11
Server 2003 - Kennwortrichtlinien für eine OU deaktivieren
Hallo Leute,
ich brauche wieder mal eure Hilfe. ;)
Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.
Leider greift das ganze aber nicht, hat jemand eine Idee warum?
Danke.
mfg
ich brauche wieder mal eure Hilfe. ;)
Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.
Leider greift das ganze aber nicht, hat jemand eine Idee warum?
Danke.
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183961
Url: https://administrator.de/contentid/183961
Printed on: April 19, 2024 at 23:04 o'clock
11 Comments
Latest comment
Hallo,
hat er - wie du es beschreibst -die Richtlinie nicht gezogen, oder funktioniert sie nur nicht?
hat er - wie du es beschreibst -die Richtlinie nicht gezogen, oder funktioniert sie nur nicht?
Hi,
also soweit ich das jetzt sehe (gpresult) zieht er die entsprechende Policy nicht......
gpupdate hab ich gemacht.
Er bekommt die beiden anderen Policys und die Default Domain Policy. Aber meine nicht.
mfg
also soweit ich das jetzt sehe (gpresult) zieht er die entsprechende Policy nicht......
gpupdate hab ich gemacht.
Er bekommt die beiden anderen Policys und die Default Domain Policy. Aber meine nicht.
mfg
Hey,
hmm okay. Kannst ja einmal Stichwortartig erklären, was genau du bereits gemacht hast - evtl. lässt sich so ein kleiner Konfigurationsfehler feststellen.
hmm okay. Kannst ja einmal Stichwortartig erklären, was genau du bereits gemacht hast - evtl. lässt sich so ein kleiner Konfigurationsfehler feststellen.
- OU erstellt: OU=MDE OU=Firma Intern
- User in die OU "MDE" verschoben
- Neue Policy für diese OU angelegt (Keine Passwortrichtlinien) -> "Kennwort muss Komplexitätsvoraussetzungen entsprechen: Deaktiviert
- Haken bei "Erzwungen" gesetzt
- Vererbung für "MDE" deaktiviert
- Am Client neu angemeldet und zusätzlich noch ein gpupdate gemacht
Leider bekommt der Client immer noch die Default.......
Hmmm, auch mal mit "gpupdate /force" versucht? Sind die Objekte richtig verknüpft?
NACHTRAG
Gerade gelesen, dass es sich um einen Windows Server 2003 handelt. Meiner Meinung nach ist es bei der Version nur möglich, EINE gültige Kennwort-Policy zu verwenden. Erst ab Version 2008 hat MS dies geändert, dass man Kennwortrichtlinien auch für Gruppen, Benutzer etc. über GPO steuer kann.
NACHTRAG 2
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Active Directory hat bis einschließlich Windows Server 2003 die Einschränkung, nur eine einzige für die ganze Domäne gültige Passwortrichtlinie definieren zu können. Eine Passwortrichtlinie wirkte somit für alle Benutzer in der Domäne verbindlich – Ausnahmen, um für weitere Benutzer andere Einstellungen definieren zu können gab es nicht. Das war ziemlich einschränkend, zumal man sicherlich für einige Benutzergruppen andere Richtlinien vergeben möchte als für den Rest des Unternehmens. Ausweg waren bisher nur 3rd-Party-Tools die dieses "Feature" nachrüsten können oder die Aufsplittung eines Unternehmenszweiges in eine zusätzliche Domäne.
Ja, hab ich versucht.
Ja, sollte alles passen. Ist gleich wie die anderen......
Ja, sollte alles passen. Ist gleich wie die anderen......
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.
Zitat von @d4shoerncheN:
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.
Ah OK, danke für die Info!
Aber warum ich die Policy nicht ziehe verstehe ich trotzdem nicht......
Das is doch noch ein anderes Problem oder?
Vielleicht ignoriert er diese, Aufgrund der Inkompatibilität. Versuch doch mal, irgendeine andere Einstellung dort zu hinterlegen und mit "gpupdate /force" auf dem Client abzurufen.
Also über GPO kannst du so was nicht einstellen.
Da alle User über den DC laufen muss auch dort alles geändert werden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.
Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...
Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.
Hoffe mal das hilft dir so
MFG
Edit:
Noch ein wichtiger Hinweis:
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.
Also nicht mit einer OU.
Da alle User über den DC laufen muss auch dort alles geändert werden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.
Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...
Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.
Hoffe mal das hilft dir so
MFG
Edit:
Noch ein wichtiger Hinweis:
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.
Also nicht mit einer OU.
Hi SirAnimus.
Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Aber nun kommt's:
Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Da alle User über den DC laufen muss auch dort alles geändert werden
Korrekt. Bis 2003 Server konnte man die Kennwortrichtlinie für Domänenkonten nur auf die OU mit den DCs anwenden.Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen
Auch korrekt. Weitere Richtlinien sind möglich, sofern man auch definiert, dass sie nicht von der anderen Policy überschrieben werden. Für lokale Konten gehen demnach also jederzeit mehrere Richtlinien, auch bei 2003 schon.Aber nun kommt's:
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen
Du fängst hier an, PSOs zu beschreiben - diese gibt es jedoch erst seit 2008 Server.Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen. Also nicht mit einer OU.
Wenn man weiter von 2003 bei ihm ausgeht, ist auch der Satz sogar komplett falsch.
