Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2003 - Kennwortrichtlinien für eine OU deaktivieren

Frage Microsoft Windows Server

Mitglied: beta-way-of-life

beta-way-of-life (Level 1) - Jetzt verbinden

23.04.2012 um 12:54 Uhr, 4240 Aufrufe, 11 Kommentare

Hallo Leute,

ich brauche wieder mal eure Hilfe. ;)

Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.

Leider greift das ganze aber nicht, hat jemand eine Idee warum?

Danke.

Mit freundlichen Grüßen
Mitglied: d4shoerncheN
23.04.2012 um 13:10 Uhr
Hallo,

hat er - wie du es beschreibst -die Richtlinie nicht gezogen, oder funktioniert sie nur nicht?
Bitte warten ..
Mitglied: beta-way-of-life
23.04.2012 um 13:20 Uhr
Hi,

also soweit ich das jetzt sehe (gpresult) zieht er die entsprechende Policy nicht......
gpupdate hab ich gemacht.

Er bekommt die beiden anderen Policys und die Default Domain Policy. Aber meine nicht.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: d4shoerncheN
23.04.2012 um 13:34 Uhr
Hey,

hmm okay. Kannst ja einmal Stichwortartig erklären, was genau du bereits gemacht hast - evtl. lässt sich so ein kleiner Konfigurationsfehler feststellen.
Bitte warten ..
Mitglied: beta-way-of-life
23.04.2012 um 13:39 Uhr
  • OU erstellt: OU=MDE OU=Firma Intern
  • User in die OU "MDE" verschoben
  • Neue Policy für diese OU angelegt (Keine Passwortrichtlinien) -> "Kennwort muss Komplexitätsvoraussetzungen entsprechen: Deaktiviert
  • Haken bei "Erzwungen" gesetzt
  • Vererbung für "MDE" deaktiviert
  • Am Client neu angemeldet und zusätzlich noch ein gpupdate gemacht

Leider bekommt der Client immer noch die Default.......
Bitte warten ..
Mitglied: d4shoerncheN
23.04.2012 um 13:50 Uhr
Hmmm, auch mal mit "gpupdate /force" versucht? Sind die Objekte richtig verknüpft?

NACHTRAG
Gerade gelesen, dass es sich um einen Windows Server 2003 handelt. Meiner Meinung nach ist es bei der Version nur möglich, EINE gültige Kennwort-Policy zu verwenden. Erst ab Version 2008 hat MS dies geändert, dass man Kennwortrichtlinien auch für Gruppen, Benutzer etc. über GPO steuer kann.

NACHTRAG 2
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Active Directory hat bis einschließlich Windows Server 2003 die Einschränkung, nur eine einzige für die ganze Domäne gültige Passwortrichtlinie definieren zu können. Eine Passwortrichtlinie wirkte somit für alle Benutzer in der Domäne verbindlich – Ausnahmen, um für weitere Benutzer andere Einstellungen definieren zu können gab es nicht. Das war ziemlich einschränkend, zumal man sicherlich für einige Benutzergruppen andere Richtlinien vergeben möchte als für den Rest des Unternehmens. Ausweg waren bisher nur 3rd-Party-Tools die dieses "Feature" nachrüsten können oder die Aufsplittung eines Unternehmenszweiges in eine zusätzliche Domäne.
Bitte warten ..
Mitglied: beta-way-of-life
23.04.2012 um 14:11 Uhr
Ja, hab ich versucht.
Ja, sollte alles passen. Ist gleich wie die anderen......
Bitte warten ..
Mitglied: d4shoerncheN
23.04.2012 um 14:27 Uhr
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.
Bitte warten ..
Mitglied: beta-way-of-life
23.04.2012 um 14:39 Uhr
Zitat von d4shoerncheN:
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.

Ah OK, danke für die Info!
Aber warum ich die Policy nicht ziehe verstehe ich trotzdem nicht......

Das is doch noch ein anderes Problem oder?
Bitte warten ..
Mitglied: d4shoerncheN
23.04.2012 um 14:42 Uhr
Vielleicht ignoriert er diese, Aufgrund der Inkompatibilität. Versuch doch mal, irgendeine andere Einstellung dort zu hinterlegen und mit "gpupdate /force" auf dem Client abzurufen.
Bitte warten ..
Mitglied: SirAnimus
23.04.2012 um 16:33 Uhr
Also über GPO kannst du so was nicht einstellen.

Da alle User über den DC laufen muss auch dort alles geändert werden.

Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.

Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.

Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...

Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.


Hoffe mal das hilft dir so

Mit freundlichen Grüßen



Edit:

Noch ein wichtiger Hinweis:

Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.

Also nicht mit einer OU.
Bitte warten ..
Mitglied: DerWoWusste
23.04.2012 um 21:19 Uhr
Hi SirAnimus.

Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Da alle User über den DC laufen muss auch dort alles geändert werden
Korrekt. Bis 2003 Server konnte man die Kennwortrichtlinie für Domänenkonten nur auf die OU mit den DCs anwenden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen
Auch korrekt. Weitere Richtlinien sind möglich, sofern man auch definiert, dass sie nicht von der anderen Policy überschrieben werden. Für lokale Konten gehen demnach also jederzeit mehrere Richtlinien, auch bei 2003 schon.
Aber nun kommt's:
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen
Du fängst hier an, PSOs zu beschreiben - diese gibt es jedoch erst seit 2008 Server.
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen. Also nicht mit einer OU.
Wenn man weiter von 2003 bei ihm ausgeht, ist auch der Satz sogar komplett falsch.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
SMBv2 in Windows 7 - Windows XP - Windows Server 2003 Domäne deaktivieren (4)

Frage von Mario.Steinberg zum Thema Windows Netzwerk ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...