Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO Kennwortrichtlinie wird ignoriert trotz default domain policy

Frage Microsoft Windows Server

Mitglied: Gladius

Gladius (Level 1) - Jetzt verbinden

06.01.2015, aktualisiert 15:51 Uhr, 2183 Aufrufe, 7 Kommentare, 1 Danke

Hallo liebe Administratoren,

nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.

In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).

Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
b6ee6a086edd7a962439663df92d7be6 - Klicke auf das Bild, um es zu vergrößern

Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.

Hat jemand eine Idee, wo das Problem sein könnte?

Vielen dank im Voraus!

Lieber Gruß
Gladius
Mitglied: DerWoWusste
06.01.2015 um 11:56 Uhr
Hi.

Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 12:31 Uhr
Hallo DerWoWusste und danke für das Befassen mit meinem Problem.

Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.

Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 12:52 Uhr
Dann frage bitte am DC mit rsop.msc ab, was dort für Einstellungen gelten.
Wir reden schon von einem Domänenkonto, oder?
Bitte warten ..
Mitglied: Gladius
06.01.2015, aktualisiert um 13:31 Uhr
Ok jetzt bin ich verwirrt. Auf dem DC wird nach dem rsop.msc bei allen Kennwortrichtlinien "Nicht definiert" angezeigt. Die GPO-Verknüpfung befindet sich direkt unterhalb des Domänen-Namens und unter der Domäne (in einer OU) befindet sich auch der DC. Damit sollte die GPO doch greifen, oder?

Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 06.01.2015, aktualisiert um 15:51 Uhr
Zu analysieren, warum die Default Domain Policy nicht zieht, ist sehr einfach mit gpresult getan. Vermutlich ist eine andere Policy auf "enforced" gesetzt.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 16:00 Uhr
Ok ich glaube ich hab es gefunden.

Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.

Vielen Dank für deine Hilfe, hast mir sehr geholfen!

Gruß
Gladius
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 16:34 Uhr
Schön...aber nun bitte noch klären, warum die Leserrechte verweigert wurden!
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Default Domain Policy GPO
Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Windows Server
GPO Audit Policy nur in Default Domain Policy konfigurierbar?
gelöst Frage von tombola22Windows Server12 Kommentare

Hallo zusammen, ich habe leider nichts Genaueres dazu im Internet gefunden Durch Herumprobieren habe ich herausgefunden, dass die Audit ...

Windows Server
Default Domain Policy Fehlermeldung
gelöst Frage von deredvtypWindows Server3 Kommentare

Hallo zusammen, ich baue gerade eine Testumgebung mit Server2008R2 auf. Bis jetzt habe ich DC1 und DC2. Alle Updates ...

Windows Server
Proxy aus Default Domain Policy entfernen
gelöst Frage von CoreknabeWindows Server5 Kommentare

Moin Wissende, wir betreiben eine Server 2012-Domäne. Um unsere Passwortvergabe sicherer zu machen, habe ich per Gruppenrichtlinie definiert, dass ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell13 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...