinkt hattest nichts zu suchen, oder nicht mehr.
Wie ich ja schon sagte, hat die da wo du sie ursprünglich verlinkt hattest nichts zu suchen, oder nicht mehr.
