addy0604 11 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Hallo Zusammen, ich habe hier ein Problem mit Kennwörtern, die eigentlich abgelaufen sein sollten, aber trotzdem noch funktionieren. Wir haben hier eine normale Windows-Domäne mit Win2008R2-DCs und einer Kennwortrichtlinie (hat mein Vorgänger eingerichtet) in der Default Domain Policy, die besagt, das die Kennwörter alle 60 Tage geändert werden müssen. Da es damit nie Probleme gab, wurde auch nichts geändert. Seit neusten sollten die Kennworte aber alle 30 Tage geändert werden (neue betriebliche Vereinbarung). Ich hab also den Eintrag "maximales Kennwortalter" in der Policy von 60 auf 30 Tage geändert. Heute erfuhr ich, das manche Kennworte wohl älter sind. Das Ganze mit pwexpire geprüft und siehe da, ein Kennwort ist 34 Tage und ein anderes 49 Tage alt. Beide PCs werden täglich neu gestartet, beide Benutzer können sich nach wie vor normal an der AD anmelden, kommen auf alle Netzlaufwerke, Outlook inkl. ein- und ausgehender Mails gehen auch. Habe ich was vergessen? Muss an anderer Stelle noch was eingestellt werden? Oder muss noch etwas resetet oder neu gestartet werden? Ich will nur, das sich ein Benutzer nicht mehr an der Domäne anmelden kann, wenn sein Kennwort älter als 30 Tage ist. (Der Haken "Kennwort läuft nie ab" ist draußen.) Vielen Dank schon mal Grüsse Matthias Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Funktioniert es denn bei anderen Nutzern? Hat es mit den 60 Tagen vorher korrekt funktioniert? Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 Ich hatte es ehrlich gesagt nicht explizit getestet. Werde mal einen Testuser anlegen. Alle anderen pflegen ihr Kennwort anscheinend gewissenhaft, es kamen jedenfalls keine Beschwerden. Ich habe einen Screenshot von der GPO angehangen. Wäre es denn so ok wie es dort eingestellt ist? Ich lasse den Benutzer mit dem 49-Tage-Kennwort mal noch 11 Tage. Wenn das Kennwort dann abgelaufen ist, wurde die neue Einstellung anscheinend noch nicht richtig übernommen. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Moin, grundsätzlich ist die Konfiguration bezüglich des Ablaufs richtig. Aber: Das ist nicht die "Default Domain Policy". Es ist ein GPO namens "Default Domain Policy 2004". Gibt es das originale Objekt noch? Wenn ja, dann hat dies vermutlich Priorität. Auf jeden Fall sollte man die Kennworteinstellungen ausschließlich in der originalen DefDomPol machen und in keiner anderen. Der Grund dafür ist hier beschrieben:[besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Du kannst die effektiven Policies im CMD-Fenster mit folgendem Kommando prüfen:net accounts /domain Die Komplexitätsanforderung würde ich nicht abschalten. Ihr fordert eine Kennworthistorie von 7 an, lasst aber sofortige Änderung zu (0 Tage). Damit kann ein User einfach direkt hintereinander siebenmal sein Kennwort ändern und wieder das alte nutzen.Kennworthistorie ist nur sinnvoll mit einem minimalen Kennwortalter von einem Tag. 3 Versuche falscher Kennwörter bis zur Sperrung ist nicht gut.http://www.gruppenrichtlinien.de/artikel/kontosperrungsschwelle-auf-50-definieren-warum/ Insgesamt betrachtet, ist die automatische Kontensperrung sowieso nicht gut:[DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Zur Not könntest du bei den Anwendern, deren Kennwort "zu alt" ist, den Haken "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen. Das lässt sich auch per PowerShell für mehrere Konten machen. Eigentlich sollte das neue Kennwortalter aber gelten; wie gesagt, prüf es mal. Gruß, Nils Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 Hallo Nils, Danke für die Erläuterungen. Sie machen wirklich Sinn und ich werde mit Sicherheit auch einige Werte entsprechend anpassen. Was die "Default Domain Policy" angeht, so ist es zumindest die einzige in der Domäne, die so heißt. Auch wenn Sie "Default Domain Policy 2004" heißt. Allerdings sagt "net accounts /domain" etwas anderes. Da heißt es plötzlich: "Maximales Kennwortalter 60 Tage". Kann es am Namen der Policy liegen, das die Änderungen nicht übernommen werden? Kann es sein, das mein Vorgänger die Kennwortrichtlinien eingerichtet hat und danach (aus welchem Grund auch immer) die "Default Domain Policy" umbenannt hat? Ich kann sie ja einfach mal "zurück umbenennen". Siehst du da irgendwelche Risiken? Gruß Matthias Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Die DEfault Domain POlicy {31B2F340-016D-11D2-945F-00C04FB984F9} und die Default Domain Controller Policy {6AC1786C-016F-11D2-945F-00C04fB984F9} haben _immer_ die selbe ID. Kannst du also vergleichen. Ich würde sie zurück umbenennen, wenn es tatsächlich die Default ist. Was kommt denn am Client an mittels gpresult /H? Bye Norbert Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 Die ID passt, es ist also dir richtige Policy. Bei gpresult /r ist zu erkennen, das sie sowohl bei Computer- als auch bei Benutzereinstellungen angewendet wird. Ich werde sie heute Abend nach Feierabend mal umbenennen und schauen was passiert. Gebe morgen Bescheid... Vielen Dank schon mal Gruß Matthias Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 @addy, ich hätte mal eine OT-Frage? Wie und womit hast Du genau die 1. Frage (ohne Zeilenumbruch) geschrieben? Welcher Browser, Welches OS und hast Du Copy&Paste benutzt? Danke im Voraus. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Das mit den Zeilenumbrüchen greift hier grad um sich... BTT: Erstelle einenn RSoP auf dem PDC-Emulator. Das ist der einzige Computer in Deiner Domäne, der Kennwortrichtlinien aus GPOs anwendet, die mit der Domäne verknüpft sind. Alles andere ist nur Client- und Member-Gedöns. Und in DIESEM RSoP prüfst Du, woher die 60 Tage kommen. Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Guten Morgen, tschuldigung, das ich mich erst jetzt melde. Hatten letzte Woche einiges um die Ohren... Also: Das mit dem Zeilenumbruch kam mir auch komisch vor. Im Editor sah es noch "normal" aus. In der Vorschau waren die Zeilenumbrüche schon weg und in der Live-Umgebung auch. Ich arbeite i.d.R. mit dem IE. Eine Zeit lang hatte ich den IE 11 drauf. Nach Problemen mit der Anzeige bei einigen Web-Anwendungen hab ich wieder den IE 10 drauf. Ich arbeite auf einem Win7 x64, kein Copy-Paste. Zu meinem Problem. Die Default Domain Policy hat ja irgendwann mal funktioniert, weil die entsprechenden Einstellungen bei "net accounts /Domain" angezeigt werden. Spanisch kommt mir auch vor, das die Policy nicht nur umbenannt, sondern auch verschoben wurde. Ich kann mich an früher bei Windows 2000 Domänen erinnern, das die beiden Haupt-Policy's immer direkt in der Root der Domäne stehen sollten/mussten. Ist das nach wie vor so? In der momentanen Umgebung ist es jedenfalls so, das die Default Domain Controllers Policy mit der OU "Domain Controllers" verknüpft ist, in der nur die beiden DCs liegen. Die Default Domain Policy war umbenannt (siehe oben) und ist mit einer OU verknüpft, in der (aufgeteilt in weitere OUs) alle User-Konten und alle PC-Konten liegen (siehe Screenshots). Ich habe nun die Default Domain Policy wieder in den richtigen Namen umbenannt, aber Änderungen darin werden beim Aufruf von "net accounts /Domain" nicht angezeigt, auch nach Neustart des PCs nicht. RSoP habe ich auf dem DC2 ausgeführt, der auch alle Betriebsmaster hat, auch PDC-Master. Dort wird aber angezeigt, das die Kennwort-Policys gar nicht definiert sind! Kann das damit zusammenhängen, das die Policys nicht direkt mit der Domäne, sondern mit einer OU verknüpft ist? Ich habe mal ein paar Screenshots gemacht und mit angehangen, um es etwas zu verdeutlichen. Die beiden DCs habe ich bis jetzt noch nicht neu gestartet... Gruß Matthias Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Die Default Domain Policy ist mit der Domain verknüpft (und wer die umhängt hats nicht verstanden, und das sollte auch möglichst wieder rückgängig gemacht werden) und die Default Domain Controllers Policy ist mit der OU der Domain Controller verlinkt. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Die DDP ist normalerweise direkt oben in der Root. Die DDCP ist schon richtig in der OU der Domain Controllers. Man könnte natürlich auch die GPOs auf Standard setzen: http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default-richtlinien/ Allerdings kann ich dir nicht sagen ob deine Probleme damit gelöst sind. Warte lieber nochmal auf Martin, der ist in dem Thema sehr tief drin. Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 (bearbeitet) Ah, dann sind die Werte in der CMD die Defaultwerte eines AD wenn keine Kennwortrichtlinien definiert sind? Hat sich erledigt. bearbeitet 26. Januar 2015 von Reingucker Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Die Wiederherstellung würde ich mir/dem TO erstmal ersparen, da die GPOs ja noch vorhanden sind (nur falsch verlinkt). Normalerweise geht man jetzt hin, kopiert die Default Domain Policy und verlinkt die Kopie ebenfalls an der bisherigen OU und entfernt die DDP-Verlinkung. Danach entfernt man alle Einstellungen, die dort nichts zu suchen haben aus der DDP und verlinkt sie zum Schluß auf Domänenebene. Knackpunkte sind normalerweise Einstellungen im Security Bereich, da dort teilweise Einstellungen von Applikationsinstallationen vorgenommen werden (Exchange und SQL bspw.). Da muß man etwas recherchieren. Jedenfalls ist das aber alles nix, bei dem es keine Lösung gibt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Womöglich wollte der frühere Admin damit sicherstellen, das die Kennwortrichtlinien nur auf "richtigen" Benutzer-Konten angewendet werden und nicht auf teilweise administrative Benutzerkonten in der OU Users. Aber soweit ich weiß gelten Kennwort-Richtlinien eh domänenweit, solange in den Benutzer-Accounts nicht der Haken bei "Kennwort läuft nicht ab" gesetzt ist. Oder liege ich da falsch? Ich gehe mal Norberts Vorgehensweise durch versuche die DDP zu kopieren, und schau mal wie ich da weiterkomme... Gebe dann Bescheid... Vielen Dank schon mal Gruß Matthias Hmm, scheint wohl doch nicht so einfach zu sein. Wenn ich die DDP kopieren will kommt die Meldung: Fehler - Die Bibliothek, das Laufwerk oder das Medium ist leer. (siehe Screenshot) Der gleiche Fehler kommt, wenn ich einfach nur ein Backup davon machen will. Es gibt auch einen Eintrag im Anwendungs-Eventlog: Copy of GPO failed. Error [The library, drive, or media pool is empty. Auf meinem Win7 ist die Event-ID 2004, auf dem DC (Win2008R2) ist die Event-ID 2008 Bei allen anderen GPOs geht es problemlos, nur bei der DDP nicht... Mir gefällt das immer weniger... :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.