Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kennwortrichtlinie GPO greift nicht ganz, was tun?

Frage Microsoft Windows Server

Mitglied: Jizz-Mo

Jizz-Mo (Level 1) - Jetzt verbinden

16.04.2014, aktualisiert 28.04.2014, 6586 Aufrufe, 8 Kommentare

Hallo wieder mal an alle,

wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.

So, nun zum Problem:

Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.

Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:

Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage

Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.

Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.

Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.

Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.

Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.

Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.
Mitglied: TlBERlUS
LÖSUNG 16.04.2014, aktualisiert 28.04.2014
Hi,

1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.

Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?


Grüße,

Tiberius
Bitte warten ..
Mitglied: Xaero1982
16.04.2014 um 18:15 Uhr
Hi,

Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."

Was genau hat die GPO da zu suchen?

Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.

Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.

Gruß
Bitte warten ..
Mitglied: Jizz-Mo
17.04.2014 um 09:36 Uhr
Zitat von Xaero1982:

Hi,

Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2
Domänencontroller (WIN2008ServerR2) aufgeführt sind."

Was genau hat die GPO da zu suchen?

Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich
unschön.

Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht
zeitgleich erfolgt.

Gruß

Hi, was die GPO da zu suchen hat, habe ich mir hier rausgelesen, vielleicht täusche ich mich ja (1. Antwort von DerWoWusste):

http://www.administrator.de/forum/kennwortrichtlinie-f%C3%BCr-bestimmte ...

Das unsere User ihr eigenes Kennwort nicht ändern dürfen, ist nicht auf meinem Mist gewachsen :D, war eine Einstellung noch vor meiner Zeit. Das soll ja aber jetzt geändert werden.

Wenn ich das falsch verstanden haben sollte,...
Wo kommt die Richtlinienverknüpfung dann hin?

Grüße
Bitte warten ..
Mitglied: Jizz-Mo
17.04.2014 um 10:05 Uhr
Zitat von TlBERlUS:

Hi,

1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.

Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?


Grüße,

Tiberius

auf 1. hätte ich gesagt, ja sie ist richtig verknüpft, aber nachdem ich 2. gelesen und ausgeführt habe, denke ich, nein sie ist nicht richtig verknüpft.

Ich hab mir das irgenwie einfacher vorgestellt, so naiv wie ich bin.
Gruppenrichtlinienobjekt erstellen --> mit OU verknüfen, wo die User drin sind --> GPO auf Client aktualisieren (Neustart bzw. gpupdate /force) --> Relaxen

Das mit der kontrollierten PW Änderung ist für mich so vorgeschrieben. Erst mal für uns in der EDV testen, ob die Richtlinie überhaupt funktioniert, dann eine Abteilung nach der anderen PW Änderungen veranlassen.

Ich habe im AD unter Benutzer mehrere OUs die nach den Abteilungen benannt sind (Fibu, Vertrieb, Einkauf usw.) und in denen sind die jeweiligen User drin. Ich hätte es ja am liebsten so, dass ich die Richtlinie mit der OU verknüpfe, bei der ich eine PW Änderung veranlassen möchte, aber irgendwie hat das letzte Woche nicht geklappt. Also habe ich die Lösungsansätze hier mal verwenden wollen.

Grüße
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 17.04.2014, aktualisiert 28.04.2014
Hi.

Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.

@88815:
führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden, Vorgehen somit sinnlos.
Bitte warten ..
Mitglied: TlBERlUS
17.04.2014, aktualisiert um 11:53 Uhr
Zitat von DerWoWusste:

@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.

Moin,

Tatsache, ich hab nochmal nachgesehen, bei uns habe ich die PW-GPO auch an die Default Domain Policy gehängt...
(hab vergessen, dass das eine Einstellung der Computer-Konfiguration, und net Benutzer-Konfig ist)
Mea Maxima Culpa

http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...

shame on me...

Grüße,

Tiberius
Bitte warten ..
Mitglied: Jizz-Mo
28.04.2014, aktualisiert um 11:55 Uhr
Zitat von DerWoWusste:

Hi.

Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen,
so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU
"Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2)
muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.

@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.

Ich habe die Richtlinie auf den Domain Head verlinkt und siehe da, es funktioniert tatsächlich. Anfangs hat er nicht alle Richtlinieneinstellungen übernommen. Dann hab ich mir die Default Domain Policy, die ebenfalls an der selben Stelle verlinkt ist, angeschaut.

Es war schon mal was eingestellt, wurde aber nur halbherzig umgesetzt. Habe dann die DDP so abgeändert, dass meine Gruppenrichtlinie nicht mehr nötig war. Hätte es von Anfang an so machen sollen.

Das Problem ist damit gelöst. Vielen Dank an alle für die Unterstützung!!!
Bitte warten ..
Mitglied: Xaero1982
28.04.2014 um 12:35 Uhr
Gerne doch.
Wie ich ja schon sagte, hat die da wo du sie ursprünglich verlinkt hattest nichts zu suchen, oder nicht mehr.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst GPO greift unter win server 2008, unter win7 nicht (5)

Frage von sayohh zum Thema Windows Server ...

Windows Server
GPO aktiv trotz Deaktivierung (7)

Frage von XxDarkAngelxX zum Thema Windows Server ...

Windows Server
gelöst Laufwerkspfad wird nach GPO-Änderung nicht aktualisiert (4)

Frage von YotYot zum Thema Windows Server ...

Windows Server
GPO werden nicht an Window 7 Clients vergeben (5)

Frage von Tealk144 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...