Kennwortrichtlinie deaktivieren! (?)

[axelK77 10]

Hallo Gemeinde,

 

ich versuche gerade in meinem neu aufgesetzten AD unter dem GPO Management, die Kennwortrichtlinien zu deaktivieren. Sollte doch ohne weiteres gehen, nicht wahr?

 

In der Default Domain/Controller Policy ist auch alles deaktivert, bzw. nicht definiert. Auch in einer OU, die ich zusätzlich angelegt habe.

 

Dennoch, wenn ich einen User anlegen will, lasse ich das Feld Kennwort leer und den Haken gesetzt, dass er sich ein Kennwort beim ersten Anmelden vergeben muss.

Ich kann den User aber nicht anlegen, da diese Fehlermeldung kommt:

 

Das Objekt konnte aufgrund folgenden Problems nicht erstellt werden:

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.

 

Ja und? Es ist doch alles deaktiviert? Wo soll denn sonst noch etwas als Richtlinie eingestellt sein?

 

Bitte um Rat,

 

Danke,

 

LG

Axel

[beppo 10]

Hallo Axel,

 

ist auch in den entsprechenden GPO's die Richtlinie der min. Kennwortlänge auf nicht definiert gesetzt?

 

Gruß Beppo

[axelK77 10]

Beppo, Moin,

 

ja klar... alles "nicht definiert" oder "0". Ich habe schon einige Möglichkeiten ausprobiert.

[DieterS 10]

Hast du auch unter "Sicherheitsrichtlinien für Domänen --> Sicherheitseinstellungen --> Kontorichtlinien" die "Minimale Kennwortlänge" heuntergesetzt?

 

[Edit]

Sorry, da war jemand schneller...

[edv-olaf 10]

Hallo,

 

wie schon erwähnt von Dieter, du musst in den GPO für den Domänenkontroller die Einstellungen ändern.

 

Grüße

Olaf

[axelK77 10]

ja, ich erwähnte ja auch schon bereits, dass ich das entsprechend gemacht hatte. Komplexitätsanforderung ist derzeit z.B. "Deaktiviert" und der Rest "nicht definiert"...

[edv-olaf 10]

Nein, nein, du hast für die Domäne eine GPO erstellt, es gibt auch GPOs für Domänencontroller, die du bisher nicht verändert hast.

 

Grüße

Olaf

[grizzly999 11]

Ähh, nein!! Kennwortrichtlinien ziehen im AD nur auf DOMÄNENEBENE. Deshalb müssen diese wie es DieterS gesagt hat in einer Richtlinie auf Domänenebene geändert werden ;)

 

grizzly999

[axelK77 10]

Genau, auf Domänenebene ist es ja passiert und auch auf dem Controller hatte ich es eingestellt, was ja dann nun hinfällig ist.

 

Wie dem auch sei: der einzige Workaround der mir nun einfiel war der, dass ich einfach ein Kennwort vergeben habe und es dann im nachhinein wieder entfernte (einmal mit User anmelden, ändern,...). Zum Anlegen eines neuen Users gehts scheinbar nicht anders... warum auch immer!?

 

Sollte es doch noch eine Einstellung dafür geben, dann immer mal her mit der Info.

 

Gruss

Axel

[edv-olaf 10]

Original geschrieben von grizzly999

Ähh, nein!! Kennwortrichtlinien ziehen im AD nur auf DOMÄNENEBENE.

Komisch, was habe ich denn dann letzte Woche getan? *grübel* Ich hatte in meiner Testdomäne auf meinem DC ebenso das Bedürfnis, die Kennwort-Richtlinien für Admin und AD-Recovery zu ändern (keine Komplexität, kein ändern nach x Tagen, Mindestlänge nur 3 Buchstaben). Ich bin eigentlich sicher, ich habe *nicht* die Domänen-GPO angefasst.

Habe ich mich da so total vertan?

Grüße

Olaf

[grizzly999 11]

Hallo Olaf,

 

auch *grübel*

Es darf einfach nicht an der DomainControllers OU funktioniert haben. Es gaht 100% nur an der Domäne. War da das GPO vielleicht auch noch mal hin verlinkt?

 

Gruß

 

grizzly999

[edv-olaf 10]

@grizzly

nö, nix verlinkt, nagelneue Testdom mit 2 DCs. (Bis auf AD und DNS jungfräulich). Ich bilde mir ein, am 2. DC die GPO der OU für DomainController entsprechend geändert zu haben, sonst nix anderes, und es funzte. Werde aber am Montag nochmal nachschauen.

[SoerenK 10]

Genau das gleiche Problem hatte ich auch. Setz mal beim Erstellen den Haken auf Kennwort läuft nicht ab. Dann ist das Problem gelöst.