Remove From My Forums

Default Policy wird nicht angewendet

Frage

Anmelden

Hi,

ich habe mal testweise ein Windows Server 2008 R2 installiert und dann den AD mit DS. Daraufhin habe ich auf mich über Win 7 als Client über die Domäne angemeldet.

Ich habe jedoch das Problem, dass die Default Domain Policy nicht angwendet wird.

C:\Users\pmu>gpresult /R

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Am 09.09.2014, um 16:15:19 erstellt


RSOP-Daten für TEST\pmu auf VBOX-XXX: Protokollmodus
----------------------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe
Betriebssystemversion:       6.1.7600
Standortname:                Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\pmu
Langsame Verbindung?         Nein


BENUTZEREINSTELLUNGEN
----------------------
    CN=Peter Muffel,CN=Users,DC=test,DC=com
    Letzte Gruppenrichtlinienanwendung:   09.09.2014, um 16:15:04
    Gruppenrichtlinieanwendung von:       WIN-O4IAS5N6CJO.test.com
    Schwellenwert für langsame Verbindung:500 kbps
    Domänenname:                          TEST
    Domänentyp:                           Windows 2000

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Nicht zutreffend

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Default Domain Policy
            Filterung:  Nicht angewendet (Leer)

        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Domänen-Benutzer
        Jeder
        Benutzer
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        Mittlere Verbindlichkeitsstufe

Was genau mache ich da falsch?

Dienstag, 9. September 2014 14:23

Alle Antworten

0

Anmelden

Hi,

Du hast nichts falsch gemacht - wenn Du "gpresult /r" mit Benutzerrechten ausführst, bekommst Du nur die Benutzereinstellungen aller GP-Objekte angezeigt, die auf Deinen Benutzer angewendet werden. Da die Default Domain Policy keine Benutzereinstellungen enthält, gibt es auch nichts zum Anwenden. :-)

Wenn Du alle Richtlinien sehen willst, musst Du eine Eingabeaufforderung mit Administratorrechten ausführen und da den Befehl nochmal eingeben, dann bekommst Du auch die angewendeten Computereinstellungen angezeigt.
Gruß

Ben

MCITP Windows 7

Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

Dienstag, 9. September 2014 14:30

Antworten

|

Zitieren
0

Anmelden

Davon ausgehend, dass die Domain Policy greift, habe ich dann ein großes Problem. Ich will auf dem Client das Passwort ändern, jedoch verbietet er es mir laut den Kennwortrichtlinien. Ich habe entsprechend der Policy (mit Variationen Komplexizität an/aus, Wortlänge 5-10 etc) verschiedene Passwörter ausprobiert. Entweder BSI konforme oder auch normale ausprobiert, aber er nimmt die nicht an. Woran scheitere ich denn?

Dienstag, 9. September 2014 15:57

Antworten

|

Zitieren
0

Anmelden

Naja - dadurch, dass er die Komplexitätsrichtlinien auf dem Client vorschreibt, weißt Du ja, dass die Policy funktioniert!

Im Standard kannst Du unter Client-Betriebssystemen jedes Kennwort (sogar leere Kennwörter) vergeben, da meckert Windows nicht.

Du schreibst leider nicht, wie Deine Richtlinie genau konfiguriert ist, aber es gibt noch einige Fallstricke:
1. Du kannst im Standard Dein Kennwort nicht an einem Tag zweimal ändern (Mindest-Kennwortalter)
2. Du darfst keinen Teil Deines Benutzernamens im Kennwort verwenden

Ansonsten - erfüllt Dein Kennwort die Richtlinien, was Mindestanzahl der Zeichen, Kennworthistorie und verwendete Zeichen (mind. 3 von 4 Kriterien: Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) angeht?
Gruß

Ben

MCITP Windows 7

Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

Dienstag, 9. September 2014 16:10

Antworten

|

Zitieren
0

Anmelden

Am 09.09.2014 schrieb dermont:

ich habe mal testweise ein Windows Server 2008 R2 installiert und dann den AD mit DS. Daraufhin habe ich auf mich über Win 7 als Client über die Domäne angemeldet.

Ich habe jedoch das Problem, dass die Default Domain Policy nicht angwendet wird.

Verschieb den Client aus 'Computer' in eine OU. Das gleiche mit dem
User machen, jetzt ein gpupdate in einer Commandline ausführen und den
Rechner neu starten. Als der Benutzer anmelden, wie sieht jetzt die
Ausgabe aus?

Warum das so ist siehst Du in der GPMC.MSC. Dort siehst Du nur OUs.
Keinen Container 'User' und 'Computer' auch nicht.
http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/

Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher
NNTP-Bridge für MS-Foren

Dienstag, 9. September 2014 16:19

Antworten

|

Zitieren
0

Anmelden
Wow, danke für eure tolle Hilfe.

Du schreibst leider nicht, wie Deine Richtlinie genau konfiguriert ist, aber es gibt noch einige Fallstricke: 1. Du kannst im Standard Dein Kennwort nicht an einem Tag zweimal ändern (Mindest-Kennwortalter) 2. Du darfst keinen Teil Deines Benutzernamens im Kennwort verwenden Ansonsten - erfüllt Dein Kennwort die Richtlinien, was Mindestanzahl der Zeichen, Kennworthistorie und verwendete Zeichen (mind. 3 von 4 Kriterien: Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) angeht?

Ich habe Passwörter gewählt die definitiv der Komplexizität entsprechen. Diese sind auch meist 10-12 Zeichen lang mit ! oder = und Großbuchstaben wie in der Beschreibung dazu.
Wenn der Windows Standard so ist, müsste er logischerweise dann die Policy annehmen, aber wenn ich die Komplexizität deaktiviere und es versuche kommt wieder die Fehlermeldung. (Mit vorheriger Abmeldung der Clientsession)

Verschieb den Client aus 'Computer' in eine OU. Das gleiche mit dem User machen, jetzt ein gpupdate in einer Commandline ausführen und den Rechner neu starten. Als der Benutzer anmelden, wie sieht jetzt die Ausgabe aus?

Das habe ich auch schon getan. Ich habe sowohl den Benutzer in der Standardgruppe "User" als auch in einer neuen Gruppe erstellt. In der zweiten Policy habe ich die Kennwortschutzlinien nicht definiert, damit die Regeln nicht kollidieren.Hat leider auch nicht geholfen.

Es ist ein totales Mysterium.
Dienstag, 9. September 2014 17:02

Antworten

|

Zitieren
0

Anmelden
Am 09.09.2014 schrieb dermont:

Verschieb den Client aus 'Computer' in eine OU. Das gleiche mit dem User machen, jetzt ein gpupdate in einer Commandline ausführen und den Rechner neu starten. Als der Benutzer anmelden, wie sieht jetzt die Ausgabe aus?

Das habe ich auch schon getan. Ich habe sowohl den Benutzer in der Standardgruppe "User" als auch in einer neuen Gruppe erstellt. In der zweiten Policy habe ich die Kennwortschutzlinien nicht definiert, damit die Regeln nicht kollidieren.Hat leider auch nicht geholfen.

Nein, keine Gruppe erstellen. Eine OU mußt Du erstellen. Mach es so
wie in dem von mir gep. Artikel. Eine OU MeineBenutzer und eine OU
MeineComputer erstellen. Den Benutzer und den Computer in die passende
OU verschieben. Falls Du mehrere DCs im Einsatz hast, die
Replikation anschieben, anschließend den Client neu starten und mit
dem Benutzer anmelden. Jetzt muss die Default Domain Policy greifen.

Probier doch mal ein 'Start123' oder ein 'Ende456' ohne den
Fliegeschiss, kannst Du das Kennwort jetzt ändern?

Servus
Winfried

Gruppenrichtlinien
WSUS Package Publisher
HowTos zum WSUS Package Publisher
NNTP-Bridge für MS-Foren
Dienstag, 9. September 2014 18:18

Antworten

|

Zitieren
0

Anmelden

Hi,

Am 09.09.2014 um 16:23 schrieb dermont:

   Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
   Nicht zutreffend

Alles richtig. In der DefDomPol sind keine Benutzereisntellungen, die dein Benutzer übernehmen könnte. In der sind per Default nur Computerkonfigurationen.

Kennwortrichtlinien, du stolperst sicherlich über die Komplexität:
http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: http://www.gruppenrichtlinien.de - deutsch
GPO Tool: http://www.reg2xml.com - Registry Export File Converter

Dienstag, 9. September 2014 18:57

Antworten

|

Zitieren
0

Anmelden

Siehste mal, daran hab ich gar nicht mehr gedacht... die einfachsten Sachen vergisst man irgendwann, wenn man alles automatisiert... ;-)
Gruß

Ben

MCITP Windows 7

Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

Mittwoch, 10. September 2014 06:54

Antworten

|

Zitieren
0

Anmelden
Nein, keine Gruppe erstellen. Eine OU mußt Du erstellen. Mach es so

Entschuldige die Verwechslung, mit der Gruppe meinte ich schon die OU. Die habe ich wohl erstellt und den User dorthin verschoben. Habe danach banale einfache PWs als auch komplizierte der komplexen Regel entsprechend erstellt.

Alles richtig. In der DefDomPol sind keine Benutzereisntellungen, die dein Benutzer übernehmen könnte. In der sind per Default nur Computerkonfigurationen.

Richtig. Nach der Installation habe ich entsprechend einen User erstellt und mir die Default Domain Policy angeguckt. Dort wurden gewisse Einstellungen der Computerkonfigurationen vordefiniert. Diesen Richtlinien entsprechend habe ich mich bei der Kennwortänderung auch versucht zu ändern. Jedoch gibt er mir einen Fehler aus.
Mittwoch, 10. September 2014 11:07

Antworten

|

Zitieren
0

Anmelden

> Problem. Ich will auf dem Client das Passwort ändern, jedoch verbietet

> er es mir laut den Kennwortrichtlinien. Ich habe entsprechend der Policy

Ist der User ein Domänenuser? Dann gelten die Kennwortrichtlinien, die

in der DefDomPol definiert sind (oder einer anderen GPO, die mit der

Domäne verknüpft ist) - und keine anderen...

Martin

Mal ein GUTES Buch über GPOs lesen?

NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))

Mittwoch, 10. September 2014 11:21

Antworten

|

Zitieren
0

Anmelden

Ja, ist er. Ich habe probeweise das PW zurückgesetzt und dann Häckchen bei PW rücksetzen beim nächsten Login. Dort geht die Änderung des PWs. Bloß nicht bei einer normalen Änderung.

Mittwoch, 10. September 2014 12:18

Antworten

|

Zitieren
0

Anmelden

Hi,

das dürfte dann einer der Fallstricke sein, die ich oben erwähnt habe. Nach der Kennwortänderung muss das Kennwort ein gewisses Mindestalter haben, bevor Du es erneut ändern kannst. Das ist auch in den Komplexitätsrichtlinien zu konfigurieren.
Gruß

Ben

MCITP Windows 7

Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

Mittwoch, 10. September 2014 12:37

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Fragensteller

Default Policy wird nicht angewendet

Frage

Alle Antworten