Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO wirkt nur auf Computerobjekte

Frage Microsoft Windows Server

Mitglied: homermg

homermg (Level 2) - Jetzt verbinden

17.02.2014, aktualisiert 18.02.2014, 1747 Aufrufe, 22 Kommentare

Hey Leute,

bin gerade dabei eine GPO mit Passwortrichtlinie zu erstellen.
Nun bin ich etwas verunsichert. Die Einstellungen werden ja auf der Ebene "Computer Configuration" in der GPO gemacht.
Heißt es das die GPO nur bei Computern wirkt die in der Domäne bzw. in der OU sind wo diese vererbt bzw verknüpft ist?
Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen.
VG an alle

ab66147aabd8207ae7af7cb5a70c9484 - Klicke auf das Bild, um es zu vergrößern
2dcee681aa10c85cc9d513cfd4995081 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Sheogorath
17.02.2014, aktualisiert um 22:35 Uhr
Moin,

Deine Passwortrichtlinen für Domain-User legst du auf den Domaincontroller, nicht auf die Clients also von daher unerheblich.

Gruß
Chris
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 01:04 Uhr
Hi.

Recht hat er. Aber sag bitte dennoch genauer, was Du mit "Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen" sagen wolltest. Du hast vermutlich Rechner, die nicht domain-joined sind und von diesen wird mittels Domänenkonten zugegriffen?
Bitte warten ..
Mitglied: homermg
18.02.2014, aktualisiert um 08:55 Uhr
Moin Moin,

ja z.B. Mac's

Nun habe ich aber alles eingerichtet und habe ein weiteres Problem:
ich habe eine 2008 Domäne und habe in der default Domain Policy eine Passwortrichtlinie eingerichtet (Komplex, 90 Tage 8 Zeichen, min 1 Tag)

Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nichts komplexes und weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix

Hoffe ihr könnt mir helfen

Danke!
ab66147aabd8207ae7af7cb5a70c9484 - Klicke auf das Bild, um es zu vergrößern
2dcee681aa10c85cc9d513cfd4995081 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 09:08 Uhr
Also, um ein paar Missverständnisse aufzuklären...
->Du zeigst ein Bild der DDCP und schreibst dann, "dass die GPO da ist" AUF DEM CLIENT? Der Client bekommt doch nicht die DDCP, oder ist Dein Client der DC?

Warum ich frage: die Domänenkennwörter liegen auf dem DC und werden auch nur dort geändert. Also muss Deine Policy auf dem DC wirken, nicht auf dem Client, somit ist ein gpresult am Client unnütz.
Bitte warten ..
Mitglied: homermg
18.02.2014 um 09:45 Uhr
hmmm, das gibt mir einiges zu denken.

hast Recht die gpresult auf dem DC ausgeführt zeigt nichts von der Kennwortrichtlinie, aber warum die DDCP ist doch mit der OU Domain Controller verknüpft.
hmmm.


PS. mein Client ist nicht der DC
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 09:53 Uhr
Mach auf dem DC zunächst mal ein
gpupdate /force
und dann erneut ein gpresult und dann wird es laufen.
Bitte warten ..
Mitglied: homermg
18.02.2014, aktualisiert um 10:37 Uhr
schon probiert leider ohne Erfolg auch nach Restart

aber wenn ich auf dem DC gpresult /h ausführe sehe ich folgendes:
siehe Bild
und ich sehe das die DCP gesperrt ist oder interpretiere ich es falsch?
PS. du schreibst ja auch immer DDCP und ich rede immer von der DDP hoffe das ich das auch mit der DDP machen kann
776dbc79abdd83c9225a293a65a472a4 - Klicke auf das Bild, um es zu vergrößern

VG
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014, aktualisiert um 10:52 Uhr
Bitte klar und deutlich. Es gibt keine DCP. Du meinst die DDP, die ist laut Deinem Bild abgelehnt.
Wenn, so wie ich Dich verstehe, die Kennworteinstellungen in der DDCP sind und, laut Deinem letzten Bild, diese erfolgreich auf die DCs (alle DCs!) angewendet wird, dann muss es funktionieren.

Lies den Bericht, den Du siehst, doch mal weiter, werden die Einstellungen denn als gesetzt aufgeführt?
Bitte warten ..
Mitglied: Sheogorath
18.02.2014, aktualisiert um 10:48 Uhr
Moin,

du verknüpfst die Policy falsch. Sie muss unter Domain\Domain Controller

nicht default Domain Policy erstelle am besten eine neue und lege sie zu den DCs, dann gehst du nach den Best Practices vor.

Edit: nutzt du wirklich die DDCP sollte es funktionieren.

Edit2: Alle nötigen Infos, sollte es noch nicht funktionieren, kannst du hier finden:
http://social.technet.microsoft.com/Forums/windowsserver/de-DE/ce46d527 ...

Gruß
Chris
Bitte warten ..
Mitglied: homermg
18.02.2014 um 10:55 Uhr
Hey Leute,

sorry habe mich etwas vertippt.
Also Stand der Dinge.
Die Passwortpolicy ist in der DDP definiert welche aber auch laut gpresult gesperrt ist.
Diese ist aber auch mit der OU Domain Controller verknüpft.

In der DDCP habe ich keine Passwordpolicy definiert.
PS. welche Best Practise meinst du? http://technet.microsoft.com/en-us/magazine/ff741764.aspx
hier steht leider nicht über DDP oder DDCP

Was wäre jetzt eurer Vorschlag? die DDCP konfigurieren oder das Problem mit der Sperre der DDP lösen?
VG
Bitte warten ..
Mitglied: Sheogorath
18.02.2014 um 11:05 Uhr
Moin,

die Lösung ist einfach:
1. Neues Policy Objekt erstellen
2. Auf DCs (und nur auf DC, nich in Root) verknüpfen
3. Passworteinstellungen hinterlegen

Fertig und nach best Practices gelöst.

Gruß
Chris
Bitte warten ..
Mitglied: homermg
18.02.2014, aktualisiert um 11:38 Uhr
Hi,

habe ich gemacht und leider geht es noch immer nicht (PasswortPolicy)
Die Policy taucht zwar auf dem DC nach gpupdate / force und einem Restart auf aber nicht die PasswortSettings.
anbei ein Bild von Gpresult
hmmm eine Idee?
oder ist es die Rheinfolge der Gruppenrichtlineinobjekte?
Ich habe auf der OU Domain Controllers folgende GPO's:
1. DDCP
2. DDP
3. weiter GPO
4. und zuletzt die neue Passwort Policy
f350d3b03a257892bd21dfb9b9d2aa5b - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Sheogorath
18.02.2014 um 11:36 Uhr
Moin,

Also ich sehe eine erfolgreich angewendete Policy, jetzt solltest du mal schauen, wo deine Password Policy arbeitet. (Zeig uns doch mal den Ausschnitt, wo die Passwort Policy Settings angezeigt werden und/oder das Schema, das deine Passwort Policy hat. Du kannst dir die Settings ja schon ausgewertet im GPEdit anzeigen lassen. Was hast du gesetzt?

Gruß
Chris
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 11:37 Uhr
Hi.

Nimm die DDCP.
Bitte warten ..
Mitglied: Sheogorath
18.02.2014 um 11:44 Uhr
Moin,

machen wir es uns leicht. Schau dir einfach mal an, wie es hier funktioniert:
http://www.youtube.com/watch?v=KTQsZnnAgRU#t=36

im Zweifel funktioniert das immer. (Ja, es ist ein Server 2003 aber in jeder höheren Version funktioniert es genauso)

Gruß
Chris
Bitte warten ..
Mitglied: homermg
18.02.2014, aktualisiert um 12:07 Uhr
es tut mir leid aber das geht noch immer nicht habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und gpupdate /force + restart auf einem der DC'S gemacht
Gpresult auf dem DC ausgeführt und ich sehe alles mögliche aber nicht die Kennwort settings.
Was mir auber aufgefallen ist, ist folgendes:
Ihr sagt ja die Policy wird nur auf die DC's angewandt.
Wenn ich auf einem der DC'S die Lokale sicherheitsrichtlinie starte sehe ich die EInstellungen die im Moment bei den User wohl aktiv sind. Kann es sein das die Lokale Sicherheitsrichtlinie auf den DC die Domain User abarbeitet und meine DDCP bzw. meine DDP überschreibt?

PS. mache auch nichts anderes als im Video außer das im Video die Domain Security Policy aus der Verwaltung gestartet wird. Bei mir auf eine Win2008 starte ich in der Verwaltung direkt die Gruppenrichtlinienverwaltung und suche mir in der OU Domain Controllers die entsprechende Gruppenrichtlinie aus

Muss noch dazusagen das das ganze Konstrukt mit den Passwortrichtlinen bereits von meinem Vorgänger erstellt war. Ich wollte die Passwortrichtlinien nur etwas strenger machen und habe die bereits bestehende Richtlinie angepasst.
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 12:54 Uhr
Dann wird die lokale SicherheitsRL aktiv sein. Du kannst Sie zurücksetzen auf nicht konfiguriert und dann die DDCP nutzen, dann wird das auch gleich auf beiden DCs aktiv (am anderen DC sicherheitshalber auch die lokale SicherheitsRL prüfen und zurücksetzen, dann gpupdate /force auf beiden.
Bitte warten ..
Mitglied: homermg
18.02.2014 um 13:08 Uhr
habe jetzt festgestellt das es tatsächlich die lokale Sicherheitrl ist. Wenn ich an der schraube dann kommt das bei den clients an.
Wenn ich eine lokale SicherheitsRL ändere dann kriegen das sogar alle DC mit, dachte die ist nur lokal wie der Name schon sagt aber anscheind nicht.
Mir ist nur ein Rätsel warum mein Vorgänger das damit gemacht hat
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 18.02.2014, aktualisiert um 13:44 Uhr
Dachte die ist nur lokal wie der Name schon sagt
Ja und? Auch lokale Richtlinien wirken auf das lokale System. Und im Fall der DCs sind eben genau diese Kennwörter auf dem lokalen System.
Bitte warten ..
Mitglied: homermg
18.02.2014, aktualisiert um 13:46 Uhr
wusste nicht das die Lokale Sicherheitrichtlinien auf alle DC's gesynct werden das meine ich.


buuh das war ja eine schwere Geburt! vielen Dank Jungs!
Bitte warten ..
Mitglied: DerWoWusste
18.02.2014 um 13:47 Uhr
Schön.

Und nun mal entspannt zurückgelehnt und nachgedacht, was Du eigentlich erreicht hast. Weiterhin können Kennwörter wie Schnucki1 verwendet werden, die ja nicht gerade sicher sind, da sie in jedem Wörterbuch eines Angreifers stehen. Microsofts Komplexitätsanforderungen sind schlaff.
Ich rate allen zu Anixis Password Policy enforcer.
Bitte warten ..
Mitglied: homermg
18.02.2014 um 14:03 Uhr
das war die Anforderung die ich erfüllen musste, ist somit erledigt.
Ist schon mal besser als vorher abc oder ähnlich
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
gelöst Änderung eines Registryeintrages per GPO (15)

Frage von honeybee zum Thema Windows Server ...

Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Windows Server
gelöst Laufwerkspfad wird nach GPO-Änderung nicht aktualisiert (4)

Frage von YotYot zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...