none
GPO greift nicht RRS feed

  • Frage

  • Hey Leute,

    ich habe eine 2008 Domäne und habe in der default Domain Policy eine Passwortrichtlinie eingerichtet (Komplex, 90 Tage 8 Zeichen, min 1 Tag)

    Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nicht komples weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix :-(

    Hoffe ihr könnt mir helfen

    Danke!


    • Bearbeitet homermg Montag, 17. Februar 2014 21:07
    Montag, 17. Februar 2014 19:53

Antworten

  • >   habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und
    > gpupdate /force + restart auf einem der DC'S gemacht
     
    Hilft alles nix...
     
    Für DOmänenbenutzer gilt die Kennwortrichtlinie, die an der Domäne
    verknüpft ist. Der PDC-Emulator ist der einzige COmputer in der Domäne,
    der diese Kennwortrichtlinie anwendet, und er ignoriert alle anderen.
     
    Du MUSST das in einer Policy auf Domänenebene umsetzen, die der PDC
    anwenden kann. Das ganze Konstrukt ist so gesehen - freundlich
    formuliert - "ungünstig".
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 18. Februar 2014 12:15
  • Jeder hat seinen eigenen Lösungsansatz:
    Ich habe meine Clients in einer eigenen OU. Auf dieser OU sind nur meine Policys verlinkt. Dabei arbeite ich nicht it einer Policy, sondern jede Policy hat ihre eigene Funktion. Dabei verwende ich auch eine Policy für die Passwortrichtlinien. Funktioniert wunderbar.

    Wenn Du die Umgebung von jemanden anderen übernommen hast, würde ich folgendes prüfen (mit einem Testclient beginnend):
    1. Welche Policys werden am Client übernommen
    2. Sinnhaftigkeit der Policys

    Im nächsten Schritt würde ich in einer neuen OU, mit einem Testclient und User, die Policys nach eigener Struktur neu erstellen.

    Grüße
    Klaus

    Dienstag, 25. Februar 2014 13:37

Alle Antworten

  • Am 17.02.2014 schrieb homermg:

    Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nicht komples weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix :-(

    Wirst Du am Client aufgefordert das PW zu ändern? Ist das evtl. ein
    lokales Konto mit dem Du testet? Ist beim Benutzerobjekt im AD evtl.
    der Haken drin bei: Kennwort läuft nicht ab.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 18. Februar 2014 05:45
  • Moin Moin,

    leider ist soweit alles richitg. Ich verstehe es nicht.

    Ich werde nicht aufgefordert muss ja mindestens ein Tag warten bis die Aufforderung kommt also teste ich das mit der Zeichenlänege. Sprich habe einen Aduser bei dem ich das Kennwort auf einem Client ändere und weniger als 8 Zeichen nehme aber es geht immer durch. nur bei 4 Zeichen steht da das es der Policy nicht entspricht. Aber 4 bzw. 5 Zeichen habe ich nirgends eingetragen. User hat auch "Kennwort läuft nicht ab" nicht drin.

    Schaue mal das Bild an so sieht es hier aus.

    Dienstag, 18. Februar 2014 07:20
  • > Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator
    > aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich
     
    Mach das bitte mal auf dem PDC-Emulator. Der ist der einzige Computer in
    der Domäne, der Kennwortrichtlinien für Domänenbenutzer verarbeitet...
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 18. Februar 2014 08:40
  • nach eine GPO update force und eine Restart von einem der DC's habe ich gpresult /h ausgeführt und sehe weitrehin das die GPO nicht gezogen wird.

    Ich habe die Kennwortrichtlinie in der DDP eingerichtet sehe aber auch das diese (siehe Bild) auf dem DC nicht gezogen bzw. gesperrt ist wenn gpresult /h ausführe.

    Eine Idee warum? oder muss ich die Kennwortrichtlinie in der DDCP und nicht in der DDP definieren obwohl beider ja mit der OU Domain Controllers verknüpft sind

    Dienstag, 18. Februar 2014 09:46
  • > Ich habe die Kennwortrichtlinie in der DDP eingerichtet sehe aber auch
    > das diese (siehe Bild) auf dem DC nicht gezogen bzw. gesperrt ist wenn
    > gpresult /h ausführe.
    >
    > Eine Idee warum? oder muss ich die Kennwortrichtlinie in der DDCP und
    > nicht in der DDP definieren obwohl beider ja mit der OU Domain
    > Controllers verknüpft sind
     
    Die DDP hängt an der DOmäne, die DDCP an "Domain Controllers". Du hast
    das in einer eigenen GPO gemacht, und laut Screenshot stimmt die
    Verknüpfungsreihenfolge nicht - Deine GPO ist unter DDP/DDCP und wird
    daher vorher angewendet. Last Writer wins...
     
    BTW - noch ein paar W-Fragen :)
     
    Warum hängt die DDP bei Dir an Domain Controllers und nicht nur an der
    Domäne, wo sie hingehört?
     
    Warum blockierst Du die Vererbung an Domain Controllers? (Ja, weil Du
    Deine ganze Config in der DDP machst, wo sie nichts verloren hat.)
     
    Warum machst Du nicht zwei eigene Domain und DC Policies, statt die
    builtin GPOs zu bearbeiten? Damit verbaust Du Dir dcgpofix.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 18. Februar 2014 10:57
  • HI Martin,

    Muss noch dazusagen das das ganze Konstrukt mit den Passwortrichtlinen bzw. die ganzen GPO's bereits von meinem Vorgänger erstellt war. Ich wollte die Passwortrichtlinien nur etwas strenger machen und habe die bereits bestehende Richtlinie angepasst.

     habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und gpupdate /force + restart auf einem der DC'S gemacht
    Gpresult auf dem DC ausgeführt und ich sehe alles mögliche aber nicht die Kennwort settings.
    Was mir auber aufgefallen ist, ist folgendes:
    Die Policy wird nur auf die DC's angewandt.
    Wenn ich auf einem der DC'S die Lokale Sicherheitsrichtlinie starte sehe ich die Einstellungen die im Moment bei den User wohl aktiv sind. Kann es sein das die Lokale Sicherheitsrichtlinie auf den DC die Domain User abarbeitet und meine DDCP bzw. meine DDP überschreibt?

    PS. Wenn ich nun meine erstellte Paswortplicy über DDCP und DDP platziere werden dann auch alle Setting der DDP DDCP überschrieben. Nun frage ich mich was passiert mit den Settings die ich in der Passwort Policy nicht angefasst habe, sprich ich habe da ja nur die Passworteinstellungen eingerichtet alles andere ist so wie es war. Kann es dann sein das alle EInstellungen in der DDCP und DDP zurückgesetzt werden?

    Vielen Dank

    Dienstag, 18. Februar 2014 11:38
  • >   habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und
    > gpupdate /force + restart auf einem der DC'S gemacht
     
    Hilft alles nix...
     
    Für DOmänenbenutzer gilt die Kennwortrichtlinie, die an der Domäne
    verknüpft ist. Der PDC-Emulator ist der einzige COmputer in der Domäne,
    der diese Kennwortrichtlinie anwendet, und er ignoriert alle anderen.
     
    Du MUSST das in einer Policy auf Domänenebene umsetzen, die der PDC
    anwenden kann. Das ganze Konstrukt ist so gesehen - freundlich
    formuliert - "ungünstig".
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 18. Februar 2014 12:15
  • habe jetzt festgestellt das es tatsächlich die lokale Sicherheitrl ist. Wenn ich an der schraube dann kommt das bei den clients an. 
    Wenn ich eine lokale SicherheitsRL ändere dann kriegen das sogar alle DC's mit, dachte die ist nur lokal wie der Name schon sagt aber anscheint nicht.
    Mir ist nur ein Rätsel warum mein Vorgänger das damit gemacht hat.

    Wenn ich das jetzt richtig machen will. Muss ich ja in der lokalen Richtlinie wieder auf alle Passwort Einstellungen auf "Deaktiviert" setzen. und dann einen neue GPO mit denn Passworteinstellungen auf die OU Domain Controllers anwenden?

    PS. Wenn ich nun meine erstellte Paswortplicy über DDCP und DDP platziere werden dann auch alle Setting der DDP DDCP überschrieben. Nun frage ich mich was passiert mit den Settings die ich in der Passwort Policy nicht angefasst habe, sprich ich habe da ja nur die Passworteinstellungen eingerichtet alles andere ist so wie es war. Kann es dann sein das alle EInstellungen in der DDCP und DDP zurückgesetzt werden?

    Danke für die Hilfe!


    • Bearbeitet homermg Dienstag, 18. Februar 2014 13:29
    Dienstag, 18. Februar 2014 13:17
  • Jeder hat seinen eigenen Lösungsansatz:
    Ich habe meine Clients in einer eigenen OU. Auf dieser OU sind nur meine Policys verlinkt. Dabei arbeite ich nicht it einer Policy, sondern jede Policy hat ihre eigene Funktion. Dabei verwende ich auch eine Policy für die Passwortrichtlinien. Funktioniert wunderbar.

    Wenn Du die Umgebung von jemanden anderen übernommen hast, würde ich folgendes prüfen (mit einem Testclient beginnend):
    1. Welche Policys werden am Client übernommen
    2. Sinnhaftigkeit der Policys

    Im nächsten Schritt würde ich in einer neuen OU, mit einem Testclient und User, die Policys nach eigener Struktur neu erstellen.

    Grüße
    Klaus

    Dienstag, 25. Februar 2014 13:37
  • danke Leute!
    Freitag, 28. Februar 2014 15:34