Benutzer mit den meisten Antworten
GPO greift nicht

Frage
-
Hey Leute,
ich habe eine 2008 Domäne und habe in der default Domain Policy eine Passwortrichtlinie eingerichtet (Komplex, 90 Tage 8 Zeichen, min 1 Tag)
Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nicht komples weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix :-(
Hoffe ihr könnt mir helfen
Danke!
- Bearbeitet homermg Montag, 17. Februar 2014 21:07
Antworten
-
> habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und> gpupdate /force + restart auf einem der DC'S gemachtHilft alles nix...Für DOmänenbenutzer gilt die Kennwortrichtlinie, die an der Domäneverknüpft ist. Der PDC-Emulator ist der einzige COmputer in der Domäne,der diese Kennwortrichtlinie anwendet, und er ignoriert alle anderen.Du MUSST das in einer Policy auf Domänenebene umsetzen, die der PDCanwenden kann. Das ganze Konstrukt ist so gesehen - freundlichformuliert - "ungünstig".
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Freitag, 28. Februar 2014 09:10
-
Jeder hat seinen eigenen Lösungsansatz:
Ich habe meine Clients in einer eigenen OU. Auf dieser OU sind nur meine Policys verlinkt. Dabei arbeite ich nicht it einer Policy, sondern jede Policy hat ihre eigene Funktion. Dabei verwende ich auch eine Policy für die Passwortrichtlinien. Funktioniert wunderbar.
Wenn Du die Umgebung von jemanden anderen übernommen hast, würde ich folgendes prüfen (mit einem Testclient beginnend):
1. Welche Policys werden am Client übernommen
2. Sinnhaftigkeit der Policys
Im nächsten Schritt würde ich in einer neuen OU, mit einem Testclient und User, die Policys nach eigener Struktur neu erstellen.
Grüße
Klaus- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Freitag, 28. Februar 2014 09:10
Alle Antworten
-
Am 17.02.2014 schrieb homermg:
Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nicht komples weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix :-(
Wirst Du am Client aufgefordert das PW zu ändern? Ist das evtl. ein
lokales Konto mit dem Du testet? Ist beim Benutzerobjekt im AD evtl.
der Haken drin bei: Kennwort läuft nicht ab.
Servus
Winfried
Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher
NNTP-Bridge für MS-Foren -
Moin Moin,
leider ist soweit alles richitg. Ich verstehe es nicht.
Ich werde nicht aufgefordert muss ja mindestens ein Tag warten bis die Aufforderung kommt also teste ich das mit der Zeichenlänege. Sprich habe einen Aduser bei dem ich das Kennwort auf einem Client ändere und weniger als 8 Zeichen nehme aber es geht immer durch. nur bei 4 Zeichen steht da das es der Policy nicht entspricht. Aber 4 bzw. 5 Zeichen habe ich nirgends eingetragen. User hat auch "Kennwort läuft nicht ab" nicht drin.
Schaue mal das Bild an so sieht es hier aus.
-
> Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator> aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ichMach das bitte mal auf dem PDC-Emulator. Der ist der einzige Computer inder Domäne, der Kennwortrichtlinien für Domänenbenutzer verarbeitet...
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :)) -
nach eine GPO update force und eine Restart von einem der DC's habe ich gpresult /h ausgeführt und sehe weitrehin das die GPO nicht gezogen wird.
Ich habe die Kennwortrichtlinie in der DDP eingerichtet sehe aber auch das diese (siehe Bild) auf dem DC nicht gezogen bzw. gesperrt ist wenn gpresult /h ausführe.
Eine Idee warum? oder muss ich die Kennwortrichtlinie in der DDCP und nicht in der DDP definieren obwohl beider ja mit der OU Domain Controllers verknüpft sind
-
> Ich habe die Kennwortrichtlinie in der DDP eingerichtet sehe aber auch> das diese (siehe Bild) auf dem DC nicht gezogen bzw. gesperrt ist wenn> gpresult /h ausführe.>> Eine Idee warum? oder muss ich die Kennwortrichtlinie in der DDCP und> nicht in der DDP definieren obwohl beider ja mit der OU Domain> Controllers verknüpft sindDie DDP hängt an der DOmäne, die DDCP an "Domain Controllers". Du hastdas in einer eigenen GPO gemacht, und laut Screenshot stimmt dieVerknüpfungsreihenfolge nicht - Deine GPO ist unter DDP/DDCP und wirddaher vorher angewendet. Last Writer wins...BTW - noch ein paar W-Fragen :)Warum hängt die DDP bei Dir an Domain Controllers und nicht nur an derDomäne, wo sie hingehört?Warum blockierst Du die Vererbung an Domain Controllers? (Ja, weil DuDeine ganze Config in der DDP machst, wo sie nichts verloren hat.)Warum machst Du nicht zwei eigene Domain und DC Policies, statt diebuiltin GPOs zu bearbeiten? Damit verbaust Du Dir dcgpofix.
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :)) -
HI Martin,
Muss noch dazusagen das das ganze Konstrukt mit den Passwortrichtlinen bzw. die ganzen GPO's bereits von meinem Vorgänger erstellt war. Ich wollte die Passwortrichtlinien nur etwas strenger machen und habe die bereits bestehende Richtlinie angepasst.
habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und gpupdate /force + restart auf einem der DC'S gemacht
Gpresult auf dem DC ausgeführt und ich sehe alles mögliche aber nicht die Kennwort settings.
Was mir auber aufgefallen ist, ist folgendes:
Die Policy wird nur auf die DC's angewandt.
Wenn ich auf einem der DC'S die Lokale Sicherheitsrichtlinie starte sehe ich die Einstellungen die im Moment bei den User wohl aktiv sind. Kann es sein das die Lokale Sicherheitsrichtlinie auf den DC die Domain User abarbeitet und meine DDCP bzw. meine DDP überschreibt?PS. Wenn ich nun meine erstellte Paswortplicy über DDCP und DDP platziere werden dann auch alle Setting der DDP DDCP überschrieben. Nun frage ich mich was passiert mit den Settings die ich in der Passwort Policy nicht angefasst habe, sprich ich habe da ja nur die Passworteinstellungen eingerichtet alles andere ist so wie es war. Kann es dann sein das alle EInstellungen in der DDCP und DDP zurückgesetzt werden?
Vielen Dank
-
> habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und> gpupdate /force + restart auf einem der DC'S gemachtHilft alles nix...Für DOmänenbenutzer gilt die Kennwortrichtlinie, die an der Domäneverknüpft ist. Der PDC-Emulator ist der einzige COmputer in der Domäne,der diese Kennwortrichtlinie anwendet, und er ignoriert alle anderen.Du MUSST das in einer Policy auf Domänenebene umsetzen, die der PDCanwenden kann. Das ganze Konstrukt ist so gesehen - freundlichformuliert - "ungünstig".
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Freitag, 28. Februar 2014 09:10
-
habe jetzt festgestellt das es tatsächlich die lokale Sicherheitrl ist. Wenn ich an der schraube dann kommt das bei den clients an.
Wenn ich eine lokale SicherheitsRL ändere dann kriegen das sogar alle DC's mit, dachte die ist nur lokal wie der Name schon sagt aber anscheint nicht.
Mir ist nur ein Rätsel warum mein Vorgänger das damit gemacht hat.Wenn ich das jetzt richtig machen will. Muss ich ja in der lokalen Richtlinie wieder auf alle Passwort Einstellungen auf "Deaktiviert" setzen. und dann einen neue GPO mit denn Passworteinstellungen auf die OU Domain Controllers anwenden?
PS. Wenn ich nun meine erstellte Paswortplicy über DDCP und DDP platziere werden dann auch alle Setting der DDP DDCP überschrieben. Nun frage ich mich was passiert mit den Settings die ich in der Passwort Policy nicht angefasst habe, sprich ich habe da ja nur die Passworteinstellungen eingerichtet alles andere ist so wie es war. Kann es dann sein das alle EInstellungen in der DDCP und DDP zurückgesetzt werden?
Danke für die Hilfe!
- Bearbeitet homermg Dienstag, 18. Februar 2014 13:29
-
Hallo,
ist die Thematik noch aktuell?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Jeder hat seinen eigenen Lösungsansatz:
Ich habe meine Clients in einer eigenen OU. Auf dieser OU sind nur meine Policys verlinkt. Dabei arbeite ich nicht it einer Policy, sondern jede Policy hat ihre eigene Funktion. Dabei verwende ich auch eine Policy für die Passwortrichtlinien. Funktioniert wunderbar.
Wenn Du die Umgebung von jemanden anderen übernommen hast, würde ich folgendes prüfen (mit einem Testclient beginnend):
1. Welche Policys werden am Client übernommen
2. Sinnhaftigkeit der Policys
Im nächsten Schritt würde ich in einer neuen OU, mit einem Testclient und User, die Policys nach eigener Struktur neu erstellen.
Grüße
Klaus- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Freitag, 28. Februar 2014 09:10