NorbertFe 2.065 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Du kopierst nicht, du sicherst. In der GPMC einfach mal den Container Gruppenrichtlinienobjekte öffnen "Rechtsklick auf die DDP" und kopieren. Danach wieder einfügen. Dann hast du Kopie der Default Domain Policy. ;) Bye Norbert Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Ich glaub, ich habe mir hier gerade eine größere Baustelle aufgemacht. Der wahrscheinlichste Grund, warum man von der DDP kein Backup machen oder kopieren kann (PowerShell bringt gleiche Fehlermeldung), ist wohl der, das die DDP mal eine Ordnerumleitung beinhaltete, die jetzt nicht mehr gültig ist. Vor etwa 4 Jahren, als ich noch nicht hier war, waren File-Server und DCs auf Win2003. Ich vermute, das dort die Ordnerumleitung irgendwann mal eingerichtet wurde mit Ziel auf den alten File-Server. Mittlerweile gibt es einen neuen File-Server (File1) und neue DCs unter Win2008R2. Die Einstellungen könne logischerweise nicht mehr verifiziert werden, weil die Pfade nicht mehr stimmen, aber ändern kann ich die Einstellungen in der DDP auch nicht, was vermutlich mit dem Wechsel auf Win2008R2-DC zusammenhängt. Hier http://serverfault.com/questions/154588/how-can-i-erase-the-traces-of-folder-redirection-from-the-default-domain-policy habe ich was gefunden, wie man die Ordnerumleitung manuell entfernen kann. Hat zwar etwas von einer Operation am offenen Herzen, könnte aber durchaus funktionieren. Ich könnte auch die Benutzerkonfiguration deaktivieren. Damit würde ich das Problem zwar nicht beheben, aber zumindest umgehen. Ich geb Bescheid wie es ausgegangen ist. Gruß Matthias Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 Was soll da schon kaputt gehen. Notfalls gibt's immer noch ein Restore. ;) Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Teilen Geschrieben 26. Januar 2015 Auch wieder wahr... ;) So, die Ordnerumleitung ist raus, im Nachhinein keine große Sache. (Unser Revisor wäre mir trotzdem an den Hals gesprungen...) Wie du vorgeschlagen hast habe ich eine Kopie von der DDP gemacht, die Kopie mit der OU verlinkt und die originale direkt unter die Domäne gehangen. Und siehe da, schon klappt es auch mit dem "maximalen Kennwortalter", zumindest per net accounts /domain auf dem DC2. Ich gehe aber davon aus, das sich die Kennwort-Policy morgen früh bei den beiden Benuztern meldet, deren Kennwort älter als 30 Tage ist. Vielen vielen Dank für die Hilfe. Beste Grüße Matthias Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. Januar 2015 Melden Teilen Geschrieben 26. Januar 2015 @Sunny: Bin wieder da :) Meine Meinung dazu: Die DDP und die DDCP fasst man besser nicht an, sondern macht sich eine eigene GPO, die man dann weiter oben verlinkt. Hintergrund ist tatsächlich dcgpofix - und ich bin dann auch relativ leicht in der Lage, meine eigenen GPOs für Diagnosezwecke kurz auszuknipsen. Ob Kennwortrichtlinien nun in der DDP stehen oder in einer anderen, das ist egal - wichtig sind für Domänenuser dabei nur zwei Dinge: 1. Die GPO _muss_ mit der Domäne verknüpft sein. 2. Der PDC-Emulator muss Anwenden-Rechte darauf haben. Ob die DDP selbst überhaupt noch aktiv/verlinkt/vorhanden ist, spielt übrigens auch keine wirkliche Rolle :) Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 27. Januar 2015 Autor Melden Teilen Geschrieben 27. Januar 2015 Gut zu wissen. Man lernt halt nicht aus... Vielen Dank für die Erläuterungen. Grüße Matthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.