Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2008 Domäne - User können Ihre Kennwörter nicht ändern

Frage Microsoft Windows Server

Mitglied: Torsten-S

Torsten-S (Level 1) - Jetzt verbinden

14.07.2010 um 08:35 Uhr, 11793 Aufrufe, 6 Kommentare

Liebes Forum,

bin hier mit meinem Latein so ziemlich am Ende:

Habe eine Windows SBS 2008 Domäne am Laufen. Nun möchten die User ihr Kennwort am Client (WIN XP, WIN7) über STRG+ALT+ENTF ändern. Jedoch kommt jedesmal der Hinweis, dass das neue Kennwort nicht der Kennwortrichtlinie der Domäne entspricht und daher nicht geändert werden kann, auch, wenn alle Vorgaben eingehalten werden (Komplexität, Länge, Historie).

Änderungen hierzu macht man ja unter: gpmc.msc > Default Domain Policy > Bearbeiten > Computerkonf. > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinien oder als "SBSler" unter der SBSConsole -> Benutzer und Gruppen -> Kennwortrichtlinien ändern.

Nun dachte ich mir, ich schalte mal die Komplexitätsanforderungen und alle anderen Vorgaben aus, um zu sehen, was sich tut. Auch nach einem gpupdate an den Clients (sowie am Server) bringt leider keine Änderung. Selbst wenn ich in der Default Domain Policy alles auf "nicht definiert" setze, kann der User das Kennwort nicht selber ändern. Auch im AD ist bei den Kontoeinstellungen der User kein Haken bei "User kann Kennwort nicht ändern".
Das gleiche Problem habe ich auch an einem zweiten SBS 2008, den ich noch betreue. Ich denke mal, ich mache da grundsätzlich was falsch. Oder muss ich an anderer Stelle noch was "drehen"?
Da die User Ihr Passwort regelmäßig selber ändern sollen, wäre es schon gut, wenn ich das zum Laufen bekomme.

Hat hier jemand noch einen Hinweis für mich? VIIIIEEEELLLLLEEENNN Dank im Voraus!


Torsten
Mitglied: DerWoWusste
14.07.2010 um 08:41 Uhr
Moin.
Vorweg (und doch nebenbei): GPupdate ist nur am Server nötig, die Kennwortpolicy für Domänenkonten wirkt nicht auf Clients (bis auf für deren lokale Konten).
Führ am Server mal rsop.msc aus, um zu prüfen, ob die Änderungen greifen.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 08:53 Uhr
Lieber Torsten,

ich hab leider keinen SBS vor mir, allerdings gefühlt müsste die Richtlinie eine Benutzerrichtlinie und keine Computerrichtlinie sein. Vielleicht liegt dort schon dein Problem.

Gruß
Bitte warten ..
Mitglied: fisi-pjm
14.07.2010 um 09:04 Uhr
Hallo Torsten,

ich hab den eindruck es mangelt am grundlegenden Verständniss von Gruppenrichtlinien. Vorneweg, ändere NIEMALS etwas an der Default Domain Policy leg dir eine neue an und Priorisiere sie höher als die Default policy, dann kannst du nach belieben herumprobieren.

Also, zu deinem Problem. Gruppenrichtlinien sind Registry Einstellungen die auf den Client / Server übertragen werden. Gruppenrichtlinien enthalten lange nicht alle Einstellungen die möglich sind, sie sind lediglich Vorlagen / Schablonen um leicht verschiedene Einstellungen vornehmen zu können. Fürs besser Verständiss siehr auch http://www.gruppenrichtlinien.de

Wenn du also eine Einstellung definierst und anschließend wieder auf nicht definiert stellst, hat sie weiterhin die gleiche Einstellung wie zuvor um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.

Handelt es sich bei den Benutzerkonten um lokale oder um Domänen Benutzer?

Gruß
PJM
Bitte warten ..
Mitglied: Torsten-S
14.07.2010 um 09:54 Uhr
Hallo an Euch drei,

erst mal herzlichen Dank, dass Ihr einem Newbie so schnell geantwortet habt....

@DerWoWusste: danke - wieder was gelernt Die Richtlinien werden angewandt. rsop.msc zeigt mir die gemachten Ändeurngen auch an.
@PJM: mit der Default Domain Policy hast Du natürlich recht... Auch mit meinen Kenntnissen der GPs. Danke für Deinen Hinweis, die EInstellungen zu DEAKTIVIEREN. Das habe ich gemacht und dann wieder aktiviert mit den Einstellungen, die ich haben möchte und nun klappt es auch mit der Änderung!!

Danke Euch dreien nochmals!!

Schöne Grüße,

Torsten
Bitte warten ..
Mitglied: DerWoWusste
14.07.2010 um 09:55 Uhr
@fisi...
um ein anderes Ergebniss zu erhalten musst du sie also negieren nicht nur nicht definieren.
Das stimmt nicht uneingeschränkt und sollte so auf keinen Fall verbreitet werden. Lies unter http://technet.microsoft.com/en-us/library/cc781760(WS.10).aspx den Abschnitt ab "Be aware that security settings can persist". Dort heißt es:
If a policy defines a security setting and then no longer defines that setting, the setting reverts to the previous value in the database. If a previous value does not exist in the database, the setting remains defined as is. This behavior is sometimes called tattooing.

Wie ist es in unserem Fall? Wir haben eine Policy, die nur auf den DC wirken muss. Wie war dort die Grundeinstellung? Richtig: nichts definiert, somit führt es zurück zu "keine Einstellung gesetzt bezüglich Kennwortkomplexität"; man braucht nicht zu negieren.
Edit: ich sehe gerade, negieren hat gewirkt - also muss in diesem Fall schon etwas gesetzt gewesen sein (dies ist nicht Default).

@epiclulz
es ist eine Computerrichtlinie, sie gilt für eine Kennwortdatenbank, die ist nicht benutzerabhängig.
Bitte warten ..
Mitglied: epiclulz
14.07.2010 um 12:54 Uhr
da hatte ich einen denkfehler am frühen morgen. danke für den hinweis
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat (8)

Frage von Ezekiel666 zum Thema Exchange Server ...

Windows Server
gelöst SBS 2011 - Domäne (7)

Frage von MiSt zum Thema Windows Server ...

Windows Server
Server Upgrade SBS 2008 auf Server 2016 (19)

Frage von heisenberg4 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...