5
Passwortrichtlinie im Active Directory via GPO durchsetzten
Hallo zusammen.
Ich möchte eine Passwortrichtlinie in einem Win2003 AD via Gruppenrichtlinie auf Domänen Ebene durchsetzten. Die Erstellung der Richtlinie und das Erzwingen dieser auf die Computer funktioniert. Im RSOP des PCs und im >Gruppen Richtlinien Ergebnis Tool< der GPMC wird die RL korrekt angezeigt und auch nicht durch die >Standard Domänen Richtlinie< überschrieben.
Angewendet wird diese RL im Moment aber nur, durch den Sicherheits Filter in der RL, auf einen Test User und -Computer in der Domäne.
Mein Problem ist nun, daß keine Aufforderung zum Ändern des Passwortes erfolgt, egal auf wieviel Tage ich das max. - und min. Ablaufdatum stelle.
Habe das ganze auch schon in einer eigenen OU versucht. Leider das gleiche Spiel.
Was mache ich falsch?
Vielen Dank schonmal...!
Mfg
MT
Man muss halt in den User Accounts den Haken bei > User must change password at next logon < setzen! Man denkt halt manchmal zu kompliziert!
Ich möchte eine Passwortrichtlinie in einem Win2003 AD via Gruppenrichtlinie auf Domänen Ebene durchsetzten. Die Erstellung der Richtlinie und das Erzwingen dieser auf die Computer funktioniert. Im RSOP des PCs und im >Gruppen Richtlinien Ergebnis Tool< der GPMC wird die RL korrekt angezeigt und auch nicht durch die >Standard Domänen Richtlinie< überschrieben.
Angewendet wird diese RL im Moment aber nur, durch den Sicherheits Filter in der RL, auf einen Test User und -Computer in der Domäne.
Mein Problem ist nun, daß keine Aufforderung zum Ändern des Passwortes erfolgt, egal auf wieviel Tage ich das max. - und min. Ablaufdatum stelle.
Habe das ganze auch schon in einer eigenen OU versucht. Leider das gleiche Spiel.
Was mache ich falsch?
Vielen Dank schonmal...!
Mfg
MT
Hat sich erledigt, Danke.
Man muss halt in den User Accounts den Haken bei > User must change password at next logon < setzen! Man denkt halt manchmal zu kompliziert!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52219
Url: https://administrator.de/contentid/52219
Printed on: April 26, 2024 at 17:04 o'clock
5 Comments
Latest comment
eigentlich garnix weil das passwort erst nach der max alter abläuft also wenn du des einstellst auf 1 tag wird am nächsten tag das pw erst zu neu eingabe gezwungen.
(kleiner tip um das zu testen dreh die bios uhr um 1 tag vor dann solte es gehen, wenns nicht geht dann nimmt er die zeit vom server)
(kleiner tip um das zu testen dreh die bios uhr um 1 tag vor dann solte es gehen, wenns nicht geht dann nimmt er die zeit vom server)
danke für die schnelle antwort.
genau das ist ja mein problem. habe ja die, wie schon im Beitrag geschrieben, min. + max. tage runtergesetzt und dann die zeit auch abgewartet...
genau das ist ja mein problem. habe ja die, wie schon im Beitrag geschrieben, min. + max. tage runtergesetzt und dann die zeit auch abgewartet...
also min solte normalerweise auf 0 stehen und max als test auf 1 dann so zwischen 90 und 120 tagen. probier mal die zeit umzustellen auf dem server und dann es auszuprobieren.
und so als tip lad dir von VMWare den VMWare Server runter der ist kostenlos und du kannst ihn auch auf Workstations verwenden und dann mach zwei viruelle systeme einmal den Server und einmal den client und spiel damit rum dann kannste wenigstens nichts kaput machen.
Grüße
TomTom
und so als tip lad dir von VMWare den VMWare Server runter der ist kostenlos und du kannst ihn auch auf Workstations verwenden und dann mach zwei viruelle systeme einmal den Server und einmal den client und spiel damit rum dann kannste wenigstens nichts kaput machen.
Grüße
TomTom
Kennwortchronik erzwingen, dann sollte es funktionieren:
http://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/a ...
saludos
gnarff
http://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/a ...
saludos
gnarff
Hallo ihr lieben,
ich habe eine Passwortrichtlinie erstellt, die ich per GPO verteilen will. Ich will die GPO aber nicht auf alle Rechner bzw. alle Mitarbeiter anwenden. (Bsp. Administrator).
Ich habe die GPO erst einmal auf eine OU angewandt, in der ein einzelner Rechner und 1 Benutzer waren (zum Testen). Aber die Policy hat nicht gegriffen. Dann habe ich in der Sicherheitsfilterung den Rechner und den User eingetragen. Die GPO greift immer noch nicht.
Jetzt habe ich gelesen (bin mir aber nach diesem Thread hier nicht mehr sicher, ob das auch stimmt), daß die Passwortrichtlinie in der obersten Ebene, also der Domain zugeordnet werden muß.
Das habe ich getan. Allerdings ohne Auswirkung auf den hinterlegten Rechner bzw. User.
Um zu testen, ob die GPO überhaupt greift, habe ich "authentifizierte Benutzer" eingetragen. ..... Naja, was soll ich sagen Die Richtlinie greift. Mein Telefon stand nicht mehr still.
Habe alles wieder auf Null gestellt bzw. deaktiviert und später dann die authentifizierten Benutzer wieder rausgenommen.
So, nun bin ich aber am Ende mit meinem Latein. Warum greift die GPO, wenn ich sie auf alle Benutzer anwende und nicht, wenn ich sie auf einzelne Benutzer bzw. Rechner anwende?
Wie stelle ich ein, daß die Admins von der Richtlinie ausgeschlossen sind? Wie wende ich die Richtlinie auf bestimmte OUs an? Geht das überhaupt?
GPResult zeigt übrigens an, daß die GPO auf dem Rechner greift, allerdings nicht auf den User.
Vielen Dank schon mal für eure Hilfe.
Grüße
Berra
ich habe eine Passwortrichtlinie erstellt, die ich per GPO verteilen will. Ich will die GPO aber nicht auf alle Rechner bzw. alle Mitarbeiter anwenden. (Bsp. Administrator).
Ich habe die GPO erst einmal auf eine OU angewandt, in der ein einzelner Rechner und 1 Benutzer waren (zum Testen). Aber die Policy hat nicht gegriffen. Dann habe ich in der Sicherheitsfilterung den Rechner und den User eingetragen. Die GPO greift immer noch nicht.
Jetzt habe ich gelesen (bin mir aber nach diesem Thread hier nicht mehr sicher, ob das auch stimmt), daß die Passwortrichtlinie in der obersten Ebene, also der Domain zugeordnet werden muß.
Das habe ich getan. Allerdings ohne Auswirkung auf den hinterlegten Rechner bzw. User.
Um zu testen, ob die GPO überhaupt greift, habe ich "authentifizierte Benutzer" eingetragen. ..... Naja, was soll ich sagen
Die Richtlinie greift. Mein Telefon stand nicht mehr still. Habe alles wieder auf Null gestellt bzw. deaktiviert und später dann die authentifizierten Benutzer wieder rausgenommen.
So, nun bin ich aber am Ende mit meinem Latein. Warum greift die GPO, wenn ich sie auf alle Benutzer anwende und nicht, wenn ich sie auf einzelne Benutzer bzw. Rechner anwende?
Wie stelle ich ein, daß die Admins von der Richtlinie ausgeschlossen sind? Wie wende ich die Richtlinie auf bestimmte OUs an? Geht das überhaupt?
GPResult zeigt übrigens an, daß die GPO auf dem Rechner greift, allerdings nicht auf den User.
Vielen Dank schon mal für eure Hilfe.
Grüße
Berra