stinker 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Hallo zusammen, ich habe folgendes Problem: Ich setze auf einem W2k-DC eine Gruppenrichtlinie auf oberster Ebene ein. Diese besagt, dass die User alle 90 Tage ihr Kennwort ändern müssen. Aber immer wieder rufen einige User an, die sich beschweren, weil sie alle 30 Tage ihr Kennwort ändern müssen, anstatt alle 90 Tage. Es gibt ausser der obersten GPO keine weiteren GPOs, ich habe auch schon alle OUs danach durchsucht. Woran kann das liegen? Ich glaube nicht, dass mich die User anlügen, aber theoretisch kann dass doch gar nicht sein, oder?? Ich bitte um Hilfe.. :( Zitieren
lefg 276 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Hallo, mir fällt da nur die Sicherheitsrichtlinie für Domänen ein. Gruß Edgar Zitieren
cyrus the virus 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 hi, mit oberster Ebene meinst Du die Default domain policy oder? Da würde ich die PW policy einstellen. Denn es kann immer nur eine PW policy für eine Domäneangewandt werden. gruß Cyrus Zitieren
stinker 10 Geschrieben 2. März 2005 Autor Melden Geschrieben 2. März 2005 Ja richtig, ich meine die Default Domain Policy, dort ist das ja auch eingestellt, dass die User alle 90 Tage das Kennwort wechseln sollen. Ich habe schon gedacht, die GPO wird von einer darunterliegenden überschrieben, aber es gibt sonst nirgendwo GPOs, das ist ja das komische... Zitieren
motzel 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Hallo, also mir fällt da die Regel der stärksten Restriktion ein, d.h. wenn direkt auf den Clients eingestellt ist, dass das Passwort alle 30 Tage geändert werden muss, und die Domänen-Default-Policy auf 90 Tage steht, dann würde dies das Verhalten erklären. Viele Grüsse motzel Zitieren
stinker 10 Geschrieben 2. März 2005 Autor Melden Geschrieben 2. März 2005 Das mit den lokalen Richtlinien auf den Clients werden wir mal prüfen, ist ne Idee, ich wüsste nur nicht, wer die da eingestellt haben sollte...aber danke schon mal an euch!! Wenn jemandem noch was einfällt: immer her damit!! :-) Zitieren
thorgood 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Da stimmt so nicht. Die lokalen Einstellungen werden von anderen Einstellungen in der Domänen Richtlinie überstimmt. Alles was die Domänen Richtlinie einstellt wird auch übernommen. Das kann durch lokale Sicherheitsrichtlinien nicht geändert werden. Nur das, was in einer Domänen Richtlinie nicht konfiguriert ist kann lokal verändert werden. thorgood Zitieren
stinker 10 Geschrieben 2. März 2005 Autor Melden Geschrieben 2. März 2005 Oh, danke dir für den Hinweis, das wusste ich gar nicht! Ich dachte, alle lokalen eingestellten Richtlinien überschreiben die Domänenrichtlinien. Aber dann kann es daran ja auch nicht liegen...vielleicht einfach nur ein Windows-Bug... Wir haben es immer noch nicht herausgefunden, woran es liegt. Zitieren
Hr_Rossi 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Hallo Noch ein Tipp am Rande ! Es ist möglich bei diversen GPO´s das diese 2xmal vorkommen einaml als Benutzer GPO und einmal als Computer GPO´s Das lästige ist wenn man eine Benutzer GPO´s setzt und es die gleiche Einstellung als Computer gibt gilt die Computer GPO ! hoffe das war verständlich ! mfg rossi Zitieren
lefg 276 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Hallo, betrifft das Problem eigentlich immer die gleichen Benutzer oder immer die gleichen Computer? Oder immer die gleichen Benutzer an immer den gleichen Computern? Könnte das Problem durch nichtfunktionierende Namensauflösung für bestimmte Computer begründet sein. Falls die Auflösung nicht funktioniert, zieht auch die DDP nicht. Wirksam wird doch dann die lokale Einstellung. Oder nicht? Gruß Edgar Zitieren
thorgood 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Die Kennwortrichtlinie nimmt dabei aber eine Sonderstellung ein. Diese kann nur einmal für die Domäne eingrichtet werden und lässt sich durch keine weiter Policy aushebeln. @stinker Du könntest an einigen Client auf der Konsole mit net accounts und net user username /domain überprüfen wie die aktuellen Einstellungen für den Client/User sind. thorgood Zitieren
stinker 10 Geschrieben 2. März 2005 Autor Melden Geschrieben 2. März 2005 Es ist möglich bei diversen GPO´s das diese 2xmal vorkommen einaml als Benutzer GPO und einmal als Computer GPO´ Ich habe mal nachgesehen, die Richtlinien für die Kennwörter können nur bei den Benutzerrichtlinien eingestellt werden, nicht bei den Computerrichtlinien. Das ist es also leider auch nicht. betrifft das Problem eigentlich immer die gleichen Benutzer oder immer die gleichen Computer? Oder immer die gleichen Benutzer an immer den gleichen Computern? Könnte das Problem durch nichtfunktionierende Namensauflösung für bestimmte Computer begründet sein. Falls die Auflösung nicht funktioniert, zieht auch die DDP nicht. Wirksam wird doch dann die lokale Einstellung. Die Namensauflösung funktioniert. Die User kommen von ausserhalb (ausserhalb unseres Standortes) mit Terminaldiensten auf unsere Server. Die betroffenen User wählen sich immer mit dem gleichen Usernamen vom gleichen Computer aus auf unsere Server ein. Zitieren
stinker 10 Geschrieben 2. März 2005 Autor Melden Geschrieben 2. März 2005 net accounts und net user username /domain thorgood Danke, ich habe die beiden Befehle ausprobiert. Das Ergebnis, das mir angezeigt wird, ist, dass der User alle 90 Tage das Kennwort wechseln muss. Aber der User behauptet, er müsse alle 30 Tage wechseln. Ist doch verrückt! Zitieren
lefg 276 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Könnte das Problem am User selbst liegen? Zitieren
motzel 10 Geschrieben 2. März 2005 Melden Geschrieben 2. März 2005 Servus, ich würde trotz allem mal eine lokale Sicherheitsrichtlinie überprüfen, ob da nicht doch die 30 Tage drinstehen ;-) Könnte ja nix schaden oder ? MfG motzel Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.