7
Kennwortkomplexität per Gruppenrichtlinie
Hallo zusammen,
ich habe eine kleines Problem bzw. wohl eher ein Verständnisproblem bei der Einstellung der Kennwortrichtlinien in unserer Domäne (Win2008 R2 und XP Clients)
Die Sache ist die: Stelle in der lokalen! Richtline des Servers Werte für Minimales Kennwortalter, Min. Kennwortlänge etc. werden die auch für die Domänenmitglieder benutzt.
Die Option "Kennwortkomplexität" kann ich in der lokalen allerdings nicht einstellen. Dies ist ausgegraut.
Stelle ich in der Default Domain Policy -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien etwas ein wird dieses nicht für die Clients übernommen.
Warum nicht? Was muss ich tun um damit diese Einstellungen aus der Default Policy übernommen werden??
Und warum wird die lokale Richtlinie auch für die Domänenmitglieder übernommen?
ich habe eine kleines Problem bzw. wohl eher ein Verständnisproblem bei der Einstellung der Kennwortrichtlinien in unserer Domäne (Win2008 R2 und XP Clients)
Die Sache ist die: Stelle in der lokalen! Richtline des Servers Werte für Minimales Kennwortalter, Min. Kennwortlänge etc. werden die auch für die Domänenmitglieder benutzt.
Die Option "Kennwortkomplexität" kann ich in der lokalen allerdings nicht einstellen. Dies ist ausgegraut.
Stelle ich in der Default Domain Policy -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien etwas ein wird dieses nicht für die Clients übernommen.
Warum nicht? Was muss ich tun um damit diese Einstellungen aus der Default Policy übernommen werden??
Und warum wird die lokale Richtlinie auch für die Domänenmitglieder übernommen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165332
Url: https://administrator.de/contentid/165332
Printed on: April 18, 2024 at 16:04 o'clock
7 Comments
Latest comment
was tust du denn jetzt? gpupdate /force? oder 90 Minuten warten?
"Und warum wird die lokale Richtlinie auch für die Domänenmitglieder übernommen?"
weil du die Einstellungen unter "Computerconfig." machst und die Einstellungen somit für alle PCs und "egal wer sich darauf anmeldet" gelten.
"Und warum wird die lokale Richtlinie auch für die Domänenmitglieder übernommen?"
weil du die Einstellungen unter "Computerconfig." machst und die Einstellungen somit für alle PCs und "egal wer sich darauf anmeldet" gelten.
Auch nach dem Update interessieren den Client die Einstellungen in der Default nicht.
was steht nach gpupdate /force im ereignisprotokoll des clients?
Das Protokoll sagt
"Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet."
"Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet."
Die Sache ist die: Stelle in der lokalen! Richtline des Servers Werte für Minimales Kennwortalter, Min. Kennwortlänge etc. werden die auch für die Domänenmitglieder benutzt.
Die Richtlinie gilt für den Server... und wo liegen die Domänenkennwörter? Auf eben diesem Server, NICHT lokal auf den Clients.Das normale Vorgehen ist:
Will man, dass die Kennwortrichtlinien für alle Konten, also Domänenkonten und lokale Konten gelten, dann nutzt man die Def.Dom.Pol. (DDP)
Will man, dass sie nur für Domänenkonten gelten, nicht aber für lokale Konten, nimmt man die Def. Domain Controllers Pol. (DDCP)
Mach also zunächst Deine Einstellungen in der lokalen Policy rückgängig, entscheide Dich dann für eins und stell es ein. Danach ein GPUpdate /force am Server - fertig. Bei weiteren Unsicherheiten rsop.msc am Server ausführen.
Super. Vielen Dank!
Bin selber nicht darauf gekommen, dass die Konten auf dem Server liegen und dadurch das gpupdate /force natürlich auf dem Server gemacht werden muss.
Jetzt gelten wie gewünscht die Einstellungen aus der DDP.
Vielleicht kannst du mir noch einen Tip geben.
Selbst mit aktivierter Kennwortkomplexität kann der Anwender sein Kennwort in ein fast identisches Ändern
z.B. von Qwertz1 in Qwertz2
Das erfüllt alle Bedingungen aber ich finde das ist nicht im Sinner des Erfinders. Wie kann ich das wohl noch unterbinden?
Bin selber nicht darauf gekommen, dass die Konten auf dem Server liegen und dadurch das gpupdate /force natürlich auf dem Server gemacht werden muss.
Jetzt gelten wie gewünscht die Einstellungen aus der DDP.
Vielleicht kannst du mir noch einen Tip geben.
Selbst mit aktivierter Kennwortkomplexität kann der Anwender sein Kennwort in ein fast identisches Ändern
z.B. von Qwertz1 in Qwertz2
Das erfüllt alle Bedingungen aber ich finde das ist nicht im Sinner des Erfinders. Wie kann ich das wohl noch unterbinden?
Da kannst Du mit Bordmitteln gar nichts machen. Dritthersteller bieten so etwas an, beispielsweise http://www.google.de/search?hl=de&q=%22password+complexity%22+speco ...
Specops oder anixis.
Specops oder anixis.
