Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Von SBS 2008 eingestellte erzwungene Passwortänderung wird von XP Client nicht registriert

Frage Microsoft Exchange Server

Mitglied: peter620

peter620 (Level 1) - Jetzt verbinden

31.05.2010 um 11:39 Uhr, 4925 Aufrufe, 7 Kommentare

Wir haben unseren Server auf einen SBS 2008 umgestellt. Dabei wurde das Sicherheitsniveau der Passwörter hochgestuft und zusätzlich die Einstellung vorgenommen, dass jeder Client bei Neuanmeldung sein Kennwort erneuern muss, mit einer Gültigkeit von X Tagen.

Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.

Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.

Wie kann ich dieses Problem lösen?
Mitglied: DerWoWusste
31.05.2010 um 15:00 Uhr
Hi.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.

Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Bitte warten ..
Mitglied: peter620
31.05.2010 um 15:32 Uhr
Gut möglich, dass ich meine Kenntnisse erweitern muss, allerdings hilft mir dein Beitrag nur bedingt weiter

Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
  • Clients=PC --> weiss ich & meinte ich auch so
  • jeder PC hat ein Kennwort ist klar, aber wieso "sieht" die ein Nutzer nicht und wieso machen die Nutzer die (welche?) Änderungen automatisch?
  • ich habe in der @@Default Domain Policy@@ -> Computer Configuration -> Policies -> ....Account Policies -> Password Policy die Angaben für "Enforce password history", "max. age", "max lenght" usw. eingestellt =>XP Clients können sich anmelden obwohl ihr passwort nicht die dort angegebenen Kriterien erfüllt.
  • Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined"
  • Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden

=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall! Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).
Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift

So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen )
Bitte warten ..
Mitglied: DerWoWusste
31.05.2010 um 16:26 Uhr
Schaffen wir schon.
jeder PC hat ein Kennwort ist klar...
Die PC-Kennwörter interessieren hier nicht die Bohne. Es geht um die Kennwörter der Dom.benutzer und so sollte man die auch nennen. Du nutzt "XP Clients" im Sprachgebrauch an Stelle von "Domänenbenutzer, die sich an xp-Clients anmelden" - und das verwirrt.
•Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined
Wenn Du dort nichts setzt, ist es not defined - logisch.
•Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
Wozu gibt es lokale Konten und was hat das mit dem Problem zu tun? Erklär genauer, wie lokale Konten hier reinspielen sollten.

wenn ich dich richtig verstehe...
Dieser Haken bewirkt, dass die Domänenkonten bei der nächsten Anmeldung eine Aufforderung zur Kennwortänderung (also erzwungene Änderung) erhalten. Die Auff. kommt nicht im laufenden Betrieb.

Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
Bitte warten ..
Mitglied: peter620
01.06.2010 um 09:31 Uhr
Wenn ich in der Default Domain Controllers Policy nichts einstellen steht dort "not defined", klar. Aber in der Default Domain Policy ist es eingestellt, und das reicht je deiner Meinung nach - also muss ich nichts in der DDCP einstellen.

Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.

Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 10:46 Uhr
Also: Du hast einen Fehlerzustand, soviel steht fest. Die Policy hat mit dem Haken nichts zu tun, das sind zwei Paar Schuhe. Auf den PCs, auf denen es nicht geht ist immer xp - das ist seltsam. Da es bei meinen xp-PCs in der Domäne (2008 Standard) noch geht, könnte es ein Problem des SBS sein - jedoch ist die Kombi SBS 2008 mit xp nicht unüblich und wird vermutlich von zig Tausenden Admins gefahren. Unwahrscheinlich also, dass es ein Bug ist - der wäre längst hinrteichend bekannt und gefixt. Es sei denn, Euer Server und xp sind völlig veraltet, was die Servicepacks angeht.

Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Bitte warten ..
Mitglied: peter620
01.06.2010 um 10:53 Uhr
Was Servicepacks angeht sind alle auf dem neuesten Stand.

Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 11:39 Uhr
Die Clients werten aus, was auf dem Server eingestellt ist. Falsch einstellen kann man auf dem Server nichts, entweder ein seltsamer Bug oder die Clients haben ein eben so seltsames Problem. Teste nun im Fehlerumfeld: richte ein lokales Testkonto am xp-Client ein und setze die Option "Kennwort muss bei der ersten Anmeldung geändert werden" - geht das?
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...