Jump to content

[Server2012] GPO Kennwortrichtlinie / Komplexität wirkt nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

mir ist aufgefallen, dass nach dem manuellen zurücksetzen eines Kennwortes via AD-benutzer u. Computer (ohne den Haken gesetzt zu haben: "Benutzer muss Kennwort bei der nächsten Anmeldung ändern") der Nutzer sein Kennwort nicht selbständig ändern kann. Es erscheit immer wieder beim versuch das Kennwort zu ändern folgendes: "Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlininen..." u.s.w.

 

Die Kennwortkomplexität ist allerdings deaktivert. Es gab vorher fälscherweise eine eigene Password-Policy GPO die auf die oberste OU der Domäne und nicht auf den Domänen-Header verlinkt war.

Diese habe ich entfernt und die Kennwortrichtline wieder in die Defaul Domain Policy eingetragen. Das bringt mir

PS C:\Users\admin> Get-ADDefaultDomainPasswordPolicy


ComplexityEnabled           : False
DistinguishedName           : DC=meine-firma,DC=org
LockoutDuration             : 00:05:00
LockoutObservationWindow    : 00:05:00
LockoutThreshold            : 6
MaxPasswordAge              : 60.00:00:00
MinPasswordAge              : 40.00:00:00
MinPasswordLength           : 6
objectClass                 : {domainDNS}
objectGuid                  : 267a5d25-0e8d-494e-bf58-e444682f11a4
PasswordHistoryCount        : 5
ReversibleEncryptionEnabled : False

auf beiden DC's.

 

Ich habe den Client und beide DC's bereits neugestartet.

 

Setze ich allerdings den Haken beim manuelle zurücksetzten "Benutzer muss Kennwort bei der nächsten Anmeldung ändern", muss und kann der Nutzer wieder ein eigenes Kennwort vergeben.

 

Im Active-Directory Verwaltungscenter habe ich nichts angepasst. Default wird allerdings folgendes vorgegeben. Das wird ja aber sicher nicht wirken?

post-60361-0-69792700-1476176437_thumb.png

 

Kann mir bitte jemand einen Tipp geben, wo es da klemmt? Warum wirkt die Kennwortrichtlinie nicht korrekt?

MfG

bearbeitet von michelo82
Link zu diesem Kommentar

Hallo,

 

Ich kann die Werte bezüglich minimales und maximales Kennwortalter nicht "lesen", sind das 40 Tage?Ich vermute hier aber dein Problem. Setzt du das Kennwort ohne Haken bezüglich "Benutzer muss neu vergeben" gilt halt das minimale Kennwortalter. Also so lange muss das gesetzte Kennwort genutzt werden, bevor es geändert werden darf. Setzt du den Haken, greift das mindest-Kennwortalter nicht und muss/kann gleich geändert werden...

 

Gruß

Björn

Link zu diesem Kommentar

Hat sich denn was geändert? Ja. Wird sie angewandt? Ja.

 

Schadet ja auch nicht.

Jain. Es führt im Zweifel dazu, dass man Fehler nicht erkennt, weil man mit /force eben die Anwendung der Gruppenrichtlinien erzwingt. Wenn es bei der normalen Übernahme aber Probleme geben sollte, wird man das nicht "sehen". Und ja, ich hab schon solche Kundensysteme gefunden, bei denen dann eben Startupskripte mit /force liefen usw. usf. Ja es ist im Allgemeinen überflüssig. Und wenn es überflüssig ist, sollte man es eben auch nicht verwenden.

Link zu diesem Kommentar

das "/force" nach gpupdate ist bei mir so tief  in die Finger Sehnen und Muskeln eingebrannt, das bekomme ich wohl nie mehr raus. Genauso wie z.B. das "/all" bei ipconfig, auch wenn ich es gar nicht brauche.

 

Mal ehrlich, wer von uns ist so flexibel und hat diese cmd-Klassiker schon aus seinem Repertoire gestrichen und durch modernere, zweifellos mächtigere Befehle ersetzt?

- Invoke-Gpupdate

- https://blogs.technet.microsoft.com/josebda/2015/04/18/windows-powershell-equivalents-for-common-networking-commands-ipconfig-ping-nslookup/

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...