gladius
Goto Top

GPO Kennwortrichtlinie wird ignoriert trotz default domain policy

Hallo liebe Administratoren,

nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.

In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).

Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
b6ee6a086edd7a962439663df92d7be6

Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.

Hat jemand eine Idee, wo das Problem sein könnte?

Vielen dank im Voraus!

Lieber Gruß
Gladius

Content-Key: 258991

Url: https://administrator.de/contentid/258991

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 06.01.2015 um 11:56:32 Uhr
Goto Top
Hi.

Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
Mitglied: Gladius
Gladius 06.01.2015 um 12:31:27 Uhr
Goto Top
Hallo DerWoWusste und danke für das Befassen mit meinem Problem.

Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.

Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Mitglied: DerWoWusste
DerWoWusste 06.01.2015 um 12:52:04 Uhr
Goto Top
Dann frage bitte am DC mit rsop.msc ab, was dort für Einstellungen gelten.
Wir reden schon von einem Domänenkonto, oder?
Mitglied: Gladius
Gladius 06.01.2015 aktualisiert um 13:31:51 Uhr
Goto Top
Ok jetzt bin ich verwirrt. Auf dem DC wird nach dem rsop.msc bei allen Kennwortrichtlinien "Nicht definiert" angezeigt. Die GPO-Verknüpfung befindet sich direkt unterhalb des Domänen-Namens und unter der Domäne (in einer OU) befindet sich auch der DC. Damit sollte die GPO doch greifen, oder?

Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Mitglied: DerWoWusste
Lösung DerWoWusste 06.01.2015 aktualisiert um 15:51:15 Uhr
Goto Top
Zu analysieren, warum die Default Domain Policy nicht zieht, ist sehr einfach mit gpresult getan. Vermutlich ist eine andere Policy auf "enforced" gesetzt.
Mitglied: Gladius
Gladius 06.01.2015 um 16:00:57 Uhr
Goto Top
Ok ich glaube ich hab es gefunden.

Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.

Vielen Dank für deine Hilfe, hast mir sehr geholfen! face-smile

Gruß
Gladius
Mitglied: DerWoWusste
DerWoWusste 06.01.2015 um 16:34:50 Uhr
Goto Top
Schön...aber nun bitte noch klären, warum die Leserrechte verweigert wurden!
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.