Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu den Komplexitätsanforderungen (Active Directory 2003 R2)

Frage Microsoft Windows Server

Mitglied: O-Marc

O-Marc (Level 1) - Jetzt verbinden

15.07.2011 um 11:38 Uhr, 6904 Aufrufe, 19 Kommentare

Guten Tag,

ich verstehe etwas bei der Kennwortvergabe bzw. änderung nicht. Es kann sein, dass ich grad betriebsblind bin. ;)
Über Antworten würde ich mich freuen.

Wir nutzen Active Directory 2003 R2. Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt, sondern in einer separaten Richtlinie, die nicht auf Domänenebene (also nicht für den Domänen-Admin und die Server), sondern nur auf der Organisationseinheit der Client-PCs und Benutzer verknüpft ist. Komplexitätsanforderungen sind aktiviert.

Die Gruppenrichtlinie wird korrekt übernommen.

Wenn ich als Benutzer an einem Client mein Kennwort ändern will in z.B. "E.d123456", funktioniert das nicht mit dem Hinweis, dass die Komplexitätsanforderungen nicht der Richtlinie entsprechen.
Wenn ich auf dem DC unter Active Directory Benutzer und Computer per Rechtsklick auf meinen Benutzer "Kennwort zurücksetzen" wähle, nimmt er das oben genannte Kennwort ohne Probleme.
Allerdings gilt hier genauso die Komplexitätsanforderung, denn ich kann da z.B. nicht "123" oder "123456789" vergeben.

Wie lässt sich das erklären?
Mitglied: Ausserwoeger
15.07.2011 um 11:49 Uhr
Naja deine Gruppenrichtlinie ist ja nur auf die Clients bezogen da wie du schon geschrieben hast die Policy nur auf den clients angewendet wird.

Am Server findest du Lokale Sicherheitrichtlinen. Dort kannst du die Kennwortrichtlinen für den DC konfigurieren. Oder du machst eine 2 Policy für die Dcs bzw. Server.

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:07 Uhr
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine Kennwortrichtlinien definiert.

Vielen Dank!
Bitte warten ..
Mitglied: Ausserwoeger
15.07.2011 um 12:11 Uhr
Zitat von O-Marc:
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den
Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine
Kennwortrichtlinien definiert.

Vielen Dank!

Bitte gerne.

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:13 Uhr
Hi.

Dein Verständnisproblem ist folgendes: Die Domänenkontenkennwörter werden immer am DC auf Komplexität geprüft, nicht am Client. Deswegen muss die gewünschte Richtlinie immer am DC angewendet werden. Auf den Clients braucht sie überhaupt nur dann angewendet werden, wenn man will, dass auch deren lokale Konten komplexe Kennwörter nutzen müssen.
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:17 Uhr
Danke, das verstehe ich.

Bleibt eine Frage:

Warum wird mein neues Kennwort "E.d123456" nicht vom Client akzeptiert?

Für die Komplexitätsanforderung gilt:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.

Zusätzlich ist eine Mindestlänge von 8 Zeichen definiert.
Im Kontonamen des Benutzers kommen zwar ein "e" und ein "D" vor, aber kein Punkt. Daher verstehe ich nicht, warum das Kennwort nicht angenommen wird.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:21 Uhr
vom Client akzeptiert
wie jetzt "vom Client"? Vom Domänencontroller muss es heißen, falls es um ein Domänenkonto geht.

Prüfe mit RSOP am DC, welche Kompl.Anforderungen dort aktiv sind.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 12:29 Uhr
Hallo.

Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt

Hier gilt aber als Empfehlung, dass genau diese Richtlinie auf Domänenebene gesetzt wird - http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...

LG Günther
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:30 Uhr
Das war falsch ausgedrückt von mir. Mit "Vom Client akzeptiert" meine ich, wenn ich am Client-PC sitze und dort das Kennwort ändern will. Dann nimmt er das Kennwort "E.d123456" nicht an.

In der Richtlinie für diesen Client gilt


01.
Richtlinie Einstellung  
02.
Kennwort muss Komplexitätsvoraussetzungen entsprechen   Aktiviert  
03.
Kennwortchronik erzwingen\ngespeicherte Kennwörter      5 gespeicherte Kennwörter  
04.
Kennwörter mit umkehrbarer Verschlüsselung speichern    Deaktiviert  
05.
Maximales Kennwortalter                                 150 Tage  
06.
Minimale Kennwortlänge                                  8 Zeichen  
07.
Minimales Kennwortalter                                 5 Tage
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:34 Uhr
In der Richtlinie für diesen Client gilt
Mann... schon wieder
Schreib doch bitte, was am DC gilt (wenn es sich um Domänenkonten handelt). Was am Client gilt, gilt nur für dessen lokale Konten.

Und schonmal im Voraus: Das minimale Kennwortalter ist nicht zufällig unterschritten? Kennwortchronik ok?
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:55 Uhr
Sorry, am DC gilt laut rsop.msc folgendes:

01.
Richtlinie Einstellung  
02.
Kennwort muss Komplexitätsvoraussetzungen entsprechen   nicht definiert  
03.
Kennwortchronik erzwingen\ngespeicherte Kennwörter      nicht definiert  
04.
Kennwörter mit umkehrbarer Verschlüsselung speichern    nicht definiert  
05.
Maximales Kennwortalter                                 nicht definiert  
06.
Minimale Kennwortlänge                                  nicht definiert  
07.
Minimales Kennwortalter                                 nicht definiert

Das Kennwortalter ist nicht unterschritten und auch in der Chronik kam das gewählte Kennwort noch nicht vor.
Allerdings wird darauf hingewiesen, dass das Kennwort gelten muss: "wurde nicht während der letzten 180 Tage geändert"

Das wurde es aber. Wo kommen diese 180 Tage her? Es sind doch 150 Tage eingestellt.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 13:19 Uhr
Hi.

Erstelle doch einmal die Richtlinie so, wie in meinem Link beschrieben. Vermutlich sind dann deine Problem behoben.

LG Günther
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 13:30 Uhr
"Du willst nicht lernen" hätte ich jetzt fast geschrieben
Du musst es für den DC setzen. Das kannst Du über die Default Domain Policy machen, wie von Günther beschrieben, oder über die Default Domain Controllers Policy oder jede andere, die auf die DCs angewendet wird. Dann mach gpupdate /force auf dem DC und prüfe erneut mit rsop am DC.
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 13:31 Uhr
Dich habe übersehen, sorry.
Danke für den Link, der bringt ja einiges ans Licht. Ich bin allerdings unschlüssig, ob ich das nun direkt anpasse. Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 13:44 Uhr
Hi.

Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?

Klar, wenn man sich dumm genug anstellt, dann immer? Aber das ist ja unabhängig von der Richtlinie

LG Günther
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 14:03 Uhr
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Habe es nun testweise dennoch getan und jetzt gilt für den DC laut rsop.msc:

01.
Kennwort muss Komplexitätsvoraussetzungen entsprechen   Aktiviert  
02.
Kennwortchronik erzwingen\ngespeicherte Kennwörter      5 Kennwörter 
03.
Kennwörter mit umkehrbarer Verschlüsselung speichern    nicht definiert  
04.
Maximales Kennwortalter                                 150 Tage  
05.
Minimale Kennwortlänge                                  8 Zeichen  
06.
Minimales Kennwortalter                                 5 Tage 
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 14:09 Uhr
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 14:13 Uhr
Hi.

Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther
Bitte warten ..
Mitglied: goscho
15.07.2011 um 14:20 Uhr
Mahlzeit
Zitat von O-Marc:
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss.
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen User so gewollt ist?
Daher kann
ich das nicht in der Default Domain Policy einstellen.
Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 14:36 Uhr
Zitat von DerWoWusste:
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO
erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.

Habe ich. Hat nicht geklappt, aber ich bin mir nun sicher, dass es am Alter des Kennwortes liegt. Ich habe für das betreffende Benutzerkonto ja heute schon das Kennwort zurück gesetzt und das widerspricht den Einstellungen in der Richtlinie.
Danke für Deine Mühe.


Zitat von GuentherH:
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort
läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther

Da hast Du Recht. Warum ich heute bei diesem Thema so sehr auf dem Schlauch stehe, kann ich mir nicht erklären... ;)
Danke für Deine Beiträge.


Zitat von goscho:
Mahlzeit
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen
User so gewollt ist?

Eine berechtigte Frage, die ich mit meinen Admin-Kollegen besprechen werde.


Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss
nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur
für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).


Ich werde nun entgegen meines Beitrags vorhin nun doch die Default Domain Policy für die Kennwortrichtlinie nutzen.
Danke für Deinen Beitrag.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...