Disceptator
-
Gesamte Inhalte
134 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Disceptator
-
-
Also hier alles gesammelt :)
{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
DC1 (Exchange) -> auch der PDC emulator
[system Access]
MinimumPasswordAge = 0
MaximumPasswordAge = 56
MinimumPasswordLength = 6
PasswordComplexity = 1
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
DC2 (Fileserver)
[system Access]
MinimumPasswordAge = 0
MaximumPasswordAge = 56
MinimumPasswordLength = 6
PasswordComplexity = 1
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
DC3 (Aussenstelle)
[system Access]
MinimumPasswordAge = 0
MaximumPasswordAge = 56
MinimumPasswordLength = 6
PasswordComplexity = 1
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
Soweit die Einstellungen.
- Als Zip der GPMC HTML Report der default domain policy.(Ist auf allen DCs gleich)
- Nc HEad hat die alten Einstellungen. War mit dem PDC verbunden. Hierzu eine Frage, reicht es vielelicht aus die Werte dort zu editieren? Was kann ich mir damit kaputtmachen? Naja, die gesamte Domäne :/
- Testweise änderungen von default domain policy funktionieren.
- Das mit der SCECLI löschung steht aus.
Hoffe hab nun alles beisammen :)
-
Hi,
einmal abgesehen von den RSOP "Problemen" (BTW: Ich meinte den GPMC HTML Report, aber das tut nichts zur Sache): Hast Du die anderen Punkte aus https://www.mcseboard.de/post23-872667.html ebenfalls geprüft?
D.h. es ist keine Verweigerung eingerichtet und auch die Sicherheitsberechtigungen auf der Default Domain Policy nicht verändert worden, ja?
Viele Grüße
olc
Die Vererbung ist aktiv = kein Häkchen
In dem NC Head stehen die fehlerhaften Werte drin. (Also nicht die die wir eingestellt haben, sondern die alten Werte)
Genau das ist ja das Problem :(.
Änderungen geschehen über defaulf Domain Policy.
Die esentutl /g %windir%\security\database\secedit.sdb -> Datenbank ist ok.
-
Zur Zeit der Richtlinieneinstellungsanwendung muss es dann auch einen korrespondierenden Eventeintrag geben, welcher ist das und was steht da drin ?
Hast Du mal geschaut, ob die Richtlinienvererbung auf der Domain Controllers OU deaktiviert wurde ?
Sehe keinerlei Logeinträge, weder positiv noch negativ.
Richtlinienvererbung auf die CD OU ist aktiv
-
Klick dich mal durch. es steht bestimmt irgendwo in den Sicherheitsrichtlinien ein Nutzer drin, den es nicht mehr im AD gibt.
Bye
Norbert
ja, es gibt ein paar gelöschte, kommen die Warnungen dadurch zustande?
-
wenn ich die comupterkonfiguration aufklappe ist das ausrufezeichen nicht zu sehen.
Taucht nur hier auf...
Die Computer und Benutzerkonfiguration sind beide aktiv.
ist jeweils nach gpupdate zu sehen:
Montag, 20. Oktober 2008 14:55:01
Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein.
na toll, welchen nicht kritischen fehler meinen die??
-
ich habe nach dem RSOP aufruf auf dem dc ein ausrufezeichen bei der computerkonfiguration...
Kann aber nicht lokalisieren, was es sein kann und wodurch es verursacht wird.
-
Folgende Sitiuation liegt nun bei uns vor:
- sämtliche Arbeitsstationen erhalten die gewünschte Richtlinie!
(lokale Tests auf den jeweiligen Rechnern zwingen uns demnach zur Passwortkomplexität)
- auch alle Server in der Domäne (nicht Controller) unterliegen gewünschten Richtlinien (lokal)
- Auf allen 3 DC werden die Richtlinien nicht angewendet (net accounts liefert immer noch alte Einstellungen), obwohl in der Datei GptTmpl.inf alle Konfigurationspunkte der GPO korrekt eingetragen sind.
Bin mit meinem Latein am Ende :o(
p.s.: Koffeinmangel ist immer schlecht ^^
-
Also, nach mehrtägiger Internetrechere und posting hier im Forum, immernoch dasselbe Problem. Die GPO für Kennwortrichtlinien werden übernommen, aber nicht angewendet. Andere GPOs die auf der Domänenrichtlinie definiert werden, sind ohne Fehler übernommen worden. Weiss wirklich nicht ,mehr weiter woran es liegen könnte. Es sind wirklich nur die Kennwortrichtlinien die Probleme verursachen, diese sind aber nunmal zu ändern :(
Link zum alten Thread:
-
Vererbung von übergeordnetem Container?
-
ist auch sp2 :)
die Schema Version der AD ist auch auf 31 erweitert worden bei der installation des R2
-
meinte windows 2k3 R2
-
Gibt es zwischen den beiden Probleme, wenn man sie zusammen in einer Domäne betreibt?
Worauf ist es zu achten?
meinte windows 2k3 R2
-
ja, genauso sieht es aus.
Es existieren irgendwo anscheinend noch gecachte policies??
Sie werden übernommen, augenscheinlich, aber sie greifen nicht.
–
irgendjemand eine idee ?
-
hab ich ja gemacht, hat auch nach gpupdate auf client und server funktioniert.
Windows Player den Reiter Sicherheit ausgeblendet über default domain policy so wird dies auch so übernommen, der reiter ist dann ausgeblendet.
-
Tja da scheint dein DC aber anderer Meinung zu sein ;)
Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt
Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy
Bye
Norbert
ja das mein ich ja, woher hat er diese Einstellungen????
beide beziehen ihre Einstellungen aus derselben default domain policy.
-
Das ist beides der selbe PC? Falls ja, dann sieht es so aus, als wenn er das GPO bisher nicht übernommen hat. Wenn du in der Default Domainpolicy mal zum Testen bspw. das Arbeitsplatzicon ausblendest, wird das dann übernommen?
Bye
Norbert
Es ist einmal eine Workstation in der Produktion udn einmal einer der DCs.
Das gpresult gibt ja die richtigen Einstellungen wieder -> auf der WS.
Was ich nicht verstehe ist, dass die Einstellungen auf dem dc komplett anders sind. Wo kriegt er diese her? die default domain policy hat diese Einstellungen nicht.
Wenn ich von Windows Player den Reiter Sicherheit ausblenden lasse über default domain policy wird dies auch so übernommen, der reiter ist dann ausgeblendet.
-
und diese lautet:
Default Domain Policy
Daten ermittelt am: 15.10.2008 15:25:34 Alle ausblenden
AllgemeinAusblenden
DetailsAusblenden
Domäne
Besitzer Domänen-Admins
Erstellt 28.05.2002 16:03:30
Verändert 15.10.2008 13:59:48
Benutzerrevisionen 8 (AD), 8 (sysvol)
Computerrevisionen 263 (AD), 263 (sysvol)
Eindeutige Kennung {31B2F340-016D-11D2-945F-00C04FB984F9}
Status Aktiviert
VerknüpfungenAusblenden
Speicherort Erzwungen Verknüpfungsstatus Pfad
domain Nein Aktiviert domain
Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
SicherheitsfilterungAusblenden
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name
NT-AUTORITÄT\Authentifizierte Benutzer
WMI-FilterungAusblenden
Name des WMI-Filters Kein
Beschreibung Nicht anwendbar
DelegierungAusblenden
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt
domain\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
domain\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
Computerkonfiguration (Aktiviert)Ausblenden
Windows-EinstellungenAusblenden
SicherheitseinstellungenAusblenden
Kontorichtlinien/KennwortrichtlinienAusblenden
Richtlinie Einstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
Maximales Kennwortalter 56 Tage
Minimale Kennwortlänge 6 Zeichen
Minimales Kennwortalter 1 Tage
-
keine Fehlermeldungen in Systemlog.
Kennwortrl war die test richtlinie die gelöscht ist.
gpresult auf workstation:
Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MinimumPasswordAge
Computereinstellung: 1
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MinimumPasswordLength
Computereinstellung: 6
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: LockoutBadCount
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaximumPasswordAge
Computereinstellung: 56
Vererbung ist nicht deaktiviert.
Für Änderungen werden weiterhin die alten Einstellungen verlangt.
Meldung auf Workstation bei Kennwortänderung über strg-alt-entf
---------------------------
Kennwort ändern
---------------------------
Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht.
---------------------------
OK
---------------------------
Edit:
Gruppenrichtlinienergebnisse
domain\admin auf domain\dcname
Daten ermittelt am: 15.10.2008 15:05:52
Kontorichtlinien/KennwortrichtlinienAusblenden
Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt
Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy
Kennwortchronik erzwingen\ngespeicherte Kennwörter 1 gespeicherte Kennwörter Default Domain Policy
Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Default Domain Policy
Maximales Kennwortalter 60 Tage Default Domain Policy
Minimale Kennwortlänge 2 Zeichen Default Domain Policy
Minimales Kennwortalter 1 Tage Default Domain Policy
domain\username auf domain\workstationname
Daten ermittelt am: 15.10.2008 15:11:47
Kontorichtlinien/KennwortrichtlinienAusblenden
Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Default Domain Policy
Maximales Kennwortalter 56 Tage Default Domain Policy
Minimale Kennwortlänge 6 Zeichen Default Domain Policy
Minimales Kennwortalter 1 Tage Default Domain Policy
Ich verstehe das nicht, beide beziehen die einstellungen von derselben defaulft domain policy...
-
gpupdate wurde durchgeführt
Wir haben testweise noch eine rl auf der domänenebene erstellt.
Ist nun gelöscht.
Die Einstellungen die wir in der default domain policy machen werden nicht aktiv.
nach gpupdate auf dem dc sehe ich immernoch die alten einstellungen.
die kontoeinstellungen:
Richtlinie Richtlinieneinstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
Kennwortchronik erzwingen Nicht definiert
Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Nicht definiert
Maximales Kennwortalter 56 Tage
Minimale Kennwortlänge 6 Zeichen
Minimales Kennwortalter 1 Tage
das gpresult:
Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaxServiceAge
Computereinstellung: 600
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaxTicketAge
Computereinstellung: 10
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MinimumPasswordAge
Computereinstellung: 1
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: PasswordHistorySize
Computereinstellung: 1
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaxClockSkew
Computereinstellung: 60
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MinimumPasswordLength
Computereinstellung: 2
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: LockoutBadCount
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaximumPasswordAge
Computereinstellung: 60
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: MaxRenewAge
Computereinstellung: 7
als admin am dc angemeldet
-
Hallo und Hüülfeeee!!!
Wir hatten bisher einfache Kennwortrichtlinien bei uns in der Domäne.
Richtlinie Sicherheitseinstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert
Kennwortchronik erzwingen 1 gespeicherte Kennwörter
Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert
Maximales Kennwortalter 60 Tage
Minimale Kennwortlänge 2 Zeichen
Minimales Kennwortalter 1 Tage
Die Geschäftsführung möchte nun aber komplexere Passwörter und wechselnde Passwörter haben.
Die Änderungen haben wir in der Domänenpolicy durchgeführt auf:
Richtlinie Sicherheitseinstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiv
Kennwortchronik erzwingen deaktiviert
Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert
Maximales Kennwortalter 60 Tage
Minimale Kennwortlänge 6 Zeichen
Minimales Kennwortalter 1 Tage
Nun zum Problem. Die Passwörter können weiterhin nach den alten Vorgaben geändert werden.
Warum??
gpresult -v auf der jeweiligen station
Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: Kennwortrl
Richtlinie: MinimumPasswordAge
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: Kennwortrl
Richtlinie: MinimumPasswordLength
Computereinstellung: 6
Gruppenrichtlinienobjekt: Default Domain Policy
Richtlinie: LockoutBadCount
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: Kennwortrl
Richtlinie: MaximumPasswordAge
Computereinstellung: 60
Es sind die Einstellungen von der domain Policy.
wenn ich das Kennwort ändere bekomme ich als Fehlermeldung:
---------------------------
Kennwort ändern
---------------------------
Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht.
---------------------------
OK
---------------------------
und
wenn ich die lokale (ausgegraute) lokale Sicherheitsrichtlinie mit gpedit.msc auf einem der DC aufrufe bekomme ich auch die alte Kennwortrichtlinienregelung.
weiss momentan nicht weiter, woran es liegen könnte :(
Es sieht alles richtig aus, auch über das gpresult.
Warum werden die Einstellungen nicht übernommen?
Warum haben wir immernoch die alten Einstellungen auf den DCs, obwohl die default domain policy auch für diese greifen sollte?
-
Das macht Windows ganz von allein, das brauchts normalerweise nicht. Und vor allem, wie soll er das hinkriegen, wenn er nicht ins System kommt? ;)
Ja normalerweise :)
man kommt fast immer in das system, auch ohne profil.
Genau, deshalb installiert man sich ja auch vorher UPHC: Download details: User Profile Hive Cleanup Service
Das kannte ich gar nicht, danke
-
Total Commander kann das, wenn ich mich recht erinnere.
-
Benne das Ursprungsprofil um.
Dann wird neues Profil angelegt.
Profile gehen ab und an kaputt, ohne dass es ein virus sein muss :).
-
Vielen Dank :)
Das Tool ist klasse, genau das was ich gebraucht hab!
Kennwortrichtlinienänderung greift nicht?
in Windows Server Forum
Geschrieben
Ja sie wurden geändert. sorry, hab vergessen das zu erwähnen.
Die gegenüberstellung von den Einstellungen und den Results habe ich bereits gepostet. Hier ist sie nochmal mit den jetzigen Einstellungen:
ok, wäre ja vielelicht auch eine Möglichkeit gewesen.
Nein nicht in den Sicherheitseinstellungen. Habe nur die Funktionalität der default domain policy getestet, ob die Änderungen übernommen werden.
Aber Audit Einstellungen greifen ebenso wenig. Es scheint, dass der ganze Block - Sicherheit betroffen ist. :mad:
Vielen Dank für die Hilfe und Anregungen bisher :)