Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO Kennwortrichtlinie wird ignoriert trotz default domain policy

Frage Microsoft Windows Server

Mitglied: Gladius

Gladius (Level 1) - Jetzt verbinden

06.01.2015, aktualisiert 15:51 Uhr, 1814 Aufrufe, 7 Kommentare, 1 Danke

Hallo liebe Administratoren,

nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.

In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).

Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
b6ee6a086edd7a962439663df92d7be6 - Klicke auf das Bild, um es zu vergrößern

Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.

Hat jemand eine Idee, wo das Problem sein könnte?

Vielen dank im Voraus!

Lieber Gruß
Gladius
Mitglied: DerWoWusste
06.01.2015 um 11:56 Uhr
Hi.

Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 12:31 Uhr
Hallo DerWoWusste und danke für das Befassen mit meinem Problem.

Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.

Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 12:52 Uhr
Dann frage bitte am DC mit rsop.msc ab, was dort für Einstellungen gelten.
Wir reden schon von einem Domänenkonto, oder?
Bitte warten ..
Mitglied: Gladius
06.01.2015, aktualisiert um 13:31 Uhr
Ok jetzt bin ich verwirrt. Auf dem DC wird nach dem rsop.msc bei allen Kennwortrichtlinien "Nicht definiert" angezeigt. Die GPO-Verknüpfung befindet sich direkt unterhalb des Domänen-Namens und unter der Domäne (in einer OU) befindet sich auch der DC. Damit sollte die GPO doch greifen, oder?

Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 06.01.2015, aktualisiert um 15:51 Uhr
Zu analysieren, warum die Default Domain Policy nicht zieht, ist sehr einfach mit gpresult getan. Vermutlich ist eine andere Policy auf "enforced" gesetzt.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 16:00 Uhr
Ok ich glaube ich hab es gefunden.

Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.

Vielen Dank für deine Hilfe, hast mir sehr geholfen!

Gruß
Gladius
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 16:34 Uhr
Schön...aber nun bitte noch klären, warum die Leserrechte verweigert wurden!
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

Windows Netzwerk
GPO aus Parent Domain in Child Domain cachen (3)

Frage von Dirmhirn zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...