none
Windows 2008 Domain Password Policy funktioniert nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Ich habe folgende Einstellungen gemacht in einer W2008 Domain.
    Standard Richtiline:
    -> Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheits einstellungen -> Kontorichtlinien

    Eingestellt ist:

    Komplexitätsanforderungen: Deaktiviert
    Kennwortchronik: 6 gesp. Kennwörter
    Umkehbare Verschlüsselung. Deaktiviert
    Maximales Kennwort Alter: 32 Tage
    Kennwort Länge: 8 Zeichen
    Minimales Kennwort Alter: 31 Tage

    Allerdings wirken die änderungen nicht. Der User muss nie ein Passwort ändern. Es kommt ein paar Tage davor auch nicht die Meldung das sein Passwort abläuft.

    Oder mache ich einfach einen überlegungsfehler ist schon eine Zeit her wo ich eine Password Policy definiert habe.
    Donnerstag, 31. Dezember 2009 11:21
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Was ich auch bereits gemacht bzw. kontrolliert habe ist folgendes:

    Ich habe es mit dem Resource Kit Tool  Lockstatus.exe angeschaut da steht

    Max password age for xxxxxxx is 49710 days.
    Current password age is 61 days 20 hours 15 min
    Password remains valid for 49648 day 10hours 10 min

    Ich habe Lokal mit gpedit.msc die Policy angeschaut die Aktiv ist.

    Es sind genau die Einstellungen die oben gegeben sind. Ich kann diese auch nicht modifizieren, dass ist für mich ein Zeichen das diese von der Domäne kommen.

    Ich habe keine Idee mehr was es sein könnte !
    Donnerstag, 31. Dezember 2009 11:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Die Einstellungen sind in der Default Domain Policy drin.

    Donnerstag, 31. Dezember 2009 11:25
    |
  • Question
    Anmelden
    0
    Anmelden
    Kann man auch irgendwo einstellen das der Benutzer in xxx Tagen bevor das Passwort abläuft eine Meldung kriegt wo es heisst da "Ihr Passwort läuft bald ab" ?
    Donnerstag, 31. Dezember 2009 11:26
    |
  • Question
    Anmelden
    0
    Anmelden
    Kann man auch irgendwo einstellen das der Benutzer in xxx Tagen bevor das Passwort abläuft eine Meldung kriegt wo es heisst da "Ihr Passwort läuft bald ab" ?

    Eine entsprechende GPO ist doch bereits konfiguriert.
    Die Option findest du in den Sicherheitsoptionen der Default Domain Policy: "Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des
    Kennworts auffordern". Der Standardwert beträgt 14 Tage.

    Wobei ich deine eingestellten Werte bei "Minimales- und Maximales Kennwortalter" ungünstig finde.

    Ist bei deinem Benutzer zufällig die Option`"Kennwort läuft nie ab" in den Eigenschaften des Benutzerkontos aktiviert?


    Alles Gute für 2010 wünsche ich.
    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Freitag, 1. Januar 2010 11:28
    |
  • Question
    Anmelden
    0
    Anmelden
    Zuerst mal auch ein gutes neues Jahr.

    Wir würdest du die minimal und Maximal werte einstellen? Die Passworte sollen alle 30 Tage geändert werden das ist die Anforderung.

    Das läuft seit 2 Monaten so nur die Benutzer müssen das nie machen.

    Bei den Benutzer einstellungen ist nicht drin "Password never Expires"

    Die Einstellung vor Passwort änderung informieren ist nun gemacht.

    Da muss irgendwo ein Wurm drin sein.  Stehe auf dem Schlauch  Ne Idee wo das sein könnte?
    Montag, 4. Januar 2010 15:23
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Hans,

    >Wir würdest du die minimal und Maximal werte einstellen?
    Das ist natürlich Geschmackssache oder abhängig von den Unternehmensrichtlinien.

    Ich pers. lasse minimales Kennwortalter immer auf Null, da sonst ein User nicht vor Ablauf der
    eingestellten Tage bei Bedarf sein Kennwort ändern könnte.

    Was für Clients habt Ihr da im Einsatz ?
    Kannst Du mit "rsop.msc" erkennen ob die Default Domain Policy am Client/Benutzer überhaupt ankommt ?
    Ist die Default Domain Policy ggf. versehentlich deaktivert oder evtl. verschoben worden ?
    Gruß Ralph Andreas Altermann
    Montag, 4. Januar 2010 16:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Hans,

    die Erklärung ist meiner Meinung nach ganz einfach. Du musst nachdem Du die Kennwortrichtlinie geändert hast, alle Benutzer dazu auffordern ihr Kennwort zu ändern. Bei der Kennwortänderungen übernehmen dann die Benutzerkonten auch die aktuellen Einstellungen der DefDomPol.

    Schnappe Dir mal einen Testbenutzer und ändere dessen Kennwort. Dann wirst Du feststellen,dass dieser Benutzer dann brav alle 30 Tage sein Kennwort ändern muss.

    Viele Grüße

    Frank Röder
    Montag, 4. Januar 2010 19:27
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich glaube es geht in diese Richtung.

    Ich habe gerade mal eine TestDomain eingerichtet mit DC und PC. Da funktioniert es ohne probleme.

    Wir habe XP Clients im Einsatz.

    Wenn ich rsop.msc eingebe kommt folgendes:

    Administrative Vorlagen:

    Folgender Fehler ist in C:\windows\inf\aer_1044.admin in Zeile 189 aufgetreten: Fehler 64 Die Hilfsezichnfolge wurde mehr als einmal angegeben

    Die Datei kann nicht geladen werden.
    Dienstag, 5. Januar 2010 15:31
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Frank

    Das hatte ich, und habe es wieder gemacht. Das hat keinen Effekt. Selbst nach einem neustart.

    Ich bin langsam aber sicher der Meinung das die Default Domain Policy nicht gut bzw. fehlerhaft ist.

    Kann ich die einfach neu erstellen?
    Dienstag, 5. Januar 2010 15:32
    |
  • Question
    Anmelden
    0
    Anmelden
    Anbei habe ich die Default Domain Policy noch als htm exportiert.

    Runterladbar hier: http://www18.zippyshare.com/v/32353006/file.html

    Den Firmen Namen habe ich geändert durch FirmaXyz.




    Dienstag, 5. Januar 2010 16:03
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Hans,

    Nach einem Backup könntest Du über einen IM- und Export die Default Domain Policy aus einem Referenzsystem zurückholen.

    Würde aber noch einmal unter Delegierung\Erweitert überprüfen, ob für "Authentifizierte Benutzer" der Haken "Gruppenrichtlinien übernehmen"
    noch drin ist und ob für die Policy "Verknüpfung aktiviert" gesetzt ist.
    Gruß Ralph Andreas Altermann
    Dienstag, 5. Januar 2010 16:10
    |
  • Question
    Anmelden
    0
    Anmelden
    Die Einstellungen die hatte ich vorher auch schon kontrolliert die sind wie es von Dir beschrieben worden sind.

    Ein Backup der Policys habe ich nicht da ich die Domain übernommen habe der vorhergehende Admin hatte auch keine Sicherung gemacht der Policys.

    Meinst Du damit von einem Testsystem die def dom policy backup und dann restore auf dem bestehenden system?
    Dienstag, 5. Januar 2010 16:51
    |
  • Question
    Anmelden
    0
    Anmelden
    >Meinst Du damit von einem Testsystem die def dom policy backup und dann restore auf dem bestehenden system
    Ja
    und evtl vorher vergleichen und die Alte erst einmal auf die Werte der Neuen zurücksetzen.

    Die DefaultDomPolicy ist auch direkt unter der Domäne verküpft ?
    Gruß Ralph Andreas Altermann
    Dienstag, 5. Januar 2010 17:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Die DefaultDomPolicy ist auch direkt unter der Domäne verküpft ? Das ist ist sie.
    Gewisse Einstellungen werden auch verteilt und funktionieren einwandfrei. aber nicht alle. Ich glaube der vorherige admin hat da zuviel rumprobiert und unwissentlich etwas angerichtet ohne es zu wollen.

    Dienstag, 5. Januar 2010 18:09
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Hans,

    schaue doch einfach mal in das Eventlog der DCs. Wenn es Probleme bei der Übernahme von Sicherheitseinstellungen gibt, dann muss auch in den Eventlogs etwas zu finden sein. Poste bitte mal relvante EventIDs die Du findest.

    Viele Grüße

    Frank
    Mittwoch, 6. Januar 2010 08:23
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich werde mal die Events checken. Auf den ersten Blick habe ich nichts gesehen was darauf hindeutet.

    Ich glaube das Problem liegt glaube ich irgendwo da:

    http://support.microsoft.com/kb/969250/en-us

    Ich habe mal alle die ADM zuerst gesichert und dann gelöscht. (auf dem Client)

    Wenn ich nun rsop.msc eingebe kommt beim Userteil alles was eingestellt wurde per dom policy. Das hat ja auch funktioniert.
    Der Computerteil ist mit einem X gekennzeichnet. Das heisst das diese nicht wirkt.

    Mir fällt auf das wir ja letztens die Bildschirmschoner Einstellungen verändert haben. Diese haen auch auf den Clients gewirkt.

    Das Problem ist das die Computer Settings nicht applied werden.
    Donnerstag, 7. Januar 2010 14:42
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich glaube auch das das andere Problem was ich habe

    siehe da: http://social.technet.microsoft.com/Forums/de-DE/windows_clientde/thread/6819b695-5291-4065-83fe-51ee50da3226

    mit diesem Problem eng zusammenhängt.
    Donnerstag, 7. Januar 2010 15:12
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    man sollte hier vorsichtig sein, verschiedene Themen nicht miteinander zu vermengen. Der Thread ist meines Erachtens schon recht unübersichtlich.

    Vorschlag:

    1. Prüfe, was im Domain NC an Kennwortrichtlinien gespeichert ist:
    C:\> ldifde -d DC=domain,DC=tld -p base -f C:\domain.txt

    Bitte hier die Werte von
    - maxPwdAge
    - minPwdAge
    - minPwdLength
    posten.

    2. Lokale Sicherheitsdatenbank des PDC-Emulators exportieren und die Werte gegenprüfen:
    C:\> secedit /export /cfg C:\security.txt

    Bitte die Ergebnisse dieser konkreten Werte (maximumPassword* etc.) auch hier posten.

    3. Anstatt des Default Domain Policy HTML Reports poste bitte einen GPMC HTML Group Policy Results RSOP Report des PDC-Emulators. Darin kann man sehen, woher die jeweiligen Einstellungen kommen.

    4. Wir reden hier tatsächlich von Domänenbenutzern, korrekt?

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Freitag, 8. Januar 2010 13:11
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    Am 05.01.2010 17:10, schrieb Andreas Altermann:
    > Nach einem Backup könntest Du über einen IM- und Export die Default
    > Domain Policy aus einem Referenzsystem zurückholen.

    dcgpofix.exe existiert seit 2003.
    recreatedefpol.exe wäre für 2000 auch verfügbar ...

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Sonntag, 10. Januar 2010 17:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    Am 05.01.2010 19:09, schrieb Hans.schelter:
    > Gewisse Einstellungen werden auch verteilt und funktionieren
    > einwandfrei. aber nicht alle.

    Welche?

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Sonntag, 10. Januar 2010 17:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Am 07.01.2010 15:42, schrieb Hans.schelter:
    > Ich glaube das Problem liegt glaube ich irgendwo da:
    > http://support.microsoft.com/kb/969250/en-us

    Nein.

    > Ich habe mal alle die ADM zuerst gesichert und dann gelöscht.
    > (auf dem Client)

    Ausser Voodoo und Hüttenzauber hat das keinerlei Funktion,
    wenn es um die Übernahme von Gruppenrichtlinien geht.

    > Der Computerteil ist mit einem X gekennzeichnet. Das heisst das diese
    > nicht wirkt.

    Dann hast du im RSOP auf in der Fehlerbeschreibung das "Warum"
    stehen.

    > Mir fällt auf das wir ja letztens die Bildschirmschoner Einstellungen
    > verändert haben. Diese haen auch auf den Clients gewirkt.

    Du meinst auf den "Benutzerobjekten" ...

    Ziel/Target, Verwaltungsbereich der Richtlinien etc sind aber korrekt?

    http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Sonntag, 10. Januar 2010 17:51
    |
  • Question
    Anmelden
    0
    Anmelden
    Moin,

    Am 08.01.2010 14:11, schrieb Fabian [MSFT]:
    > [...] Der Thread ist meines Erachtens schon recht unübersichtlich.

    Och, mit nem Newsreader und Thread/Treeview gehts eigentlich ganz gut
    :-) SCNR *duck_und_wech*

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Sonntag, 10. Januar 2010 17:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich war letzte woche anderweitig beschäftigt.

    Ich werde nun die sachen durchgehen und posten.

    Donnerstag, 21. Januar 2010 10:40
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    man sollte hier vorsichtig sein, verschiedene Themen nicht miteinander zu vermengen. Der Thread ist meines Erachtens schon recht unübersichtlich.

    Vorschlag:

    1. Prüfe, was im Domain NC an Kennwortrichtlinien gespeichert ist:
    C:\> ldifde -d DC=domain,DC=tld -p base -f C:\domain.txt

    Bitte hier die Werte von
    - maxPwdAge
    - minPwdAge
    - minPwdLength
    posten.

    2. Lokale Sicherheitsdatenbank des PDC-Emulators exportieren und die Werte gegenprüfen:
    C:\> secedit /export /cfg C:\security.txt

    Bitte die Ergebnisse dieser konkreten Werte (maximumPassword* etc.) auch hier posten.

    3. Anstatt des Default Domain Policy HTML Reports poste bitte einen GPMC HTML Group Policy Results RSOP Report des PDC-Emulators. Darin kann man sehen, woher die jeweiligen Einstellungen kommen.

    4. Wir reden hier tatsächlich von Domänenbenutzern, korrekt?

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds

    1. Prüfe, was im Domain NC an Kennwortrichtlinien gespeichert ist:
    C:\> ldifde -d DC=domain,DC=tld -p base -f C:\domain.txt

    -> hier steht folgendes: Teilauszug (falls mehr gefordert wird kann ich alles posten)

    forceLogoff: -9223372036854775808
    lockoutDuration: -6000000000
    lockOutObservationWindow: -6000000000
    lockoutThreshold: 3
    maxPwdAge: -9223372036854775808
    minPwdAge: 0
    minPwdLength: 7
    modifiedCountAtLastProm: 0
    nextRid: 1056
    pwdProperties: 0
    pwdHistoryLength: 1


    2. Lokale Sicherheitsdatenbank des PDC-Emulators exportieren und die Werte gegenprüfen:
    C:\> secedit /export /cfg C:\security.txt

    Da steht folgendes:

    [Unicode]
    Unicode=yes
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = -1
    MinimumPasswordLength = 7
    PasswordComplexity = 0
    PasswordHistorySize = 1
    LockoutBadCount = 3
    ResetLockoutCount = 10
    LockoutDuration = 10
    RequireLogonToChangePassword = 0
    ForceLogoffWhenHourExpire = 0

    Ich würde behaupten in etwa das gleiche wie im anderen Log.

    3. Anstatt des Default Domain Policy HTML Reports poste bitte einen GPMC HTML Group Policy Results RSOP Report des PDC-Emulators. Darin kann man sehen, woher die jeweiligen Einstellungen kommen.

    Habe ich gemacht: Wie kann ich die ganze RSOP Exportieren: Ich habe mal vorerst nur den Passwort Bereich exportiert:

    Richtlinie Computereinstellung Quell-Gruppenrichtlinienobjekt
    Kennwort muss Komplexitätsvoraussetzungen entsprechen Nicht definiert 
    Kennwortchronik erzwingen Nicht definiert 
    Kennwörter mit umkehrbarer Verschlüsselung speichern Nicht definiert 
    Maximales Kennwortalter Nicht definiert 
    Minimale Kennwortlänge Nicht definiert 
    Minimales Kennwortalter Nicht definiert 


    4. Wir reden hier tatsächlich von Domänenbenutzern, korrekt?

    Genau
    Donnerstag, 21. Januar 2010 11:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Meines erachtens wird nur die Computerconfiguration nicht übermittelt.

    Die Benutzerkonfiguration wird einwandrei übermittelt und funktioniert auch.

    Donnerstag, 21. Januar 2010 11:45
    |
  • Question
    Anmelden
    0
    Anmelden
    Habe zusätzlich folgende schritte gemacht um nach dem Auschluss Verfahren fehler auszugrenzen.

    Ich habe jetzt mal einen frischen Rechner mit XP aufgesetzt.
    Habe diesen an die Domäne genommen.
    Ich ebenfall einen neuen Dom User erstellt und logge mit diesem auf diesem rechner ein.

    Habe dann auf DC den richtlinienergebnisssatz ausgeführt auf diesen Rechner und User: folgende Meldung

    User Config ok
    Comp Config. Ausrufe Zeichen:

    Security Warning:

    Donnerstag, 21. Januar 2010 12:33:53

    Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein.

    Donnerstag, 21. Januar 2010 12:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe mal das Ausrufezeichen rausgebracht: Es war ein unzuordbarer Account.

    Jetzt gibts keine Ausrufezeichen mehr in den Computereinstellungen.

    Ausserdem habe ich mal den Winlogon unten;

    nachdem ich neugestartet habe:

    Gruppenrichtlinienvorlage gpt00000.dom verarbeiten.
    -------------------------------------------
    Donnerstag, 21. Januar 2010 14:06:37
     Kopieren der Wiederherstellungswerte in die zusammengeführte Richtlinie.
    ----Konfigurationsmodul wurde erfolgreich initialisiert.----

    ----Konfigurationsvorlageninformationen werden gelesen...


    ----Benutzerrechte werden konfiguriert...
     Konfigurieren von S-1-5-21-839522115-1957994488-2147125571-500.
     Konfigurieren von S-1-5-32-544.
     Konfigurieren von S-1-5-11.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-513.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-512.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-3678.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-3679.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-3677.
     Konfigurieren von S-1-5-21-746137067-220523388-839522115-2657.

     Konfiguration der Benutzerrechte wurde erfolgreich abgeschlossen.


    ----Sicherheitsrichtlinien werden konfiguriert...
     Konfigurieren der Kennwortinformationen.
     Konfigurieren der Informationen der erzwungenen Abmeldung.

     Konfiguration des Systemzugriffs wurde erfolgreich abgeschlossen.
     Konfigurieren der Protokolleinstellungen.

     Konfiguration des Überwachungsprotokolls wurde erfolgreich abgeschlossen.
     Konfigurieren von machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.

     Die Konfiguration der Registrierungswerte wurde erfolgreich abgeschlossen.


    ----Verfügbare Anlagenmodule werden konfiguriert...

     Konfiguration der Anlagenmodule wurde erfolgreich abgeschlossen.


    ----Konfigurationsmodul wird deinitialisiert...

    dies ist das letzte Gruppenrichtlinienobjekt.

    Donnerstag, 21. Januar 2010 13:16
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn ich RSOP.msc aufrufe auf dem Client dann werden genau die Einstellungen angzeigt. Auch auf dem DC mit RSOP mit Entsprechenden Computer und User zeigt genau dies Einstellungen an.


    Was mir auch aufällt ist wenn ich nach einem Neustart  mit Ctr + Alt + Delete drücke dann kann ich ein Passwort einstellen mit  mindestens 7 Zeichen die Policy ist ja aber eingestellt auf mindestens 8 Zeichen.

    Ich habe langsam keine Ideen mehr.
    Donnerstag, 21. Januar 2010 15:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    Am 05.01.2010 19:09, schrieb Hans.schelter:
    > Gewisse Einstellungen werden auch verteilt und funktionieren
    > einwandfrei. aber nicht alle.

    Welche?

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate

    Ich habe in den Computer Einstellungen z.b die Internet Registerkarte "Erweritert Disabled" das funktioniert auch nach einem gpupdate auch. Vorwärts und Zurück. Das heisst Einstellung machen testen ok -> Danach pol ändern wieder deployen und -> Ergebniss wie in POL.
    Donnerstag, 21. Januar 2010 16:14
    |
  • Question
    Anmelden
    0
    Anmelden
    Niemand eine Idee?
    Freitag, 22. Januar 2010 09:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    Am 22.01.2010 10:00, schrieb Hans.schelter:
    > Niemand eine Idee?

    Also, wenn ich alle deine Postings lese, dann bin ich der festen
    ÜBerzeugung, daß du das Thema Verwaltungsbereich von Gruppenrichtlinien
    und das Thema Targeting ein wenig falsch interpretierst und bei
    den Kennwortrichtlinien überhaupt nicht weisst, worum es geht.

    1.)
    Computerkonfigurationen können nur von Computern übernommen werden
    Benutzerkonfigurationen können nur von Benutzern übernommen werden

    2.)
    Das Target/Ziel User oder Computer Account MUSS im Verwaltungsbereich
    der Richtlinien liegen, also innerhalb der OU Struktur an der die GPO
    verknüft ist.

    3.)
    Kennwortrichtlinien können nur auf Domänen Ebene definiert werden
    und es gibt nur EINE EINZIGE im AD!
    Kennwortrichtlinien an einer OU, die an Computer übergeben werden
    gelten logischer weise für die Benutzeraccounts, die AUF DEM COMPUTER
    verwaltet werden, also die LOKALEN Konten, aber natürlich nicht die
    Domänen Benutzer, denn die werden auf den DCs der Domäne verwaltet.

    Fazit:
    - verlinke deinen GPOs "richtig"
    - wende Richtlinien mit Benutzerkonfiguraionen auf Benutzer an
    und Richtlinien mit Computerkonfigurationen auf Computer.
    - Eine GPO mit Computereinstellungen auf einer OU in der nur Benutzern
    sind läuft ins Leere, es gibt KEIN ZIEL.

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Freitag, 22. Januar 2010 10:09
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,

    Am 21.01.2010 12:42, schrieb Hans.schelter:
    > Richtlinie Computereinstellung Quell-Gruppenrichtlinienobjekt
    > Kennwort muss Komplexitätsvoraussetzungen entsprechen Nicht definiert
    > Kennwortchronik erzwingen Nicht definiert
    > Kennwörter mit umkehrbarer Verschlüsselung speichern Nicht definiert
    > Maximales Kennwortalter Nicht definiert
    > Minimale Kennwortlänge Nicht definiert
    > Minimales Kennwortalter Nicht definiert

    Auf jedem Domänen Mitglied MUSS diese Einstellung zwingend von der
    "Default Domain Policy" definiert und festgelegt sein,evtl. von einer
    "extra" Kennwortrichtlinie, aber auf jeden Fall auf DOMÄNEN EBENE.
    http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

    "Nicht KOnfiguriert" funktioniert nicht, wenn man die "ausschalten"
    möchte. "0" setzt den Wert auf "aus", siehe Link.
    Nicht konfiguriert heisst: Es wird nicht konfiguriert, also bleiben alle
    Werte so, wie sie eingestellt sind, nämlich "aktiviert" ...

    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: www.gruppenrichtlinien.de - deutsch
    Discuss : www.freelists.org/list/gpupdate
    Freitag, 22. Januar 2010 10:15
    |