Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Von SBS 2008 eingestellte erzwungene Passwortänderung wird von XP Client nicht registriert

Frage Microsoft Exchange Server

Mitglied: peter620

peter620 (Level 1) - Jetzt verbinden

31.05.2010 um 11:39 Uhr, 4963 Aufrufe, 7 Kommentare

Wir haben unseren Server auf einen SBS 2008 umgestellt. Dabei wurde das Sicherheitsniveau der Passwörter hochgestuft und zusätzlich die Einstellung vorgenommen, dass jeder Client bei Neuanmeldung sein Kennwort erneuern muss, mit einer Gültigkeit von X Tagen.

Bei allen Win Vista / 7 Clients hat dies funktioniert - allerdings hat keiner der 3 XP Pro Clients diese Aufforderung bei Neuanmeldung gebracht. Es konnte weiterhin mit dem in der Domäne mit altem Passwort angemeldeten Client gearbeitet werden. Dies auch obwohl kein Passwort der XP-Clients dem neuen Sicherheitsniveau entsprach.

Nun kann ich selbstverständlich an diesen 3 Clients das Passwort manuell ändern. Ich will aber auch, dass dies nach X-Tagen erneuert werden muss (was dann wahrscheinlich ebenso wenig funktioniert!) Ausserdem soll jeder User sein PW ändern können, aber es soll eben den Anforderungen entsprechen.

Wie kann ich dieses Problem lösen?
Mitglied: DerWoWusste
31.05.2010 um 15:00 Uhr
Hi.
Du musst Dein Verständnis über Domänennutzerkennwörter zunächst erweitern. "Clients" sind PCs. Die haben zwar auch Kennwörter, jedoch werden die Nutzer diese nie zu Gesicht bekommen und die Änderung machen diese auch automatisch. Nutzerkennwörter von Domänennutzern werden auf dem DC gespeichert - nur dort muss und kann also die Richtlinie greifen. Wendest Du die Richtlinie auf alle PCs an, also nicht (wie ausreichend) in der Default Domain Controllers Policy, sondern in der Default Domain Policy, so gelten an den Clients die Einstellungen auch für lokale Konten.

Sinn der Vorrede: auch wenn Du es erlebst, es kann so wie beschrieben nicht sein, bzw. die Beschreibung ist ungenau. Den DC interessiert es nicht, wo sich ein Domänenbenutzer anmeldet (egal ob xp/Vista/7), die Richtlinie zieht immer.
Bitte warten ..
Mitglied: peter620
31.05.2010 um 15:32 Uhr
Gut möglich, dass ich meine Kenntnisse erweitern muss, allerdings hilft mir dein Beitrag nur bedingt weiter

Ich sollte wohl mein Problem näher beschreiben und gehe dabei Punkt für Punkt deine Antwort durch.
  • Clients=PC --> weiss ich & meinte ich auch so
  • jeder PC hat ein Kennwort ist klar, aber wieso "sieht" die ein Nutzer nicht und wieso machen die Nutzer die (welche?) Änderungen automatisch?
  • ich habe in der @@Default Domain Policy@@ -> Computer Configuration -> Policies -> ....Account Policies -> Password Policy die Angaben für "Enforce password history", "max. age", "max lenght" usw. eingestellt =>XP Clients können sich anmelden obwohl ihr passwort nicht die dort angegebenen Kriterien erfüllt.
  • Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined"
  • Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden

=> wenn ich dich richtig verstehe, so müsste @@jeder@@ User eine Aufforderung bekommen sein Passwort zu ändern, nachdem ich in Active Directory Users and Computers -> SBSUsers "User must change password at next logon" aktiviert habe. Dies ist jedoch nicht der Fall! Bei den (XP)-Usern, bei denen ich das Passwort ohne diese Aufforderung geändert habe (Ctrl + Alt + Del -> Change password) ist dieser Haken in der Active Directory verschwunden).
Nachdem dieser Automatismus nicht funktioniert hat, habe ich berechtigte Zweifel ob auch das Passwortalter greift

So ist es, ob es so sein kann oder auch nicht
Entweder ich habe hier was falsch verstanden, oder ich bitte um Hilfe dieses Problem zu lösen )
Bitte warten ..
Mitglied: DerWoWusste
31.05.2010 um 16:26 Uhr
Schaffen wir schon.
jeder PC hat ein Kennwort ist klar...
Die PC-Kennwörter interessieren hier nicht die Bohne. Es geht um die Kennwörter der Dom.benutzer und so sollte man die auch nennen. Du nutzt "XP Clients" im Sprachgebrauch an Stelle von "Domänenbenutzer, die sich an xp-Clients anmelden" - und das verwirrt.
•Soeben habe ich in die Einstellungen @@Default Domain Controllers Policy@@ gesehen: dort sind alle policies "not defined
Wenn Du dort nichts setzt, ist es not defined - logisch.
•Die User haben das gleiche Passwort, egal ob sie sich lokal oder in der Domäne anmelden
Wozu gibt es lokale Konten und was hat das mit dem Problem zu tun? Erklär genauer, wie lokale Konten hier reinspielen sollten.

wenn ich dich richtig verstehe...
Dieser Haken bewirkt, dass die Domänenkonten bei der nächsten Anmeldung eine Aufforderung zur Kennwortänderung (also erzwungene Änderung) erhalten. Die Auff. kommt nicht im laufenden Betrieb.

Nun endlich das Entscheidende: Hast Du, nachdem Du die Haken gesetzt hast einmal eine Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client durchgeführt UND die Bitte zur Änderung kam nicht? Kannst Du das reproduzieren?
Bitte warten ..
Mitglied: peter620
01.06.2010 um 09:31 Uhr
Wenn ich in der Default Domain Controllers Policy nichts einstellen steht dort "not defined", klar. Aber in der Default Domain Policy ist es eingestellt, und das reicht je deiner Meinung nach - also muss ich nichts in der DDCP einstellen.

Die lokalen Konten haben gar nix damit zu tun. Das hab ich nur angeführt, weil ich dachte du würdest danach fragen.

Bestätige hiermit:
Nach setzen des Haken und anschliessender Ab- und Wiederanmeldung eines Domänenbenutzers an einem xp-Client kam die Bitte zur Änderung NICHT!
Genau das ist das Problem. Nach der manuellen Änderung des PW (um diese Sicherheitslücke zu schliessen), war der Haken dann aber weg. Irgendwie scheint die Kommunikation nur in eine Richtung zu funktionieren...
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 10:46 Uhr
Also: Du hast einen Fehlerzustand, soviel steht fest. Die Policy hat mit dem Haken nichts zu tun, das sind zwei Paar Schuhe. Auf den PCs, auf denen es nicht geht ist immer xp - das ist seltsam. Da es bei meinen xp-PCs in der Domäne (2008 Standard) noch geht, könnte es ein Problem des SBS sein - jedoch ist die Kombi SBS 2008 mit xp nicht unüblich und wird vermutlich von zig Tausenden Admins gefahren. Unwahrscheinlich also, dass es ein Bug ist - der wäre längst hinrteichend bekannt und gefixt. Es sei denn, Euer Server und xp sind völlig veraltet, was die Servicepacks angeht.

Du musst also lowlevel rangehen und schauen, was beim Setzen des Hakens passiert. Es passiert nichts auf dem Client, nur auf dem DC. Kommt der Client an, fragt er beim DC die kontenattribute ab und wertet sie falsch aus - warum ist die Frage. Vermutlich wird das nur der MS Support näher beleuchten können.
Bitte warten ..
Mitglied: peter620
01.06.2010 um 10:53 Uhr
Was Servicepacks angeht sind alle auf dem neuesten Stand.

Schade, dass du mir nicht helfen kannst.
Zudem wäre es wichtig für mich zu wissen ob das Problem auf dem SBS oder den Clients zu suchen ist. Sollte der "Fehler" durch z.B. Fehlkonfiguration des SBS zurückzuführen sein, müsste ich mich mit dem Problem nicht mehr beschäftigen, da dann die IT-Firma (die für die Konfiguration zuständig war) dieses Problem im Rahmen der Vertragsverpflichtungen lösen müssen. Bei den Clients hingegen würden sie nach Stunden abrechnen (und wenn das ein so ausgefallenes Problem ist, dann wird das sicherlich nicht billig).
Bitte warten ..
Mitglied: DerWoWusste
01.06.2010 um 11:39 Uhr
Die Clients werten aus, was auf dem Server eingestellt ist. Falsch einstellen kann man auf dem Server nichts, entweder ein seltsamer Bug oder die Clients haben ein eben so seltsames Problem. Teste nun im Fehlerumfeld: richte ein lokales Testkonto am xp-Client ein und setze die Option "Kennwort muss bei der ersten Anmeldung geändert werden" - geht das?
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Passwortänderung lokaler Konten in einer 2008er Domäne
gelöst Frage von OniChanWindows Userverwaltung7 Kommentare

Moin Leute, ich stehe gerade vor der Aufgabe, das Kennwort des lokalen Administrator Kontos aller Clients (XP, Win7 & ...

Windows Server
SBS eingestellt - was folgt - wer hat Erfahrungen.
Frage von MaxInetWindows Server9 Kommentare

Hallo zusammen, wie wir alle wissen ist der SBS ja nun Geschichte, der letzte SBS ist der SBS 2011 ...

Windows Server
Erzwungene Updateinstallation Server 2008R2?
gelöst Frage von FSX2010Windows Server17 Kommentare

Hallo, kurze Frage zu den Windows Server 2008 Updates: Bisher, wenn es keine kritische Lücke war, habe ich die ...

Windows 8
Passwortänderung bei Win8.1 Client an Windows 2003 Domäne
Frage von slako29Windows 81 Kommentar

Hallo, ich habe eine Frage. In meiner Windows 2003 Domäne gibt es die Passwort-Policy die besagt das die User ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 StundeWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 20 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...