Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Von SBS 2008 eingestellte erzwungene Passwortänderung wird von XP Client nicht registriert

Mitglied: peter620

peter620 (Level 1) - Jetzt verbinden

31.05.2010 um 11:39 Uhr, 4969 Aufrufe, 7 Kommentare

Wir haben unseren Server auf einen SBS 2008 umgestellt. Dabei wurde das Sicherheitsniveau der Passwörter hochgestuft und zusätzlich die Einstellung vorgenommen, dass jeder Client bei Neuanmeldung sein Kennwort erneuern muss, mit einer Gültigkeit von X Tagen.

Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.

Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.

Wie kann ich dieses Problem lösen?
Mitglied: DerWoWusste
31.05.2010 um 15:00 Uhr
Hi.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.

Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Bitte warten ..
Mitglied: peter620
31.05.2010 um 15:32 Uhr
Gut möglich, dass ich meine Kenntnisse erweitern muss, allerdings hilft mir dein Beitrag nur bedingt weiter

Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
  • Clients=PC --> weiss ich & meinte ich auch so
  • jeder PC hat ein Kennwort ist klar, aber wieso "sieht" die ein Nutzer nicht und wieso machen die Nutzer die (welche?) Änderungen automatisch?
  • ich habe in der @@Default Domain Policy@@ -> Computer Configuration -> Policies -> ....Account Policies -> Password Policy die Angaben für "Enforce password history", "max. age", "max lenght" usw. eingestellt =>XP Clients können sich anmelden obwohl ihr passwort nicht die dort angegebenen Kriterien erfüllt.
  • Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined"
  • Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden

=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall! Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).
Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift

So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen )
Bitte warten ..
Mitglied: DerWoWusste
31.05.2010 um 16:26 Uhr
Schaffen wir schon.
jeder PC hat ein Kennwort ist klar...
Die PC-Kennwörter interessieren hier nicht die Bohne. Es geht um die Kennwörter der Dom.benutzer und so sollte man die auch nennen. Du nutzt "XP Clients" im Sprachgebrauch an Stelle von "Domänenbenutzer, die sich an xp-Clients anmelden" - und das verwirrt.
•Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined
Wenn Du dort nichts setzt, ist es not defined - logisch.
•Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
Wozu gibt es lokale Konten und was hat das mit dem Problem zu tun? Erklär genauer, wie lokale Konten hier reinspielen sollten.

wenn ich dich richtig verstehe...
Dieser Haken bewirkt, dass die Domänenkonten bei der nächsten Anmeldung eine Aufforderung zur Kennwortänderung (also erzwungene Änderung) erhalten. Die Auff. kommt nicht im laufenden Betrieb.

Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
Bitte warten ..
Mitglied: peter620
01.06.2010 um 09:31 Uhr
Wenn ich in der Default Domain Controllers Policy nichts einstellen steht dort "not defined", klar. Aber in der Default Domain Policy ist es eingestellt, und das reicht je deiner Meinung nach - also muss ich nichts in der DDCP einstellen.

Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.

Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 10:46 Uhr
Also: Du hast einen Fehlerzustand, soviel steht fest. Die Policy hat mit dem Haken nichts zu tun, das sind zwei Paar Schuhe. Auf den PCs, auf denen es nicht geht ist immer xp - das ist seltsam. Da es bei meinen xp-PCs in der Domäne (2008 Standard) noch geht, könnte es ein Problem des SBS sein - jedoch ist die Kombi SBS 2008 mit xp nicht unüblich und wird vermutlich von zig Tausenden Admins gefahren. Unwahrscheinlich also, dass es ein Bug ist - der wäre längst hinrteichend bekannt und gefixt. Es sei denn, Euer Server und xp sind völlig veraltet, was die Servicepacks angeht.

Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Bitte warten ..
Mitglied: peter620
01.06.2010 um 10:53 Uhr
Was Servicepacks angeht sind alle auf dem neuesten Stand.

Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 11:39 Uhr
Die Clients werten aus, was auf dem Server eingestellt ist. Falsch einstellen kann man auf dem Server nichts, entweder ein seltsamer Bug oder die Clients haben ein eben so seltsames Problem. Teste nun im Fehlerumfeld: richte ein lokales Testkonto am xp-Client ein und setze die Option "Kennwort muss bei der ersten Anmeldung geändert werden" - geht das?
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Passwortänderung lokaler Konten in einer 2008er Domäne

gelöst Frage von OniChanWindows Userverwaltung7 Kommentare

Moin Leute, ich stehe gerade vor der Aufgabe, das Kennwort des lokalen Administrator Kontos aller Clients (XP, Win7 & ...

Windows Server

SBS eingestellt - was folgt - wer hat Erfahrungen.

Frage von MaxInetWindows Server9 Kommentare

Hallo zusammen, wie wir alle wissen ist der SBS ja nun Geschichte, der letzte SBS ist der SBS 2011 ...

Windows Server

Erzwungene Updateinstallation Server 2008R2?

gelöst Frage von FSX2010Windows Server17 Kommentare

Hallo, kurze Frage zu den Windows Server 2008 Updates: Bisher, wenn es keine kritische Lücke war, habe ich die ...

Microsoft

Igel Client Authentication Failed anstatt Passwortänderung

Frage von DishakeMicrosoft

Hallo Zusammen, ich habe ein Problem wir haben einen Igel client der per RDP Verbindung auf einen Windows-Server zugreift. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 2 TagenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 3 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1015 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)11 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...