Kennwortrichtlinie

[einstein 10]

dn: CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=firma,DC=de,DC=RootDomain

changetype: add

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: user

cn: Tester

description: Reiner Testuser

givenName: Tester

distinguishedName:

CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=firma,DC=de,DC=RootDomain

instanceType: 4

whenCreated: 20050426085206.0Z

whenChanged: 20100920095704.0Z

displayName: Tester

uSNCreated: 24465

memberOf::

Q049R0ctS2VubndvcnRyaWNodGxpbmllLVByb2R1a3Rpb24sT1U9S2VubnfDtnJ0ZXIsT1U9R3J1cH

BlbixPVT1tZWlsbGVyLERDPWRlLVNBRCxEQz1jb3JwLERDPWRpcg==

memberOf::

Q049TEctU0FETldUSzAxLVdhcnR1bmdzdmVydHJhZWdlLVZvbGx6dWdyaWZmLE9VPUZyZWlnYWJlbi

ZSZWNodGUsT1U9TG9rYWxlR3J1cHBlbixPVT1HcnVwcGVuLE9VPW1laWxsZXIsREM9ZGUtU0FELERD

PWNvcnAsREM9ZGly

memberOf::

Q049eHh4LE9VPXByb3h5LE9VPUdydXBwZW4sT1U9bWVpbGxlcixEQz1kZS1TQUQsREM9Y29ycCxEQz

1kaXI=

memberOf::

Q049c3BvcnQsT1U9cHJveHksT1U9R3J1cHBlbixPVT1tZWlsbGVyLERDPWRlLVNBRCxEQz1jb3JwLE

RDPWRpcg==

memberOf::

Q049Ym9lcnNlLE9VPXByb3h5LE9VPUdydXBwZW4sT1U9bWVpbGxlcixEQz1kZS1TQUQsREM9Y29ycC

xEQz1kaXI=

memberOf::

Q049TEctSGludGVyZ3J1bmRiaWxkLVNlcnZlclVzZXIsT1U9RnJlaWdhYmVuJlJlY2h0ZSxPVT1Mb2

thbGVHcnVwcGVuLE9VPUdydXBwZW4sT1U9bWVpbGxlcixEQz1kZS1TQUQsREM9Y29ycCxEQz1kaXI=

memberOf::

Q049TEctc2FkZHMwMi1QTV9TQUQsT1U9RnJlaWdhYmVuJlJlY2h0ZSxPVT1Mb2thbGVHcnVwcGVuLE

9VPUdydXBwZW4sT1U9bWVpbGxlcixEQz1kZS1TQUQsREM9Y29ycCxEQz1kaXI=

memberOf::

Q049ZG93bmxvYWQsT1U9cHJveHksT1U9R3J1cHBlbixPVT1tZWlsbGVyLERDPWRlLVNBRCxEQz1jb3

JwLERDPWRpcg==

memberOf::

Q049ZmFocnpldWdlLE9VPXByb3h5LE9VPUdydXBwZW4sT1U9bWVpbGxlcixEQz1kZS1TQUQsREM9Y2

9ycCxEQz1kaXI=

memberOf::

Q049cmFkaW92aWRlbyxPVT1wcm94eSxPVT1HcnVwcGVuLE9VPW1laWxsZXIsREM9ZGUtU0FELERDPW

NvcnAsREM9ZGly

memberOf::

Q049d2VibWFpbCxPVT1wcm94eSxPVT1HcnVwcGVuLE9VPW1laWxsZXIsREM9ZGUtU0FELERDPWNvcn

AsREM9ZGly

memberOf::

Q049aW50ZXJuZXQtc3VyZmVycyxPVT1wcm94eSxPVT1HcnVwcGVuLE9VPW1laWxsZXIsREM9ZGUtU0

FELERDPWNvcnAsREM9ZGly

memberOf::

Q049ZWJheSxPVT1wcm94eSxPVT1HcnVwcGVuLE9VPW1laWxsZXIsREM9ZGUtU0FELERDPWNvcnAsRE

M9ZGly

uSNChanged: 2494496

name: Tester

objectGUID:: lf/AHhhC00+SVVoCxdeNrA==

userAccountControl: 512

badPwdCount: 0

codePage: 0

countryCode: 0

badPasswordTime: 129295089546397551

lastLogoff: 0

lastLogon: 129296410983603992

pwdLastSet: 129294502248195053

primaryGroupID: 513

userParameters::

ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgUAUaCAFDdHhDZm

dQcmVzZW5045S15pSx5oiw44GiGAgBQ3R4Q2ZnRmxhZ3Mx44Cw44Gm46Cy44C5EggBQ3R4U2hhZG93

44Sw44Cw44Cw44CwKgIBQ3R4TWluRW5jcnlwdGlvbkxldmVs44SwIEIBQ3R4V0ZQcm9maWxlUGF0aO

aMteaMteOMt+OEtuOQtuOYtuOktuaMtuOUtuOIt+OAs+OEs+aMteOUt+OMt+OUtuOIt+aMteOQt+OU

tuOMt+OQt+OUtuOIt+aMteOAt+OIt+aYtuOYtuOktuaMtuOUtuOAsA==

objectSid:: AQUAAAAAAAUVAAAAJBlPg9a3HkwmDulW+QcAAA==

accountExpires: 9223372036854775807

logonCount: 31

sAMAccountName: tester

sAMAccountType: 805306368

userPrincipalName: tester@firma.de

lockoutTime: 0

objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=RootDomain

dSCorePropagationData: 20100921114242.0Z

dSCorePropagationData: 16010101000001.0Z

lastLogonTimestamp: 129294502249305053

msDS-SupportedEncryptionTypes: 0

msDS-PSOApplied:

CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain

[olc 18]

Hi einstein,

 

und der Benutzer selbst führt die Kennwortänderung durch und nicht der Administrator in AD Users&Computers? Denn im Grunde sehen die Exports oben gut aus.

 

Kann es sein, daß auf den DCs irgend ein Dritthersteller Produkt installiert ist, welches Kennwortänderungen steuert?

 

P.S.: Was genau sagt der Secedit Export?

 

Kannst Du zusätzlich noch einen anonymisierten Export der Domäne "DC=firma,DC=de,DC=RootDomain" posten?

LDIFDE -d "DC=firma,DC=de,DC=RootDomain" -scope onelevel -f domain.txt

 

Viele Grüße

olc

 

Viele Grüße

olc

[einstein 10]

Noch eine andere Idee. Kann es sein das der Hinweis den ein User beim Kennwort ändern bekommt nicht die PSO Einstellungen wiederspiegelt?

 

Ist es möglich das auch RSOP.msc nur die Ergebnisse der DDP darstellt?

[samsam 14]

hallo

 

du kannst von dsget user command nutzen

 

dsget user <Benutzer-DN> -effectivepso

Beispiel: dsget user "CN=u1,CN=Users,DC=corp,DC=contoso,DC=com" -effectivepso

 

Schritt 4: Anzeigen eines resultierenden PSO für einen Benutzer oder eine globale Sicherheitsgruppe

 

und du muss Fine-Grained Password auf Domain Contorler dass PDCe (Primary Domain Controller Emulator) FSMO role hat konfigurieren.

 

mfg

bearbeitet 29. September 2010 von samsam

[einstein 10]

@samsam

 

Danke für die Info, das hatte ich berücksichtigt bzw. mit dsget erfolgreich ermittelt das die PSO dem Benutzer zugewiesen ist.

 

@olc

Habe damit gespielt aber nur ohne der Option „-scope onelevel“ einen Export geschafft. Das Tool stresst mich irgendwie. Jedenfalls ist dieser Export dann sehr umfangreich und fast nicht zu anonymisieren... :(

Weiterhin habe ich inzwischen in einer weiteren brandneuen Subdomain, welche von Haus aus unter 2008R2 installiert wurde, denselben Effekt. Ein rsop.msc liefert mir unter den Kennwortrichtlinien als Quell-Gruppenrichtlinienobjekt immer nur die DefaultDomainPolicy.

[olc 18]

Hi einstein,

 

noch mal ganz langsam: Überprüfst Du die Kennwortrichtlinie etwa mittels RSOP anstatt direkt den Benutzer das Kennwort ändern zu lassen?

 

Da es sich bei den FGPP nicht um GPOs handelt, werden diese auch nicht im RSOP angezeigt.

 

Also schau noch einmal auf meine letzten Fragen, bevor wir hier überhaupt weiter raten.

Ganz speziell meine Frage von oben: "...der Benutzer selbst führt die Kennwortänderung durch und nicht der Administrator in AD Users&Computers?"

 

Der Domain NC Export ist nicht allzu wichtig, im Moment von daher mußt Du Dich nicht weiter darum bemühen...

 

P.S.: BTW: RSOP.MSC ist nicht mehr aktuell und sollte nicht mehr genutzt werden. Schau Dir auf 2008 R2 / W7 Systemen einmal "gpresult /h report.html" an.

 

Viele Grüße

olc

[einstein 10]

Hi Olc,

 

ich melde mich als der besagte User an einem XP Client an und schau mir via RSOP die Richtlinien an, ja! Ich weiß das die PSO´s keine GPO´s sind, aber ich weiß nicht ob im RSPO dann nicht was anderes unter den Kennwortrichtlinien stehen müsste als das was die DDP hergibt. Oder täusche ich mich hier und dort stehen immer die Einstellungen der DDP?

 

Außerdem stimmten die Angaben bezüglich Kennwortlänge etc. beim Kennwortänderungsdialog nicht. Sprich ich täusche in falsches neues Kennwort an und das System klärt mich über die Komplexitätsanforderungen, Kennwortlänge, Alter usw. auf.

Auch das stimmt nicht mit meinen FGPP Einstellungen überein.

 

Möglicherweise funktioniert ja alles und ich jage ein Phantom.... Bzw. es werden nur falsche Dinge angezeigt?

 

Danke für den report.html Tipp. Schau ich mir morgen mal an.

[olc 18]

Hi einstein,

 

ja - vermutlich jagst Du einem Phantom nach. :)

 

a) Im RSOP werden die FGPPs nicht angezeigt - dort landet nur die Passwortrichtlinie auf Domänenebene. Daher das "dsget" Kommando mit "-effectivepso".

 

b) Der Dialog hat sich (leider) nicht verändert, selbst wenn FGPPs angewendet werden. D.h. es werden noch Anforderungen angezeigt, die auf Domänenebene verlinkt sind. Die FGPPs erzeugen keinen anderen Dialog.

 

Daher solltst Du ausschließlich prüfen, ob (zum Beispiel bei einer Angabe von mindestens 10 Zeichen für ein Kennwort in der angewendeten FGPP) der Benutzer weniger als 10 Zeichen angeben kann. Ich denke, daß dies nicht der Fall sein wird - also die FGPPs greifen.

 

Viele Grüße

olc

[einstein 10]

Unglaublich, genauso ist es.... Die PSO greift nur die Anzeigen unter XP/2003 etc. sind die aus der DDP. *wuahhhaaa*

 

Na ja, danke allen für die Hilfe. Dieser Thread hilft vielleicht noch anderen dieses Phantom-Problem früher zu erkennen.