wurstman 10 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 Hallo zusammen, ich habe ein ziemlich komisches Problem mit meinen Kennwortrichtlinien: Bei den Usern und auf dem DC werden die Kennwortrichtlinien aus den lokalen DC-Richtlinien gezogen, obwohl ich die Kennwortrichtlinien in einer eigenen Policy (GPO XXX) definiert und allen Benutzern zugeordnet habe. Ich kann die Kennwortrichtlinien auf dem DC über gpedit.msc editieren. Außerdem habe ich dort keine Möglichkeit dort die Richtlinie zu deaktivieren (nicht zu definieren). Wenn ich nun auf einem Client den Befehl gpresult /v ausführe, zeigt er mir an, dass die Richtlinien aus der eigenen Policy gezogen werden z.B.: Gruppenrichtlinienobjekt: GPO XXX Richtlinie: MinimumPasswordLength Computereinstellung: 7 Wenn ich nun auf diesem Client das Passwort ändere, kann ich auch ein Passwort mit 6 Zeichen verwenden, so wie in der lokalen DC-Richtlinie definiert. Wieso werden die lokalen DC-Kennwortrichtlinien gezogen?? Wieso kann ich diese Richtlinien überhaupt ändern, sollten die Einträge nicht ausgegraut sein?? Wie kann ich es umstellen, dass die Kennwortrichtlinien aus der Policy gezogen werden?? Vielen Dank für eure Hilfe. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 Hallo, wird denn überhaupt die Domänenrichtlinie angewendet? Und ändere doch mal versuchsweise die lokalen Richtlinie nach "Nicht definiert". Grüße, Robert Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 Moin, die Kennwortrichtlinie kann nur auf der Domänenebene zugewiesen werden, und zwar vorzugsweise in der Default Domain Policy. Kennwortrichtlinien Gruß, Nils Zitieren Link zu diesem Kommentar
wurstman 10 Geschrieben 11. Mai 2009 Autor Melden Teilen Geschrieben 11. Mai 2009 Hallo, die anderen Einstellungen aus der Policy werden übernommen, z.B. die Ausführung eines Startscripts. Leider kann ich die lokalen Richtlinien nicht auf "Nicht definiert" stellen. Diesen Haken gibt es dort nicht. Auch wenn ich die Einstellungen in der Default Domain Policy einrichte, werden diese nicht gezogen. Danke für den Link, aber den kenne ich schon. Der hat mir nicht geholfen. Gruß Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 Moin, die Kennworteinstellungen für die Domäne werden hundertprozentig nur von der Domänenebene bezogen. Wenn du Kennworteinstellungen für Unter-OUs definierst, gelten diese nur für die lokalen Konten der Computer, deren Konten sich in diesen OUs befinden. Die DC-Richtlinie wird nicht auf andere Rechner angewandt, es sei denn, du hast sie mutwillig auf eine andere OU gelinkt. Wenn du neue computerbezogene Richtlinien im AD definierst, musst du ca. 100 Minuten warten (bei Nicht-DCs; für DCs reichen ca. 15 Minuten), die Zielrechner neu starten oder einen Refresh mit gpupdate durchführen. Entferne oder deaktiviere alle GPOs, in denen du Kennwortrichtlinien definiert hast, bis auf die Default Domain Policy. Einstellungen in den Lokalen Policies solltest du nur im Ausnahmefall setzen, besser weglassen. Stelle sicher, dass die Zielrechner die Policy neu anwenden. Dann sollte es gehen wie vorgesehen. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.115 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 ich habe ein ziemlich komisches Problem mit meinen Kennwortrichtlinien: Nein, nur ein Verständnisproblem. Bei den Usern und auf dem DC werden die Kennwortrichtlinien aus den lokalen DC-Richtlinien gezogen Was sind lokale DC-Richtlinien? GPedit solltest du dir abgewöhnen. Ich kann die Kennwortrichtlinien auf dem DC über gpedit.msc editieren. Kannst du, solltest du aber nicht. Wenn ich nun auf diesem Client das Passwort ändere, kann ich auch ein Passwort mit 6 Zeichen verwenden, so wie in der lokalen DC-Richtlinie definiert.Wieso werden die lokalen DC-Kennwortrichtlinien gezogen?? Wieso kann ich diese Richtlinien überhaupt ändern, sollten die Einträge nicht ausgegraut sein?? Kannst du dich klarer ausdrücken? Wie kann ich es umstellen, dass die Kennwortrichtlinien aus der Policy gezogen werden?? Indem du sie auf Domänenebene verlinkst und darauf achtest, dass kein anderes GPO höhere Priorität hat. Wie Nils dir schon schrieb definierst man Kennwortrichtlinien für Domänenbenutzer nur (ja wirklich nur) auf Domänenebene. Alles andere geht schief. Kannste glauben. ;) Bye Norbert Zitieren Link zu diesem Kommentar
wurstman 10 Geschrieben 11. Mai 2009 Autor Melden Teilen Geschrieben 11. Mai 2009 Hallo zusammen, ich habe den Fehler gefunden. Es gab 2 Policies, in denen Kennwortrichtlinien definiert wurden. Aber keine von beiden war domänenweit aktiv. Sie waren einfach nur auf einige OU's verknüpft. Ich habe aus einer Policy die Einstellungen herausgenommen und die andere dann domänenweit verknüpft. Vielen Dank für eure Hilfe !!!! Zitieren Link zu diesem Kommentar
NorbertFe 2.115 Geschrieben 11. Mai 2009 Melden Teilen Geschrieben 11. Mai 2009 Aber keine von beiden war domänenweit aktiv. Sie waren einfach nur auf einige OU's verknüpft. Dann wirkt keine der beiden auf Domänenbenutzerkonten. ;) Ich habe aus einer Policy die Einstellungen herausgenommen und die andere dann domänenweit verknüpft. Sehr schön. Kaum macht mans richtig, schon funktionierts. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.