zeus-cu 10 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 Hallo Forum, obwohl wir in der Default-Domain Policy eine Kennwortrichtline (s. Domain-Policy.png) festgelegt haben, greift diese einfach nicht. Bei einem Aufruf von gpresult auf einem beliebigen Client wird aber angezeigt, dass die Default Domain Policy geladen wurde. Ich hatte auch schon den Verdacht, dass die Policy von einer Anderen überschrieben wird, habe allerdings nichts finden können. Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png) Hat einer noch eine Idee an was das liegen könnte? Die Kennwortrichtline, die momentan eingestellt ist, stammt noch aus Zeiten wo unsere Domäne auf NT4 lief. Mittlerweile ist sie allerdings auf 2008. Gruß Klaus Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 obwohl wir in der Default-Domain Policy eine Kennwortrichtline (s. Domain-Policy.png) festgelegt haben, greift diese einfach nicht. Woran machst du das fest? Bei einem Aufruf von gpresult auf einem beliebigen Client wird aber angezeigt, dass die Default Domain Policy geladen wurde. Schonmal gut. Ich hatte auch schon den Verdacht, dass die Policy von einer Anderen überschrieben wird, habe allerdings nichts finden können. Von was sollte deiner Meinung nach eine Kennwortrichtlinie auf Domänenebene denn überschrieben werden? Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png) GPEdit hat genau keine Aussagekraft in diesem Fall. Die Kennwortrichtline, die momentan eingestellt ist, stammt noch aus Zeiten wo unsere Domäne auf NT4 lief. Mittlerweile ist sie allerdings auf 2008. Ja, aber wo genau ist jetzt dein Problem? "Greift nicht und Verdacht" sind jetzt nicht wirklich aussagekräftige Fehlerbeschreibungen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 Hallo Forum, Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png) Um die Aussage von Norbert etwas zu festigen, in GPEDIT.MSC siehst Du nur die Änderungen die auch an diesem Rechner via GPEDIT.MSC vorgenommen hast. Du mußt als einen Report erstellen. gpresult /H gpreport.html [ENTER]. Jetzt das gpreport.html betrachten. Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 16. Dezember 2013 Autor Melden Teilen Geschrieben 16. Dezember 2013 (bearbeitet) Hallo Norbert, die Kennwortrichtlinie in der Default-Domain-Policy zieht definitiv nicht, weil weder die Kennwortkompläxität, Länge noch Haltbarkeit stimmen. Die Benutzer werden nach wie vor nach 42 Tagen aufgefordert ihr Passwort zu ändern. Mit "net user xxxx /domain" auf der Shell für meinen Benutzer wird folgendes ausgegeben: Letztes Setzen des Kennworts 11.12.2013 13:24:21Kennwort läuft ab 22.01.2014 13:24:21Kennwort änderbar 11.12.2013 13:24:21Kennwort erforderlich JaBenutzer kann Kennwort ändern Ja Dies entspricht genau dessen, was im lokalen gpedit.msc angezeigt wird. Bestimmt findet man die Einstellungen der Default-Domän-Policy irgendwo in der lokalen Registry. Weiß Du wo ich da nachsehen kann? Hab noch ein Screenshot von gpresult /H beigefügt. Da sieht alles gut aus. Gruß Klaus bearbeitet 16. Dezember 2013 von zeus-cu Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 16. Dezember 2013 Melden Teilen Geschrieben 16. Dezember 2013 Hi, Dies entspricht genau dessen, was im lokalen gpedit.msc angezeigt wird. Bestimmt findet man die Einstellungen der Default-Domän-Policy irgendwo in der lokalen Registry. Weiß Du wo ich da nachsehen kann? Hast du eventuell die Vererbung auf der OU der Domaincontroller unterbrochen? Ohne ein paar mehr Infos wird das nix. ;) Hier mal ein wenig Hintergrundinfo: http://blogs.technet.com/b/askpfeplat/archive/2013/01/14/fun-and-games-active-directory-password-policies.aspx Bye Norbert Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 16. Dezember 2013 Autor Melden Teilen Geschrieben 16. Dezember 2013 Hallo Norbert, ich suche den Fehler bestimmt schon eine Woche. Die Vererbung wurde nicht unterbrochen. Zumindest sehe ich es nicht. Die Default-Domain-Policy ist bei uns auf der Domäne angewendet. Es existiert auf der Domäne auch keine weitere Policy mit einer höheren Priorität. Wenn ich mir mit gpresult /H den generierten Report anzeigen lasse, ist dort die Kennwortrichtlinie aus der Default-Domain-Policy aufgeführt. Es gibt in diesem Report keine weiteren Treffer was die Kennwortrichtlinie betrifft. Ich bin echt ratlos. Beim Aufruf von net accounts /domain wird folgendes angezeigt: Die Anforderung wird auf einem Domänencontroller für Domäne dohle.com verarbeitet.Abmelden erzwingen nach: NieMinimales Kennwortalter (Tage): 0Maximales Kennwortalter (Tage): 42Minimale Kennwortlänge: 5Länge der Kennwortchronik: 1Sperrschwelle: NieSperrdauer (Minuten): 30Sperrüberprüfungsfenster (Minuten): 30Rolle des Computers: SICHERUNG Keine Ahnung wo das her kommt. Gruß Klaus Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 19. Dezember 2013 Autor Melden Teilen Geschrieben 19. Dezember 2013 (bearbeitet) So habe jetzt in der Default Domain Policy die Kennwort Richtlinie gelöscht und eine weitere GPO auf die Domain gesetzt mit höherer Prio. Dann habe ich die GPO wieder gelöscht die Kennwortrichtline in der Default Domain Policy wieder eingetragen und jetzt wird sie beim Aufruf von net accounts /domain auch angezeigt. Very strange : net accounts /domainDie Anforderung wird auf einem Domänencontroller für Domäne xxxx.com verarbeitet.Abmelden erzwingen nach: NieMinimales Kennwortalter (Tage): 0Maximales Kennwortalter (Tage): 365Minimale Kennwortlänge: 8Länge der Kennwortchronik: 1Sperrschwelle: NieSperrdauer (Minuten): 30Sperrüberprüfungsfenster (Minuten): 30Rolle des Computers: PRIMÄR Was mich jetzt allerdings sehr wurndert ist die Tatsache, das die lokale Kennwortrichtlinie (beim Aufruf von gpoedit.msc) jetzt ebenfalls dies Werte hat, die in der Default Domain Policy eingestellt sind. (s. Anlagen) D.h. ich kann jetzt keine lokalen User auf dem Client mit einem einfachen Passwort anlegen. Zudem ist die lokale Kennwortrichtlinie ausgegraut. Ich kann nichts an ihr ändern, auch nicht wenn ich mich nur lokal anmelde. Ist das so beabsichtigt? Gruß Klaus bearbeitet 19. Dezember 2013 von zeus-cu Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 19. Dezember 2013 Melden Teilen Geschrieben 19. Dezember 2013 Dann definier halt eine Richtlinie für lokale Konten. Ist doch kein Problem. Und wer braucht schon lokale Konten und dann auch noch mit einfachem Kennwort? Bye Norbert Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 19. Dezember 2013 Autor Melden Teilen Geschrieben 19. Dezember 2013 okay... Und wie mach ich das mit der Richtlinie für lokale Konten? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 19. Dezember 2013 Melden Teilen Geschrieben 19. Dezember 2013 Genauso, nur auf OU Ebene. ;) Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 19. Dezember 2013 Autor Melden Teilen Geschrieben 19. Dezember 2013 Schuldigung, wenn ich ein wenig Begriffstutzig bin. Mit einer Kennwortrichtlinie auf einer OU ändere ich die lokale Richtlinie auf dem Client die Domänen Richtline bleibt dann aber erhlaten? Ich möchte eigentlich, dass alle Benutzer in der Domäne die Kennwortrichtlinie mit komplexem Passwort erhalten. Lokale Benutzer sollen aber einfache Passwörter verwenden können. Vermutlich wird so was aber nicht gehen oder? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 19. Dezember 2013 Melden Teilen Geschrieben 19. Dezember 2013 Nein damit änderst du das, was für lokale Konten auf dem PC gelten soll. ;) Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 16. Januar 2014 Autor Melden Teilen Geschrieben 16. Januar 2014 Aus irgendwelchen unerfindlichen Gründen hatte wir in den vergangenen ca. 4 Wochen die Passwortpolicy, welche auf der Default Domain Policy eingestellt war. Diese hatte sich irgendwie auf einmal doch aktiviert. Ich dachte alles wäre somit in Ordnung. Heute ist die Policy aber wieder auf 42 Tage zurückgesetzt. Weiß der Teufel wo das herkommt. Ich bin ratlos. Ich habe gerade auf einem unserer Domaincontroller mit Set-ADDefaultDomainPasswordPolicy die Policy wieder geändert, dies hält allerdings nur ca. 5 Minuten, dann steht wieder der alte Schrott drin. Woher könnte das kommen? Wie kann ich das debuggen? Gruß Klaus Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 Ich habe gerade auf einem unserer Domaincontroller mit Set-ADDefaultDomainPasswordPolicy die Policy wieder geändert, dies hält allerdings nur ca. 5 Minuten, dann steht wieder der alte Schrott drin. Woher könnte das kommen? Wie kann ich das debuggen? 5 Minuten ist IMHO der Default Replikationszeitraum zwischen den DCs. Zitieren Link zu diesem Kommentar
zeus-cu 10 Geschrieben 16. Januar 2014 Autor Melden Teilen Geschrieben 16. Januar 2014 So ich glaube ich komme dem Fehler näher. Auf unseren beiden DCs wird angezeigt, dass die Versionsnummer der Default-Domain Policy im Sysvol von der Versionsnummer im AD abweicht: UserVersion : AD Version: 8, SysVol Version: 8ComputerVersion : AD Version: 144, SysVol Version: 143 Dazu kommt dann noch, wenn ich mir die Default Domain Policy auf den beiden DC im sysvol ansehe, steht auf dem einen DC das maximale Passwortalter von 42 Tagen, auf dem Anderen 365 Tage (so wie es sein soll) Allerdings hat die Default Domain Policy im Sysvol der beiden DC die gleiche Versionsnummer aber mit offensichtlich unterschiedlichen Inhalten. Darf man das von Hand beheben, also die GPO von einem DC aus dem sysvol auf den anderen kopieren und dann noch die Versionsnummer mit dem im AD anpassen? Also mit Notpad in der GPT.ini rumfummeln? Gruß Klaus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.