7
Von SBS 2008 eingestellte erzwungene Passwortänderung wird von XP Client nicht registriert
Wir haben unseren Server auf einen SBS 2008 umgestellt. Dabei wurde das Sicherheitsniveau der Passwörter hochgestuft und zusätzlich die Einstellung vorgenommen, dass jeder Client bei Neuanmeldung sein Kennwort erneuern muss, mit einer Gültigkeit von X Tagen.
Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.
Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.
Wie kann ich dieses Problem lösen?
Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.
Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.
Wie kann ich dieses Problem lösen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143859
Url: https://administrator.de/contentid/143859
Printed on: April 18, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hi.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.
Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.
Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Gut möglich, dass ich meine Kenntnisse erweitern muss, allerdings hilft mir dein Beitrag nur bedingt weiter 
Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall! Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).
Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift
So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen)
Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
- Clients=PC --> weiss ich & meinte ich auch so
- jeder PC hat ein Kennwort ist klar, aber wieso "sieht" die ein Nutzer nicht und wieso machen die Nutzer die (welche?) Änderungen automatisch?
- ich habe in der @@Default Domain Policy@@ -> Computer Configuration -> Policies -> ....Account Policies -> Password Policy die Angaben für "Enforce password history", "max. age", "max lenght" usw. eingestellt =>XP Clients können sich anmelden obwohl ihr passwort nicht die dort angegebenen Kriterien erfüllt.
- Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined"
- Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall!
Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift
So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen
)
Schaffen wir schon.
Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
jeder PC hat ein Kennwort ist klar...
Die PC-Kennwörter interessieren hier nicht die Bohne. Es geht um die Kennwörter der Dom.benutzer und so sollte man die auch nennen. Du nutzt "XP Clients" im Sprachgebrauch an Stelle von "Domänenbenutzer, die sich an xp-Clients anmelden" - und das verwirrt.•Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined
Wenn Du dort nichts setzt, ist es not defined - logisch.•Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
Wozu gibt es lokale Konten und was hat das mit dem Problem zu tun? Erklär genauer, wie lokale Konten hier reinspielen sollten.wenn ich dich richtig verstehe...
Dieser Haken bewirkt, dass die Domänenkonten bei der nächsten Anmeldung eine Aufforderung zur Kennwortänderung (also erzwungene Änderung) erhalten. Die Auff. kommt nicht im laufenden Betrieb.Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
Wenn ich in der Default Domain Controllers Policy nichts einstellen steht dort "not defined", klar. Aber in der Default Domain Policy ist es eingestellt, und das reicht je deiner Meinung nach - also muss ich nichts in der DDCP einstellen.
Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.
Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.
Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Also: Du hast einen Fehlerzustand, soviel steht fest. Die Policy hat mit dem Haken nichts zu tun, das sind zwei Paar Schuhe. Auf den PCs, auf denen es nicht geht ist immer xp - das ist seltsam. Da es bei meinen xp-PCs in der Domäne (2008 Standard) noch geht, könnte es ein Problem des SBS sein - jedoch ist die Kombi SBS 2008 mit xp nicht unüblich und wird vermutlich von zig Tausenden Admins gefahren. Unwahrscheinlich also, dass es ein Bug ist - der wäre längst hinrteichend bekannt und gefixt. Es sei denn, Euer Server und xp sind völlig veraltet, was die Servicepacks angeht.
Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Was Servicepacks angeht sind alle auf dem neuesten Stand.
Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Die Clients werten aus, was auf dem Server eingestellt ist. Falsch einstellen kann man auf dem Server nichts, entweder ein seltsamer Bug oder die Clients haben ein eben so seltsames Problem. Teste nun im Fehlerumfeld: richte ein lokales Testkonto am xp-Client ein und setze die Option "Kennwort muss bei der ersten Anmeldung geändert werden" - geht das?
