lukin 10 Geschrieben 5. Juni 2008 Melden Teilen Geschrieben 5. Juni 2008 Hi, aus historischen Gründen haben wir noch einige Benutzer im AD, die kein Passwort haben. Ab sofort soll es jedoch so sein, dass alle Benutzer über ein Passwort von mindestens 8 Zeichen Länge verfügen. Benutzer mit leerem Kennwort sollen beim Anmelden zum Passwortwechsel aufgefordert werden, wobei das eingegebene Passwort der neuen Kennwortrichtlinie entsprichen muss. In meinem Test-AD habe ich dazu ein paar Benutzer mit leeren Passwörtern erstellt und anschließend die Kennwortrichtlinie wie folgt gesetzt: Enforce password history 0 passwords remembered Maximum password age 0 Minimum password age 0 days Minimum password lenght 8 characters Password must meet complexity requirements Disabled Store passwords using reversible encryption Disabled Nach einem gpupdate /force auf dem Domänencontroller wollte ich nun bei den Benutzern mit leeren Kennwörtern die Option "User must change password at next logon" setzen, damit sich die Benutzer beim nächsten Anmelden ein Kennwort vergeben müssen, das den neuen Richtlinien entspricht (8 Zeichen). Leider kann ich die Option nicht aktivieren - beim Bestätigen durch OK kommt folgende Meldung: "The following Active Directory error occured: Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirement of the domain." Bei Benutzern, die vorher schon ein Kennwort hatten, kann ich die Option dagegen erfolgreich aktivieren. Weiß jemand, was ich falsch mache? Momentan erschließt sich mir der Sinn der Meldung "The value provided for the password..." nicht, denn alleine durch das Aktivieren der Option, dass der Benutzer das Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar keinen Wert für das Passwort an?! Zitieren Link zu diesem Kommentar
twiki 10 Geschrieben 5. Juni 2008 Melden Teilen Geschrieben 5. Juni 2008 Hi, wenn Du dem Benutzer der kein Passwort hat, erst mal ein 8-stelliges Standarpasswort gibst und dann dass Häckchen setzt, sollte es funktionieren. Oder mach es doch umgekehrt, nimm die Richtlinie noch einmal heraus, setzt das Häckchen "Beim nächsten..." und dann aktiviere die Richtlinie. Gruss twiki Zitieren Link zu diesem Kommentar
mahn 10 Geschrieben 5. Juni 2008 Melden Teilen Geschrieben 5. Juni 2008 Ich hab das mal grob nachgestellt, hab bei Benutzern die ein nicht den Richtlinien entsprechendes PW haben den Haken gesetzt und keinen Fehler bekommen. Was für eine Umgebung hast du? 2003 oder 2008 ? Der Workaround mit dem deaktivieren der Richtlinie könnte funktionieren, aber eine Erklärung der Meldung würde mich auch interessieren :D Zitieren Link zu diesem Kommentar
lukin 10 Geschrieben 5. Juni 2008 Autor Melden Teilen Geschrieben 5. Juni 2008 Ich hab das mal grob nachgestellt, hab bei Benutzern die ein nicht den Richtlinien entsprechendes PW haben den Haken gesetzt und keinen Fehler bekommen. Was für eine Umgebung hast du? 2003 oder 2008 ? Der Workaround mit dem deaktivieren der Richtlinie könnte funktionieren, aber eine Erklärung der Meldung würde mich auch interessieren :D Hast Du es auch bei Benutzern mit leerem Passwort getestet oder hast Du es mit anderen Richtlinien probiert? Wie gesagt, bei Benutzern mit Passwort funktioniert es bei mir auch - und die Länge spielt dabei keine Rolle. Lasse doch mal (wenn Du testen kannst) leere Kennwörter zu, ändere einen Benutzer entsprechend und aktiviere dann wieder die Richtlinie. Dann probier mal aus, ob Du die Option aktivieren kannst. Würde mich interessieren. Die Testumgebung bei mir ist 2003 R2 SP2 EN. Zitieren Link zu diesem Kommentar
mahn 10 Geschrieben 5. Juni 2008 Melden Teilen Geschrieben 5. Juni 2008 Lasse doch mal (wenn Du testen kannst) leere Kennwörter zu, ändere einen Benutzer entsprechend und aktiviere dann wieder die Richtlinie. Dann probier mal aus, ob Du die Option aktivieren kannst. Würde mich interessieren. Die Testumgebung bei mir ist 2003 R2 SP2 EN. Ok, der Fehler kommt bei mir auch, mit leeren PWs. Ich werd evtl. mal etwas an den GPOs rumspielen wenn ich zwischendurch Zeit hab. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 5. Juni 2008 Melden Teilen Geschrieben 5. Juni 2008 Bei Benutzern, die vorher schon ein Kennwort hatten, kann ich die Option dagegen erfolgreich aktivieren. Schau dir mal die entsprechenden Userobjekte mittels adsiedit oder ldifde an. Es sollten ja Unterschiede bestehen. Weiß jemand, was ich falsch mache? Momentan erschließt sich mir der Sinn der Meldung "The value provided for the password..." nicht, denn alleine durch das Aktivieren der Option, dass der Benutzer das Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar keinen Wert für das Passwort an?! Naja useraccountcontrol besteht aus mehreren "Sachen" ;) Bye Norbert PS: Bleib doch entweder in der Newsgroup oder im Forum. Beides zusammen ist eher unpraktisch. Zitieren Link zu diesem Kommentar
lukin 10 Geschrieben 6. Juni 2008 Autor Melden Teilen Geschrieben 6. Juni 2008 In microsoft.public.windows.server.active_directory habe ich fazu folgende Antwort erhalten: Did you try doing it from the command line yet? Check this out: Microsoft Corporation I vaguely remember this being a known issue (although I could be wrong). The 'User must change password at next logon' box just changes the pwdLastSet attribute to 0 and I think ADU&C doesn't handle this properly in your scenario. Mit dem Script funktioniert es. /edit: Wenn man die Option in ADU&C vor dem Aktivieren der Passwortrichtlinie setzt, funktioniert es auch. Bei der nächsten Anmeldung müssen sich die Benutzer ein der Kennwortrichtlinie entsprechendes Passwort vergeben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.