Kennwortrichtlinien bei w2k Server

[tschoschua 10]

guten tag allerseits.

 

ich kämpfe mit einem, für mich zumindest, seltsamen problem.

 

Folgendes ist in Betrieb:

w2k server SP4 alle hotfixes usw; ==> DC/AD, DNS, DHCP

 

5 w2k clients ==> sp4 & all hotfixes; 20 wxp pro clients ==> sp2 & all hotfixes

 

Ich hab die ganze anlage zur betreuung übernommen und empfiehl dem kunden einen kennwortwexel - ihr kennt das ja, jeder weiss das pw seines nachbarn.

 

wir haben nicht grosse anforderungen und würden einfach gerne an einem abend, alle pw's auf ein standard pw zurücksetzen und am morgen müssen alle mitarbeiter das pw ändern ==> und das mit mindestens 6 zweichen. das soll sich jedes weiter halbe jahr wiederholen.

 

als ich google nach eventuellen lösungen fragte meinte der, ich muss die richtlinie so wie in abbildung 1 auf die domäne setzen.

 

der client übernimmt das auch bei xp wie abbildung 2 zeigt.

 

bei w2k weiss ich nicht wie ich das überprüfgen kann.

 

jedoch, wenn ich das testweise zurücksetze der user kann "kein" kennwort oder "abc" wählen.

 

WAS MACH ICH FALSCH?

 

 

Abbildung1

http://www.xlan.ch/bernie/r.jpg'>http://www.xlan.ch/bernie/r.jpg

 

Abbildung2

http://www.xlan.ch/bernie/r.jpg

 

 

Vielen Dank für eure unterstützung.

 

Grüsse Bernie

[weg5st0 10]

Das ist die Kennwortkomplexität, die aktiviert sein muss.

Und: Kennwortrichtlinien werden in der Default-Domain-Policy festgelegt.

[IThome 10]

Eigentlich sollte es reichen, dass die Kennwortlänge , das minimale und maximale Kennwortalter bestimmt wird. Wenn Du möchtest, dass das Kennwort auch komplex ist, dann eben auch noch die Kennwortkomplexität. Wie Weg5st0 schon geschrieben hat, MUSS das auf Domänenebene passieren, die Gruppenrichtlinienvererbung darf in der Domain Controllers OU nicht deaktiviert sein. Weiterhin beeinflusst diese Richtlinie dann auch die Kennwörter der lokalen Konten auf den Workstations, da die Computerkonten sich ebenfalls im Wirkungsbereich der Richtlinie befinden. Dann noch ein GPUPDATE zur Sicherheit auf dem DC und die Richtlinie sollte aktiv sein ...

[tschoschua 10]

ja eben dass ist ja soweit konfiguriert.. wieso funzt es net?

 

Wie Abbildung 2 zeigt, sollte der client die richtline ja so erhalten haben..

 

 

wiesowiesowieso...

[IThome 10]

Wenn Du also in Active Directory Benutzer und Computer ein Kennwort eines Benutzers zurücksetzt, kannst Du trotz Angabe der Passwortlänge in der Kennwortrichtlinie der Domäne ein kurzes oder kein Kennwort setzen ? Was genau hast Du konfiguriert ? Führe mal RSOP.MSC auf dem DC aus ...

[weg5st0 10]

Das ist die Kennwortkomplexität, die aktiviert sein muss.

Und: Kennwortrichtlinien werden in der Default-Domain-Policy festgelegt.

 

In deinen Abbildungen sieht das anders aus.

Richtlinienvererbung?

 

Was sagt rsop.msc auf dem DC?

[tschoschua 10]

meiner meinung nach muss ich die komplexität nicht aktivieren solange ich als einzige voraussetzung 6 zeichen will..

 

habs auch shon in der Defail-Domain-Policy eingestellt, funzt auch net..

 

der client sollte sich doch an die richtlinie halten, wenn er es in der rsop.msc anzeigt?!

 

rsop.msc funzt net bei w2kserver und w2k pro auch nicht..

 

danke für die hilfe!

[IThome 10]

Ach ja, sorry, GPRESULT brauchst Du ...

[tschoschua 10]

sagt mir selber nicht sehr viel..

 

nur das die richtlinien übernommen werden.. =)

 

C:\Dokumente und Einstellungen\Administrator>gpresult

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Dienstag, 22. August 2006 at 13:49:02

 

 

Operating System Information:

 

Operating System Type: Domain Controller

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Remote Administration

 

###############################################################

 

User Group Policy results for:

 

CN=Administrator,CN=Users,DC=hanspaul,DC=local

 

Domain Name: hanspaul

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\Administrator

 

The user is a member of the following security groups:

 

hanspaul\Domõnen-Benutzer

\Jeder

VORDEFINIERT\Administratoren

VORDEFINIERT\Benutzer

VORDEFINIERT\Prõ-Windows 2000 kompatibler Zugriff

NT-AUTORIT─T\INTERAKTIV

NT-AUTORIT─T\Authentifizierte Benutzer

\LOKAL

hanspaul\Richtlinien-Ersteller-Besitzer

hanspaul\Domõnen-Admins

hanspaul\Schema-Admins

hanspaul\Organisations-Admins

 

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 22. August 2006 at 13:30:12

Group Policy was applied from: peter.hanspaul.local

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

 

 

===============================================================

The user received "Skripts" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

hanspaul

 

 

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

hanspaul

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=peter,OU=Domain Controllers,DC=hanspaul,DC=local

 

Domain Name: hanspaul

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Prõ-Windows 2000 kompatibler Zugriff

VORDEFINIERT\Benutzer

NT-AUTORIT─T\NETZWERK

NT-AUTORIT─T\Authentifizierte Benutzer

hanspaul\peter$

hanspaul\Domõnencontroller

NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 22. August 2006 at 13:45:10

Group Policy was applied from: peter.hanspaul.local

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Controllers Policy

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

hanspaul

Kennwortrichtlinie

Default Domain Controllers Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

[tschoschua 10]

Wenn Du also in Active Directory Benutzer und Computer ein Kennwort eines Benutzers zurücksetzt, kannst Du trotz Angabe der Passwortlänge in der Kennwortrichtlinie der Domäne ein kurzes oder kein Kennwort setzen ? Was genau hast Du konfiguriert ? Führe mal RSOP.MSC auf dem DC aus ...

 

jawoll..

 

wie auch beim client, da kann ich das kennwort auch beliebig ändern (1234 oder so)

 

dankeeeee

[IThome 10]

Wo ist das GPO "Kennwortrichtlinie" gelinkt ? Irgendwie vermisse ich Einstellungen aus der Default Domain Policy ?!

[tschoschua 10]

siehe abbildung 1

[IThome 10]

Sie steht auch oberhalb der Default Domain Policy ? Wieso ist da eigentlich die Richtlinienvererbung deaktiviert ? Ist sonst noch irgendwo die Richtlinienvererbung deaktiviert ?

[tschoschua 10]

ja also die GPO von der Domäne (abbildung 1) zuoberst wurde von dem vorgänger umgenannt aug "hanspaulgruli".. ich hab nun "kennwortlichtline" hinzugefügt und "nach oben" gesetzt..

[IThome 10]

Nochmal, warum ist die Richtlinienvererbung deaktiviert ? Ist die Vererbung noch woanders deaktiviert (Default Domain Controllers OU) ? Sind GPOs mit "Kein Vorrang" konfiguriert ?

Ich habe noch nie die Default Domain Policy oder die Default Domain Controllers Policy umbenannt, was das wohl soll ?

Mit RECREATEDEFPOL kannst Du die Standard-Richtlinien wiederherstellen (hast Du auch einen Exchange Server?).

Event ID 1000 is logged on Windows 2000 domain controllers