none
Password Security mit PSO RRS feed

  • Frage

  • Guten Morgen zusammen,

     

    ich möchte gerne die Password Security auf einem Windows Server 2008 durch eine PSO regeln.

    Zur Einstellung habe ich mir den Technet Artickel vorgenommen und danach jeden User für den diese PSO gelten soll im feld msDS-PSOAppliedto eingetragen

    soweit hat auch alles funktioniert ohne Fehlermeldung.

     

    Nun ist in diesm technet Artickel auch beschrieben wie ich schauen kann ob diese PSO auch angewand wird.

     

    schaue ich mir nun einen user an auf den diese PSO angwand wird bekomme ich folgende Attribute angezeigt

    msDS-PSOApplied:CN=Password_Security,CN=Password Settings Container,CN=System,DC=intern,DC=csat,DC=de

    was für mich den anschein hat das es gehen sollte.

    Nun steht im Technetartickel aber das das Attribut msDS-ResultantPSO wichtig ist und hier der Eintrag nicht 0 sein darf bei mir steht als eintrag <not set>

     

    ist das jetzt gut oder schlecht?

    Wenn schlecht wie bekomme ich es hin das diese PSO angewant wird?

    Default Domain Police ist deaktiviert

     

    Gruß

     

    Alex

     

     

    Donnerstag, 24. Juni 2010 06:56

Antworten

Alle Antworten

  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    ich möchte gerne die Password Security auf einem Windows Server 2008 durch eine PSO regeln.

    OK.

    Zur Einstellung habe ich mir den Technet Artickel vorgenommen und danach jeden User für den diese PSO gelten soll im feld msDS-PSOAppliedto eingetragen

    Wäre es nicht viel einfacher für alle, wenn du im PSO einfach eine Gruppe
    einträgst die du PAsswortrichtlinie1 nennst und dort alle User reinwirfst?
    ;)

    ist das jetzt gut oder schlecht?

    Warum testest du es denn nicht einfach? Melde dich als ein entsprechender
    User an und vergib ein Kennwort, welches nicht der Richtlinie entspricht
    wird.

    Default Domain Police ist deaktiviert

    Komplett, oder nur keine Passwortrichtlinien definiert?

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Donnerstag, 24. Juni 2010 08:09
    Moderator
  • Sicherlich wäre dies Einfacher eine gruppe zu erstellen kann ich noch vornehmen.

    Es geht mir in Erster linie nicht um die Komlexität der Passwörter sonder um die Lifetime der Passwörter+ die Speicherung der Alten Passwörter.

    Danke für den tip bin ich echt nicht drauf gekommen mit dem ändern aber sos ehe ich halt nicht ob die Lifetime der Passwörter richtig eingestellt ist!

     

    Die default Police habe ich komplett deaktiviert!

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 08:17
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    Die default Police habe ich komplett deaktiviert!

    Warum?

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 24. Juni 2010 08:37
    Moderator
  • da ich sie bei keiner OU einsetze bin ich davon ausgegangen das ich sie deaktivieren kann!

    Lag ich da falsch?

     

    Habe das jetzt mal getestet mit dem Password ändern und die einstellungen der PSO werden nicht berücksichtig!

     

    gruß

     

    Alex

    Donnerstag, 24. Juni 2010 09:42
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    da ich sie bei keiner OU einsetze bin ich davon ausgegangen das ich sie deaktivieren kann!

    Ähm, rate mal, warum das Ding GANZ oben in der Domäne hängt. Weil es quasi
    Einfluß auf ALLE OU/USER/COMPUTER hat. ;)

    Lag ich da falsch?

    Ja.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.

    Donnerstag, 24. Juni 2010 09:48
    Moderator
  • Hi

     

    Direkt wieder Aktiviert.

     

    Habe das jetzt mal getestet mit dem Password ändern und die einstellungen der PSO werden nicht berücksichtig!

     

    kann ich dies den auch über die GPO's steuern?

    Wenn ja muss ich da etwas beachten?

     

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 09:54
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    Direkt wieder Aktiviert.

    OK.

    Habe das jetzt mal getestet mit dem Password ändern und die einstellungen der PSO werden nicht berücksichtig!

    Dann paßt jetzt noch was nicht mit deinem PSO.

    kann ich dies den auch über die GPO's steuern?

    Was genau ist dies? ;)

    Wenn ja muss ich da etwas beachten?

    Wo da?

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 24. Juni 2010 10:17
    Moderator
  • Hi Norbert,

     

    ob ich die Passwortrichtlinien auch über eine GPO Steuern kann!

     

    Wenn ja was muss ich beachten?

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 10:38
  • Am 24.06.2010 schrieb Alexander W.:

    Hi,

    ob ich die Passwortrichtlinien auch über eine GPO Steuern kann!

    Ja!EINSELF Aber nur eine für alle, deswegen gibt es ja die PSOs.

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Donnerstag, 24. Juni 2010 10:41
    Moderator
  • Hi

     

    eine für alle würde mir am Anfang reichen!

    Gibt es da wichtige punkte zu beachten?

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 10:48
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    eine für alle würde mir am Anfang reichen!

    Warum fummelst du dann mit PSOs rum? ;)

    Gibt es da wichtige punkte zu beachten?

    Ja.
    http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Donnerstag, 24. Juni 2010 10:55
    Moderator
  • Hi

    ich fummel daran rum da ich es gleich richtig machen wollte :)

    aber dan versuch ich es doch direkt über die GPO.

    Muss ich bei den OU die reihenfolge der GPO's beachten sprich das ich die password gpo an erste stelle schiebe oder ist das nicht wichtig?

    Kann mich dunkel daran errinern da etwas gelesen zu haben!

     

    Noch eine Frage:

    Kann ich für die Passwort einstellungen eine eigene GPO benutzen oder sollte ich dafür die default police nutzen?

    Wenn ich die Default plice nutze muss ich diese dann auch wie eine selbsterstellte GPO zu der OU Linken?

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 10:59
  • Moin,

    ich muss schon sagen ... ein beeindruckender Thread. ;-)

    Wenn ich dir zwei Tipps geben darf, die das Leben mit PSOs deutlich erleichtern:

    http://www.faq-o-matic.net/2010/01/26/abgestufte-kennwortrichtlinien-endlich-komfortabel/

    http://www.faq-o-matic.net/2010/05/26/jos-version-3-0-ist-da/

    Und zum Thema Kennwortrichtlinie und der besonderen Bedeutung der Default Domain Policy:

    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 24. Juni 2010 11:16
  • Hi Nils .

     

    Vielen dank für die Links jetzt ist mir doch einiges klarer.

    Auch dir Norbert vielen vielen dank.

     

    Ich werde das im laufe des Tages testen und dann feedback geben!

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 11:48
  • Hi

     

    So ich habe es jetzt gestet.

     

    Die PSO ahbe ich entfernt bevor es zu komplikationen mit der default police kommt.

     

    Nachdem ich dei Default Police einegstellt habe habe ich sie mit Jose ausgelesen mit folgendem ergebnis

    Forest-Betriebsmodus    Windows Server 2003 pur (DCs: 2003)
    Domänen-Betriebsmodus    Windows Server 2003 (pur)
    Schema-Version    44 (Windows Server 2008)
    NetBIOS-Domänenname    INTERN
    Domänen-SID    S-1-5-21-3665214571-4116670929-1874615848
    Tombstone Lifetime    180 Tage
    Deleted Objects Lifetime    (nicht definiert)
    AD-Papierkorb    nicht aktiviert
    Kontensperrdauer    30 Minuten
    Kontensperrung nach    10 falschen Kennwörtern
    Sperrungszähler gelöscht nach    30 Minuten
    Minimale Kennwortlänge    6 Zeichen
    Maximales Kennwortalter    360 Tage
    Minimales Kennwortalter    1 Tage
    Kennwortchronik    1 alte Kennwörter
    Kennwort-Eigenschaften    keine Vorgaben

    Dies hat mich zufrieden gestimmt da es die Einstellungen sidn die ich für die Password Police vorgesehen habe zum testen.

     

    Danach habe ich ein gpupdate /force und gpupdate /sync gemacht

    Beide sind ohne Probleme durchgelaufen.

    Danach habe ich meinen testrechner mit gpupdate /force geupdatet und mich neu eingelogt.

    Doch die defaultpolice wird nicht angewand.

    Im Eventlog habe ich folgenden eintrag gefunden

     

    The following Group Policy objects were not applicable because they were filtered out :

    Local Group Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO)
    Default Domain Policy
        Disabled (GPO)
    WSUS
        Disabled (GPO)

    Jetzt weis ich einfach nicht mehr weiter was ich machen soll.

    Was mich etwas stutzig stimmt ist das die einstellungen in der default Police ja in der COmputerkonfig vorgenommen werden und somit nicht auf mich den user angewand werden.

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 15:26
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    Forest-Betriebsmodus    Windows Server 2003 pur (DCs: 2003)
    Domänen-Betriebsmodus    Windows Server 2003 (pur)
    Schema-Version    44 (Windows Server 2008)
    NetBIOS-Domänenname    INTERN
    Domänen-SID    S-1-5-21-3665214571-4116670929-1874615848
    Tombstone Lifetime    180 Tage
    Deleted Objects Lifetime    (nicht definiert)
    AD-Papierkorb    nicht aktiviert
    Kontensperrdauer    30 Minuten
    Kontensperrung nach    10 falschen Kennwörtern
    Sperrungszähler gelöscht nach    30 Minuten
    Minimale Kennwortlänge    6 Zeichen
    Maximales Kennwortalter    360 Tage
    Minimales Kennwortalter    1 Tage
    Kennwortchronik    1 alte Kennwörter
    Kennwort-Eigenschaften    keine Vorgaben


    Dies hat mich zufrieden gestimmt da es die Einstellungen sidn die ich für die Password Police vorgesehen habe zum testen.

    Ich hoffe wirklich nur zum Testen, denn 6 Zeichen und keine
    Kennwortkomplexität sind schon leicht fahrlässig. ;) (6 Zeichen so oder so)

    Danach habe ich ein gpupdate /force und gpupdate /sync gemacht

    Wozu?

    Beide sind ohne Probleme durchgelaufen.

    Warum auch nicht?

    Danach habe ich meinen testrechner mit gpupdate /force geupdatet und mich neu eingelogt.

    Wozu machst du denn ständig ein gpupdate /force? Mal davon abgesehen, dass
    ein Neustart wahrscheinlich gereicht hätte, ist ein /force in einer korrekt
    konfigurierten Umgebung in 99% der Fälle überflüssig und wird normalerweise
    irrtümlicherweise verwendet, weil es so martialisch klingt.

    Doch die defaultpolice wird nicht angewand.

    Im Eventlog habe ich folgenden eintrag gefunden

    The following Group Policy objects were not applicable because they were filtered out :

    Local Group Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO)
    Default Domain Policy
        Disabled (GPO)
    WSUS
        Disabled (GPO)


    Jetzt weis ich einfach nicht mehr weiter was ich machen soll.

    Wie wärs denn mit AKTIVIEREN der DEfault Domain Policy? ;)

    Was mich etwas stutzig stimmt ist das die einstellungen in der default Police ja in der COmputerkonfig vorgenommen werden und somit nicht auf mich den user angewand werden.

    Vielleicht liest du ja die dir angebotenen Links einfach nochmal genauer.

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Donnerstag, 24. Juni 2010 15:43
    Moderator
  • Hi

     

    habe mir den Link durchgelesen udn da steht ja drin das man es expleziet darin machen soll das hatte ich verstanden aber es hat mich stutzig gemacht das es dan doch nich geklappt hat.

     

    Zwecks dem Sync das habe ich von einem Microsoft zertifiziertem Menschen gesagt bekommen das man das so machen müsste!

     

    Stimmt das nicht?

    Reicht bei änderungen ein gpupdate?

     

    so jetzt ahbe ich die default police auf komplet enable gestellt und nicht wie vorher nur die computerkonfiguration.

    ich teste nun mal

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 15:50
  • Moin,

    nicht jeder, der ein Microsoft-Zertifikat hat, erzählt nur zutreffende Dinge. Und nicht jedes zutreffende Ding trifft auf jede Situation zu.

    Mir scheint, du möchtest dich einmal in Ruhe mit Gruppenrichtlinien befassen. Dafür ist es sinnvoll, wenn du dir Zeit und ein paar brauchbare Quellen nimmst. Die Seite www.gruppenrichtlinien.de ist sehr geeignet. Wenn es ein Buch sein darf, empfehle ich das von Microsoft Press (von Marco Schneimann und Martin Fahr, übrigens zufälligerweise Exkollegen von mir. ;-)).

    Gruß, Nils

     PS. Es geht übrigens um Policy, nicht um Police. ;-)


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 24. Juni 2010 15:55
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    habe mir den Link durchgelesen udn da steht ja drin das man es expleziet darin machen soll das hatte ich verstanden aber es hat mich stutzig gemacht das es dan doch nich geklappt hat.

    Welchen Link hast du dir durchgelesen?

    Zwecks dem Sync das habe ich von einem Microsoft zertifiziertem Menschen gesagt bekommen das man das so machen müsste!

    Aha, was die Microsoft zertifizierten Menschen so alles erzählen wenn der
    Tag lang ist. ;)

    /Sync                      Verursacht, dass die nächste Richtlinienanwendung im Vordergrund synchron ausgeführt wird. Richtlinien-anwendungen im Vordergrund treten beim Systemstart und bei der Benutzeranmeldung auf. Sie können dies nur für Benutzer bzw. Computer oder für beide mit dem Parameter /Target festlegen. Die Parameter /Force und /Wait werden gegebenenfalls ignoriert.

    Stimmt das nicht?

    Kommt drauf an.

    Reicht bei änderungen ein gpupdate?

    Ja, wenn alles korrekt konfiguriert ist schon.

    so jetzt ahbe ich die default police auf komplet enable gestellt und nicht wie vorher nur die computerkonfiguration.

    ich teste nun mal

    Tu das.

    Bye
    Norbert

    PS: Falls das hier einer der Mods liest, gehört dieser Thread eher zu
    Gruppenrichtlinien bzw. AD als zu Server. Verschieben wäre also nett.


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 24. Juni 2010 15:55
    Moderator
  • So wieder da

     

    Also es geht immer noch nicht bekomme wieder die Meldung das ich die default police nicht anwenden konnte da sie gefiltert wurde.

    The following Group Policy objects were not applicable because they were filtered out :

    Local Group Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO)
    Default Domain Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO

    Habe extra noch mal geschaut die Default Domain Policy war enabled.

    Was mir jetzt noch auf/eingefallen ist, ist das die Default Domain Controllers Policy Disablet war und ich am Montag schon mal eine extra GPO angelegt hatte für die Password security. Da es nicht geklappt hat habe ich die verlinken wieder endfernt und die GPO gelöscht.

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 16:04
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    default police nicht anwenden konnte da sie gefiltert wurde.

    Mußt du mal bei Sting anfragen, was der dazu sagt. ;)

    The following Group Policy objects were not applicable because they were filtered out :

    Local Group Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO)
    Default Domain Policy
        Not Applied (Empty)
    WSUS
        Disabled (GPO

    Habe extra noch mal geschaut die Default Domain Policy war enabled.

    OK. Und da ist auch die Passwort Richtlinie drin konfiguriert?

    Was mir jetzt noch auf/eingefallen ist, ist das die Default Domain Controllers Policy Disablet war

    war oder ist?

    und ich am Montag schon mal eine extra GPO angelegt hatte für die Password security.

    Auf der OU Domain Controllers? Da wäre es eh falsch. Konfiguriere den
    STandard wieder wie er war.

    Da es nicht geklappt hat habe ich die verlinken wieder endfernt und die GPO gelöscht.

    Welche? Die Default Domain Controllers Polic*y*?

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Donnerstag, 24. Juni 2010 16:07
    Moderator
  • Hi

    Also die Password Richtlinie ist in der Default policy konfiguriert.

    Die Default Domain Controllers Policy habe ich eben wieder enablet

    Die GPO die ich etxtra für die Passwort Richtlienie angelegt habe habe ich nicht für die OU Domain Controllers verlinkt

    Die GPO die ich gelöscht habe war die von mir angelegt nicht die default policy.

     

    gruß

     

    Alex

    Donnerstag, 24. Juni 2010 16:12
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    Also die Password Richtlinie ist in der Default policy konfiguriert.

    OK.

    Die Default Domain Controllers Policy habe ich eben wieder enablet

    OK, übernimmt der/die DC/s sie auch?

    Die GPO die ich etxtra für die Passwort Richtlienie angelegt habe habe ich nicht für die OU Domain Controllers verlinkt

    OK.

    Die GPO die ich gelöscht habe war die von mir angelegt nicht die default policy.

    OK.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.

    Donnerstag, 24. Juni 2010 16:19
    Moderator
  • Ob er sie übernimmt habe ich noch nicht getestet

    reicht hierfür ein gpupdate oder soll ich das schwerer geschütz mit gpupdate /force /boot auffahren?

     

    ein Frage habe ich noch was mit jetzt aufgefallen ist ist das die Defaultpolicy mit meiner Domaine verknüpft ist aber nicht mit der OU Domain Controllers.

     

    Ist das so in Ortnung?

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 16:26
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    Ob er sie übernimmt habe ich noch nicht getestet

    Sollte eigentlich im Eventlog stehen.

    reicht hierfür ein gpupdate oder soll ich das schwerer geschütz mit gpupdate /force /boot auffahren?

    Du kannst ihn auch booten wenn du willst, da einige Policies der GPOs erst
    bei einem Boot wirken.

    ein Frage habe ich noch was mit jetzt aufgefallen ist ist das die Defaultpolicy mit meiner Domaine verknüpft ist aber nicht mit der OU Domain Controllers.

    Ja, denn die Default Domain Policy gilt für die Domain (wie der Name schon
    sagt) und die Default Domain Controllers Policy wirkt für ....?

    Ist das so in Ortnung?

    Ja, das ist in Ordnung.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Donnerstag, 24. Juni 2010 16:28
    Moderator
  • für die Controller :)

     

    gruß

     

    Alex

    Donnerstag, 24. Juni 2010 16:29
  • Hi,

    Am 24.06.2010 18:04, schrieb Alexander W.:

    Default Domain Policy
         Not Applied (Empty)

    Die DDP enthält nur Computerkonfigurationen, deswegen wird sie
    für ein Benutzerobjekt immer als Not applied "Empty" angezeigt.

    Du musst also das gpresult/rsop für den Computer betrachten, nicht
    für den Benutzer.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Donnerstag, 24. Juni 2010 16:42
  • Am 24.06.2010 schrieb Norbert Fehlauer [MVP]:

    PS: Falls das hier einer der Mods liest, gehört dieser Thread eher zu
    Gruppenrichtlinien bzw. AD als zu Server. Verschieben wäre also nett.

    Du bist doch auch Mod, kannst Du den Thread nicht verschieben? ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 24. Juni 2010 16:44
  • Am 24.06.2010 schrieb Winfried Sonntag [MVP]:
    Hi Winfried,

    PS: Falls das hier einer der Mods liest, gehört dieser Thread eher zu
    Gruppenrichtlinien bzw. AD als zu Server. Verschieben wäre also nett.

    Du bist doch auch Mod, kannst Du den Thread nicht verschieben? ;)

    Ja, aber nicht hier ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Donnerstag, 24. Juni 2010 16:52
    Moderator
  • Hi

     

    Also ich habe das RSOP ausgeführt auf dem AD und habe mir die Daten für meinen Account anzeigen lassen.

    Im Reiter summary finde ich bei Computer Configuration Summary unter dem Punkt Applied GPOs die Default Domain Policy.

     

    Sollte doch eigendlich dafür sprechen das Sie auf mich angewand wird und Funktionieren sollte oder?

     

    So Nun auch auf meinem PC nachgeschaut und Unter COmputer Configuration finde ich die Password Policy und die hat genau die richtigen einstellungen.

     

     

    Gruß

     

    Alex

    Donnerstag, 24. Juni 2010 17:04
  • Hi,

    Am 24.06.2010 19:04, schrieb Alexander W.:

    Also ich habe das RSOP ausgeführt auf dem AD und habe mir die Daten
    für meinen Account anzeigen lassen.

    deinem Account und deinem PC sind die Kennwortrichtlinien in
    der DefDomPol völlig egal.

    Mal ein paar Grundlagen, die deinen Knoten im Hirn vielleicht lösen.

    1.) So gehts:
    http://www.gruppenrichtlinien.de/Vista/Mehere_Kennwortrichtlinien_PSO_2008.htm

    2.)
    Du kannst mir gpresult/rsop/whatever nicht kontrollieren, ob deine PSO
    funktionieren, denn PSO sind keine GPOs.
    Stell sie dir einfach als erweiterte Regel in der Benutzerdatenbank vor.

    3.)
    Die Kontrolle ob die DDP an deinem PC/User ankommt ist in Hinblick auf
    die Kennwortrichtlinie Wurst.
    Der User selbst ist nur der "Betroffene" aber nicht das Ziel der
    Richtlinie, deine PC verwaltet die Domänen benutzer nicht, sie melden
    sich nur über den PC am AD an. Das Ziel der DDP Kennwortrichtlinie ist
    also letztlich der DomainController. Dein PC nur Werkzeug und dein User
    der Leidtragende.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Donnerstag, 24. Juni 2010 17:15
  • Am 24.06.2010 schrieb Mark Heitbrink [MVP]:

    Hi,

    also letztlich der DomainController. Dein PC nur Werkzeug und dein User
    der Leidtragende.

    Du mußt das doch mal etwas positiver formulieren. ;)

    "Dein PC ist hier die ausführende Kraft und dein User der glückselige
    Empfänger." Klingt doch gleich viel besser. :p

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 24. Juni 2010 17:36
    Moderator
  • Hi

     

    noch mals vielen dank für eure hilfe!

    mir ist als ich daheim war und abstand von allem hatte ein licht aufgegangen das ich morgen Direkt Testen werde!

     

    ich habe in der DDP eingestellt das ich das passwort frühsten wechseln kann wenn es ein tag alt ist und da ich glaube das ich das heute schonmal geändert habe ist es jetzt für mich klar das ich da heute nichts mehr bezwecken konnte!

     

    @ Mark

    das thema PSo hatte ich gegen 16 Uhr erstmal zur seite gelgt und wollte es direkt mit der DDP machen sorry wenn das untergegangen ist!

    Deinen Link werde ich mir trozdem durchlesen.

     

    gruß

     

    Alex

    Donnerstag, 24. Juni 2010 18:51
  • Am 24.06.2010 schrieb Alexander W.:
    Hi,

    mir ist als ich daheim war und abstand von allem hatte ein licht aufgegangen das ich morgen Direkt Testen werde!

    Ja, sowas passiert ab und an. Meist hilft darüber reden, oder einfach mal um
    den Block laufen. :)

    ich habe in der DDP eingestellt das ich das passwort frühsten wechseln kann wenn es ein tag alt ist und da ich glaube das ich das heute schonmal geändert habe ist es jetzt für mich klar das ich da heute nichts mehr bezwecken konnte!

    Naja, dann hättest du auch eine Meldung erhalten. ;) Falls du die nicht
    bekommen hast, war es nicht das Problem. Wenn du eine erhalten hast, warum
    wurde die hier nicht erwähnt?

    Deinen Link werde ich mir trozdem durchlesen.

    Kann nie schaden. :)

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Donnerstag, 24. Juni 2010 18:55
    Moderator
  • Hi

     

    bei allem hin und her ist das untergegangen. Jetzt wo ich ein etwas freien kopf hat ist mir auch das mit der Fehlermeldung wieder eingefallen!

     

    Weil einmal konnte ich das password ändern. Ist einfach bei den vielen testen und umstellen und neustarten untergegangen!

    ich werde morgen früh mal den fehler posten sollte er noch kommen!

     

    gruß

     

    Alex

    Donnerstag, 24. Juni 2010 19:06
  • Guten Morgen,

     

    so habe es jetzt getestet in dem ich das Passwort des Admin accounts geändert habe (wurde eh zeit)

    Änder hat ohne Probleme geklappt.

    Danach wollte ich nochmal direkt Testen ob ich es wieder ändern kann!

    Dabei habe ich die fehlermeldung erhalten das das Passort mindestens 1Tag alt sein muss zum ändern oder es mit den gespeicherten Passwörtern über einstimmt.

     

    Also wird genau das angewand was ich mit der Password Security bezwecken wollte!

     

    Noch mals vielen vielen vielen dank

     

    Gruß

     

    Alexander

    Freitag, 25. Juni 2010 05:52
  • Hi,

    Am 25.06.2010 07:52, schrieb Alexander W.:

    Also wird genau das angewand was ich mit der Password Security bezwecken wollte!

    jubel und eine laOla :-)
    Freut mich.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 25. Juni 2010 08:14
  • Oh, ist angekommen. ;)

    Wer auch immer es war: Danke

     

    Bye

    Norbert

    Montag, 28. Juni 2010 20:18
    Moderator