none
Passwortrichtlinie RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    kleines Problem. Per GPO haben wir eine Passwortrichtlinie mit folgenden Einstellungen:

    Enforce password history: 3 passwords rememberd
    Maximum password age: 90 days
    Minimum Password age: 1 days
    Minimum Password length: 6 characters
    Password must meet complexity requierments: Enabled

    Account lockout duration: 0 Minutes
    Account lockout threshold: 3 invalid logon attempts
    Reset account lockout counter after: 30 Minutes

    Diese GPO ist bei "Computer Configuration" eingetragen und Scope auf "Authenticated Users. Soweit alles normal. Auch wenn ich über RSOP am Client mir die GPO's ansehe, steht da bei Password Policy genau diese Einstellungen.

    Jetzt wird's aber interessant. Wir haben das jetzt über mehrere Wochen beobachtet und diese GPO greift nicht, da der User das Passwort wesentlich früher ändern muss. In der Default Domain Policy stehen 42 Tage drin, aber nach meinem Verständis dürfte diese GPO doch gar nicht greifen!? Also was mache ich hier falsch oder wie bringe ich meine eigene GPO dazu, auf den Clients aktiv zu werden (lt. RSOP ist diese ja eigentlich aktiv)

    EDIT: Was vielleicht auch noch wichtig ist: Dies ist eine verlinkte GPO!

    Vielen Dank
    Lars Breiter

    Mittwoch, 19. Januar 2011 12:34
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 19.01.2011 schrieb LarsB_from_GER:
    Hi,

    EDIT: Was vielleicht auch noch wichtig ist: Dies ist eine verlinkte GPO!

    Viel wichtiger wäre  ja, wo sie verlinkt ist. ;) Funktional für
    Domänennutzer ist das nur, wenn du es auf Domänenebene verlinkst. Siehe
    auch:
    http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

    Bye
    Norbert

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 06:56
    Mittwoch, 19. Januar 2011 13:58
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Am 19.01.2011 schrieb LarsB_from_GER:
    Hi,

    ich wirklich ein Noob ;-). Kurz zu unserer Struktur in unserem Forrest.

    Lauf Forrest, lauf. Oder meintest du Forest? ;)

    Wenn ich den Beitrag (Link) richtig gelesen hab, hat die PW GPO aus abc.intl keine Auswirkung, da ein PW GPO in der entsprechenden Domäne angelegt sein muss!?

    Bingo. Eine Passwortrichtlinie gilt nur innerhalb der Domain in der sie
    angelegt wurde und auch nur, wenn sie auf Domänenebene verlinkt ist.

    Bye
    Norbert

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 06:56
    Mittwoch, 19. Januar 2011 15:40
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 20.01.2011 08:00, schrieb LarsB_from_GER:

    Eine kleine Frage aber noch. Gilt dies NUR für Passwortrichtlinien
    oder sind auch andere GPO's betroffen?

    Die 3 Sonderfälle sind genau deswegen in einem Knoten zusammengefasst:
    Kennwort, Kontosperrung, Kerberos
    können nur auf Domänen Ebene definiert werden und gelten immer für alle
    Konten in der Domäne.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 08:52
    Donnerstag, 20. Januar 2011 08:31
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 19.01.2011 schrieb LarsB_from_GER:
    Hi,

    EDIT: Was vielleicht auch noch wichtig ist: Dies ist eine verlinkte GPO!

    Viel wichtiger wäre  ja, wo sie verlinkt ist. ;) Funktional für
    Domänennutzer ist das nur, wenn du es auf Domänenebene verlinkst. Siehe
    auch:
    http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

    Bye
    Norbert

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 06:56
    Mittwoch, 19. Januar 2011 13:58
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Norbert,

    zuerstmal danke für die Antwort. Und bitte nicht wundern, in Bezug GPO bin ich wirklich ein Noob ;-). Kurz zu unserer Struktur in unserem Forrest.

     

    Als Beispiel:
    wir haben eine Domäne                       abc.intl    (hier ist die GPO angelegt)
    desweiteren mehrere Domänen:    xyz.abc.intl    (Passwort GPO aus abc.intl ist hier verlinkt)
                                                      uvw.abc.intl    (auch verlinkt)

    usw.

    Wenn ich den Beitrag (Link) richtig gelesen hab, hat die PW GPO aus abc.intl keine Auswirkung, da ein PW GPO in der entsprechenden Domäne angelegt sein muss!?

     

    Bye
    Lars

    Mittwoch, 19. Januar 2011 14:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 19.01.2011 schrieb LarsB_from_GER:
    Hi,

    ich wirklich ein Noob ;-). Kurz zu unserer Struktur in unserem Forrest.

    Lauf Forrest, lauf. Oder meintest du Forest? ;)

    Wenn ich den Beitrag (Link) richtig gelesen hab, hat die PW GPO aus abc.intl keine Auswirkung, da ein PW GPO in der entsprechenden Domäne angelegt sein muss!?

    Bingo. Eine Passwortrichtlinie gilt nur innerhalb der Domain in der sie
    angelegt wurde und auch nur, wenn sie auf Domänenebene verlinkt ist.

    Bye
    Norbert

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 06:56
    Mittwoch, 19. Januar 2011 15:40
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    was so ein kleiner Schreibfehler alles auslösen kann ... *lach* ... ja ist wirklich manchmal zum weglaufen.

    Eine kleine Frage aber noch. Gilt dies NUR für Passwortrichtlinien oder sind auch andere GPO's betroffen? Und kleine Anmerkung von mir noch ... es ist doch dann etwas verwirrend, wenn auf dem Client das Ergebnis der verlinkten GPO angezeigt wird ;-)

     

    Danke für die Antwort,

    Lars

    Donnerstag, 20. Januar 2011 07:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 20.01.2011 08:00, schrieb LarsB_from_GER:

    Eine kleine Frage aber noch. Gilt dies NUR für Passwortrichtlinien
    oder sind auch andere GPO's betroffen?

    Die 3 Sonderfälle sind genau deswegen in einem Knoten zusammengefasst:
    Kennwort, Kontosperrung, Kerberos
    können nur auf Domänen Ebene definiert werden und gelten immer für alle
    Konten in der Domäne.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert LarsB_from_GER Donnerstag, 20. Januar 2011 08:52
    Donnerstag, 20. Januar 2011 08:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Herzlichen Dank für Deine Hilfe!!!!

     

    Bye
    Lars

    Donnerstag, 20. Januar 2011 08:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2011 09:45, schrieb LarsB_from_GER:

    Herzlichen Dank für Deine Hilfe!!!!

    Gern geschehen, nur noch mal kurz als Nachtrag:
    Wichtig ist der Punkt "Domänen Ebene", es muss aber nicht die Default Domain Policy sein. Es kann eine eigene werden, die später als die
    DDP läuft. Der SBS2003 hat zB eine eigene "SBS Kennwortrichtlinie"

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Donnerstag, 20. Januar 2011 08:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2011 schrieb LarsB_from_GER:
    Hi,

    ist doch dann etwas verwirrend, wenn auf dem Client das Ergebnis der verlinkten GPO angezeigt wird ;-)

    Nein, ist es nicht. Denn die Richtlinie gilt ja. Nur eben nur für lokale
    Konten.

    Bye
    Norbert

    Donnerstag, 20. Januar 2011 10:37
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Am 20.01.2011 schrieb Mark Heitbrink [MVP]:

    Hi Mark,

    Gern geschehen, nur noch mal kurz als Nachtrag:
    Wichtig ist der Punkt "Domänen Ebene", es muss aber nicht die Default Domain Policy sein. Es kann eine eigene werden, die später als die
    DDP läuft. Der SBS2003 hat zB eine eigene "SBS Kennwortrichtlinie"

    Ja, aber siehe auch hier:
    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/
    ;)

    Mit Ausnahme der Ausnahme der Regel (oder so ähnlich). ;)

    Bye
    Norbert

    Donnerstag, 20. Januar 2011 10:38
    |
    Moderator