Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Windows 2008 Domain Password Policy funktioniert nicht

Mitglied: pworld

pworld (Level 1) - Jetzt verbinden

30.12.2009 um 09:55 Uhr, 10173 Aufrufe, 27 Kommentare

Windows 2008 Domain Password Policy funktioniert nicht

Ich habe folgende Einstellungen gemacht in einer W2008 Domain.
Standard Richtiline:
-> Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheits einstellungen -> Kontorichtlinien

Eingestellt ist:

Komplexitätsanforderungen: Deaktiviert
Kennwortchronik: 6 gesp. Kennwörter
Umkehbare Verschlüsselung. Deaktiviert
Maximales Kennwort Alter: 32 Tage
Kennwort Länge: 8 Zeichen
Minimales Kennwort Alter: 31 Tage


Allerdings wirken die änderungen nicht. Der User muss nie ein Passwort ändern. Es kommt ein paar Tage davor auch nicht die Meldung das sein Passwort abläuft.

2. Frage wie könnte ich nachschauen wieviele Tage noch ein Passwort gültig ist?

Oder mache ich einfach einen überlegungsfehler ist schon eine Zeit her wo ich eine Password Policy definiert habe.
27 Antworten
Mitglied: 48507
30.12.2009 um 10:22 Uhr
Ich welcher Policy hast du es einstellt? Default Domain Policy? In einer anderen? Ist diese mit einer OU verknüpft? Ob eine Policy übernommen wird oder nicht, kannst du auf dem Client mittels rsop.msc ermitteln. gpupdate /force könnte auch helfen.
Bitte warten ..
Mitglied: pworld
30.12.2009 um 11:09 Uhr
Die rsop.msc zeigt genau die einstellung die von der Domäne kommt. Gpupdate habe ich gemacht und es ist die Standard richtiline also Default Domain Policy.

Ich habe allerdings beim Client folgende fehlermeldung nach eingabe von rsop.msc:

Administrative Vorlagen
Folgender Fehler in C:\Windows\inf\aer1028.adm in Zeile 30 aufgetreten: Fehler 64 Die Hilfzeichenfolge wurde mehr als einmal angegeben. Die Datei kann nicht geladen werden.
Bitte warten ..
Mitglied: Sonnenscheinhasser
30.12.2009 um 11:23 Uhr
Zitat von pworld:

2. Frage wie könnte ich nachschauen wieviele Tage noch ein Passwort gültig ist?

Such mal nach 'lockoutstatus.exe'. Gibt es bei Microsoft. Zeigt dir u.a. auch an, wie es um das Passwort eines Users bestellt ist.

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: pworld
31.12.2009 um 12:19 Uhr
Ich habe das nachgeschaut mit dem Tool -> Obwohl lokal wie oben genannt die Einstellungen lokal übernommen worden sind.
Das habe ich mit gpedit.msc Lokal angeschaut -> Die Einstellungen kommen von der Domäne das heisst ich kann diese nicht mehr lokal modifizieren.

Mit dem Tool lockstatus zeigt es an: Max password age for xxdxxxx is 49710 days.
Current password age is 61 days 20 hours 15 min
Password remains valid for 49648 day 10hours 10 min
Bitte warten ..
Mitglied: DerWoWusste
31.12.2009 um 16:39 Uhr
Moin.
Dein Denkfehler könnte sein: die Policy muss auf die Kontendatenbank angewendet werden, welche die Domänenkonten enthält. Diese liegt auf dem DC. Was auf den Clients zieht (rsop.msc) gilt für lokale Konten! Für Domänenkonten ist die Clienteinstellung wurst, allein auf dem DC muss die Kennwortpolicy angewendet werden. Schau also nach, was auf dem DC greift.
Bitte warten ..
Mitglied: 48507
31.12.2009 um 17:46 Uhr
Zitat von pworld
Die rsop.msc zeigt genau die einstellung die von der Domäne kommt. Gpupdate habe ich gemacht und es ist die Standard richtiline also Default Domain Policy.

Kennwortrichtlinien sind Computereinstellungen. Ist der Computer Mitglied der Domäne und gelten die Richtilinien für diesen, so gelten sie für alle User auf diesem Computer, egal ob lokal oder Domäne. Ein lokales Anpassen der Richtlinien (gpedit.msc) ist dann nicht mehr möglich.
Bitte warten ..
Mitglied: DerWoWusste
31.12.2009 um 18:27 Uhr
gelten sie für alle User auf diesem Computer, egal ob lokal oder Domäne
Falsch, denn Domänenkennwörter liegen nicht auf dem PC sondern auf dem DC.
Bitte warten ..
Mitglied: 48507
31.12.2009 um 18:52 Uhr
Es geht hier um Richtlinien für Kennwörter und nicht um die Kennwörter selbst...
Bitte warten ..
Mitglied: DerWoWusste
31.12.2009 um 19:05 Uhr
Probiers bitte aus, wenn Du's nicht glaubst. Die KW-Richtl. gehört nichtmal in die Def.-Policy, sondern in die DefDom-Policy (wenn es um Domänenkonten geht).
Bitte warten ..
Mitglied: 48507
31.12.2009 um 19:08 Uhr
Oben steht doch Default Domain Policy. Außerdem müssen die Richtlinien nicht zwangweise in dieser definiert sein. Denn so würden diese auch für Server gelten, und wer will das schon? Ich habe z.B. eigene OUs/GPOs für Arbeitsplatz-Rechner sowie Laptops, die jeweils eigene Richtlinien besitzen.
Bitte warten ..
Mitglied: DerWoWusste
01.01.2010 um 18:15 Uhr
Hallo und frohes Neues!

@spytnik
Ich habe z.B. eigene OUs/GPOs für Arbeitsplatz-Rechner sowie Laptops, die jeweils eigene Richtlinien besitzen.
Dem widerspreche ich nicht - man kann für lokale Kennwörter für verschiedene OUs verschiedene Kennwortpolicies definieren - nicht aber für Domänenkonten. Für die gilt die Policy, welche für die DCs greift. Es bringt nichts, am Client rsop.msc zu starten - das sagt Dir nur, wie die lokalen Kennwörter gehandhabt werden. Überlegt bitte: man kann ein Dom.-Kennwort nur ändern, wenn eine Verbindung zum DC besteht - denn DORT wird es abgelegt und DORT wird es gegen die Kennwortrichtlinie geprüft.
Aus diesem Grund galt (bis 2008 Server das änderte): Für Domänenkonten kann es nur eine Kennwortrichtline pro Domäne geben (nämlich die, die auf dem DC greift - egal ob DDC-Pol, DD-Pol oder Policy xy).
Bitte warten ..
Mitglied: 48507
01.01.2010 um 19:48 Uhr
Jetzt habe ich es kapiert, danke für deine Geduld. Was ich jedoch nicht kapiere: Ich habe in der Default Domain Policy (=Sicherheitseinstellungen für Domänen) lediglich "Kennwort muss Komplexitätsvorraussetzungen entsprechen" deaktiviert. In der Default Domain Controller Policy (=Sicherheitseinstellungen für Domain Controller) ist nichts definiert. Alles andere wird in den entsrpechenden OUs definiert. Warum funktioniert es trotzdem? (Win 2003 R1 - Domäne, nur Domänenkonten).
Bitte warten ..
Mitglied: DerWoWusste
01.01.2010 um 20:00 Uhr
Sag nochmal genauer - was funktioniert trotzdem? Die Komplexitätsanforderungen werden berücksichtigt, obwohl rsop.msc auf dem DC ansagt, dass sie deaktiviert sind? Kann nicht sein, prüf nochmal.
Bitte warten ..
Mitglied: 48507
01.01.2010 um 20:14 Uhr
rsop.msc auf dem DC gibt genau das aus, was in der DDP eingestellt ist: "Kennwort muss Komplexitätsvorraussetzungen entsprechen": deaktiviert. Alles andere ist dort auch nicht definiert.

Die anderen Sachen, wie "Maximales Kennwortalter", sind in den ensprechenden OUs definiert. So ist das max. Kennwortalter auf 0 eingestellt. Laut der obigen Aussage muss jedoch genau diese Einstellung doch in der DDP vorgenommen werden? Es musste bei uns jedoch noch kein Benutzer sein Passwort aufgrund des Alters ändern...
Bitte warten ..
Mitglied: DerWoWusste
02.01.2010 um 01:13 Uhr
Wenn bei den Benutzerobjekten direkt der Haken gesetzt ist "Kennwort läuft nie ab", dann überstimmt dies selbst die Policy der Domäne. Gegeben?
Bitte warten ..
Mitglied: 48507
04.01.2010 um 10:11 Uhr
Den Haken setzen wir nicht (Stattdessen wird beim Anlegen eines Benutzers "Kennwort muss bei der nächsten Anmeldung geändert werden" gesetzt.) Ich habe mir die Policies genauer angeschaut und es ist definitiv wie oben beschrieben. Das wundert mich doch, denn hier steht auch, dass es eigentlich nicht funktionieren sollte: http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

Von Mark Heitbrink, dem deutschen GPO-Guru schlechthin...
Bitte warten ..
Mitglied: pworld
19.01.2010 um 16:28 Uhr
@ Der WoWusste

Also muss ich die Einstellungen auf der DomainControllerPolicy machen und nicht in der Default Domain Policy ? Richtig?
Bitte warten ..
Mitglied: DerWoWusste
19.01.2010 um 20:14 Uhr
Du kannst (nicht musst) die Einstellungen in der Def.DC-Pol. machen - oder in der Def.Dom.-Pol. - Hauptsache in einer Policy, die auf den DCs angewendet wird.
Bitte warten ..
Mitglied: pworld
21.01.2010 um 10:41 Uhr
Also auf den Default Domain Policy funktioniert das leider nicht. Ich werde es mal auf Default Domain Controller Policy anwenden.
Bitte warten ..
Mitglied: pworld
21.01.2010 um 11:02 Uhr
Auf Default DC Policy funktioniert das ebenfalls nicht. Leider !
Bitte warten ..
Mitglied: DerWoWusste
21.01.2010 um 13:05 Uhr
Aber sicher funktioniert das. Mach am DC ein
gpupdate /force /target:computer
und sieh danach mit rsop.msc nach, ob es angewendet wird.
Bitte warten ..
Mitglied: pworld
21.01.2010 um 16:18 Uhr
Entschuldigung meine Antwort war eher das die Einstellungen nicht wirken.

Das ist ja genau mein Problem.

IM RSOP nach gupate /force oder neustart am Client mit User sind genau die Einstellungen die von der Domäne kommen.
Auch im RSOP auf dem DC bezogen auf Client und User den ich verwende genau die Einstellungen die er haben muss bzw. bekommen hat.
Bitte warten ..
Mitglied: pworld
21.01.2010 um 16:40 Uhr
Was mir auch aufällt ist wenn ich nach einem Neustart mit Ctr + Alt + Delete drücke dann kann ich ein Passwort einstellen mit mindestens 7 Zeichen die Policy ist ja aber eingestellt auf 8 Zeichen.
Bitte warten ..
Mitglied: DerWoWusste
21.01.2010 um 17:02 Uhr
Nochmal ganz langsam
Führe rsop auf dem DC aus. Nicht für den Client oder User, sondern für den DC selbst. Auf den muss es wirken als Computerpolicy.
Wenn mehrere DCs: bei allen DCs.
Bitte warten ..
Mitglied: pworld
22.01.2010 um 09:52 Uhr
Kein Problem
Interessant !

Obwohl die Policy gesetzt ist kommt auf dem DC nach einem rsop bei den Kenwwort Richtlinien nichts das heisst es sind keine Einstellungen drin. Einstellungen"nicht definiert"

Gpupate /force habe ich davor bereits gemacht.
Bitte warten ..
Mitglied: DerWoWusste
22.01.2010 um 12:35 Uhr
Seltsam. Erstell bitte eine Policy direkt auf der OU Domain Controllers und verwende die Option "enforce", stell alles dort ein, mach gpupdate /force /target:computer auf dem dc und dann gpresult, um zu sehen, ob die Policy angewendet wurde und dann auch rsop.msc - wreden nun die Einstellungen als übernommen angezeigt?
Bitte warten ..
Mitglied: pworld
25.01.2010 um 15:38 Uhr
Hi DerWoWusste

Ich habe das mal gemacht. (obwohl ich das schonmal vorher gemacht hatte) .Das enforce hatte im endeffekt nachdem ich gewisse vorbereitende sachen im AD korgiert und geflickt habe zum schluss gebracht.

Danke !
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Password Policy unter Linux einrichten
gelöst Frage von windelterroristUbuntu4 Kommentare

Hallo! Ich würde auf meinem Ubuntu 14.04 Server gerne Password Policy, bzw. Kennwortrichtlinien einrichten. Ich hab mich dazu schon ...

Windows Userverwaltung
Default Domain Policy - Passwords - MAC auth Switches NPS Frage
gelöst Frage von IljuschinWindows Userverwaltung3 Kommentare

Hallo zusammen, wir haben an unseren Switchen die MAC Authentifizierung an (geht Richtung NPS -> AD User) Diese User ...

Windows Server
GPO Audit Policy nur in Default Domain Policy konfigurierbar?
gelöst Frage von tombola22Windows Server12 Kommentare

Hallo zusammen, ich habe leider nichts Genaueres dazu im Internet gefunden Durch Herumprobieren habe ich herausgefunden, dass die Audit ...

Windows Server
Default Domain Policy GPO
Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...