W2k3 - Änderung an Benutzereinstellung wird nach kurzer Zeit zurückgesetzt?

[mg_it 10]

Hi!

 

Folgendes Problem:

Ich hab hier 2 Windows Server 2003 Domain Controller (SP1)

Domain functional Level: Windows Server 2003

 

Wenn ich nun an einem Benutzerobjekt die Account option "Cannot change password" auf DC1 aktiviere, wird diese auch problemlos auf DC2 repliziert, doch nach ca. 1h oder etwas mehr ist diese Einstellung wieder auf beiden DC's verschwunden.

 

Gleiches passiert wenn ich die Änderung zuerst auf DC2 vornehme. (wird auf DC1 repliziert, nach ca. 1h verschwindet die Eistellung wieder)

 

Mit replmon sind mir keine Fehler aufgefallen. (es wird ja auch korrekt repliziert)

 

Woran kann das liegen?

 

Pfuscht mir da eine Sicherheitsrichtlinie dazwischen?

 

MfG

[CoolAce 17]

Hy,

 

würd mal mit dem Gruppenrichtlinen Tool von MS auf Domänenebene bzw auf dem Container wo die DCs drin sind, schauen was da so gesetzt ist.

 

Gruß

 

CoolAce

[mg_it 10]

Es ist nur die "Default Domain Controllers Policy" gesetzt und da drinn ist mir nichts aufgefallen, was mein Problem verursachen könnte.

 

Gibts andere Ansätze?

 

wenn eine Sicherheitsrichtlinie das Problem wäre dürfte die Änderung ja auch nicht auf den anderen DC repliziert werden, oder ?

[mg_it 10]

Dürfte doch an einer Sicherheitsrichtlinie liegen!

 

Aber wie finde ich jetzt heraus welche Sicherheitsrichtlinie meine Benutzereinstellung "Cannot change password" zurücksetzt.

 

Ich weiss, dass die Einstellung "User must change Password at next logon" die Einstellung "Cannot change password" ausschließt, diese ist aber eh nicht aktiviert.

 

Hat jemand einen Hinweis, welche Richtlinie, dass Setzen der Einstellun "Cannot change password" verhindert bzw. zurücksetzt?

[IThome 10]

Benutzt Du diese Option in Verbindung mit "Kennwort läuft nie ab" ?

[mg_it 10]

korrekt, verwende auch die Einstellung "Kennwort läuft nie ab"

 

seit wann stehen sich diese beiden Einstellunegn im Weg?

 

ich probiers mal aus und nehme die Einstellung "Kennwort läuft nic ab" heraus

[IThome 10]

Nene, so war das nicht gemeint, diese Einstellung ist korrekt so ...

[mg_it 10]

achso *gg*

 

sonst noch eine idee?

[mg_it 10]

Hab jetzt mal alle Kontenrichtlinien aus der "Default Domain Policy" und der "Default Domain Controller Policy" herausgenommen, außer

*) Password Policy - Password must meet complexity requirements: disabled

und die Kerberos Richtlinien sind auch konfiguriert

 

hab mit Replmon noch mal die Replikation beobachtet

wenn ich bei einem Benutzeraccount die Option:

"User cannot change Password" aktiviere wird diese auf den anderen Server richtig repliziert

 

jedoch wird stüdnlich (immer 9 Minuten nach der vollen Stunde) diese Option wieder zurückgesetzt (wird vom Replmon als normale Replikation erfasst)

 

wie kann ich das Problem am besten aufspüren?

hat noch jemand einen Tipp für mich?

[Tomy Tom 10]

Ist vielleicht noch eine Policy aktiv, welche diese Einstellung wieder zurück nimmt ?

[nobex 10]

Hast Du mal mit rsop.msc die Richtlinienergebnisse geprüft?

[mg_it 10]

mit rsop.msc hab ichs auch schon probiert, es sind unter

 

Computer Configuration -> Security Settings -> Account Policies -> Password Policy

 

alle Richtlinien auf "not defined" gesetzt

 

ich hab jetzt etwas herum experimentiert:

wenn ich einen neuen Benutzer anlege und dieser nur in der Gruppe "DomainUsers" ist

bleibt die Einstellung "User cannot change password" bestehen

sobald ich jedoch diesen Benutzer in eine manuell konfigurierte Sicherheitsgruppe aufnehme, wird die Einstellung "User cannot change password" wieder überschrieben

 

kann das daran liegen, dass die Sicherheitsgruppen von einer NT4-Domäne migriert wurden???

 

muss mal ausprobieren, ob dieses Problem auch auftritt wenn ich eine neue Sicherheitsgruppe erstelle und einen Benutzer in diese aufnehme

(leider wird diese Einstellung immer nur stündlich überschrieben :( )

[mg_it 10]

habe 3 Testuser mit folgenden Gruppenzugehörigkeiten erstellt:

 

Gruppenmitgliedschaft von Test1:

DomainUsers

Administratoren

globale Sicherheitsgruppe (von NT4 migriert)

 

Gruppenmitgliedschaft von Test2:

DomainUsers

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

Gruppenmitgliedschaft von Test3:

DomainUsers

globale Sicherheitsgruppe (von NT4 migriert)

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

bei den Benutzern "Test1" und "Test3" wurde die Einstellung "Benutzer kann Kennwort nicht ändern" wieder zurückgesetzt

 

bei Test2 wurde die Einstellung beibehalten

 

liegt also anscheinend an den Sicherheitsgruppen, die noch in der NT4-Domäne erstellt wurden

ist jemandem dieses Problem bekannt?

gibt es eine andere Möglichkeit, als alle Sicherheitsgruppen neu anzulegen?

 

wäre ja ein enormer aufwand, sämtliche Gruppenmitgliedschaften und Berechtigungen neu anzulegen

[mg_it 10]

Hab die Ursache mit Hilfe der microsoft-newsgroup finden können.

 

AdminSDholder

 

http://support.microsoft.com/?scid=kb%3Ben-us%3B817433&x=3&y=9

 

AdminSDholder betrifft nicht nur die ACL's der gschützten Gruppen und Benutzerkonten, sonder eben auch die Benutzereinstellung "Benutzer kann Kennwort nicht ändern"

 

In meinem Fall waren alle Benutzer Mitglied der Druckoperatoren.

 

vielleicht Hilfts wem ;)

 

MfG