Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2008 Domäne - User können Ihre Kennwörter nicht ändern

Frage Microsoft Windows Server

Mitglied: Torsten-S

Torsten-S (Level 1) - Jetzt verbinden

14.07.2010 um 08:35 Uhr, 12079 Aufrufe, 6 Kommentare

Liebes Forum,

bin hier mit meinem Latein so ziemlich am Ende:

Habe eine Windows SBS 2008 Domäne am Laufen. Nun möchten die User ihr Kennwort am Client (WIN XP, WIN7) über STRG+ALT+ENTF ändern. Jedoch kommt jedesmal der Hinweis, dass das neue Kennwort nicht der Kennwortrichtlinie der Domäne entspricht und daher nicht geändert werden kann, auch, wenn alle Vorgaben eingehalten werden (Komplexität, Länge, Historie).

Änderungen hierzu macht man ja unter: gpmc.msc > Default Domain Policy > Bearbeiten > Computerkonf. > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinien oder als "SBSler" unter der SBSConsole -> Benutzer und Gruppen -> Kennwortrichtlinien ändern.

Nun dachte ich mir, ich schalte mal die Komplexitätsanforderungen und alle anderen Vorgaben aus, um zu sehen, was sich tut. Auch nach einem gpupdate an den Clients (sowie am Server) bringt leider keine Änderung. Selbst wenn ich in der Default Domain Policy alles auf "nicht definiert" setze, kann der User das Kennwort nicht selber ändern. Auch im AD ist bei den Kontoeinstellungen der User kein Haken bei "User kann Kennwort nicht ändern".
Das gleiche Problem habe ich auch an einem zweiten SBS 2008, den ich noch betreue. Ich denke mal, ich mache da grundsätzlich was falsch. Oder muss ich an anderer Stelle noch was "drehen"?
Da die User Ihr Passwort regelmäßig selber ändern sollen, wäre es schon gut, wenn ich das zum Laufen bekomme.

Hat hier jemand noch einen Hinweis für mich? VIIIIEEEELLLLLEEENNN Dank im Voraus!


Torsten
Mitglied: DerWoWusste
14.07.2010 um 08:41 Uhr
Moin.
Vorweg (und doch nebenbei): GPupdate ist nur am Server nötig, die Kennwortpolicy für Domänenkonten wirkt nicht auf Clients (bis auf für deren lokale Konten).
Führ am Server mal rsop.msc aus, um zu prüfen, ob die Änderungen greifen.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 08:53 Uhr
Lieber Torsten,

ich hab leider keinen SBS vor mir, allerdings gefühlt müsste die Richtlinie eine Benutzerrichtlinie und keine Computerrichtlinie sein. Vielleicht liegt dort schon dein Problem.

Gruß
Bitte warten ..
Mitglied: fisi-pjm
14.07.2010 um 09:04 Uhr
Hallo Torsten,

ich hab den eindruck es mangelt am grundlegenden Verständniss von Gruppenrichtlinien. Vorneweg, ändere NIEMALS etwas an der Default Domain Policy leg dir eine neue an und Priorisiere sie höher als die Default policy, dann kannst du nach belieben herumprobieren.

Also, zu deinem Problem. Gruppenrichtlinien sind Registry Einstellungen die auf den Client / Server übertragen werden. Gruppenrichtlinien enthalten lange nicht alle Einstellungen die möglich sind, sie sind lediglich Vorlagen / Schablonen um leicht verschiedene Einstellungen vornehmen zu können. Fürs besser Verständiss siehr auch http://www.gruppenrichtlinien.de

Wenn du also eine Einstellung definierst und anschließend wieder auf nicht definiert stellst, hat sie weiterhin die gleiche Einstellung wie zuvor um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.

Handelt es sich bei den Benutzerkonten um lokale oder um Domänen Benutzer?

Gruß
PJM
Bitte warten ..
Mitglied: Torsten-S
14.07.2010 um 09:54 Uhr
Hallo an Euch drei,

erst mal herzlichen Dank, dass Ihr einem Newbie so schnell geantwortet habt....

@DerWoWusste: danke - wieder was gelernt Die Richtlinien werden angewandt. rsop.msc zeigt mir die gemachten Ändeurngen auch an.
@PJM: mit der Default Domain Policy hast Du natürlich recht... Auch mit meinen Kenntnissen der GPs. Danke für Deinen Hinweis, die EInstellungen zu DEAKTIVIEREN. Das habe ich gemacht und dann wieder aktiviert mit den Einstellungen, die ich haben möchte und nun klappt es auch mit der Änderung!!

Danke Euch dreien nochmals!!

Schöne Grüße,

Torsten
Bitte warten ..
Mitglied: DerWoWusste
14.07.2010 um 09:55 Uhr
@fisi...
um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.
Das stimmt nicht uneingeschränkt und sollte so auf keinen Fall verbreitet werden. Lies unter http://technet.microsoft.com/en-us/library/cc781760(WS.10).aspx den Abschnitt ab "Be aware that security settings can persist". Dort heißt es:
If a policy defines a security setting and then no longer defines that setting, the setting reverts to the previous value in the database. If a previous value does not exist in the database, the setting remains defined as is. This behavior is sometimes called tattooing.

Wie ist es in unserem Fall? Wir haben eine Policy, die nur auf den DC wirken muss. Wie war dort die Grundeinstellung? Richtig: nichts definiert, somit führt es zurück zu "keine Einstellung gesetzt bezüglich Kennwortkomplexität"; man braucht nicht zu negieren.
Edit: ich sehe gerade, negieren hat gewirkt - also muss in diesem Fall schon etwas gesetzt gewesen sein (dies ist nicht Default).

@epiclulz
es ist eine Computerrichtlinie, sie gilt für eine Kennwortdatenbank, die ist nicht benutzerabhängig.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 12:54 Uhr
da hatte ich einen denkfehler am frühen morgen. danke für den hinweis
Bitte warten ..
Ähnliche Inhalte
Windows Server
User können Kennwörter nicht ändern
gelöst Frage von platinWindows Server3 Kommentare

Hallo zusammen, ich habe eine frisch aufgesetzte und kaum konfigurierte Windows Domäne basierend auf Server 2012 R2. Dort habe ...

Windows Server
Windows Server 2012 R2 Kennwort ändern für Domäne
gelöst Frage von Hendrik2586Windows Server5 Kommentare

Hallo meine Lieben , ich hab da mal eine kurze Frage. Mein Chef möchte das sich zu morgen alle ...

Windows Userverwaltung
Domänen Administrator Kennwort im Active Directory ändern. Wie?
gelöst Frage von Xinu32Windows Userverwaltung5 Kommentare

Hallo zusammen, ich würde gerne das Domänen Administrator Kennwort auf unserem Windows 2003 Domänencontroller ändern. Wo mache ich das ...

Windows 7
Kennwort bei Anmeldung ändern
gelöst Frage von trillerWindows 712 Kommentare

Hallo, ich habe ein Problem mit Windows7 Clients an einem SBS2011 das ich einfach nicht gelöst bekomme. Vielleicht könnt ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 10 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 14 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...