none
Default Domain Policy - zieht nicht RRS feed

  • Frage

  • Hallo,

    Meine Default GPO zieht nicht ich weiß leider nur nicht warum hatte vorher auth. Benutzer drinnen nun hab ich den raus und

    habe meinen Testuser m.nickel reingesetzt, so sieht es aus:

    Bild Nummer 1

    Bild Nummer 2

    Und hier das Ergebniss der GPO:

    GPO Ergebnis

    Kann mir da jemand helfen, und sagen was den die Ursache dafür ist das die Default nicht ziehen tut ?


    Montag, 10. April 2017 11:26

Antworten

  • Hallo,

    ja denn du darfst die Sicherheitfilterung nicht gänzlich ändern. Die GPO muss durch die Computer lesbar sein, sonst kann sie nicht geprüft werden.

    Am besten nimmst du die "authentifizierten Benutzer" dort wieder rein und gibst ihnen das Recht "lesen" und deinem Nutzer zusätzlich das Recht "Gruppenrichlinie übernehmen"

    Wenn die authentifizierten Benutzer keine Leserechte haben, dann können die Computer die Regel nicht prüfen und dann auch nicht anwenden. 

    Kleiner Nachtrag: Die Default GPOs sind eigentlich nicht der Richtig Platz für diese Arten von Tests. Hier wäre eine zusätzliche GPO sicher die bessere Wahl und macht auch nicht mehr Arbeit als die Default GPOs zu verändern.


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012




    Montag, 10. April 2017 12:11

Alle Antworten

  • Hallo,

    ja denn du darfst die Sicherheitfilterung nicht gänzlich ändern. Die GPO muss durch die Computer lesbar sein, sonst kann sie nicht geprüft werden.

    Am besten nimmst du die "authentifizierten Benutzer" dort wieder rein und gibst ihnen das Recht "lesen" und deinem Nutzer zusätzlich das Recht "Gruppenrichlinie übernehmen"

    Wenn die authentifizierten Benutzer keine Leserechte haben, dann können die Computer die Regel nicht prüfen und dann auch nicht anwenden. 

    Kleiner Nachtrag: Die Default GPOs sind eigentlich nicht der Richtig Platz für diese Arten von Tests. Hier wäre eine zusätzliche GPO sicher die bessere Wahl und macht auch nicht mehr Arbeit als die Default GPOs zu verändern.


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012




    Montag, 10. April 2017 12:11
  • Hallo Genius,

    hast Du wirklich Benutzerkonfigurationen in der Default Domain Policy?! Poste doch bitte mal ein Screen der Registerkarten "Details" und "Einstellungen" dieses Objektes, die Einstellungen bitte alle zugeklappt.

    In deinem "Ergebniss der GPO" schaust du unter Benutzerkonfigurationen, die in der Default zudem deaktiviert zu seinen scheinen.

    Grundsätzlich: Führe das gpresult mit lokalen Administratorrechten aus, um auch die Computerkonfigurationen einsehen zu können.

    MfG, Jannik D.
    Montag, 10. April 2017 12:20
  • > Kann mir da jemand helfen, und sagen was den die Ursache dafür ist das die Default nicht ziehen tut ?
     
    Steht doch im Klartext im Ergebnisbericht - "deaktiviert". Du hast den User-Teil der DDP deaktiviert... Reiter "Details" in der GPMC mal genau anschauen...
     
    Montag, 10. April 2017 12:40
    Beantworter
  • Hallo,

    Das Problem scheint bei mir immer noch nicht gelöst zu sein... hab jemand noch Vorschläge schaut euch mal das hier an.....

    Die GPO Ist bei mir definitiv richtig eingestellt, die Einstellungen lauten:

    Laut unserer Einstellungen ist das Kennwort 90 Tage gültig, kann jeden 2 Tag geändert werden und
    speichert die letzten 15 Kennwörter.






    Wenn ich nun im Power Shell den Befehl „net accounts“ durchführe, erhalte ich die richtige Informationen aus der
    GPO, und zwar mit 15 gespeicherten Kennwörter, 90 Tage Gültigkeit, also alles im grünen Bereich.

    So nun komme ich zum Befehlt net user /domain, und hier finde ich was ganz komisches…
    und zwar meint er ich soll schon bald wieder mein Kennwort ändern, und das haut nicht hin
    mit den 90 Tagen.

    Da spuckt er mir als Daten ein wenn ich den ersten Tag und den letzten Tag nicht mit Rechne, sowie es normal
    ist bei der GPO mit dem Rechnen 42 Tage aus.

    Donnerstag, 18. Mai 2017 13:05
  • Für die DCs können andere Regeln gelten da diese eine eigene Default GPO haben. Wenn dort etwas anderes definiert ist kann dies die Ursache sein. Die Werte über der Option /Domain kommen direkt von den DCs und nicht von den normalen Servern/Rechner.

    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012


    Donnerstag, 18. Mai 2017 16:48
  • die ganzen GPOs laufen bei uns über den DC da werden alle konfiguriert der Client sagt mir ja auch ... das es richtig ist aber warum 42 Tage... ist über die Default konfiguriert mit 90 Tagen..
    Donnerstag, 18. Mai 2017 20:26
  • Hi
     
    Am 10.04.2017 um 13:26 schrieb _Genius_:
    > Meine Default GPO zieht nicht ich weiß leider nur nicht warum
     
    ... weil du sie auf einen BENUTZER!!! gefiltert hat:
    m.nickel
     
    In der DDP sind aber COMPUTER RICHTLINIEN enthalten.
    Ein Benutzer wird diese niemals übernehmen.
     
    Kennwortichtlinien werden durch den Computer definiert, der das Konto
    verwaltet. Im Fall des AD ist das der DC. Die Kennwrotrichtlinien selbst
    müssen aber auf Domänen Ebene definiert werden.
    Trage die Auth.User wieder ein, dein DC und jeder Computer ist auch
    Auth.Benutzer.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 19. Mai 2017 06:21