longbow 10 Geschrieben 5. Februar 2016 Melden Teilen Geschrieben 5. Februar 2016 Hallo zusammen Ich hab hier noch so eine Wochenend-Knacknuss aus der ich nur halb schlau werde. Umgebung läuft seit 6 Jahren, früher war in der Default Policy gesetzt 0 = Kennwort läuft nie ab und im AD bei den Usern auch das Flag gesetzt "Kennwort läuft nie ab" - Keine Diskussion bitte ob das Schlau ist oder nicht, das ist nicht mein Problem, ich bin nur der Dienstleister :-) Vor 12 Monaten kam dann vom IT-Verantwortlichen die Aufforderung dass mit 100% Garantie alle User ihr Passwort ändern müssen - Wert in GPO runtergenommen auf 14 Tage, alle User haben das PW geändert, diejenigen welche nicht eingeloggt waren in den letzten 14 Tagen haben wir im AD das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt - Auftrag erledigt, danach GPO wieder auf 0 gesetzt für "Kennwort läuft nie ab" 11.5 Monate Ruhe - Nun erhalten auf einmal alle User die Aufforderung das Kennwort zu ändern obwohl in der Policy steht 0 = Kennwort läuft nie ab GPO auf 999 Tage gesetzt (Umgebung wird in 11 Monaten abgelöst) -> kein Erfolg, Meldung bleibt Terminalserver und DC alle gebootet, mit Gpupdate /force GPO's forciert -> Kein Erfolg, Meldung bleibt -> bei jedem User im AD das Flag gesetzt "Kennwort läuft nie ab" -> Meldung kommt nicht mehr Hat mir jemand eine logische und glaubwürdige Erklärung für das Systemverhalten? Ist das allenfalls so ein Problem mit "wenn einmal ein Wert gesetzt wurde darfst du alles setzen ausser 0 und mehr als 365 Tagen"??? Danke für eure Mithilfe Grüsse aus der Schweiz Longbow Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 5. Februar 2016 Melden Teilen Geschrieben 5. Februar 2016 Moin, in welcher Policy wurden die Einstellungen gesetzt? Was gibt "net accounts /domain" aus? [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils Zitieren Link zu diesem Kommentar
longbow 10 Geschrieben 8. Februar 2016 Autor Melden Teilen Geschrieben 8. Februar 2016 Hallo Nils Dein Typ war schon ein Volltreffer, mit net accounts /Domain kommt effektiv 365 Tage raus - hälst du es für möglich das meine Einstellung mit 999 Tage sich selbst korrigiert auf max. 365 Tage? Die Einstellungen sind in der "Default Domain Policy" gesetzt und stehen immer noch auf 999 Tage. Alle anderen GPO's habe ich nochmals manuell gecheckt, ist sonst nirgends was drin was mit Kennwort zu tun hat, weder Länge noch Dauer noch Komplexität. Wirklich komisch - Wir haben auch nur 1 DC, es ist somit auch kein Replikationsproblem. Was würdet ihr machen? Gruss Longbow Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.918 Geschrieben 8. Februar 2016 Beste Lösung Melden Teilen Geschrieben 8. Februar 2016 (bearbeitet) Moin, das ist ja komisch. Versuch doch mal, in einem Admin-CMD die Einstellung auf "unlimited" zu setzen: net accounts /maxpwage:unlimited /domain Wie sieht hinterher die Abfrage von net accounts aus, und was steht in der DDP? Dass der Wert in der DDP begrenzt wird, ist unwahrscheinlich. Ich tippe eher auf ein Anwendungsproblem der Richtlinie. Finden sich Einträge im Eventlog, die damit zu tun haben könnten? Möglicherweise könnte es erforderlich sein, die Default-Policies zurückzusetzen. Vorher sollte man dokumentieren, was dort an Einstellungen gesetzt ist, um es hinterher manuell wieder einrichten zu können. Gruß, Nils PS. Dass dort nur ein DC läuft, sollte man korrigieren. bearbeitet 8. Februar 2016 von NilsK Zitieren Link zu diesem Kommentar
longbow 10 Geschrieben 8. Februar 2016 Autor Melden Teilen Geschrieben 8. Februar 2016 Hallo Nils OK, irgendwas ist da (oder war da) wohl wirklich abgeschmiert Nachdem ich nun den Wert per CMD auf unlimited geändert habe erscheint sowohl in der net Accounts /domain-Abfrage der Wert "Unbegrenzt" wie auc hin der DDP nun wieder der Wert 0, so wie es mal war aber nicht gegriffen hat. Danke für deine Unterstützung. PS: Die Umgebung wird Ende dieses Jahres in die Tonne geworfen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.