DaFlo 10 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 (bearbeitet) Hallo, wir haben bei uns im Unternehmen eine Kennwortrichtlinie im Einsatz. Diese greift leider nicht. Über GPResult sehe ich - das er sich diese richtig zieht. Jemand eine Idee woran das liegt? Gruß Flo bearbeitet 9. Juni 2015 von DaFlo Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Wo und wie genau hast Du die Kennwortrichtlinie angelegt? Zitieren Link zu diesem Kommentar
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 Hallo, in der Kennwortrichtlinie (extra neu angelegt) ist folgendes eingestellt: Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwortchronik erzwingen Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter Anwender vor Ablauf des Kennworts auffordern Die Richtlinie habe ich mit einzelnen OUs verbunden. Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Ich dachte mir schon so etwas. ;) Lies doch mal diese beiden Artikel: http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/ http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/ Nach der Lektüre der beiden Artikel weißt du auch, weshalb deine selbst erstellte nicht greift. ;) Zitieren Link zu diesem Kommentar
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-) Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Richtig, Die Richtlinie muss auf den DC's und den Computer-Konten angewendet werden. Das ist eines der wenigen Dinge, die ich in der Default Policy einstelle. Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-) Hast Du es denn jetzt im Computer- oder Benutzerteil realisiert? Zitieren Link zu diesem Kommentar
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt? Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 (bearbeitet) @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! In http://www.mcseboard.de/topic/203601-kennwortrichtlinien-greifen-nicht/?do=findComment&comment=1270416 schreibst es greift nicht. Also hattest Du es zu dem Zeiptunkt schon umgesetzt oder war das nicht die Wahrheit? @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt? Ich persönlich konfiguriere das SMB-Signing noch in den beiden Policies, für alles andere erstellt man u.a. auch wegen der Übersichtlichkeit, eigene neue GPOs. bearbeitet 9. Juni 2015 von Sunny61 Zitieren Link zu diesem Kommentar
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 (bearbeitet) Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. bearbeitet 9. Juni 2015 von DaFlo Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. Dachte ich mir, Danke für die Korrektur und die Rückmeldung. ;) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Ich muss es noch in die Default Policy umtragen. Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. Sonst wird sie nämlich wieder überschrieben - die Verarbeitung erfolgt von unten nach oben.Steht bestimmt irgendwo in den beiden Links, die Sunny schon gepostet hat. Oder in einem der anderen Howtos von Mark. @Zahni: In die DDP und DDCP packe ich zumindest gar nix - ich mach mir eine eigene (ggf. halt als Kopie davon), schiebt die drüber und ändere dann da. Motivation dafür sind die statischen GUIDs der beiden und DCGPOFIX. Aber das ist natürlich keine in Stein gemeißelte Regel, sondern nur ein Erfahrungswert :) Zitieren Link zu diesem Kommentar
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Teilen Geschrieben 9. Juni 2015 Ok... den Punkt habe ich nicht gedacht. Danke daabm für den "Kopfanstoß"! :-) Nun muss ich doch nochmal fragen falls ich es in die DDP bzw. in die DDCP packe - dann betrifft es ja "alle". Server sollen von der Kennwortänderung (ist in der Computerkonfiguration eingestellt) nicht betreffen - wie kann ich das am "schnellsten" ausschließen? Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 9. Juni 2015 Melden Teilen Geschrieben 9. Juni 2015 Häh? Ein Kennwort läuft im ad überall gleich ab. Ist ja nur ein Konto. Und falls du lokale Konten nutzt (hoffentlich nicht) dann kannst du das mit anderen gpos übersteuern. Steht alles im obigen Link. Zitieren Link zu diesem Kommentar
NilsK 2.969 Geschrieben 10. Juni 2015 Melden Teilen Geschrieben 10. Juni 2015 Moin, Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. jein. Rein von der GPO-Verarbeitung ist das richtig. Kennwortrichtlinien gehören trotzdem nur in die DDP, weil es da noch harkodierte Prozesse im AD gibt: [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.