antares 10 Geschrieben 23. Februar 2007 Melden Teilen Geschrieben 23. Februar 2007 Ich habe vor einer Woche die Kennwortrichtlinie der Default Domain Policy abgeändert. Andere Richtlinien in untergeordneten OUs versuchen NICHT, diese Einstellungen zu konfigurieren, weil das meiner Kenntnis nach sowieso nur auf Domänen - Ebene geregelt werden kann. Alle Änderungen scheinen von den Clients übernommen, jedefalls stimmen die Werte überein, wenn ich auf einem Client "gpedit.msc" ausführe, und die Kenntwortrichtlinien anzeigen lasse. Insbesondere habe ich den Wert "Maximales Kennwortalter" von 70 auf 365 Tage geändert. Hartnäckig meldet mir aber mein ADO Script (vbs schnipsel angehängt), dass das Kennwortalter immer noch 70 Tage sei. (Das entspricht dem früheren Wert) Ich dachte letzte Woche, dass da irgednwas noch nicht propagiert sei, aber heute versetzt mich dieselbe Anwort schon ins Staunen. Ist irgendwas mit den Policies nicht gut, oder ist mein Script irgendwie falsch/veraltet usw? Auch der alternativ verwendete ADSI NT Provider meldet 70 Tage zurück. ---schnippel---VBS----------------------------------------------------------- Set oDomain = GetObject("LDAP://" & strDomainDN) Set maxPwdAge = oDomain.Get("maxPwdAge") '======================================== ' Calculate the number of days that are ' held in this value. '======================================== numDays = CCur((maxPwdAge.HighPart * 2 ^ 32) + _ maxPwdAge.LowPart) / CCur(-864000000000) WScript.Echo "Maximum Password Age: " & numDays 'Umrechung ist etwas verwirrlich, aber VBS kommt mit grossen Zahlen 'nicht allzugut zurecht und man muss sich mit "Currency" behelfen. --------------------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 23. Februar 2007 Autor Melden Teilen Geschrieben 23. Februar 2007 Zwar komme ich der Sache auf die Spur, aber verstehen tu ich es nicht :(. Ich habe wie oben gesagt, versucht Kennwortrichtlinien zu definieren. Ich tat dies mittels dem Snap-In "Gruppenrichtlinienverwaltung" welches ich auf einem XP Client installiert habe. (Dazu installierte ich adminpak.msi von der 2003 Server CD) Ich bearbeitete die Default Domain Policy und checkte dann auf anderen Clients (mit gpedit.msc), ob die neuen Werte korrekt übernommen wurden, was erfolgreich schien. Nur die Scripte (s.oben) meldeten dann immer noch konsequent die alten Werte. Aus lauter Neugier habe ich dann die LOKALEN Richtlinien mal auf den Domänencontrollern angesehen (mit gpedit.msc), und siehe da, dort waren die Werte wie eh und je auf 70 Tagen. Scheinbar muss ich also weder die Default Domain Policy via Snap-IN auf einem Client, noch die Default Domain Policy via Snap-In auf einem DC, SONDERN die lokalen Richtlinien auf einem der beiden DC anpassen! Danach stimmte auch gleich die Default Domain Policy überein, alle Clients, und auch die Skripte. Es kommt auch nicht darauf wessen DCs lokale Kennwortrichtlinien ich anpasse. Ich finde das nicht normal, oder habe ich da systematisch was falsch im Kopf? Ich dachte immer, dass sowas in der Default Domain Policy eingestellt wird, oder falls dort nicht konfiguriert, in einer extra GP, welche auf Domänenebene verknüpft wird. Bitte helft mir, sonst kratze ich mir noch sämtliche Haare vom Kopf... antares Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 24. Februar 2007 Melden Teilen Geschrieben 24. Februar 2007 Scheinbar muss ich also weder die Default Domain Policy via Snap-IN auf einem Client, noch die Default Domain Policy via Snap-In auf einem DC, SONDERN die lokalen Richtlinien auf einem der beiden DC anpassen! Danach stimmte auch gleich die Default Domain Policy überein, alle Clients, und auch die Skripte. Es kommt auch nicht darauf wessen DCs lokale Kennwortrichtlinien ich anpasse. Ich finde das nicht normal, oder habe ich da systematisch was falsch im Kopf? Ich dachte immer, dass sowas in der Default Domain Policy eingestellt wird, oder falls dort nicht konfiguriert, in einer extra GP, welche auf Domänenebene verknüpft wird. Hi, das ist allerdings merkwürdig wieso das auf einmal Lokal ist. Steht vielleicht was im Ereignisprotokoll? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Februar 2007 Melden Teilen Geschrieben 24. Februar 2007 Es MUSS auf Domänenebene eingestellt werden und nicht in der lokalen Policy des Servers. Diese Einstellungen erreichen auch die Computer der Domäne, so dass diese Einstellungen auch für die lokalen Sicherheitsdatenbanken der Clients gilt. Weiterhin darf in der Domain Controllers OU die Vererbung nicht deaktiviert sein, damit die Einstellung auch zu den Domänencontrollern vererbt wird, auf denen sich die Domänenkonten befinden ... Domänenrichtlinien überschreiben lokale Richtlinien, möglich wäre natürlich auch, dass auf Domänenebene mehrere Richtlinien gelinkt sind und die falsche an höchster Stelle steht. Wenn Du mit GPEDIT.MSC die lokalen Richtlinien anpassen kannst, also kein Domänensymbol davor steht, dann wird die Domänenrichtlinie nicht weitergegeben. Überprüfe mal, ob die Vererbung deaktiviert oder ob die Default Domain Controllers Policy defekt ist ... Auf den Clients kannst Du das mit RSOP.MSC oder GPRESULT überprüfen, ob die Richtlinie angekommen ist oder nicht (die hier aber nur für lokale Benutzerkonten gilt) ... Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 1. März 2007 Autor Melden Teilen Geschrieben 1. März 2007 Danke für die Antwort. Da ich an der betroffenen Schule immer nur Freitags arbeite, kann ich erst morgen die Vererbung überprüfen. Das scheint mir nun die einzige vernünftige Erklärung zu sein! Die GPOs sind laut GPOTOOL in Ordung und auf beiden DCs korrekt repliziert. Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 2. März 2007 Autor Melden Teilen Geschrieben 2. März 2007 Das Verhalten ist nun besser, aber ganz "normal" scheint es immer noch nicht zu sein: Bei der Default DC Policy war die Vererbung deaktivert. Nach dem Aktivieren der Vererbung definierte ich der Default Domain Policy noch einmal neue nie vorher dagewesene Kenntwortrichtlinien und führte beiden DCs ein GPUPDATE aus. Mache ich nun ein gpedit.msc und zeige die Kennwortrichtlinien an, so stimmen die Werte nun mit denjenigen der Default Domain Policy überein, und sie stehen hinter Domänensymbolen. So weit so gut. Irritierend ist aber, dass "rsop.msc" sowie "gpresult /V" beim primären Domänencontroller (A) alles erwartungsgemäss anzeigen, nicht aber beim zusätzlichen / Reserve Domänencontroller (B): Kennwortrichtlinien mittels "rsop.msc": (A) Domänen Symbole und die korrekten Werte aus der Default Domain Policy (B) Lokale Symbole und die Werte "Nicht definiert" (steht im Widerspruch zu gpedit.msc) gpresult /V: (A) Es werden Einstellungen der Default DC Policy und der Default Domain Policy verarbeitet. Die korrekten Kennwortrichtlinien mit Quelle=Default Domain Policy werden ausgegeben. (B) Es werden Einstellungen der Default DC Policy, der Default Domain Policy und der lokalen Richtlinie verarbeitet. Es tauchen keine Kennwortrichtlinien auf (wohl aber Kerberosrichtlinien aus der Default Domain Policy auf.) Verhindern nun lokale Einstellungen, welche ich mit gpedit.msc nun gar nicht mehr zu Gesicht bekomme, die korrekte Ausgabe? Was gilt nun für (B), das was gpedit.msc meldet, oder das was gpresult und rsop.msc melden und warum zum Geier ist da überhautp eine Inkonsistenz.... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. März 2007 Melden Teilen Geschrieben 2. März 2007 Replikation abwarten und erneut probieren ... Wenn beide DCs (es gibt keinen PDC mehr) in der Domain Controllers OU sind, bekommen beide diese Richtlinie zugewiesen. Die Einstellungen in dieser Richtlinie überschreiben lokale Einstellungen, was man auch in GPEDIT.MSC an dem Symbol vor der Einstellung sieht ... Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 2. März 2007 Autor Melden Teilen Geschrieben 2. März 2007 Ich habe gewartet und extra unter "AD-Standorte und -Dienste" noch manuell eine Replizierung erzwungen. Ein erneutes gpresult / rsop.msc liefert immer noch denselben (falschen) output im Vergleich zu gpedit.msc. Kann man irgendwie die lokalen Richtlinien ganz entfernen, resp. alle auf die ursrünglichen Werte zurücksetzen? (Ich komme auf die Idee, weil bei DC (A) gpresult noch steht, dass die lokalen Einstellungen übergangen würden, weil leer) Ich bin wirklich ratlos in der Sache... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.