brexel
Goto Top

Anmeldeinformationsverwaltung wird komplett geleert, wenn das Passwort abläuft und geändert wird

Guten Tag Zusammen

Wir haben bei uns ein Windows Server 2012 R2 als AD im Einsatz.
Den Mail-Server haben wir bei einem externen Dienstleister, weshalb auch andere Anmeldeinformationen benötigt werden.

Problem: Wenn das Passwort von einem AD-Benutzer abläuft und er dieses ändert, sind danach Alle Anmeldeinformationen entfernt worden. Dadurch muss er sich beim Outlook erneut anmelden.

Da wir die Passwort-Ablauf-GPO auf 30 Tage eingestellt haben, muss man dies Monatlich machen...

Tests:
Wenn die Meldung kommt dass das Passwort abgelaufen ist und man ändert es über das AD, sind alle Anmeldeinformationen noch vorhanden.
Wenn das Passwort am Client normal geändert wird, ist auch noch alles vorhanden.

Gewünschtes Verhalten: Das Passwort wird geändert, alle Anmeldeinformationen sind noch vorhanden.
Kann mir jemand weiterhelfen?

Danke für eure Hilfe

Freundliche Grüsse
Brexl

Content-Key: 334965

Url: https://administrator.de/contentid/334965

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 12.04.2017 aktualisiert um 15:46:50 Uhr
Goto Top
Hi.

Erklär mal, warum Du einerseits schreibst
Wenn das Passwort von einem AD-Benutzer abläuft und er dieses ändert, sind danach Alle Anmeldeinformationen entfernt worden
und dann wieder
Wenn das Passwort am Client normal geändert wird, ist auch noch alles vorhanden
Wo ist der Unterschied zwischen "ändern" und "normal ändern"?
Mitglied: Brexel
Brexel 12.04.2017 um 15:54:06 Uhr
Goto Top
Hallo DerWoWusste

Dies erklär ich dir gerne.

"AD-Benutzer abläuft und er dieses ändert"
-> Das Passwort ist abgelaufen, der Benutzer wird aufgefordert es zu ändern und tut dies.

"Passwort am Client normal geändert"
-> Wenn man z.B. Ctrl+Alt+Delete drückt -> Passwort ändern

Ich hoffe dies ist verständlich.

Danke für deine Hilfe
Freundliche Grüsse
Brexl
Mitglied: DerWoWusste
DerWoWusste 12.04.2017 um 16:04:58 Uhr
Goto Top
Oha - da sollte dann natürlich kein Unterschied sein... sehr seltsam. Ich kann hier spaßeshalber mal einen testnutzer nehmen, ein KW einspeichern und dessen AD-Kennwort ablaufen lassen...Sekunde...
Mitglied: DerWoWusste
DerWoWusste 12.04.2017 um 16:11:05 Uhr
Goto Top
Nee, kein Problem hier. Win10 1607 als Client.
Mitglied: Brexel
Brexel 12.04.2017 um 22:19:28 Uhr
Goto Top
Guten Tag

Danke für deine Unterstützung und den Test.

Ich habe eigentlich auch das Gefühl dass es kein Unterschied gibt, aber anscheinend gibt es einen kleinen Unterschied.
Nebenbei kann man die Einstellung in der GPO, die das alter vorgibt, nicht nur auf Tage einstellen?
Welches Betriebssystem hast du als Server/AD verwendet?

Hast du eine Idee was darauf Einfluss haben könnte?

Danke für deine Hilfe
Freundliche Grüsse
Brexl
Mitglied: DerWoWusste
DerWoWusste 12.04.2017 um 23:47:22 Uhr
Goto Top
Das Alter wovon? Und wofür ist das wichtig?
DCs hier sind 2016.

Ich würde das an deiner Stelle genau prüfen. Definitiv kann da kein Unterschied sein.
Mitglied: Brexel
Brexel 13.04.2017 um 11:29:57 Uhr
Goto Top
Hallo

Mein Problem tritt Ja nur auf wenn das Passwort durch die GPO abläuft und es dann vom Benutzer geändert wird.
Dadurch kann ich folgern dass es ganz sicher einen Unterschied gibt, da es sonst Ja nicht so Verhalten könnte.
Oder stimmst du mir nicht zu?

Ich meine das Alter vom Passwort, die ist wichtig damit die Benutzer nicht 10 Jahre lang das selbe Passwort verwenden.
Ich mache diese Einstellung in der GPO unter: CC/Policies/Windows Settings/Security Settings/Maximum Password age

Ich werde es über das nächste Woche nochmals genau prüfen.

Danke und Gruss
Simon
Mitglied: DerWoWusste
DerWoWusste 13.04.2017 um 11:46:10 Uhr
Goto Top
"Nebenbei kann man die Einstellung in der GPO, die das [maximale Kennwort-]alter vorgibt, nicht nur auf Tage einstellen?" - das ist richtig, aber ich habe im Test hier bei dem Userobjekt einen Haken gesetzt bei "Benutzer muss Kennwort sofort ändern", was einem Ablauf gleich kommt.
"Oder stimmst du mir nicht zu?" - nun, mit Folgerungen muss man bei den komplexen Vorgängen ja leider immer vorsichtig sein. Keine Ahnung, was vorgeht, teste das Du mal mit diversen OS quer.
Mitglied: Brexel
Brexel 19.04.2017 um 15:53:53 Uhr
Goto Top
Guten Tag

Ich danke dir für deine Hilfe.
Leider bin ich noch nicht zum testen gekommen.
Ich werde dies im Verlauf der Woche angehen.

Danke und Gruss
Simon
Mitglied: Brexel
Brexel 25.04.2017 um 15:11:10 Uhr
Goto Top
Guten Tag

Ich habe dies nun nochmals in verschiedenen Kombinationen getestet. (WinSer2012/2016, Win 8.1/10)
Leider konnte ich das Problem auf den Standard konfigurierten ADs nicht reproduzieren.

Ich werde nun herausfinden was wir da unterschiedlich gemacht haben...

Falls du noch was weisst bin ich dir Dankbar,.
Andernfalls werde ich mich am Ende nochmals melden

Danke und Gruss
Simon
Mitglied: DerWoWusste
DerWoWusste 25.04.2017 um 15:12:35 Uhr
Goto Top
Nee, keine weitere Idee.