Passwortpolicy zieht nicht

[Cisco801 10]

Hallo Leutz,

 

habe das Problem das die Passwortpolicy die ich als extra GPO neben der Dafault Domain Policy laufen habe. Ich habe die GPO "Passwort" Erzwungen und habe sie von der Priorität ganz nach oben gesetzt.

 

Kann es sein das die default domain policy in der die Passwort-Geschichte deaktiviert ist, die GPO "Passwort" obwohl sie erzwungen wird, ausschaltet?

 

Vielen Dank im Voraus..

 

Gruß Jo

[ducke 11]

Kennwortrichtlinien

..Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy

[Cisco801 10]

Hallo Ducke,

 

die Policy befindet sich auf der Domänenebene... jedoch nur für ein paar User wirksam...

 

Wo kann das Problem stecken.. ?

[ducke 11]

Die Passwort Settings kannst du IMHO nur per Default Domain Policy einstellen und gilt dann für ALLE User.

Wenn du nur für bestimmte Benutzer eigene Policys benötigst kannst du folgendes machen:

 

1. Warte auf Windows 2008 oder

2. Dritthersteller wie

Specops Password POlicy von Special Operations Software

Passfilt Pro von Altus Network Solutions, Inc

[IThome 10]

Die Passwortpolicy MUSS auf Domänenebene angwendet werden, aber nicht in der Default Domain Policy. Weiterhin gilt sie für ALLE Benutzer der Domäne und nicht nur für einige. Wenn sie in der Priorität höher als die Default Domain Policy ist, bringt das Erzwingen nur dann was, wenn auf OU-Ebene eine andere Passwortpolicy für lokale Benutzerkonten angelegt wurde ...

[Cisco801 10]

Hey Ducke,

 

ist es nicht möglich die User für die die Passwortrichtinie ziehen soll, aus der default domain policy zu entfernen, die einstellungen die drin stehen in die Passwort GPO mit rein zu nehmen???

 

so sollte es doch möglich sein das die gpo passwort endlich zieht oder nicht.. ?

 

 

so schnell geb ich nicht auf... =))

[IThome 10]

Nein, die Policy zieht für alle ... Wenn sie gar nicht zieht, hast Du eventuell ein falsch eingestellte Sicherheitsfilterung. Das ist eine COMPUTER-Richtlinie und keine BENUTZER-Richtlinie. Sie wirkt auf die darunter liegenden Domänencontroller in der Domain Controllers-OU. Sicherheitsfilterung für Benutzer in einem GPO, welches computerrelevante Dinge einstellt. bringt absolut nichts ...

Lass die Default Domain Policy am besten so, wie sie ist und definiere separate Richtlinien ...

Willst Du unterschiedliche Richtlinien, dann so wie Ducke geschrieben hat ...

[Cisco801 10]

und wenn ich die User die diese policy bekommen sollen explizit in die sicherheitsfilterung einsortiere.. ? und die autorisierten benutzer entferne.. ?

 

vielen dank für die geduld..

gruß aus flensburg

[IThome 10]

Nein, siehe oben ... Wenn Du die Authentifizierten Benutzer entfernst, wird die Richtlinie gar nicht angewendet (die Computerkonten der DCs sind auch Mitglied der Authentifizierten Benutzer und benötigen die Berechtigung "Gruppenrichtlinie übernehmen")

[Cisco801 10]

ich danke dir ithome... ich habs geschnalllt... ^^

 

also gibt es keine andere möglichkeit außer drittanbieter .. oder halt für die gesamte domäne..

 

vielen dank ^^

[Cisco801 10]

ich bin ja ein beißer... =))

 

wenn ich die gewünschten computer als gruppe in die sicherheitsfilterung packe... komm ich dann an das gewünschte ergebnis oder .. ?

[IThome 10]

Das gilt dann nur für die lokalen Sicherheitsdatenbanken dieser Rechner, NICHT für Domänenkonten ...