Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kennwort kann nicht geändert werden weil Kennwortrichtlinie nicht richtig ist

Frage Microsoft Windows Userverwaltung

Mitglied: Marcys

Marcys (Level 2) - Jetzt verbinden

05.11.2014, aktualisiert 08:46 Uhr, 3155 Aufrufe, 16 Kommentare, 1 Danke

Hallo Zusammen,

ich habe ein merkwürdiges Problem.

Wir haben eine ganz normale Windows Domäne auf Basis eines Windows 2003 SBS. Die AD läuft ebenfalls auf dem Server. Eine Kennworteichlinie gibt es bei uns nicht bzw. am Server ist diese nicht aktiviert. Das Standartpasswort für neue User ist 1111. Ein bestehender User der einen Win 7 Prof. PC hat, hat sein Passwort vergessen. Auf dem Server habe ich sein Passwort auf 1111 zurück gestellt. Als er dieses PW auf sein ursprüngliches abändern wollte, kam die Meldung:

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.


Was mich wundert, wir haben keine Richtlinie bzg. Passwörter. Somit müsste doch jedes beliebiges Passwort vom System angenommen werden, oder?

Kennt ihr das Problem?

Hätte jemand von euch eine Lösung für mich?

Gruß
Martin

Mitglied: DerWoWusste
05.11.2014 um 08:04 Uhr
Hi.

Prüfe am Server mittels rsop.msc, ob nicht doch eine besteht.
Bitte warten ..
Mitglied: Xaero1982
05.11.2014 um 08:13 Uhr
Ist die nicht eigentlich immer in der Default-Domain-Policy aktiv mit kA 7 Zeichen, Komplexität und max. Wiederholungen von xx (also identische PWs dürfen nicht nacheinander eingegeben werden) etc.
Bitte warten ..
Mitglied: Marcys
05.11.2014 um 08:14 Uhr
Hi,

also in der Standard Domänensicherheitseinstellung ist die Kennwortchronik mit 24 gespeichert und Minimales Kennwortalter mit 0.

Minimale Kennwortlänge 0
Maximale Kennwortlänge 0
Kennwort muss Komplexitätsvoraussetzungen entsprechen: deaktiviert

Gruß
Martin
Bitte warten ..
Mitglied: Chonta
LÖSUNG 05.11.2014, aktualisiert um 08:46 Uhr
Hallo,

das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Wenn der umbedingt sein altes PW haben soll, zetiere den zu Dir und lass den direkt über die AD MMC für sein Konto das Passwortzuürcksetzen.
Der Admin darf auch das alte Passwort als neues setzen.

Gruß

Chonta
Bitte warten ..
Mitglied: Xaero1982
05.11.2014 um 08:35 Uhr
Na dann hast du doch die Antwort...die Chronik.

Passwort 1: Test1
Passwort 2: Test2
usw.
oder du setzt sie runter oder aus.

Grüße
Bitte warten ..
Mitglied: Marcys
05.11.2014 um 08:46 Uhr
Hi Chonta,

den Ausdruck "zetiere den zu Dir" finde ich gut. Er ist nämlich mein Chef -> Geschäftsführer .

Nun ja, über die AD haben wir es ja mal probiert. Es hat nicht geklappt. Sein Client sagte bei der Anmeldung: Falsches Passwort. Na ja, es kann aber auch sein, dass er sich vertippt hat.

Gruß
Martin
Bitte warten ..
Mitglied: DerWoWusste
05.11.2014 um 09:02 Uhr
Hi Chonta.

das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten. Diese Diskussion sieht man alle naslang...
Bitte warten ..
Mitglied: Chonta
05.11.2014 um 09:21 Uhr
Hallo,

sicher? Mit 2008 wurde eingeführt das man OUs unterschiedliche Passwortvorgaben geben konnte um Abteilungen mit besonderen Sicherheitsanforderungen anders behandeln zu können.
Mein AD ist noch von einem SBS 2003 mit allen GPO und da gibt es z.B. für die Passwörter ein extra GPO (nicht von mir angelegt) steht zwar das selbe drin wie in der DDP.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.

Werde das bei Gelegenheit mal nachtesten.

Gruß

Chonta
Bitte warten ..
Mitglied: goscho
05.11.2014 um 09:43 Uhr
Moin
Zitat von DerWoWusste:
> das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten.
Da irrst du aber gewaltig!
Die Richtlinie muss mit der Domain verknüpft sein, damit sie auch auf Benutzer wirkt. Es darf aber durchaus eine andere als die DDP sein.
Es gibt da noch ein paar Besonderheiten, warum letztendlich die DDP für die Kennwortrichtlinien genommen werden sollte.
Besonderheiten der AD-Kennwortrichtlinie
Bitte warten ..
Mitglied: DerWoWusste
05.11.2014 um 09:43 Uhr
Mit 2008 wurden PSOs eingeführt, richtig. Diese sind jedoch nicht in GPOs enthalten, zwei paar Schuhe.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.
Weil MS hier eine Sonderregelung hat. Nur hier.
Bitte warten ..
Mitglied: DerWoWusste
05.11.2014, aktualisiert um 09:45 Uhr
Es darf aber durchaus eine andere als die DDP sein.
Moin Goscho. Ich hab mich mal gewaltig geirrt, früher. Da dachte ich das selbe wie Du. Ich bin zu 100% sicher. Auch ausgetestet.
Bitte warten ..
Mitglied: Chonta
05.11.2014 um 09:48 Uhr
Wieder was gelernt Danke !
Bitte warten ..
Mitglied: Xaero1982
05.11.2014 um 09:49 Uhr
Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.

Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Bitte warten ..
Mitglied: goscho
05.11.2014, aktualisiert um 13:45 Uhr
Zitat von Xaero1982:

Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.
Du musst dir die Artikel auch richtig durchlesen.
Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Das stimmt nicht!

Was bzgl. DDP und Kennwortrichtlinien stimmt, ist, dass an anderer Stelle als in der Gruppenrichtlinienverwaltung vorgenommene Änderungen bzgl. Passwortrichtlinien direkt über den PDC-Emulator in die DDP geschrieben werden.
Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.
Bitte warten ..
Mitglied: DerWoWusste
05.11.2014, aktualisiert um 13:52 Uhr
Hi Goscho.

Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.

Das habe ich versucht und es stimmt nicht. Wenn ich anderweitig als in der DDP eine KW-Richtlinie erstelle, dann wirkt sie nicht auf die DCs - und auf den DCs und nur den DCs liegen die Domänenkennwörter. Worauf eine solche Policy wirkt, sind dann lediglich Clients und somit lokale Konten.

Man kann es auch bei Microsoft wortwörtlich so nachlesen, ich such's Dir nachher mal raus.
Aber wirklich, zum Nachstellen habe ich mir mal eine leere Domäne genommen und die DDP leer gelassen bezüglich Kennwörtern und eine andere Policy auf die OU DCs und auch auf den Domain-Head verlinkt UND sogar noch "enforce" eingestellt. Nach einem GPupdate auf den DCs kannst Du feststellen, dass diese Policy zwar angewendet wird, nicht aber deren Einstellungen - sie werden schlicht nicht gelistet und sind auch nicht aktiv. War mit einem 2012 R2er DC (+Update1) getestet, übrigens.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Exchange Server
Exchange OWA Problem Kennwort falsch (15)

Frage von Henere zum Thema Exchange Server ...

Outlook & Mail
gelöst Kompletter Export von Postfach in Outlook. wie mache ich es richtig? (30)

Frage von fireskyer zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...