none
täglich Kennwort ändern in Domäne RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    AD 2008R2, alle DCs 2008R2

    Mahlzeit, wir haben eine Definition in der default domain policy, nach der wir alle 130 Tage unser Kennwort ändern müssen. Wir setzen bisher ausschließlich Windows 7 ein.

    Ich - nur ich - teste derzeit auf Windows 10 pro - mit zwei Maschinen an meinem einen Useraccount. Dieser ist lokaler Admin, in der Domäne aber nur Domänenbenutzer.

    Nach zweimal ordentlichem Durchlauf, das erste Mal noch unter Windows 7, das zweite Mal bereits unter Win 10 bekomme ich nun täglich die Meldung, dass mein Kennwort abgelaufen ist und ich es ändern muss. gpresult -r bringt mir keine auffälligen Meldungen dass ich noch andere Richtlinien aktiv hätte. Bevor da was schief läuft und möglicherwiese nach dem nächsten run alle hier täglich ihr Kennwort ändern müssen wäre ich dem Problem gern auf der Spur. Hat jemand Hinweise?

    (und wie kriege ich wieder eine vernünftige Passwortmeldung 14 Tage vor Ablauf hin? Das Schlüsselchen im Tray sieht doch keiner.....)

    Danke

    Uwe

    edit: Nach:
    dsquery * -filter "(&(objectCategory=person)(pwdLastSet=0))" -attr name
    tauche ich übrigens zumindest heute und jetzt nicht auf. heute habe ich aber schon geändert.



    Montag, 7. März 2016 13:17
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 08.03.2016 schrieb Leuckert:

    "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" ist angehakt.

    Du testest also mit deinem Account? Wie genau? Per PSO?

    Bye
    Norbert

    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you with experience.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    • Als Antwort markiert Leuckert, Uwe Mittwoch, 9. März 2016 20:41
    Dienstag, 8. März 2016 09:02
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    > Passwörter ist in der default domain policy für alle auf 130 Tage
    > gesetzt, auch für mich also.
     
    Seit 2008 gibt es "Fine grained password policies" FGPP. DIese verwenden
    "Password Settings Objects" PSO, um einzelnen Gruppen oder Benutzern
    abweichende Kennwortrichtlinien zuzuweisen.
     
    Interaktiv bearbeiten kannst Du die mit dem AD Administration Center in
    Win10 oder per PoSh.
     
    Und NEIN, im RSoP sind die nicht zu sehen.
     
    • Als Antwort markiert Leuckert, Uwe Mittwoch, 9. März 2016 20:41
    Mittwoch, 9. März 2016 11:28
    |
    Beantworter

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Am 07.03.2016 schrieb Leuckert:
    Hi,

    (und wie kriege ich wieder eine vernünftige Passwortmeldung 14 Tage vor Ablauf hin? Das Schlüsselchen im Tray sieht doch keiner.....)

    Mit Boardmitteln gar nicht. Und doch, das SChlüsselchen sehen Nutzer dann irgendwann auch. Man sollte nicht immer davon ausgehen, dass die alle beklo...t sind. ;)
    Alternativ oder als Ergänzung:
    http://www.faq-o-matic.net/2007/07/01/kennwortaenderungsaufforderung-per-email-mittels-password-reminder-pro/

    HTH
    Norbert

    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Montag, 7. März 2016 14:44
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Moin, heute wieder. Ich bin zu Hause. Meine active sync Anbindung schlägt fehl, ich komme nicht mit meinem AD account ins VPN.

    Also per Dom-Admin rein und auf einen DC. Dort lese ich dass mein Kennwort im Juli abläuft. Also mit Useraccount auf einen TS und siehe da: "Ihr Kennwort ist abgelaufen und muss geändert werden".

    Was ist hier los? Obwohl die oben angegebene Abfrage angibt mein Kennwort sei genau wie im GPO angegeben gültig muss ich dennoch mein Kennwort ändern - auch unter Windows Server 2008 R2 als Terminalserver.

    Hilfeeeee :)

    Uwe

    Dienstag, 8. März 2016 07:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    könnte mir vorstellen, dass hier etwas mit den Berechtigungen nicht passt. Öffne mal deinen User-Account in AD Benutzer und Computer und prüfe ob dort unter Sicherheit -> Erweitert die Vererbung aktiviert ist.

    Gruß

    Christian

    Christian Groebner MVP Forefront

    Dienstag, 8. März 2016 07:11
    |
  • Question
    Anmelden
    0
    Anmelden
    "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" ist angehakt.
    Dienstag, 8. März 2016 07:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 08.03.2016 schrieb Leuckert:

    "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" ist angehakt.

    Du testest also mit deinem Account? Wie genau? Per PSO?

    Bye
    Norbert

    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you with experience.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    • Als Antwort markiert Leuckert, Uwe Mittwoch, 9. März 2016 20:41
    Dienstag, 8. März 2016 09:02
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Ich teste nicht. Okay ich geißele mich als Win10 Testuse, das halte ich aber grundsätzlich erstmal für unkritischr. Aber die Richtlinie der Passwörter ist in der default domain policy für alle auf 130 Tage gesetzt, auch für mich also.

    Ich bin schlicht (zum Glück) bisher der einige Betroffene von diesem Problem. Heute morgen auch schon wieder. Ich habe Angst dass sich das verbreitet und keine Ahnung wo ich auf Fehklersuche gehen kann.


    edit: Was ist PSO?
    Mittwoch, 9. März 2016 10:08
    |
  • Question
    Anmelden
    0
    Anmelden
    > Passwörter ist in der default domain policy für alle auf 130 Tage
    > gesetzt, auch für mich also.
     
    Seit 2008 gibt es "Fine grained password policies" FGPP. DIese verwenden
    "Password Settings Objects" PSO, um einzelnen Gruppen oder Benutzern
    abweichende Kennwortrichtlinien zuzuweisen.
     
    Interaktiv bearbeiten kannst Du die mit dem AD Administration Center in
    Win10 oder per PoSh.
     
    Und NEIN, im RSoP sind die nicht zu sehen.
     
    • Als Antwort markiert Leuckert, Uwe Mittwoch, 9. März 2016 20:41
    Mittwoch, 9. März 2016 11:28
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Ha!!

    Damit habe ich vor einem knappen halben Jahr experimentiert, es dann aber verworfen. Ich bin aushäusig und per VPN connected, ich werde da mal nachsehen ob da was Altes jetzt plötzlich anfängt zu wirken und melde hier zurück.

    Mittwoch, 9. März 2016 11:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Bingo!

    ich hatte damals versucht, darüber verschiedene Kennwortrichtlinien zu verwalten. Es hatte nicht funktioniert. In den Versuchen habe ich dann eine Richtlinie an dieser Stelle gesetzt die einen Tag vorsieht und nur meinen Account mittels einer Gruppe da hinein gezogen. Es hatte nicht geklappt. Ich bin dann einfach bei der def. geblieben.

    Wieso es jetzt, ca. ein halbes Jahr später auf einmal zieht - ich weiss es nicht :(

    Jedenfalls habe ich mich da jetzt entfernt und hoffe nun, dass ich recht bald wieder auf den Standard zurückfalle.

    Vielen Dank euch allen wieder einmal bei der Hilfe zur Ursachenforschung.

    Uwe

    (also nochmal testen und diesmal konsequent einen Testaccount verwenden)

    Mittwoch, 9. März 2016 20:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 09.03.2016 schrieb Leuckert:

    Bingo!

    Ach guck an. ;)

    Bye
    Norbert

    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 9. März 2016 22:14
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Jaja, unser größtes Computerproblem befindet sich nunmal zwischen Tastatur und Stuhllehne. Da schließe ich mich auch nicht aus.

    Keine Aufforderung zur Passwortänderung heute früh bisher :)

    Aber sehen kann ich so eine Einstelllung anscheinend wirklich nirgens. Nur eben in adsiedit oder anderen Tools dafür. Am Client, auf den Servern auf irgendwelchen anderen Wegen, password expiry dates oder sowas - no way, oder?

    Donnerstag, 10. März 2016 09:11
    |
  • Question
    Anmelden
    1
    Anmelden
    > Nur eben in adsiedit oder anderen Tools dafür. Am Client, auf den
    > Servern auf irgendwelchen anderen Wegen, password expiry dates oder
    > sowas - no way, oder?
     
    Windows 10 und neuer: Active Directory Administration Center (ADAC) kann
    das. Und PoSh natürlich auch.
     
    Donnerstag, 10. März 2016 09:36
    |
    Beantworter