DaFlo 10 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 (bearbeitet) Hallo, wir haben bei uns im Unternehmen eine Kennwortrichtlinie im Einsatz. Diese greift leider nicht. Über GPResult sehe ich - das er sich diese richtig zieht. Jemand eine Idee woran das liegt? Gruß Flo bearbeitet 9. Juni 2015 von DaFlo Zitieren
Sunny61 816 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Wo und wie genau hast Du die Kennwortrichtlinie angelegt? Zitieren
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Hallo, in der Kennwortrichtlinie (extra neu angelegt) ist folgendes eingestellt: Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwortchronik erzwingen Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter Anwender vor Ablauf des Kennworts auffordern Die Richtlinie habe ich mit einzelnen OUs verbunden. Zitieren
Sunny61 816 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Ich dachte mir schon so etwas. ;) Lies doch mal diese beiden Artikel: http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/ http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/ Nach der Lektüre der beiden Artikel weißt du auch, weshalb deine selbst erstellte nicht greift. ;) Zitieren
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-) Zitieren
zahni 566 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Richtig, Die Richtlinie muss auf den DC's und den Computer-Konten angewendet werden. Das ist eines der wenigen Dinge, die ich in der Default Policy einstelle. Zitieren
Sunny61 816 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-) Hast Du es denn jetzt im Computer- oder Benutzerteil realisiert? Zitieren
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt? Zitieren
Sunny61 816 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 (bearbeitet) @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! In http://www.mcseboard.de/topic/203601-kennwortrichtlinien-greifen-nicht/?do=findComment&comment=1270416 schreibst es greift nicht. Also hattest Du es zu dem Zeiptunkt schon umgesetzt oder war das nicht die Wahrheit? @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt? Ich persönlich konfiguriere das SMB-Signing noch in den beiden Policies, für alles andere erstellt man u.a. auch wegen der Übersichtlichkeit, eigene neue GPOs. bearbeitet 9. Juni 2015 von Sunny61 Zitieren
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 (bearbeitet) Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. bearbeitet 9. Juni 2015 von DaFlo Zitieren
Sunny61 816 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. Dachte ich mir, Danke für die Korrektur und die Rückmeldung. ;) Zitieren
daabm 1.384 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Ich muss es noch in die Default Policy umtragen. Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. Sonst wird sie nämlich wieder überschrieben - die Verarbeitung erfolgt von unten nach oben.Steht bestimmt irgendwo in den beiden Links, die Sunny schon gepostet hat. Oder in einem der anderen Howtos von Mark. @Zahni: In die DDP und DDCP packe ich zumindest gar nix - ich mach mir eine eigene (ggf. halt als Kopie davon), schiebt die drüber und ändere dann da. Motivation dafür sind die statischen GUIDs der beiden und DCGPOFIX. Aber das ist natürlich keine in Stein gemeißelte Regel, sondern nur ein Erfahrungswert :) Zitieren
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Ok... den Punkt habe ich nicht gedacht. Danke daabm für den "Kopfanstoß"! :-) Nun muss ich doch nochmal fragen falls ich es in die DDP bzw. in die DDCP packe - dann betrifft es ja "alle". Server sollen von der Kennwortänderung (ist in der Computerkonfiguration eingestellt) nicht betreffen - wie kann ich das am "schnellsten" ausschließen? Zitieren
NorbertFe 2.155 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Häh? Ein Kennwort läuft im ad überall gleich ab. Ist ja nur ein Konto. Und falls du lokale Konten nutzt (hoffentlich nicht) dann kannst du das mit anderen gpos übersteuern. Steht alles im obigen Link. Zitieren
NilsK 2.978 Geschrieben 10. Juni 2015 Melden Geschrieben 10. Juni 2015 Moin, Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. jein. Rein von der GPO-Verarbeitung ist das richtig. Kennwortrichtlinien gehören trotzdem nur in die DDP, weil es da noch harkodierte Prozesse im AD gibt: [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.