pworld
Goto Top

Windows 2008 Domain Password Policy funktioniert nicht

Windows 2008 Domain Password Policy funktioniert nicht

Ich habe folgende Einstellungen gemacht in einer W2008 Domain.
Standard Richtiline:
-> Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheits einstellungen -> Kontorichtlinien

Eingestellt ist:

Komplexitätsanforderungen: Deaktiviert
Kennwortchronik: 6 gesp. Kennwörter
Umkehbare Verschlüsselung. Deaktiviert
Maximales Kennwort Alter: 32 Tage
Kennwort Länge: 8 Zeichen
Minimales Kennwort Alter: 31 Tage


Allerdings wirken die änderungen nicht. Der User muss nie ein Passwort ändern. Es kommt ein paar Tage davor auch nicht die Meldung das sein Passwort abläuft.

2. Frage wie könnte ich nachschauen wieviele Tage noch ein Passwort gültig ist?

Oder mache ich einfach einen überlegungsfehler ist schon eine Zeit her wo ich eine Password Policy definiert habe.

Content-Key: 132483

Url: https://administrator.de/contentid/132483

Ausgedruckt am: 29.03.2024 um 04:03 Uhr

Mitglied: 48507
48507 30.12.2009 um 10:22:35 Uhr
Goto Top
Ich welcher Policy hast du es einstellt? Default Domain Policy? In einer anderen? Ist diese mit einer OU verknüpft? Ob eine Policy übernommen wird oder nicht, kannst du auf dem Client mittels rsop.msc ermitteln. gpupdate /force könnte auch helfen.
Mitglied: pworld
pworld 30.12.2009 um 11:09:18 Uhr
Goto Top
Die rsop.msc zeigt genau die einstellung die von der Domäne kommt. Gpupdate habe ich gemacht und es ist die Standard richtiline also Default Domain Policy.

Ich habe allerdings beim Client folgende fehlermeldung nach eingabe von rsop.msc:

Administrative Vorlagen
Folgender Fehler in C:\Windows\inf\aer1028.adm in Zeile 30 aufgetreten: Fehler 64 Die Hilfzeichenfolge wurde mehr als einmal angegeben. Die Datei kann nicht geladen werden.
Mitglied: Sonnenscheinhasser
Sonnenscheinhasser 30.12.2009 um 11:23:30 Uhr
Goto Top
Zitat von @pworld:

2. Frage wie könnte ich nachschauen wieviele Tage noch ein Passwort gültig ist?

Such mal nach 'lockoutstatus.exe'. Gibt es bei Microsoft. Zeigt dir u.a. auch an, wie es um das Passwort eines Users bestellt ist.

Schwarze Grüße,
Tom
Mitglied: pworld
pworld 31.12.2009 um 12:19:57 Uhr
Goto Top
Ich habe das nachgeschaut mit dem Tool -> Obwohl lokal wie oben genannt die Einstellungen lokal übernommen worden sind.
Das habe ich mit gpedit.msc Lokal angeschaut -> Die Einstellungen kommen von der Domäne das heisst ich kann diese nicht mehr lokal modifizieren.

Mit dem Tool lockstatus zeigt es an: Max password age for xxdxxxx is 49710 days.
Current password age is 61 days 20 hours 15 min
Password remains valid for 49648 day 10hours 10 min
Mitglied: DerWoWusste
DerWoWusste 31.12.2009 um 16:39:41 Uhr
Goto Top
Moin.
Dein Denkfehler könnte sein: die Policy muss auf die Kontendatenbank angewendet werden, welche die Domänenkonten enthält. Diese liegt auf dem DC. Was auf den Clients zieht (rsop.msc) gilt für lokale Konten! Für Domänenkonten ist die Clienteinstellung wurst, allein auf dem DC muss die Kennwortpolicy angewendet werden. Schau also nach, was auf dem DC greift.
Mitglied: 48507
48507 31.12.2009 um 17:46:19 Uhr
Goto Top
Zitat von pworld
Die rsop.msc zeigt genau die einstellung die von der Domäne kommt. Gpupdate habe ich gemacht und es ist die Standard richtiline also Default Domain Policy.

Kennwortrichtlinien sind Computereinstellungen. Ist der Computer Mitglied der Domäne und gelten die Richtilinien für diesen, so gelten sie für alle User auf diesem Computer, egal ob lokal oder Domäne. Ein lokales Anpassen der Richtlinien (gpedit.msc) ist dann nicht mehr möglich.
Mitglied: DerWoWusste
DerWoWusste 31.12.2009 um 18:27:43 Uhr
Goto Top
gelten sie für alle User auf diesem Computer, egal ob lokal oder Domäne
Falsch, denn Domänenkennwörter liegen nicht auf dem PC sondern auf dem DC.
Mitglied: 48507
48507 31.12.2009 um 18:52:05 Uhr
Goto Top
Es geht hier um Richtlinien für Kennwörter und nicht um die Kennwörter selbst...
Mitglied: DerWoWusste
DerWoWusste 31.12.2009 um 19:05:45 Uhr
Goto Top
Probiers bitte aus, wenn Du's nicht glaubst. Die KW-Richtl. gehört nichtmal in die Def.-Policy, sondern in die DefDom-Policy (wenn es um Domänenkonten geht).
Mitglied: 48507
48507 31.12.2009 um 19:08:20 Uhr
Goto Top
Oben steht doch Default Domain Policy. Außerdem müssen die Richtlinien nicht zwangweise in dieser definiert sein. Denn so würden diese auch für Server gelten, und wer will das schon? Ich habe z.B. eigene OUs/GPOs für Arbeitsplatz-Rechner sowie Laptops, die jeweils eigene Richtlinien besitzen.
Mitglied: DerWoWusste
DerWoWusste 01.01.2010 um 18:15:01 Uhr
Goto Top
Hallo und frohes Neues!

@spytnik
Ich habe z.B. eigene OUs/GPOs für Arbeitsplatz-Rechner sowie Laptops, die jeweils eigene Richtlinien besitzen.
Dem widerspreche ich nicht - man kann für lokale Kennwörter für verschiedene OUs verschiedene Kennwortpolicies definieren - nicht aber für Domänenkonten. Für die gilt die Policy, welche für die DCs greift. Es bringt nichts, am Client rsop.msc zu starten - das sagt Dir nur, wie die lokalen Kennwörter gehandhabt werden. Überlegt bitte: man kann ein Dom.-Kennwort nur ändern, wenn eine Verbindung zum DC besteht - denn DORT wird es abgelegt und DORT wird es gegen die Kennwortrichtlinie geprüft.
Aus diesem Grund galt (bis 2008 Server das änderte): Für Domänenkonten kann es nur eine Kennwortrichtline pro Domäne geben (nämlich die, die auf dem DC greift - egal ob DDC-Pol, DD-Pol oder Policy xy).
Mitglied: 48507
48507 01.01.2010 um 19:48:07 Uhr
Goto Top
Jetzt habe ich es kapiert, danke für deine Geduld. Was ich jedoch nicht kapiere: Ich habe in der Default Domain Policy (=Sicherheitseinstellungen für Domänen) lediglich "Kennwort muss Komplexitätsvorraussetzungen entsprechen" deaktiviert. In der Default Domain Controller Policy (=Sicherheitseinstellungen für Domain Controller) ist nichts definiert. Alles andere wird in den entsrpechenden OUs definiert. Warum funktioniert es trotzdem? (Win 2003 R1 - Domäne, nur Domänenkonten).
Mitglied: DerWoWusste
DerWoWusste 01.01.2010 um 20:00:08 Uhr
Goto Top
Sag nochmal genauer - was funktioniert trotzdem? Die Komplexitätsanforderungen werden berücksichtigt, obwohl rsop.msc auf dem DC ansagt, dass sie deaktiviert sind? Kann nicht sein, prüf nochmal.
Mitglied: 48507
48507 01.01.2010 um 20:14:20 Uhr
Goto Top
rsop.msc auf dem DC gibt genau das aus, was in der DDP eingestellt ist: "Kennwort muss Komplexitätsvorraussetzungen entsprechen": deaktiviert. Alles andere ist dort auch nicht definiert.

Die anderen Sachen, wie "Maximales Kennwortalter", sind in den ensprechenden OUs definiert. So ist das max. Kennwortalter auf 0 eingestellt. Laut der obigen Aussage muss jedoch genau diese Einstellung doch in der DDP vorgenommen werden? Es musste bei uns jedoch noch kein Benutzer sein Passwort aufgrund des Alters ändern...
Mitglied: DerWoWusste
DerWoWusste 02.01.2010 um 01:13:24 Uhr
Goto Top
Wenn bei den Benutzerobjekten direkt der Haken gesetzt ist "Kennwort läuft nie ab", dann überstimmt dies selbst die Policy der Domäne. Gegeben?
Mitglied: 48507
48507 04.01.2010 um 10:11:30 Uhr
Goto Top
Den Haken setzen wir nicht (Stattdessen wird beim Anlegen eines Benutzers "Kennwort muss bei der nächsten Anmeldung geändert werden" gesetzt.) Ich habe mir die Policies genauer angeschaut und es ist definitiv wie oben beschrieben. Das wundert mich doch, denn hier steht auch, dass es eigentlich nicht funktionieren sollte: http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

Von Mark Heitbrink, dem deutschen GPO-Guru schlechthin...
Mitglied: pworld
pworld 19.01.2010 um 16:28:13 Uhr
Goto Top
@ Der WoWusste

Also muss ich die Einstellungen auf der DomainControllerPolicy machen und nicht in der Default Domain Policy ? Richtig?
Mitglied: DerWoWusste
DerWoWusste 19.01.2010 um 20:14:24 Uhr
Goto Top
Du kannst (nicht musst) die Einstellungen in der Def.DC-Pol. machen - oder in der Def.Dom.-Pol. - Hauptsache in einer Policy, die auf den DCs angewendet wird.
Mitglied: pworld
pworld 21.01.2010 um 10:41:54 Uhr
Goto Top
Also auf den Default Domain Policy funktioniert das leider nicht. Ich werde es mal auf Default Domain Controller Policy anwenden.
Mitglied: pworld
pworld 21.01.2010 um 11:02:14 Uhr
Goto Top
Auf Default DC Policy funktioniert das ebenfalls nicht. Leider !
Mitglied: DerWoWusste
DerWoWusste 21.01.2010 um 13:05:56 Uhr
Goto Top
Aber sicher funktioniert das. Mach am DC ein
gpupdate /force /target:computer
und sieh danach mit rsop.msc nach, ob es angewendet wird.
Mitglied: pworld
pworld 21.01.2010 um 16:18:17 Uhr
Goto Top
Entschuldigung meine Antwort war eher das die Einstellungen nicht wirken.

Das ist ja genau mein Problem.

IM RSOP nach gupate /force oder neustart am Client mit User sind genau die Einstellungen die von der Domäne kommen.
Auch im RSOP auf dem DC bezogen auf Client und User den ich verwende genau die Einstellungen die er haben muss bzw. bekommen hat.
Mitglied: pworld
pworld 21.01.2010 um 16:40:18 Uhr
Goto Top
Was mir auch aufällt ist wenn ich nach einem Neustart mit Ctr + Alt + Delete drücke dann kann ich ein Passwort einstellen mit mindestens 7 Zeichen die Policy ist ja aber eingestellt auf 8 Zeichen.
Mitglied: DerWoWusste
DerWoWusste 21.01.2010 um 17:02:46 Uhr
Goto Top
Nochmal ganz langsam face-smile
Führe rsop auf dem DC aus. Nicht für den Client oder User, sondern für den DC selbst. Auf den muss es wirken als Computerpolicy.
Wenn mehrere DCs: bei allen DCs.
Mitglied: pworld
pworld 22.01.2010 um 09:52:28 Uhr
Goto Top
Kein Problem face-wink
Interessant !

Obwohl die Policy gesetzt ist kommt auf dem DC nach einem rsop bei den Kenwwort Richtlinien nichts das heisst es sind keine Einstellungen drin. Einstellungen"nicht definiert"

Gpupate /force habe ich davor bereits gemacht.
Mitglied: DerWoWusste
DerWoWusste 22.01.2010 um 12:35:43 Uhr
Goto Top
Seltsam. Erstell bitte eine Policy direkt auf der OU Domain Controllers und verwende die Option "enforce", stell alles dort ein, mach gpupdate /force /target:computer auf dem dc und dann gpresult, um zu sehen, ob die Policy angewendet wurde und dann auch rsop.msc - wreden nun die Einstellungen als übernommen angezeigt?
Mitglied: pworld
pworld 25.01.2010 um 15:38:33 Uhr
Goto Top
Hi DerWoWusste

Ich habe das mal gemacht. (obwohl ich das schonmal vorher gemacht hatte) .Das enforce hatte im endeffekt nachdem ich gewisse vorbereitende sachen im AD korgiert und geflickt habe zum schluss gebracht.

Danke !