einstein 10 Geschrieben 17. September 2010 Melden Teilen Geschrieben 17. September 2010 Hallo Leute, unter 2008R2 sind ja nun mehrere Kennwortrichtlinien möglich. Ich habe nun ein PSO erstellt und explizit Benutzern zugewiesen. Das entsprechende Attribut ist beim user auch hinterlegt, dass habe ich extra kontrolliert. Nun ist es aber dennoch so, dass die DDP "zieht" und nicht meine eigens PSO. Ich finde aber auch keinen Fehler, es gibt ja einige Anleitungen wie es einzurichten ist und genau das habe ich getan. Es handelt sich um eine W2K8R2 Domäne welche bis auf das fehlerlos arbeitet. Hat jemand eine Idee was ich falsch mache oder wo der Fehler liegen könnte? Danke! Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. September 2010 Melden Teilen Geschrieben 17. September 2010 Servus, das bedeutet, wenn du diesen AD-PowerShellbefehl "Get-ADUserResultantPasswordPolicy <Benutzer>" ausführst, bekommst du die entsprechende PSO angezeigt? LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 20. September 2010 Autor Melden Teilen Geschrieben 20. September 2010 Hallo Yusuf, exakt so ist es. Er zeigt mir hier die korrekte PSO inkl. der entsprechenden Werte etc. an. Ich habe mich genau an Deine Anleitung gehalten und bin am verzweifeln. Verstehe derzeit echt nicht woran das liegen könnte.. :( Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 20. September 2010 Melden Teilen Geschrieben 20. September 2010 Die folgenden drei Optionen können stets die Kennwortvorgaben eines PSOs aushebeln. Trifft zufällig mindestens eins davon bei dem entsprechenden Benutzer zu? - Kennwort läuft nie ab - Kennwort mit umkehrbarer Verschlüsselung speichern - Kennwort nicht erforderlich Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 20. September 2010 Autor Melden Teilen Geschrieben 20. September 2010 Danke für deine Antwort. Zunächst dachte ich das wäre der Fehler gewesen, denn "Kennwort läuft nie ab" war tatsächlich noch aktiviert...... :( Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix. Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 20. September 2010 Melden Teilen Geschrieben 20. September 2010 Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix. Verknüpfe doch mal die PSO mit einem anderen (evtl. neuen) Benutzer. Funktioniert die PSO dann? Erstelle auch eine weitere PSO und verküpfe auch diese PSO mit diversen Benutzern oder Gruppen. Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.) Keine Sorge, PSOs funktionieren prinzipiell! Nur deinem Fall liegt der Hase noch im Dunkeln vergraben. Das lässt sich aber sicher bald klären. Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 20. September 2010 Autor Melden Teilen Geschrieben 20. September 2010 PSO hatte ich schon vorab mit Gruppen und mehreren Usern verknüpft ohne Erfolg. Selbst andere XP Client´s brachten nix. Die Idee mit einem neu angelegten User war gut, leider auch hier kein Erfolg obgleich die Policy entsprechend zugewiesen ist. Habe ich erneut mit "Get-ADUserResultantPasswordPolicy" überprüft. Aus irgendeinem Grund zieht immer noch die DDP und nicht die PSO obgleich die offensichtlich zugewiesen ist. Aktuell habe ich dafür keine Erklärung und auch keine Idee woran das liegen könnte? Ich meine das Prinzip dahinter verstanden zu haben, habe ja deinen Artikel ausführlich gelesen. Ich arbeite mit ADSI-Edit, vielleicht liegt es daran? Zum Test erstelle ich nun mal die PSO neu via PowerShell. Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 20. September 2010 Autor Melden Teilen Geschrieben 20. September 2010 Auch die verzweifelte Hoffnung das es per PowerShell Kommando im Gegensatz zu ADSI-Edit funktionieren würde hat sich nicht bestätigt. Diese Hoffnung war auch eher unwahrscheinlich. Zitieren Link zu diesem Kommentar
NilsK 2.923 Geschrieben 21. September 2010 Melden Teilen Geschrieben 21. September 2010 Moin, ich habe gute Erfahrungen mit diesem Tool gemacht: faq-o-matic.net Abgestufte Kennwortrichtlinien endlich komfortabel Du kannst dir mit José die Definition und Zuordnung der PSOs anzeigen lassen - vielleicht wird da ja ein Fehler deutlich. faq-o-matic.net José: Version 3.0 ist da Gruß, Nils Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. September 2010 Melden Teilen Geschrieben 21. September 2010 Hi, nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2? Die Domäne muß a) im Modus 2008 oder höher sein und b) dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden). Viele Grüße olc Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 22. September 2010 Autor Melden Teilen Geschrieben 22. September 2010 @NilsK Das Tool hatte ich schon verwendet. Die Zuordnung usw. habe ich schon mit ADs Powershell geprüft. @olc Ja Die Domäne ist im 2008R2 Modus und besteht nur aus 2008R2 DC´s. Die PSO habe ich erst nach dem hochstufen angelegt. Genauer erst Wochen danach.. Danke erst mal für Eure Hilfe. Bisher tappe ich noch im Dunkeln wieso das nicht funktioniert wobei es doch relativ klar ist wie das einzurichten ist etc.. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2010 Melden Teilen Geschrieben 22. September 2010 Hi einstein, dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet? Kennwortlänge, Komplexität, minimales Kennwortalter usw.? Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten). Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers. Sind alle Benutzer betroffen oder nur ein einzelner? Viele Grüße olc Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 22. September 2010 Autor Melden Teilen Geschrieben 22. September 2010 Hallo olc, es werden wohl überhaupt keine Kriterien angewendet bzw. exakt diejenigen aus der DDP. Meine Einstellungen in der PSO entsprechen den Beispielen der MS Hilfe. Wobei ich inzwischen schon einige verschiedene angelegt habe mit unterschiedlichen Einstellungen. Aber hier siehe selbst: AppliesTo : {CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de} ComplexityEnabled : True DistinguishedName : CN=Standard,CN=Password Settings Container,CN=Sys tem,DC=firma,DC=de LockoutDuration : 00:30:00 LockoutObservationWindow : 00:30:00 LockoutThreshold : 10 MaxPasswordAge : 42.00:00:00 MinPasswordAge : 1.00:00:00 MinPasswordLength : 8 Name : Standard ObjectClass : msDS-PasswordSettings ObjectGUID : 1b6400a1-8734-409d-a3af-d068698b171e PasswordHistoryCount : 24 Precedence : 10 ReversibleEncryptionEnabled : False User habe ich inzwischen verschiedene getestet, ebenso mehrere Computer. Mit deinen vorgeschlagenen Exports bin ich im Moment etwas überfordert.... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. September 2010 Melden Teilen Geschrieben 22. September 2010 Hi einstein, folgende Exports wären interessant: :) 1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt 2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt 3. Auf dem PDCe: secedit /cfg /export security.txt Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export). Viele Grüße olc Zitieren Link zu diesem Kommentar
einstein 10 Geschrieben 23. September 2010 Autor Melden Teilen Geschrieben 23. September 2010 Hi olc, also secedit will bei mir nicht. Anbei die beiden anonymisierten Exports. Was ich noch sagen wollte, die Domain ist eine SubDomain unserer RootDomain. Welche auch Funktionsebene 2K8R2 hat. Aber die Gesamtstrukturfunktionsebene ist noch 2003 da ich noch eine andere Subdomäne habe welche unter 2003 läuft. dn: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain changetype: add objectClass: top objectClass: msDS-PasswordSettings cn: Standard distinguishedName: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain instanceType: 4 whenCreated: 20100917135541.0Z whenChanged: 20100922145639.0Z uSNCreated: 2413942 uSNChanged: 2580039 name: Standard objectGUID:: oQBkGzSHnUCjr9BoaYsXHg== objectCategory: CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=RootDomain dSCorePropagationData: 20100921114243.0Z dSCorePropagationData: 16010101000001.0Z msDS-MaximumPasswordAge: -36288000000000 msDS-MinimumPasswordAge: -864000000000 msDS-MinimumPasswordLength: 18 msDS-PasswordHistoryLength: 24 msDS-PasswordComplexityEnabled: TRUE msDS-PasswordReversibleEncryptionEnabled: FALSE msDS-LockoutObservationWindow: -18000000000 msDS-LockoutDuration: -18000000000 msDS-LockoutThreshold: 10 msDS-PSOAppliesTo: CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=Firma,DC=de,DC=RootDomain msDS-PasswordSettingsPrecedence: 10 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.