Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Von SBS 2008 eingestellte erzwungene Passwortänderung wird von XP Client nicht registriert

Frage Microsoft Exchange Server

Mitglied: peter620

peter620 (Level 1) - Jetzt verbinden

31.05.2010 um 11:39 Uhr, 4945 Aufrufe, 7 Kommentare

Wir haben unseren Server auf einen SBS 2008 umgestellt. Dabei wurde das Sicherheitsniveau der Passwörter hochgestuft und zusätzlich die Einstellung vorgenommen, dass jeder Client bei Neuanmeldung sein Kennwort erneuern muss, mit einer Gültigkeit von X Tagen.

Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.

Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.

Wie kann ich dieses Problem lösen?
Mitglied: DerWoWusste
31.05.2010 um 15:00 Uhr
Hi.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.

Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Bitte warten ..
Mitglied: peter620
31.05.2010 um 15:32 Uhr
Gut möglich, dass ich meine Kenntnisse erweitern muss, allerdings hilft mir dein Beitrag nur bedingt weiter

Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
  • Clients=PC --> weiss ich & meinte ich auch so
  • jeder PC hat ein Kennwort ist klar, aber wieso "sieht" die ein Nutzer nicht und wieso machen die Nutzer die (welche?) Änderungen automatisch?
  • ich habe in der @@Default Domain Policy@@ -> Computer Configuration -> Policies -> ....Account Policies -> Password Policy die Angaben für "Enforce password history", "max. age", "max lenght" usw. eingestellt =>XP Clients können sich anmelden obwohl ihr passwort nicht die dort angegebenen Kriterien erfüllt.
  • Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined"
  • Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden

=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall! Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).
Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift

So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen )
Bitte warten ..
Mitglied: DerWoWusste
31.05.2010 um 16:26 Uhr
Schaffen wir schon.
jeder PC hat ein Kennwort ist klar...
Die PC-Kennwörter interessieren hier nicht die Bohne. Es geht um die Kennwörter der Dom.benutzer und so sollte man die auch nennen. Du nutzt "XP Clients" im Sprachgebrauch an Stelle von "Domänenbenutzer, die sich an xp-Clients anmelden" - und das verwirrt.
•Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined
Wenn Du dort nichts setzt, ist es not defined - logisch.
•Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
Wozu gibt es lokale Konten und was hat das mit dem Problem zu tun? Erklär genauer, wie lokale Konten hier reinspielen sollten.

wenn ich dich richtig verstehe...
Dieser Haken bewirkt, dass die Domänenkonten bei der nächsten Anmeldung eine Aufforderung zur Kennwortänderung (also erzwungene Änderung) erhalten. Die Auff. kommt nicht im laufenden Betrieb.

Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
Bitte warten ..
Mitglied: peter620
01.06.2010 um 09:31 Uhr
Wenn ich in der Default Domain Controllers Policy nichts einstellen steht dort "not defined", klar. Aber in der Default Domain Policy ist es eingestellt, und das reicht je deiner Meinung nach - also muss ich nichts in der DDCP einstellen.

Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.

Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 10:46 Uhr
Also: Du hast einen Fehlerzustand, soviel steht fest. Die Policy hat mit dem Haken nichts zu tun, das sind zwei Paar Schuhe. Auf den PCs, auf denen es nicht geht ist immer xp - das ist seltsam. Da es bei meinen xp-PCs in der Domäne (2008 Standard) noch geht, könnte es ein Problem des SBS sein - jedoch ist die Kombi SBS 2008 mit xp nicht unüblich und wird vermutlich von zig Tausenden Admins gefahren. Unwahrscheinlich also, dass es ein Bug ist - der wäre längst hinrteichend bekannt und gefixt. Es sei denn, Euer Server und xp sind völlig veraltet, was die Servicepacks angeht.

Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Bitte warten ..
Mitglied: peter620
01.06.2010 um 10:53 Uhr
Was Servicepacks angeht sind alle auf dem neuesten Stand.

Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 11:39 Uhr
Die Clients werten aus, was auf dem Server eingestellt ist. Falsch einstellen kann man auf dem Server nichts, entweder ein seltsamer Bug oder die Clients haben ein eben so seltsames Problem. Teste nun im Fehlerumfeld: richte ein lokales Testkonto am xp-Client ein und setze die Option "Kennwort muss bei der ersten Anmeldung geändert werden" - geht das?
Bitte warten ..
Ähnliche Inhalte
Windows Update
gelöst SBS 2008: WSUS deinstallieren (und wieder neu installieren) (9)

Frage von diwaffm zum Thema Windows Update ...

Exchange Server
SBS 2008 mit Exchange (6)

Frage von MrChiacomo zum Thema Exchange Server ...

Windows Server
gelöst Migration Domäne v. SBS 2008 nach W2K16, Aufbau des AD - Änderungen nötig? (4)

Frage von departure69 zum Thema Windows Server ...

Windows Server
Migration SBS 2008 zu Server 2016 (2)

Frage von ellinho zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (25)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...