Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SBS 2008 Domäne - User können Ihre Kennwörter nicht ändern

Mitglied: Torsten-S

Torsten-S (Level 1) - Jetzt verbinden

14.07.2010 um 08:35 Uhr, 12130 Aufrufe, 6 Kommentare

Liebes Forum,

bin hier mit meinem Latein so ziemlich am Ende:

Habe eine Windows SBS 2008 Domäne am Laufen. Nun möchten die User ihr Kennwort am Client (WIN XP, WIN7) über STRG+ALT+ENTF ändern. Jedoch kommt jedesmal der Hinweis, dass das neue Kennwort nicht der Kennwortrichtlinie der Domäne entspricht und daher nicht geändert werden kann, auch, wenn alle Vorgaben eingehalten werden (Komplexität, Länge, Historie).

Änderungen hierzu macht man ja unter: gpmc.msc > Default Domain Policy > Bearbeiten > Computerkonf. > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinien oder als "SBSler" unter der SBSConsole -> Benutzer und Gruppen -> Kennwortrichtlinien ändern.

Nun dachte ich mir, ich schalte mal die Komplexitätsanforderungen und alle anderen Vorgaben aus, um zu sehen, was sich tut. Auch nach einem gpupdate an den Clients (sowie am Server) bringt leider keine Änderung. Selbst wenn ich in der Default Domain Policy alles auf "nicht definiert" setze, kann der User das Kennwort nicht selber ändern. Auch im AD ist bei den Kontoeinstellungen der User kein Haken bei "User kann Kennwort nicht ändern".
Das gleiche Problem habe ich auch an einem zweiten SBS 2008, den ich noch betreue. Ich denke mal, ich mache da grundsätzlich was falsch. Oder muss ich an anderer Stelle noch was "drehen"?
Da die User Ihr Passwort regelmäßig selber ändern sollen, wäre es schon gut, wenn ich das zum Laufen bekomme.

Hat hier jemand noch einen Hinweis für mich? VIIIIEEEELLLLLEEENNN Dank im Voraus!


Torsten
Mitglied: DerWoWusste
14.07.2010 um 08:41 Uhr
Moin.
Vorweg (und doch nebenbei): GPupdate ist nur am Server nötig, die Kennwortpolicy für Domänenkonten wirkt nicht auf Clients (bis auf für deren lokale Konten).
Führ am Server mal rsop.msc aus, um zu prüfen, ob die Änderungen greifen.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 08:53 Uhr
Lieber Torsten,

ich hab leider keinen SBS vor mir, allerdings gefühlt müsste die Richtlinie eine Benutzerrichtlinie und keine Computerrichtlinie sein. Vielleicht liegt dort schon dein Problem.

Gruß
Bitte warten ..
Mitglied: fisi-pjm
14.07.2010 um 09:04 Uhr
Hallo Torsten,

ich hab den eindruck es mangelt am grundlegenden Verständniss von Gruppenrichtlinien. Vorneweg, ändere NIEMALS etwas an der Default Domain Policy leg dir eine neue an und Priorisiere sie höher als die Default policy, dann kannst du nach belieben herumprobieren.

Also, zu deinem Problem. Gruppenrichtlinien sind Registry Einstellungen die auf den Client / Server übertragen werden. Gruppenrichtlinien enthalten lange nicht alle Einstellungen die möglich sind, sie sind lediglich Vorlagen / Schablonen um leicht verschiedene Einstellungen vornehmen zu können. Fürs besser Verständiss siehr auch http://www.gruppenrichtlinien.de

Wenn du also eine Einstellung definierst und anschließend wieder auf nicht definiert stellst, hat sie weiterhin die gleiche Einstellung wie zuvor um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.

Handelt es sich bei den Benutzerkonten um lokale oder um Domänen Benutzer?

Gruß
PJM
Bitte warten ..
Mitglied: Torsten-S
14.07.2010 um 09:54 Uhr
Hallo an Euch drei,

erst mal herzlichen Dank, dass Ihr einem Newbie so schnell geantwortet habt....

@DerWoWusste: danke - wieder was gelernt Die Richtlinien werden angewandt. rsop.msc zeigt mir die gemachten Ändeurngen auch an.
@PJM: mit der Default Domain Policy hast Du natürlich recht... Auch mit meinen Kenntnissen der GPs. Danke für Deinen Hinweis, die EInstellungen zu DEAKTIVIEREN. Das habe ich gemacht und dann wieder aktiviert mit den Einstellungen, die ich haben möchte und nun klappt es auch mit der Änderung!!

Danke Euch dreien nochmals!!

Schöne Grüße,

Torsten
Bitte warten ..
Mitglied: DerWoWusste
14.07.2010 um 09:55 Uhr
@fisi...
um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.
Das stimmt nicht uneingeschränkt und sollte so auf keinen Fall verbreitet werden. Lies unter http://technet.microsoft.com/en-us/library/cc781760(WS.10).aspx den Abschnitt ab "Be aware that security settings can persist". Dort heißt es:
If a policy defines a security setting and then no longer defines that setting, the setting reverts to the previous value in the database. If a previous value does not exist in the database, the setting remains defined as is. This behavior is sometimes called tattooing.

Wie ist es in unserem Fall? Wir haben eine Policy, die nur auf den DC wirken muss. Wie war dort die Grundeinstellung? Richtig: nichts definiert, somit führt es zurück zu "keine Einstellung gesetzt bezüglich Kennwortkomplexität"; man braucht nicht zu negieren.
Edit: ich sehe gerade, negieren hat gewirkt - also muss in diesem Fall schon etwas gesetzt gewesen sein (dies ist nicht Default).

@epiclulz
es ist eine Computerrichtlinie, sie gilt für eine Kennwortdatenbank, die ist nicht benutzerabhängig.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 12:54 Uhr
da hatte ich einen denkfehler am frühen morgen. danke für den hinweis
Bitte warten ..
Ähnliche Inhalte
Windows Server

User können Kennwörter nicht ändern

gelöst Frage von platinWindows Server3 Kommentare

Hallo zusammen, ich habe eine frisch aufgesetzte und kaum konfigurierte Windows Domäne basierend auf Server 2012 R2. Dort habe ...

Windows Server

Windows Server 2012 R2 Kennwort ändern für Domäne

gelöst Frage von Hendrik2586Windows Server5 Kommentare

Hallo meine Lieben , ich hab da mal eine kurze Frage. Mein Chef möchte das sich zu morgen alle ...

Windows Userverwaltung

Domänen Administrator Kennwort im Active Directory ändern. Wie?

gelöst Frage von Xinu32Windows Userverwaltung5 Kommentare

Hallo zusammen, ich würde gerne das Domänen Administrator Kennwort auf unserem Windows 2003 Domänencontroller ändern. Wo mache ich das ...

Windows Server

Kennwort ändern in Citrix-Desktop

gelöst Frage von thaefligerWindows Server7 Kommentare

Hallo zusammen Wir arbeiten mit Published Desktops auf Citrix Xenapp 6.5. Für die User ist Ctrl+Alt+Delete bzw. Ctrl+Alt+End gesperrt ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 7 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 9 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 9 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...