W2k8 Kennwortrichtlinien greifen nicht

[Neopolis 19]

Hallo Ihr lieben Leute,

 

Ichhabe ein Problem mit unsrem Windows 2008 Server. Wir habe alles neu gemacht und dabei von 2003 auf 2008 migriert. Nun beklagen sich einige User das sie aufgefortder werden in 12 Tagen das Kennwort zu ändern. Das habe ich in der Default Domain Policy geändert aber das scheint keinen einfluss zu haben. Ich habe es sogar auf nicht definiert gesetzt obne eine Veränderung feststellen zu können. Gibt es da etwas verstecktes irgendwo anders?

 

Vielen Dank für die Hilfe!

 

Gruß

[NilsK 2.971]

Moin,

 

wie habt ihr migriert?

 

In der Kennwortrichtlinie musst du, wenn du die Funktionen abschalten willst, die jeweiligen Werte explizit auf 0 setzen. "Nicht konfiguriert" führt dazu, dass sich an der aktuellen Einstellung nichts ändert.

 

Auf DCs sollte eine solche Policy-Änderung innerhalb weniger Minuten von selbst greifen.

 

Gruß, Nils

[Neopolis 19]

Na Migration durch Neuinstallation. Die Domäne hatte jemand vorher auch wie ie externe benannt. Also alles neu und somit auch das BS des DC´s. Und da blick ich noch nicht so richtig alles. :)

 

Übung macht den Meister. ICh check das jetzt mal mit Deinem Tipp

 

Danke erstmal

[Neopolis 19]

Ok habe ich gemacht. Ich habe auch bemerkt das sich bei Wert 0 auch der Satz geändert hat auch Kennwort läuft nie ab.

Frage: Ist das bei Windows Server 2008 so oder war das früher auch schon so bei 2003?

[NilsK 2.971]

Moin,

 

was ihr gemacht habt, würde ich aus AD-Sicht nicht als Migration bezeichnen, aber das sei mal dahingestellt. Auch die Frage, warum es ein Problem sein soll, wenn das AD so heißt wie die Internetdomain, müssen wir jetzt nicht diskutieren.

 

Ja, genauso verhält das AD sich bereits seit zehn Jahren (bzw. länger, wenn man die Beta von Windows 2000 dazuzählt).

 

Gruß, Nils

[Neopolis 19]

Okay, aber wenn ich bei W2k3 über die Default Domain Policy in den Richtlinien den Änderungszeitraum auf nicht definiert setze dann reichte das bisher aus. Ich habe es auch so gemacht wie Du gesagt hast und micih eben auf einem anderen Server angemeldet und wieder kam die Meldung das Kennwort zu ändern und ich hätte noch 10 Tage Zeit. Hab jedem dem Admin über seine Kontoansicht den Haken bei kennwort läuft nie ab rein getan und nun geht es aber das ist eigentlich nicht das Ziel :( . Hast Du noch einen Tipp für mich was ich tun könnte?

 

Gruß, Thomas

[NorbertFe 2.110]

Okay, aber wenn ich bei W2k3 über die Default Domain Policy in den Richtlinien den Änderungszeitraum auf nicht definiert setze dann reichte das bisher aus.

 

Das bezweifle ich mal.

 

Ich habe es auch so gemacht wie Du gesagt hast und micih eben auf einem anderen Server angemeldet und wieder kam die Meldung das Kennwort zu ändern und ich hätte noch 10 Tage Zeit.

 

Kannst du genau beschreiben was du konfiguriert hast? Wirkt eventuell ein weiteres GPO? Was sagt rsop?

 

Bye

Norbert

[Neopolis 19]

Alles klar ihr habt recht. Ich habe gerade nachgesehen sorry. es muss auf 0 stehen. Hab ich verpeilt. Ich nehme alles zurück und behaupte das Gegenteil.

 

Konfiguriert ist zur Zeit folgendes:

 

Kennwort muss Komplexitätsvoraussetzungen entsprechen: deaktiviert

Kennwortchronik erzwingen: 24 gespeicherte Kennwörter

Kennwörter mit umkehrbarer Verschlüsselung speichern: deaktiviert

Maximales Kennwortalter: 0

Minimale Kennwortlänge: 5

Minimales Kennwortalter: 0

 

und das alles in der Default Domain Policy unter

Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheits Einstellungen -> Kontorichtlinien -> Kennwortrichtlinien

[Neopolis 19]

es gibt bisher noch keine weiteren GPO´s ich wollte das erstmal so versuchen und hatte erst eine für eine OU gemacht wo unsere User drin sind aber dann hab ich die wieder entfernt und ganz oben angefangen.

[NorbertFe 2.110]

Und was ist in der Default Domain Controllers Policy definiert?

 

Bye

Norbert

 

PS: Der Standort von Usern sind uninteressant für die Passwortrichtlinie. ;)

PPS: http://www.gruppenrichtlinien.de zum Thema Passwortrichtlinie

[Neopolis 19]

In der Default Domain Controller Policy hab ich nix gemacht dort ist es auf nicht definiert.

 

Danke für den Link. Das hab ich nicht gewusst das es egal wo sich die Benutzer befinden. Ich ging bisher davon aus das es erheblichist was sich in der OU befindet und was für die OU konfiguriert ist in Bezug auf Gruppenrichtlinien.

[Neopolis 19]

dort habe ich nichts verändert. Ist alles auf nicht definiert.

 

Das habe ich nicht gewusst, dass der Standort von den Benutzern egal ist. Ich ging bisher davon aus das die Ou und die darauf konfigurierte Gruppenrichtlinie ausschlagebend ist für das was sich in der OU befindet. Wieder was gelernt. Danke für den Link schau ich mir gern an.

 

Gruß Thomas

[NilsK 2.971]

Moin,

 

lass dir bitte mal mit José 3.0 Beta die Domäneninformationen ausgeben. Was sagt der Report über deine Kennworteinstellungen?

 

.: www.kaczenski.de :. Jos 3.0: ffentliche Betaphase

 

Gruß, Nils

[Neopolis 19]

das kann heute etwas dauern da ich in eine aussenstelle muss aber ich mach das und geben bescheid

 

danke +

 

gruß thomas

[Neopolis 19]

Das ist ja nicht schlecht das Tool. Hab ich bisher nicht gesehen. Danke!

Das steht bei kennwortkram:

 

Kontensperrdauer 30 Minuten

Kontensperrung nach 0 falschen Kennwörtern (keine Sperrungen)

Sperrungszähler gelöscht nach 30 Minuten

Minimale Kennwortlänge 5 Zeichen

Maximales Kennwortalter 0 Tage

Minimales Kennwortalter 0 Tage

Kennwortchronik 24 alte Kennwörter

Kennwort-Eigenschaften keine Vorgaben

 

Gruß Thomas