torsten-s
Goto Top

SBS 2008 Domäne - User können Ihre Kennwörter nicht ändern

Liebes Forum,

bin hier mit meinem Latein so ziemlich am Ende:

Habe eine Windows SBS 2008 Domäne am Laufen. Nun möchten die User ihr Kennwort am Client (WIN XP, WIN7) über STRG+ALT+ENTF ändern. Jedoch kommt jedesmal der Hinweis, dass das neue Kennwort nicht der Kennwortrichtlinie der Domäne entspricht und daher nicht geändert werden kann, auch, wenn alle Vorgaben eingehalten werden (Komplexität, Länge, Historie).

Änderungen hierzu macht man ja unter: gpmc.msc > Default Domain Policy > Bearbeiten > Computerkonf. > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinien oder als "SBSler" unter der SBSConsole -> Benutzer und Gruppen -> Kennwortrichtlinien ändern.

Nun dachte ich mir, ich schalte mal die Komplexitätsanforderungen und alle anderen Vorgaben aus, um zu sehen, was sich tut. Auch nach einem gpupdate an den Clients (sowie am Server) bringt leider keine Änderung. Selbst wenn ich in der Default Domain Policy alles auf "nicht definiert" setze, kann der User das Kennwort nicht selber ändern. Auch im AD ist bei den Kontoeinstellungen der User kein Haken bei "User kann Kennwort nicht ändern".
Das gleiche Problem habe ich auch an einem zweiten SBS 2008, den ich noch betreue. Ich denke mal, ich mache da grundsätzlich was falsch. Oder muss ich an anderer Stelle noch was "drehen"?
Da die User Ihr Passwort regelmäßig selber ändern sollen, wäre es schon gut, wenn ich das zum Laufen bekomme.

Hat hier jemand noch einen Hinweis für mich? VIIIIEEEELLLLLEEENNN Dank im Voraus!


Torsten

Content-Key: 146841

Url: https://administrator.de/contentid/146841

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 14.07.2010 um 08:41:36 Uhr
Goto Top
Moin.
Vorweg (und doch nebenbei): GPupdate ist nur am Server nötig, die Kennwortpolicy für Domänenkonten wirkt nicht auf Clients (bis auf für deren lokale Konten).
Führ am Server mal rsop.msc aus, um zu prüfen, ob die Änderungen greifen.
Mitglied: epiclulz
epiclulz 14.07.2010 um 08:53:31 Uhr
Goto Top
Lieber Torsten,

ich hab leider keinen SBS vor mir, allerdings gefühlt müsste die Richtlinie eine Benutzerrichtlinie und keine Computerrichtlinie sein. Vielleicht liegt dort schon dein Problem.

Gruß
Mitglied: fisi-pjm
fisi-pjm 14.07.2010 um 09:04:21 Uhr
Goto Top
Hallo Torsten,

ich hab den eindruck es mangelt am grundlegenden Verständniss von Gruppenrichtlinien. Vorneweg, ändere NIEMALS etwas an der Default Domain Policy leg dir eine neue an und Priorisiere sie höher als die Default policy, dann kannst du nach belieben herumprobieren.

Also, zu deinem Problem. Gruppenrichtlinien sind Registry Einstellungen die auf den Client / Server übertragen werden. Gruppenrichtlinien enthalten lange nicht alle Einstellungen die möglich sind, sie sind lediglich Vorlagen / Schablonen um leicht verschiedene Einstellungen vornehmen zu können. Fürs besser Verständiss siehr auch http://www.gruppenrichtlinien.de

Wenn du also eine Einstellung definierst und anschließend wieder auf nicht definiert stellst, hat sie weiterhin die gleiche Einstellung wie zuvor um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.

Handelt es sich bei den Benutzerkonten um lokale oder um Domänen Benutzer?

Gruß
PJM
Mitglied: Torsten-S
Torsten-S 14.07.2010 um 09:54:49 Uhr
Goto Top
Hallo an Euch drei,

erst mal herzlichen Dank, dass Ihr einem Newbie so schnell geantwortet habt....

@DerWoWusste: danke - wieder was gelernt face-smile Die Richtlinien werden angewandt. rsop.msc zeigt mir die gemachten Ändeurngen auch an.
@pjm: mit der Default Domain Policy hast Du natürlich recht... Auch mit meinen Kenntnissen der GPs. Danke für Deinen Hinweis, die EInstellungen zu DEAKTIVIEREN. Das habe ich gemacht und dann wieder aktiviert mit den Einstellungen, die ich haben möchte und nun klappt es auch mit der Änderung!!

Danke Euch dreien nochmals!!

Schöne Grüße,

Torsten
Mitglied: DerWoWusste
DerWoWusste 14.07.2010 um 09:55:07 Uhr
Goto Top
@Fisi...
um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.
Das stimmt nicht uneingeschränkt und sollte so auf keinen Fall verbreitet werden. Lies unter http://technet.microsoft.com/en-us/library/cc781760(WS.10).aspx den Abschnitt ab "Be aware that security settings can persist". Dort heißt es:
If a policy defines a security setting and then no longer defines that setting, the setting reverts to the previous value in the database. If a previous value does not exist in the database, the setting remains defined as is. This behavior is sometimes called tattooing.

Wie ist es in unserem Fall? Wir haben eine Policy, die nur auf den DC wirken muss. Wie war dort die Grundeinstellung? Richtig: nichts definiert, somit führt es zurück zu "keine Einstellung gesetzt bezüglich Kennwortkomplexität"; man braucht nicht zu negieren.
Edit: ich sehe gerade, negieren hat gewirkt - also muss in diesem Fall schon etwas gesetzt gewesen sein (dies ist nicht Default).

@epiclulz
es ist eine Computerrichtlinie, sie gilt für eine Kennwortdatenbank, die ist nicht benutzerabhängig.
Mitglied: epiclulz
epiclulz 14.07.2010 um 12:54:20 Uhr
Goto Top
da hatte ich einen denkfehler am frühen morgen. face-smile danke für den hinweis