Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Seltsames Verhalten: Kennwortänderung in Domäne

Mitglied: Belloci

Belloci (Level 2) - Jetzt verbinden

22.01.2014, aktualisiert 08:23 Uhr, 4494 Aufrufe, 17 Kommentare

Guten Morgen Admins,

seit längerem Suche ich nach der Lösung, finde aber nichts passendes...

Wenn Kollegen (Domänenbenutzer) versuchen, ihr Kennwort zu ändern, erhalten sie die Meldung:

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien [...]


Nun zu unseren Einstellungen der DDP bzgl. Kennwörter:


-Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
-Kennwortchronik erzwingen\ngespeicherte Kennwörter: 0 gespeicherte Kennwörter
-Kennwörter mit umkehrbarer Verschlüsselung speichern: deaktiviert

das war es auch schon... Seit ca. einem Jahr arbeiten wir noch mit PSOs, die jedoch nur bestimmte Gruppen zugeordnet werden. In diesem Beispiel können die PSOs nicht greifen.

Im Netz gibt es einige Leidensgenossen, jedoch ohne wirkliche Problembeseitigung...

Gruß
N

PS: Im Userobject ist der Haken "Benutzer kann Kennwort nicht ändern" NICHT selektiert.

EDIT
http://www.mcseboard.de/topic/193666-das-kennwort-kann-nicht-aktualisie ...

http://social.technet.microsoft.com/Forums/windowsserver/en-US/e67d2625 ...
Mitglied: DerWoWusste
22.01.2014 um 08:26 Uhr
Moin Belloci.

Prüf doch noch einmal sicher nach, ob keine PSOs ziehen über den powershellbefehl
Get-ADUserResultantPasswordPolicy samaccountnameDesBenutzers

Schreib ruhig auch deutlich dazu, dass die Komplexitätsanforderungen in jedem Fall erfüllt sind.
Bitte warten ..
Mitglied: kontext
22.01.2014, aktualisiert um 08:57 Uhr
Guten Morgen Belloci,

zusätzlich zum Tipp von DerWoWusste,
versuchen die User evtl. Ihren Namen ins Kennwort einzubauen?
Wenn im Kennwort der Name des Users enthalten ist, kommt auch diese Fehlermeldung.

Was passiert wenn du mal das "MS Lehrbuch-Passwort" - C0mplex123 von Microsoft probierst?
Geht es mit diesem Kennwort, oder auch nicht?

Gruß
kontext
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 09:01 Uhr
Sei gegrüßt DWW,

mit deinem Befehl für den entsprechenden Benutzer gab es keine Ausgabe was mich vermuten lässt, dass keine PSO auf den User zieht... Die gleiche Prozedur auf meinen Account führte zu einer Ausgabe, die auf ein(e) PSO verwies.

Und ja, die komplexität der Kennwörter die probiert wurden, war natürlich eingehalten worden

Gruß
N
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 09:03 Uhr
Hi Kontext,

wir haben schon wirklich alles probiert. Das Teile des Namens nicht vorhanden sein dürfen war mir bewusst und kann ich daher leider auch ausschließen. An der Komplexität kann es wirklich nicht liegen da haben wir weitaus komplexere Sachen als "C0mplex123" probiert
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.01.2014, aktualisiert um 14:08 Uhr
Ok, dann kann es eigentlich nur zwei Ursachen haben:
Entweder (sehr sehr unschön), auf dem DC ist etwas defekt (hatte ich auch schon exakt so, konnte nicht behoben werden! Ursache war rumexperimentieren mit einer Passwortfilter-dll - jedoch nur Testdomäne)
Oder (hoffentlich): Du hast Replikationsprobleme und bist mit einem DC verbunden, der andere Kennwortrichtlinien (veraltete) hält. Prüf also, welcher derzeit Dein Logonserver ist, melde Dich danach bei diesem Server an und führe am Server rsop.msc durch, um die Policy zu prüfen.
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 09:50 Uhr
Hallo DWW,

danke für den Hinweis, lass mich kurz ausholen:

wir haben 2DCs im Einsatz, beide identisch bzgl. OS (2008R2)

Auf DC1 werden nach rsop mit dem User unter Computer - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien oben genannte (in meinem 1. Post) Werte / Einstellungen gezogen...

Auf DC2 werden diese mit "nicht definiert" deklariert...

Dann habe ich versucht mit angemeldeten User auf DC1 das Kennwort zu ändern (über Taskmanager - Kennwort ändern) aber es kam die gleiche Fehlermeldung wie immer...

Auf DC2 habe ich es spaßeshalber auch probiert aber auch die Fehlermeldung erhalten... Bleibt natürlich die Frage warum dem so ist, oh je!

Gruß
N
Bitte warten ..
Mitglied: DerWoWusste
22.01.2014 um 10:05 Uhr
Moin.

Wenn ich Dich richtig verstehe, hat sich die Policy nicht korrekt repliziert - warum sonst sollte rsop auf den DCs verschiedene Ausgaben machen? Sag bitte nochmal genau, was "rsop mit dem User" bedeuten soll. Der User interessiert hier nicht die Bohne, da es eine Computerpolicy ist. Einfach als Admin rsop.msc starten und Usereinstellungen skippen.

Vergleiche bitte auf beiden DCs die Passworteinstellungen der DDP.
Bitte warten ..
Mitglied: Belloci
22.01.2014, aktualisiert um 10:26 Uhr
Ja, habe ich mal wieder außer Acht gelassen... habe mich wie gesagt als der User angemeldet, wo es nicht lief (was nicht hätte sein müssen da Computereinstellung...)

Dort habe ich den von dir angesprochenen Vergleich gestartet - auf DC1 waren die Einstellungen bzgl. Kennwörter drin (Quelle DDP), auf DC2 nicht (nicht definiert)... sehr kurios!

EDIT
Als Admin das gleiche Spiel: DC1 Einstellungen sind da / DC2 Einstellungen sind NICHT da.
Bitte warten ..
Mitglied: DerWoWusste
22.01.2014 um 10:32 Uhr
Trotz Replikationsproblemen: Wenn der DC2 gar keine hält, dürfte an diesem auch keine Restriktion kommen (es sei denn auf DC2 spuckt er für den User plötzlich eine PSO aus! - teste dies)
Stell also mal sicher mit dem Kommando echo %logonserver%, dass Du an DC2 angemeldet bist und ändere das Kennwort. Wenn DC1 Dein Logonserver ist, melde Dich an anderen rechnern so lange an, bis Dc2 als Ausgabe kommt.
Bitte warten ..
Mitglied: Belloci
22.01.2014, aktualisiert um 10:41 Uhr
Okay,

habe ich geprüft. Kein Erfolg, weder logonserver = DC1 noch logonserver = DC2. Gleiche Fehlermeldung wie immer!

PSO auch auf DC2 nicht aktiv!
Bitte warten ..
Mitglied: DerWoWusste
22.01.2014, aktualisiert um 10:41 Uhr
Tja... ich fürchte, Du hast ein ernstes Problem.
Als ich das in meiner Testdomäne hatte, wurden nicht mal mehr Kennwörter wie kjdSHf9we8zr9283ß89zujhjss#sd0e89ek222w!1 als komplex angesehen...

Kontaktiere mal Microsoft.
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 10:43 Uhr
Okay,

wie schon beschrieben, sehr komplexe Kennwörter werden wirklich nicht genommen!

Mal schauen wie ich an MS herantreten kann. Danke für die Unterstützung bis hierhin!!
Bitte warten ..
Mitglied: kontext
22.01.2014 um 10:44 Uhr
Zitat von Belloci:
Mal schauen wie ich an MS herantreten kann. Danke für die Unterstützung bis hierhin!!

Ist glaube ich am besten
Halt uns doch bitte auf dem Laufenden

Gruß
kontext
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 14:08 Uhr
Also nach allem was ich mir bis jetzt überlegt habe wird es wohl zu keiner Lösung im eigentl. Sinne kommen. Wir werden demnächst auf Server 2012R2 umsteigen und hoffe, dass sich der Fehler nicht mitrepliziert...

Ich setze den Beitrag nichts desto trotz auf gelöst.

Danke!

N
Bitte warten ..
Mitglied: DerWoWusste
22.01.2014 um 14:54 Uhr
Ui... da wäre ich mir nicht so sicher. Kontaktiere MS, sonst kann ja bis zur Migration (und vermutlich darüber hinaus) keiner mehr sein Kw ändern.
Bitte warten ..
Mitglied: Belloci
22.01.2014 um 16:06 Uhr
Das ist ja das "schöne". Es gibt Leute die können Ihr Kennwort ändern (unabhängig der PSO).
Bitte warten ..
Mitglied: Belloci
23.01.2014 um 14:52 Uhr
Kleiner Nachtrag:

Für dieses Verhalten gibt es ansatzweise eine Erklärung jedoch keine Lösung des eigentlichen Problems:

http://social.technet.microsoft.com/Forums/de-DE/9be27f4d-fb18-4e40-941 ...
Bitte warten ..
Ähnliche Inhalte
Windows Server
Seltsames Verhalten von Benutzereinstellungen bei einzelnem Domäne Benutzer
gelöst Frage von HamsertWindows Server11 Kommentare

Hallo, folgendes Problem: Vor dem Wochenende wurde unser SBS 2011 neugestartet (routine). Heute Morgen hat bei einem unserer Admins ...

Windows Server
Seltsames Verhalten von Druckern
Frage von Der-DudeWindows Server2 Kommentare

Hätte ich dieses Thema auf meinem Blog beschrieben, dann hätte ich es "Gremlins im Netzwerk oder welchen Drucker hättens ...

Batch & Shell
Seltsames Verhalten von Add-PSSnapin
gelöst Frage von DaniBatch & Shell9 Kommentare

Guten Abend zusammen, ich quäle mich mit folgenden Skript: Starte ich dieses über Rechtsklick -> Mit Powershell ausführen, erscheint ...

SAN, NAS, DAS
Seltsames Verhalten zwischen Qnap und Veeam
gelöst Frage von FFSephirothSAN, NAS, DAS6 Kommentare

Guten Morgen zusammen, ich habe ein großes Problem: An unterschiedlichen FritzBoxen (alle Firmware 6.83) habe ich unterschiedliche Qnaps (TS-128, ...

Neue Wissensbeiträge
Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 3 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 8 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement21 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...