none
Ich und meine Policys - Kennwortrichtlinie RRS feed

  • Frage

  • Hallo zusammen,

    leider stehe ich mal wieder vor einem sehr merkwürdigen Policy Problem.

    Was ich vor habe ist relativ einfach, ich möchte eine Kennwort Policy einführen.

    Nix wildes, mindestens 8 Zeichen, Kennwort Chronik auf 4 und fertig.

    Was habe ich gemacht:

    1. GPO Verwaltung
    2. Policy erstellt  unter

    -          Computerkonfiguration

    -          Windows Einstellungen

    -          Sicherheitseinstellungen

    -          Kontorichtlinie/Kennwortrichtlinien

    -          Dann meine Einstellungen

    -         Zusätzlich habe ich unter Administrative Vorlagen den Loopbackmodus auf Ersetzen (und schon mal Zusammenführen) gesetzt.

    3. Die Policy habe ich auf einen OU verknüpft mit diversen PCs

    4. Sicherheitsfilterung: Domänen Benutzer

    5. Unter Deligierung habe ich eingestellt, dass Domänen Admins die Policy verweigern sollen

    Soweit so gut auf dem Client sehe ich auch das die Policy gezogen wird wenn ich aber nun auf einem AD Server net user und den DomänenUser eingebe sehe ich, dass das Passwort nicht abläuft.

    Da habe ich in der Gruppenrichtlineienverwaltung Erzwungen auf JA gesetzt damit die Checkbox im AD Objekt überschrieben wird (Konto läuft Nie ab).

    Nun sehe ich, dass mein Konto in 30 Tagen abläuft obwohl ich zu testzwecken das Max Kennwortalter auf 2 und das Min Kennwortalter auf 1 gesetzt habe.

    Dann habe ich gesehen, dass die lokale Sicherheitsrichtlinie vom AD Server dazwischen funkt. Diese hat nämlich die 30 Tage konfiguriert.

    Was ich eigentlich nur will, alle Domänen User sollen Ihr Passwort einmal ändern und dann immer alle 90 Tage.

    Habt Ihr eine Idee / Ratschlag oder die Lösung für mich.

    Danke und Gruß


    Mittwoch, 21. Januar 2015 14:41

Antworten

  • Hi,

    Am 21.01.2015 15:41, schrieb SebastianX84:

    -         Zusätzlich habe ich unter Administrative Vorlagen den
    Loopbackmodus auf Ersetzen (und schon mal Zusammenführen) gesetzt.

    Wozu? Das bringt doch nichts. Es ist ja eine Computerrichtlinie und
    keine Benutzereinstellung, die von Benutzern an einem bestimmten PC
    angewendet werden soll
    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    3. Die Policy habe ich auf einen OU verknüpft mit diversen PCs

    Dann gilt sie für die LOKALEN!!! Benutzerobjekte des Computers.
    Kennwortrichtlinien müssen auf Domänen Ebene vergeben werden, wenn sie
    für die Domänen Konten gelten sollen.
    http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/

    4. Sicherheitsfilterung: Domänen Benutzer

    Es ist eine Computerkonfiguration. "Benutzer" werden sie niemals übernehmen.

    5. Unter Deligierung habe ich eingestellt, dass Domänen Admins die
    Policy verweigern sollen

    ... auch das wird nicht funktionieren. Dann benötigst du Passwort
    Settings Objects, bzw. Fine Grained Password Policies. Das ist aber erst
    Schritt 2. Lebe erst mal mit dem einfachen ...
    http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/

    Da habe ich in der Gruppenrichtlineienverwaltung Erzwungen auf JA

    http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/

    Das ändert nur die Reihenfolge, aber deine "defekte" Technik kriegst du
    damit nicht eingefangen.

    Was ich eigentlich nur will, alle Domänen User sollen Ihr Passwort
    einmal ändern und dann immer alle 90 Tage.

    Kennwortrichtlinie setzen und im Benutzerobjekt die Checkbox setzen: Bei nächster Anmeldung ändern.

    Du hast gerade so ziemlich alles falsch gemahct, was man in dem Fall
    falsch machen kann, weil die GPMC das leider so erlaubt und die Logik
    nicht eindeutig selbterklärend ist.

    1. Kennwortrichtlinien können nur auf Domänenebene gesetzt werden, Das
    ist ein technischer Sonderfall. Verwende der Einfahheit halber die DDP, die ist schon genau da wo sie sein soll und passe die Werte an.
    2. "Computer", genaugesagt der DC übernimmt die Kennwortrichtlinie,
    damit er sie für die Benutzerkonten anwenden kann, die er verwaltet und sie dann für den Benutzer gelten, wenn diese ihr Kennwort ändern.
    3. Computer übernehmen Computereinstellungen, Benutzer übernehmen
    Bentzereinstellungen
    4. Wenn du an einem PC sitzt und dein Domänen Kennwort änderst, dann ist
    liegt die Verwaltung des Kontos auf dem DC. Deiner Workstation und
    deinem Bentzer ist eine Richtlinie auf der OU egal. Der DC muss die
    Kennwortrichtlinien anwenden, er verwaltet das Konto.
    5. Eine Kennwortrichtlinie auf OU ebene gilt immer nur die lokalen
    Objekte, die ein Computer verwaltet. (hat man idR nicht, ausser dem
    "Administrator" auf jedem Rechner und der ist deaktiviert)
    6. Loopback, da sag ich jetzt nichts zu, lies bitte den Artikel
    7. Du kannst nichts erzwingen, was technisch nicht geht. Lies bitte den
    Artikel.

    Du solltest dir noch diese Artikel durchlesen:
    http://www.gruppenrichtlinien.de/erste-schritte/datum/

    ... den kann ich mir nicht verkneifen:
    http://www.gruppenrichtlinien.de/artikel/anstehende-workshops-und-veranstaltungen/
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert SebastianX84 Donnerstag, 22. Januar 2015 07:22
    Mittwoch, 21. Januar 2015 18:36
  • Hi Sebastian,

    nur eine kleine Ergänzung zu Marks Ausführungen: DDP = Default Domain Policy. Hier ist bereits die Standard-Kennwortrichtlinie für die gesamte Domain definiert. Im Normalfall reicht es aus, diese Richtlinien entsprechend an die eigenen Vorstellungen bzw. Vorgaben des Unternehmens anzupassen.

    Wenn Du eine andere Richtlinie mit diesen Einstellungen setzt, wird diese im Regelfall einfach von der DDP überschrieben, da diese an oberster Stelle steht (es sei denn, Du würdest die Prio noch höher setzen, das führt aber nur zu Verwirrung).


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    • Als Antwort markiert SebastianX84 Donnerstag, 22. Januar 2015 07:22
    Mittwoch, 21. Januar 2015 22:04

Alle Antworten

  • Hi,

    Am 21.01.2015 15:41, schrieb SebastianX84:

    -         Zusätzlich habe ich unter Administrative Vorlagen den
    Loopbackmodus auf Ersetzen (und schon mal Zusammenführen) gesetzt.

    Wozu? Das bringt doch nichts. Es ist ja eine Computerrichtlinie und
    keine Benutzereinstellung, die von Benutzern an einem bestimmten PC
    angewendet werden soll
    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    3. Die Policy habe ich auf einen OU verknüpft mit diversen PCs

    Dann gilt sie für die LOKALEN!!! Benutzerobjekte des Computers.
    Kennwortrichtlinien müssen auf Domänen Ebene vergeben werden, wenn sie
    für die Domänen Konten gelten sollen.
    http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/

    4. Sicherheitsfilterung: Domänen Benutzer

    Es ist eine Computerkonfiguration. "Benutzer" werden sie niemals übernehmen.

    5. Unter Deligierung habe ich eingestellt, dass Domänen Admins die
    Policy verweigern sollen

    ... auch das wird nicht funktionieren. Dann benötigst du Passwort
    Settings Objects, bzw. Fine Grained Password Policies. Das ist aber erst
    Schritt 2. Lebe erst mal mit dem einfachen ...
    http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/

    Da habe ich in der Gruppenrichtlineienverwaltung Erzwungen auf JA

    http://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien/

    Das ändert nur die Reihenfolge, aber deine "defekte" Technik kriegst du
    damit nicht eingefangen.

    Was ich eigentlich nur will, alle Domänen User sollen Ihr Passwort
    einmal ändern und dann immer alle 90 Tage.

    Kennwortrichtlinie setzen und im Benutzerobjekt die Checkbox setzen: Bei nächster Anmeldung ändern.

    Du hast gerade so ziemlich alles falsch gemahct, was man in dem Fall
    falsch machen kann, weil die GPMC das leider so erlaubt und die Logik
    nicht eindeutig selbterklärend ist.

    1. Kennwortrichtlinien können nur auf Domänenebene gesetzt werden, Das
    ist ein technischer Sonderfall. Verwende der Einfahheit halber die DDP, die ist schon genau da wo sie sein soll und passe die Werte an.
    2. "Computer", genaugesagt der DC übernimmt die Kennwortrichtlinie,
    damit er sie für die Benutzerkonten anwenden kann, die er verwaltet und sie dann für den Benutzer gelten, wenn diese ihr Kennwort ändern.
    3. Computer übernehmen Computereinstellungen, Benutzer übernehmen
    Bentzereinstellungen
    4. Wenn du an einem PC sitzt und dein Domänen Kennwort änderst, dann ist
    liegt die Verwaltung des Kontos auf dem DC. Deiner Workstation und
    deinem Bentzer ist eine Richtlinie auf der OU egal. Der DC muss die
    Kennwortrichtlinien anwenden, er verwaltet das Konto.
    5. Eine Kennwortrichtlinie auf OU ebene gilt immer nur die lokalen
    Objekte, die ein Computer verwaltet. (hat man idR nicht, ausser dem
    "Administrator" auf jedem Rechner und der ist deaktiviert)
    6. Loopback, da sag ich jetzt nichts zu, lies bitte den Artikel
    7. Du kannst nichts erzwingen, was technisch nicht geht. Lies bitte den
    Artikel.

    Du solltest dir noch diese Artikel durchlesen:
    http://www.gruppenrichtlinien.de/erste-schritte/datum/

    ... den kann ich mir nicht verkneifen:
    http://www.gruppenrichtlinien.de/artikel/anstehende-workshops-und-veranstaltungen/
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert SebastianX84 Donnerstag, 22. Januar 2015 07:22
    Mittwoch, 21. Januar 2015 18:36
  • Hi Sebastian,

    nur eine kleine Ergänzung zu Marks Ausführungen: DDP = Default Domain Policy. Hier ist bereits die Standard-Kennwortrichtlinie für die gesamte Domain definiert. Im Normalfall reicht es aus, diese Richtlinien entsprechend an die eigenen Vorstellungen bzw. Vorgaben des Unternehmens anzupassen.

    Wenn Du eine andere Richtlinie mit diesen Einstellungen setzt, wird diese im Regelfall einfach von der DDP überschrieben, da diese an oberster Stelle steht (es sei denn, Du würdest die Prio noch höher setzen, das führt aber nur zu Verwirrung).


    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    • Als Antwort markiert SebastianX84 Donnerstag, 22. Januar 2015 07:22
    Mittwoch, 21. Januar 2015 22:04
  • Hey danke für Eure Antworten,

    werde mir das nun anschauen.

    Ddass ich was falsch gemacht habe, habe ich gemerkt sonst wäre ich nicht hier :-)

    Gruß

    Donnerstag, 22. Januar 2015 07:22
  • Hi,

    Am 22.01.2015 08:22, schrieb SebastianX84:

    Ddass ich was falsch gemacht habe, habe ich gemerkt sonst wäre ich
    nicht hier :-)

    "Falsch" würde ich es nicht nennen. Du hast es so gemacht, wie man sich das vorstellt, wie es sein müsste, wenn man einen Blick mit normalem Menschenverstand drauf wirft.

    Dummerweise ist aber die "Logik" die sich auf den den ersten Blick ergibt eine andere als Microsoft sie gelöst hat.

    Warum gelten die Richtlinien für den Computer, aber "wirken" für den Benutzer?
    Warum geht das nur auf Domänen ebene?
    Warum kann ich nicht versch. Richtlinien pro OU oder pro Gruppe machen, bzw.eine Gruppe ausschliessen?
    Wenn es dann nicht klappt, warum kann ich es nicht mit der Brechstange erzwingen?

    Ich finde die Fragen absolut legitim. Die Lösung ist im ersten Moment unverständlich und verwirrend.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 22. Januar 2015 10:45
  • Hallo und danke nochmal,

    leider habe ich nun doch noch eine Frage.

    Ich ändere also nun nichts in der lokalen Sicherheitsrichtlinie sonden nur in der DDP.

    Aber was passiert mit den Konten die das Häckchen "Konto läuft niemals ab" und kann ich dieses Häckchen für die Domänen Admin und Service User nutzen.

    Oder anders gefragt wie kann ich die besagten User "schützen"?

    In unsere haben wir derzeit keine Passwort Policys aktiv.

    Danke

    Freitag, 23. Januar 2015 15:49
  • Hi,

    Am 23.01.2015 16:49, schrieb SebastianX84:

    Aber was passiert mit den Konten die das Häckchen "Konto läuft
    niemals ab" und kann ich dieses Häckchen für die Domänen Admin und
    Service User nutzen.

    Jupp. Das ist der Trick. Die Einstellung "Kennwortalter" aus der Domänenrichtlinie hat dann keine Relevanz, da im Benutzerobjekt dann kein Datum gespeichert wird "WANN" das Kennwort ablaufen würde.
    Ohne Datum, kein Ablauf.

    Mach mal ein "net user DeinBenutzer" in der CMD, dann siehst du das.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 23. Januar 2015 16:15