11
Kennwortrichtlinie funktioniert nicht richtig
Hallo zusammen,
ich habe ein kleines Problem mit meiner GPO für die Kennwortrichtlinie.
Dem Bild könnt ihr meine Einstellungen entnehmen.
Die Einstellungen werden meines Erachtens auch ordnungsgemäß übernommen. Nur haben die User nun das Problem, dass egal welches Kennwort sie vergeben wollen, nachdem sie dazu aufgefordert wurden ihr Kennwort ändern zu müssen, die Meldung erhalten "Das Kennwort entspricht nicht den Anforderungen......."!!!
Ich kann mir leider nicht erklären was da los ist. Ich habe auch alle möglichen Varianten beim vergeben des Kennworts durch, konnte aber selber auch nichts erreichen.
Vielleicht kann jemand von euch erkennen, was an der GPO falsch ist, oder kennt das Problem und hat einen Lösungsansatz für mich.
Vielen Dank im Voraus und beste Grüße
Achso: Umgebung Server 2008 R2 Domäne (Win 7 Clients bzw. Citrix User (XenApp 6.5 Server 2008 R2) über ThinClients.
Sollte ich was vergessen haben, fragt mich bitte einfach.
Danke und Cheers
ich habe ein kleines Problem mit meiner GPO für die Kennwortrichtlinie.
Dem Bild könnt ihr meine Einstellungen entnehmen.
Die Einstellungen werden meines Erachtens auch ordnungsgemäß übernommen. Nur haben die User nun das Problem, dass egal welches Kennwort sie vergeben wollen, nachdem sie dazu aufgefordert wurden ihr Kennwort ändern zu müssen, die Meldung erhalten "Das Kennwort entspricht nicht den Anforderungen......."!!!
Ich kann mir leider nicht erklären was da los ist. Ich habe auch alle möglichen Varianten beim vergeben des Kennworts durch, konnte aber selber auch nichts erreichen.
Vielleicht kann jemand von euch erkennen, was an der GPO falsch ist, oder kennt das Problem und hat einen Lösungsansatz für mich.
Vielen Dank im Voraus und beste Grüße
Achso: Umgebung Server 2008 R2 Domäne (Win 7 Clients bzw. Citrix User (XenApp 6.5 Server 2008 R2) über ThinClients.
Sollte ich was vergessen haben, fragt mich bitte einfach.
Danke und Cheers
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192881
Url: https://administrator.de/contentid/192881
Printed on: April 19, 2024 at 12:04 o'clock
11 Comments
Latest comment
HeyHo,
Wie hast du das Passwort eingegeben?
mind. 8 Zeichen (bei dir 10 Zeichen da durch GPO festgelegt)
Großbuchstaben
Sonderzeichen
Zahlen
und kein Teil vom Benutzername
http://msdn.microsoft.com/de-de/library/ms161959(v=sql.90).aspx
EDIT: zum Test könntest du mal P@ssw0rd12! vergeben ...
... da hast du dann alles drinnen - und das müsste funktionieren
Cheers
@zanko
Wie hast du das Passwort eingegeben?
mind. 8 Zeichen (bei dir 10 Zeichen da durch GPO festgelegt)
Großbuchstaben
Sonderzeichen
Zahlen
und kein Teil vom Benutzername
http://msdn.microsoft.com/de-de/library/ms161959(v=sql.90).aspx
EDIT: zum Test könntest du mal P@ssw0rd12! vergeben ...
... da hast du dann alles drinnen - und das müsste funktionieren
Cheers
@zanko
Ja richtig!
Dementsprechend habe ich das auch eingegeben und auch mit vielen anderen Varianten versucht! Ich habe echt alles durch und weiß nicht weiter, daher ja auch mein Post.
Dementsprechend habe ich das auch eingegeben und auch mit vielen anderen Varianten versucht! Ich habe echt alles durch und weiß nicht weiter, daher ja auch mein Post.
Probier mal testweise minimales Kennwortalter auf 1 Tage zu ändern ...
... habe gerade deine GPO mit meiner verglichen.
Wie hast du die GPO konfiguriert?
Cheers
@zanko
... habe gerade deine GPO mit meiner verglichen.
Wie hast du die GPO konfiguriert?
Cheers
@zanko
Okay.
Ich teste das gleich mal mit deinem Passwortvorschlag und sollte das nicht funktionieren, teste ich nochmal nachdem ich dann das Kennwortalter auf einen Tag geändert habe.
Verstehe ehrlich gesagt nicht was du mit "wie ich die GPO konfiguriert habe" meinst!?
Ich teste das gleich mal mit deinem Passwortvorschlag und sollte das nicht funktionieren, teste ich nochmal nachdem ich dann das Kennwortalter auf einen Tag geändert habe.
Verstehe ehrlich gesagt nicht was du mit "wie ich die GPO konfiguriert habe" meinst!?
Teste mal, vll. funktionierts ja.
Bzgl. Konfiguration ...
... hast du eine neue GPO erstellt oder hast du z.b. die Domain Policy genommen
... was steht im Bereich bei der Sicherheitsfilterung - hast da was konfiguriert
So meine ich ;)
Außerdem wird die GPO auf dem Client gezogen (was sagt rsop)
Cheers
Bzgl. Konfiguration ...
... hast du eine neue GPO erstellt oder hast du z.b. die Domain Policy genommen
... was steht im Bereich bei der Sicherheitsfilterung - hast da was konfiguriert
So meine ich ;)
Außerdem wird die GPO auf dem Client gezogen (was sagt rsop)
Cheers
Achso meinst du das! 
Ja, ich habe eine neue Richtlinie erstellt. Die Domain Policy habe ich unberührt gelassen.
Ich habe zwei Kennwortrichtlinien, da ich zwischen normalen Office Usern und VPN Usern unterscheide. Die VPN User haben bisschen verstärkte Einstellungen. In der Sicherheitsfilterung habe ich die Sicherheitsgruppe (in der die jeweiligen User sind) hinzugefügt.
Ja, die GPO wird auf dem Client angenommen, das habe ich schon geprüft.
Ja, ich habe eine neue Richtlinie erstellt. Die Domain Policy habe ich unberührt gelassen.
Ich habe zwei Kennwortrichtlinien, da ich zwischen normalen Office Usern und VPN Usern unterscheide. Die VPN User haben bisschen verstärkte Einstellungen. In der Sicherheitsfilterung habe ich die Sicherheitsgruppe (in der die jeweiligen User sind) hinzugefügt.
Ja, die GPO wird auf dem Client angenommen, das habe ich schon geprüft.
Hi
grundsätzlich kann es in einem Ad Netzwerk bis 2008 nur 1 Kennwort Policy geben. Das ist demnach die Default Domain Policy. Alle anderen Policy werden nicht funktionieren. Es gibt seit 2008 (r2) die Möglichkeit zusätzliche richtlinien anzulegen. allerdings nicht in Form einer GPO sondern sogenannte PSO
http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...
LG
grundsätzlich kann es in einem Ad Netzwerk bis 2008 nur 1 Kennwort Policy geben. Das ist demnach die Default Domain Policy. Alle anderen Policy werden nicht funktionieren. Es gibt seit 2008 (r2) die Möglichkeit zusätzliche richtlinien anzulegen. allerdings nicht in Form einer GPO sondern sogenannte PSO
http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...
LG
Ja sauber!
Genau das erklärt mein Problem.
Vielen Dank.
Werde das gleich morgen mal umsetzen.
@zanko
An dir natürlich auch dickes Danke und bis demnächst!
Cheers
Genau das erklärt mein Problem.
Vielen Dank.
Werde das gleich morgen mal umsetzen.
@zanko
An dir natürlich auch dickes Danke und bis demnächst!
Cheers
Moin catachan.
@Emptyman: Dein Problem war wohl, dass Dir nicht bekannt war, dass die Passwortpolicy auf die DCs wirken muss.
grundsätzlich kann es in einem Ad Netzwerk bis 2008 nur 1 Kennwort Policy geben. Das ist demnach die Default Domain Policy. Alle anderen Policy werden nicht funktionieren.
Nicht ganz korrekt. Jede Policy kann Kennwortpolicy sein - die Frage ist, wo sie angewendet werden soll. Domänennutzerkennwörter liegen auf dem DC - nur dort und nirgendwo anders kann und muss die Richtlinie also wirken. Man kann also eben so gut eine Policy erstellen, die mit "no override" eingestellt ist, die man auf den DCs wirken lässt und fertig: sie wird für alle Domänenkonten gelten. Jegliche andere Richtlinien, die man neben dieser Policy oder neben der Default Domain Policy (sofern sie denn konfiguriert ist) auf OUs mit Client-PCs anwendet, wirkt natürlich auch! - jedoch nur auf lokale und nicht auf Domänenkonten.@Emptyman: Dein Problem war wohl, dass Dir nicht bekannt war, dass die Passwortpolicy auf die DCs wirken muss.
Aha! Ich werde immer schlauer!
Bedeutet, dass ich die GPO auf die DCs delegieren muss?
Cheers
Bedeutet, dass ich die GPO auf die DCs delegieren muss?
Cheers
Willst Du die lokalen Konten (falls Benutzer überhaupt welche nutzen/erstellen dürfen) von der selben Richtlinie verwalten lassen, wendest Du sie auf alle an - zum Beispiel über die Default Domain Policy. Wenn Du nur die Domänennutzerkonten beeinflussen willst, konfigurierst Du eine GPO, die Du nur mit der OU der DCs verknüpfst. Ein GPupdate /force danach auf den DCs nicht vergessen.
