none
Gruppenrichtlinien -default domain controller policiy RRS feed

  • Frage

  • Hallo Leute,

    zur Testzwecke habe ich W2012 Server R2 (virtuell) frisch aufgesetzt.

    Wenn ich an den Richtlinien -default domain policy- Kenntorichtlinien - Kennwortlänge auf 4 setze kann ich das Admin Passwort 4 stellig ändern.

    Wenn ich -default domain policy- (mit eingestellter Kennwortlänge 7) weglasse und die Änderungen direkt auf der Richtlinie -default domain controller policy- mache, kann ich das Passwort nicht 4 stellig verändern.

    Bei gpresul /V kann ich zwar sehen, daß der DC (einzige) zwar die Richtlinie -default domain controller policy- zieht und auch die standard gesetzte Einstellungen übernimmt aber von den Kontorichtlinien ist nichts zu sehen.

    Kann es sein, daß man die Einstellungen Kontorichtlinien nicht auf der Policy machen kann?

    Kenwortkomplexität habe ich deaktiviert. An Vererbung, erzwungen, Filter oder Sicherheitsberechtigungen habe ich nichts verändert. Das System ist frisch!

    Bedanke mich für alle eventuellen Antworten voraus!

    S.Kaplan

    Dienstag, 6. Oktober 2015 08:27

Antworten

  • > Was meinen die genau mit "direkt im Domänenobjekt"? Mit was für einem
    > tool wird hier die "Kennworteinstellungen" geändert? Und was wird z. B.
    > gäendert? Kennwort selbst oder Kennwortlänge? Ich stehe hier ein
    > bisschen auf dem Schlauch.
     
    ADSIEdit oder ADExplorer oder ein LDAP-Browser...
     
    Die Domäne selbst hat Attribute (wie jedes andere AD-Objekt auch) -
    unter anderem maxPwdAge, minPwdAge, minPwdLength. Änderst Du die, dann
    werden diese Änderungen in die DDP zurückgeschrieben. Andersrum genauso
    - änderst Du die DDP, landen die Änderungen in diesen Attributen.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 7. Oktober 2015 08:47
  • > Wenn ich -default domain policy- (mit eingestellter Kennwortlänge 7)
    > weglasse und die Änderungen direkt auf der Richtlinie -default domain
    > controller policy- mache, kann ich das Passwort nicht 4 stellig verändern.
     
    Domain Controller verarbeiten Account Policies (also auch
    Kennwortrichtlinien) etwas anders als andere Computer :-)
     
    Der einzige DC, der Account Policies verarbeitet, ist der PDC-Emulator.
    Und er verarbeitet nur Account Policies, die mit der Domäne verknüpft
    sind, nicht solche von irgendwelchen OUs.
     
    Wenn Du also Domänen-Kennwortrichtlinien konfigurieren willst, muss
    a) die zugehörige Policy mit der Domäne verknüpft sein
    b) der PDCe sie anwenden können (Sicherheits- und WMI-Filter)
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 6. Oktober 2015 10:30
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    erstmals vielen Dank für deine Unterstützungen. Jedoch ist deine Antwort nicht besonders hilfreich auf meine Fragestellung.

    Liegt ja vielleicht an deiner Fragestellung. Also frag ich einfach mal:
    Was genau ist dein Ziel?
     > Ich habe mal die Einstellungen der Policies zur besseren Verständigung mal hochgeladen. Es der 1. und der einzige ActiveDomainController. Somit laufen alle Betriebsmaster auf diesem einen. PDC, RID-Master, Infrastrukturmaster usw. Ich habe das auch noch überprüft.

    Egal.

    Fakt ist, daß der DC die Accountrichtlinien (passe mich dir an:-) v. Default domain Policy zieht und eine Änderung v. Admin Kennwort 4 stellig im Benutzerverwaltung v. DC erlaubt. Wenn ich die Richtlinien v. Default domain Policy zurücksetze oder die Verknüpfung davon entferne, werden die Account Richtlinien im Bezug auf Kennwortlänge etc. aus der Richtlinie Default domain controller Policy nicht gezogen aber die übrigen Richtlinien die standard mäßig drin sind schon.

    Und? Nichts anderes hat dir Martin doch geschrieben. Passwortrichtlinien für Domain Konten haben nur Gültigkeit, wenn sie auf Domänenebene deklariert werden. Also kann deine DDCP keine Wirkung zeigen was Passwortrichtlinien angeht.

    Weitere Lektüre:
    http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/
    http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 13:08
  • > Fakt ist, daß der DC die Accountrichtlinien (passe mich dir an:-) v.
    > Default domain Policy zieht und eine Änderung v. Admin Kennwort 4
    > stellig im Benutzerverwaltung v. DC erlaubt. Wenn ich die Richtlinien v.
    > Default domain Policy zurücksetze oder die Verknüpfung davon entferne,
    > werden die Account Richtlinien im Bezug auf Kennwortlänge etc. aus der
    > Richtlinie Default domain controller Policy nicht gezogen aber die
    > übrigen Richtlinien die standard mäßig drin sind schon.
     
    Ja, sag ich doch. Den PDC interessieren Kennwortrichtlinien in der DDCP
    nicht, und wenn Du die DDP deaktivierst, bleiben deren letzte Werte
    trotzdem erhalten, die verschwinden nicht.
     
    Ein effektives "nicht definiert" gibt es für Kennwortrichtlinien nicht.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 6. Oktober 2015 13:54
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    Wenn ich die Kennwortrichtlinien in der DDCP verändere ziehen die ja nicht.

    Stellen sich für mich dann die Fragen:

    1. Wann und in welchem Fall ziehen die DDCP Richtlinien?

    Gar nicht. Wie oft möchtest du es noch hören? Die ZIEHEN GAR NICHT! NIE! ;)

    2. Wenn die Accountrichtlinien v. DDCP nicht ziehen, warum kann man sie darin verstellen.

    Weil Microsoft keine Lust hatte für die DDCP eine andere GUI zu bauen. Du kannst auch in allen anderen GPOs Accountpolicies definieren und die wirken auch nicht (auf Domänenkonten). ;)
    Warum ist die Banane krumm?
    http://www.pickywallpapers.com/movies-tvshows/despicable-me/despicable-me-2-banana-picture/

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 14:29
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,
     > ich habe mich jetzt ein bisschen im I-Net schlau gemacht.

    Gute Idee.

    Mann soll die Finger v. Default policys nehmen. Mann soll eigene Policys machen.

    Ja, aber das hat andere Gründe. ;)
    U.a. sind die GUIDs dieser GPOs immer identisch und deswegen gibts auch Anwendungen, die die hardcodiert verwenden.
    oder auch: http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    Das sagt mir, das sind spezielle Voreinstellungen mit DDP und DDCP.

    Naja die sind nicht wirklich speziell. Kann man sich doch anschauen.

    Ich werde mich wohl tiefer reinlesen müssen.

    Immer eine gute Idee.

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 19:54

Alle Antworten

  • > Wenn ich -default domain policy- (mit eingestellter Kennwortlänge 7)
    > weglasse und die Änderungen direkt auf der Richtlinie -default domain
    > controller policy- mache, kann ich das Passwort nicht 4 stellig verändern.
     
    Domain Controller verarbeiten Account Policies (also auch
    Kennwortrichtlinien) etwas anders als andere Computer :-)
     
    Der einzige DC, der Account Policies verarbeitet, ist der PDC-Emulator.
    Und er verarbeitet nur Account Policies, die mit der Domäne verknüpft
    sind, nicht solche von irgendwelchen OUs.
     
    Wenn Du also Domänen-Kennwortrichtlinien konfigurieren willst, muss
    a) die zugehörige Policy mit der Domäne verknüpft sein
    b) der PDCe sie anwenden können (Sicherheits- und WMI-Filter)
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 6. Oktober 2015 10:30
  • Dienstag, 6. Oktober 2015 12:53
  • Dienstag, 6. Oktober 2015 12:53
  • Hallo Martin,

    erstmals vielen Dank für deine Unterstützungen. Jedoch ist deine Antwort nicht besonders hilfreich auf meine Fragestellung. Ich habe mal die Einstellungen der Policies zur besseren Verständigung mal hochgeladen. Es der 1. und der einzige ActiveDomainController. Somit laufen alle Betriebsmaster auf diesem einen. PDC, RID-Master, Infrastrukturmaster usw. Ich habe das auch noch überprüft.

    Fakt ist, daß der DC die Accountrichtlinien (passe mich dir an:-) v. Default domain Policy zieht und eine Änderung v. Admin Kennwort 4 stellig im Benutzerverwaltung v. DC erlaubt. Wenn ich die Richtlinien v. Default domain Policy zurücksetze oder die Verknüpfung davon entferne, werden die Account Richtlinien im Bezug auf Kennwortlänge etc. aus der Richtlinie Default domain controller Policy nicht gezogen aber die übrigen Richtlinien die standard mäßig drin sind schon. 

    Ich füge mal noch das Ergebnis v. gpresult dazu.

    Vielen Dank!

    Dienstag, 6. Oktober 2015 13:03
  • Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
    © 2013 Microsoft Corporation. All rights reserved.
    
    Am 06.10.2015 um 15:01:23 erstellt
    
    
    
    RSOP-Daten für KAPLAN\Administrator auf WIN-O1LHF6T4BBE: Protokollmodus
    ------------------------------------------------------------------------
    
    Betriebssystemkonfiguration: Primärer Domänencontroller
    Betriebssystemversion:       6.3.9600
    Standortname:                Default-First-Site-Name
    Roamingprofil:Nicht zutreffend
    Lokales Profil:              C:\Users\Administrator
    Langsame Verbindung?         Nein
    
    
    COMPUTEREINSTELLUNGEN
    ----------------------
        CN=WIN-O1LHF6T4BBE,OU=Domain Controllers,DC=kaplan,DC=de
        Letzte Gruppenrichtlinienanwendung:   06.10.2015, um 14:57:20
        Gruppenrichtlinieanwendung von:       WIN-O1LHF6T4BBE.kaplan.de
        Schwellenwert für langsame Verbindung:500 kbps
        Domänenname:                          KAPLAN
        Domänentyp:                           Windows 2008 oder höher
    
        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            Default Domain Controllers Policy
            Default Domain Policy
    
        Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
        ----------------------------------------------------------------------
            Richtlinien der lokalen Gruppe
                Filterung:  Nicht angewendet (Leer)
    
        Der Computer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Administratoren
            Jeder
            Benutzer
            Prä-Windows 2000 kompatibler Zugriff
            Windows-Autorisierungszugriffsgruppe
            NETZWERK
            Authentifizierte Benutzer
            Diese Organisation
            WIN-O1LHF6T4BBE$
            Domänencontroller
            DOMÄNENCONTROLLER DER ORGANISATION
            Von der Authentifizierungsstelle bestätigte ID
            Abgelehnte RODC-Kennwortreplikationsgruppe
            Systemverbindlichkeitsstufe
            
        Richtlinienergebnissatz für Computer
        -------------------------------------
    
            Softwareinstallationen
            ----------------------
                Nicht zutreffend
    
            Skripts zum Starten
            -------------------
                Nicht zutreffend
    
            Skripts zum Herunterfahren
            --------------------------
                Nicht zutreffend
    
            Kontorichtlinien
            ----------------
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MaxRenewAge
                    Computereinstellung:  7
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MaximumPasswordAge
                    Computereinstellung:  42
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MinimumPasswordAge
                    Computereinstellung:  1
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MaxServiceAge
                    Computereinstellung:  600
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            LockoutBadCount
                    Computereinstellung:  Nicht zutreffend
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MaxClockSkew
                    Computereinstellung:  5
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MaxTicketAge
                    Computereinstellung:  10
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            PasswordHistorySize
                    Computereinstellung:  24
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            MinimumPasswordLength
                    Computereinstellung:  4
    
            Überwachungsrichtlinie
            ----------------------
                Nicht zutreffend
    
            Benutzerrechte
            --------------
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            MachineAccountPrivilege
                    Computereinstellung:  Authentifizierte Benutzer
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            ChangeNotifyPrivilege
                    Computereinstellung:  Jeder
                                       Lokaler Dienst
                                       Netzwerkdienst
                                       Administratoren
                                       Window Manager\Window Manager Group
                                       Authentifizierte Benutzer
                                       Prä-Windows 2000 kompatibler Zugriff
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            IncreaseBasePriorityPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            TakeOwnershipPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            RestorePrivilege
                    Computereinstellung:  Administratoren
                                       Sicherungs-Operatoren
                                       Server-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            DebugPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            SystemTimePrivilege
                    Computereinstellung:  Lokaler Dienst
                                       Administratoren
                                       Server-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            SecurityPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            ShutdownPrivilege
                    Computereinstellung:  Administratoren
                                       Sicherungs-Operatoren
                                       Server-Operatoren
                                       Druck-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            AuditPrivilege
                    Computereinstellung:  Lokaler Dienst
                                       Netzwerkdienst
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            InteractiveLogonRight
                    Computereinstellung:  Administratoren
                                       Sicherungs-Operatoren
                                       Konten-Operatoren
                                       Server-Operatoren
                                       Druck-Operatoren
                                       DOMÄNENCONTROLLER DER ORGANISATION
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            CreatePagefilePrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            BatchLogonRight
                    Computereinstellung:  Administratoren
                                       Sicherungs-Operatoren
                                       Leistungsprotokollbenutzer
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            NetworkLogonRight
                    Computereinstellung:  Jeder
                                       Administratoren
                                       Authentifizierte Benutzer
                                       DOMÄNENCONTROLLER DER ORGANISATION
                                       Prä-Windows 2000 kompatibler Zugriff
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            SystemProfilePrivilege
                    Computereinstellung:  Administratoren
                                       NT SERVICE\WdiServiceHost
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            RemoteShutdownPrivilege
                    Computereinstellung:  Administratoren
                                       Server-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            BackupPrivilege
                    Computereinstellung:  Administratoren
                                       Sicherungs-Operatoren
                                       Server-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            EnableDelegationPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            UndockPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            SystemEnvironmentPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            LoadDriverPrivilege
                    Computereinstellung:  Administratoren
                                       Druck-Operatoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            IncreaseQuotaPrivilege
                    Computereinstellung:  Lokaler Dienst
                                       Netzwerkdienst
                                       Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            ProfileSingleProcessPrivilege
                    Computereinstellung:  Administratoren
                                       
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            AssignPrimaryTokenPrivilege
                    Computereinstellung:  Lokaler Dienst
                                       Netzwerkdienst
                                       
            Sicherheitsoptionen
            -------------------
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            PasswordComplexity
                    Computereinstellung:  Nicht aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            ClearTextPassword
                    Computereinstellung:  Nicht aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            ForceLogoffWhenHourExpire
                    Computereinstellung:  Nicht aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            RequireLogonToChangePassword
                    Computereinstellung:  Nicht aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            LSAAnonymousNameLookup
                    Computereinstellung:  Nicht aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            TicketValidateClient
                    Computereinstellung:  Aktiviert
    
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            @wsecedit.dll,-59013
                    Wertname:         MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity
                    Computereinstellung:  1
    
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            @wsecedit.dll,-59043
                    Wertname:         MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
                    Computereinstellung:  1
    
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            @wsecedit.dll,-59044
                    Wertname:         MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
                    Computereinstellung:  1
    
                Gruppenrichtlinienobjekt: Default Domain Policy
                    Richtlinie:            @wsecedit.dll,-59058
                    Wertname:         MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
                    Computereinstellung:  1
    
                Gruppenrichtlinienobjekt: Default Domain Controllers Policy
                    Richtlinie:            @wsecedit.dll,-59018
                    Wertname:         MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
                    Computereinstellung:  1
    
                Nicht zutreffend
    
            Ereignisprotokolleinstellungen
            ------------------------------
                Nicht zutreffend
    
            Eingeschränkte Gruppen
            ----------------------
                Nicht zutreffend
    
            Systemdienste
            -------------
                Nicht zutreffend
    
            Registrierungseinstellungen
            ---------------------------
                Nicht zutreffend
    
            Dateisystemeinstellungen
            ------------------------
                Nicht zutreffend
    
            Richtlinien öffentlicher Schlüssel
            ----------------------------------
                Nicht zutreffend
    
            Administrative Vorlagen
            -----------------------
                Nicht zutreffend
    
    
    BENUTZEREINSTELLUNGEN
    ----------------------
        CN=Administrator,CN=Users,DC=kaplan,DC=de
        Letzte Gruppenrichtlinienanwendung:   06.10.2015, um 14:42:37
        Gruppenrichtlinieanwendung von:       WIN-O1LHF6T4BBE.kaplan.de
        Schwellenwert für langsame Verbindung:500 kbps
        Domänenname:                          KAPLAN
        Domänentyp:                           Windows 2008 oder höher
        
        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            Nicht zutreffend
    
        Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
        ----------------------------------------------------------------------
            Richtlinien der lokalen Gruppe
                Filterung:  Nicht angewendet (Leer)
    
        Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Domänen-Benutzer
            Jeder
            Administratoren
            Benutzer
            Prä-Windows 2000 kompatibler Zugriff
            INTERAKTIV
            KONSOLENANMELDUNG
            Authentifizierte Benutzer
            Diese Organisation
            LOKAL
            Domänen-Admins
            Richtlinien-Ersteller-Besitzer
            Schema-Admins
            Organisations-Admins
            Von der Authentifizierungsstelle bestätigte ID
            Abgelehnte RODC-Kennwortreplikationsgruppe
            Hohe Verbindlichkeitsstufe
            
        Der Benutzer verfügt über folgende Berechtigungen
        -------------------------------------------------
    
            Auslassen der durchsuchenden Überprüfung
            Verwalten von Überwachungs- und Sicherheitsprotokollen
            Sichern von Dateien und Verzeichnissen
            Wiederherstellen von Dateien und Verzeichnissen
            Ändern der Systemzeit
            Herunterfahren des Systems
            Erzwingen des Herunterfahrens von einem Remotesystem aus
            Übernehmen des Besitzes von Dateien und Objekten
            Debuggen von Programmen
            Verändern der Firmwareumgebungsvariablen
            Erstellen eines Profils der Systemleistung
            Erstellen eines Profils für einen Einzelprozess
            Anheben der Zeitplanungspriorität
            Laden und Entfernen von Gerätetreibern
            Erstellen einer Auslagerungsdatei
            Anpassen von Speicherkontingenten für einen Prozess
            Entfernen des Computers von der Dockingstation
            Durchführen von Volumewartungsaufgaben
            Annehmen der Clientidentität nach Authentifizierung
            Erstellen globaler Objekte
            Ändern der Zeitzone
            Erstellen symbolischer Verknüpfungen
            Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
            Arbeitssatz eines Prozesses vergrößern
            Hinzufügen von Arbeitsstationen zur Domäne
    
        Richtlinienergebnissatz für Benutzer
        -------------------------------------
    
            Softwareinstallationen
            ----------------------
                Nicht zutreffend
    
            Anmeldeskripts
            --------------
                Nicht zutreffend
    
            Abmeldeskripts
            --------------
                Nicht zutreffend
    
            Richtlinien öffentlicher Schlüssel
            ----------------------------------
                Nicht zutreffend
    
            Administrative Vorlagen
            -----------------------
                Nicht zutreffend
    
            Ordnerumleitung
            ---------------
                Nicht zutreffend
    
            Internet Explorer-Browserbenutzerschnittstelle
            ----------------------------------------------
                Nicht zutreffend
    
            Internet Explorer-Verbindung
            ----------------------------
                Nicht zutreffend
    
            Internet Explorer-URLs
            ----------------------
                Nicht zutreffend
    
            Internet Explorer-Sicherheit
            ----------------------------
                Nicht zutreffend
    
            Internet Explorer-Programme
            ---------------------------
                Nicht zutreffend
    

    Dienstag, 6. Oktober 2015 13:04
  • Am 06.10.2015 schrieb Servet Kaplan:

    <https://social.technet.microsoft.com/Forums/getfile/729766>

    Wie Martin schon schrieb, brauchst du in der Default Domain Controller Policy gar nichts konfigurieren, da das keine Auswirkungen hat (zumindest keine die du wahrscheinlich erwartest). Oder was möchtest du mit den Screenshots jetzt aussagen?

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 13:04
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    erstmals vielen Dank für deine Unterstützungen. Jedoch ist deine Antwort nicht besonders hilfreich auf meine Fragestellung.

    Liegt ja vielleicht an deiner Fragestellung. Also frag ich einfach mal:
    Was genau ist dein Ziel?
     > Ich habe mal die Einstellungen der Policies zur besseren Verständigung mal hochgeladen. Es der 1. und der einzige ActiveDomainController. Somit laufen alle Betriebsmaster auf diesem einen. PDC, RID-Master, Infrastrukturmaster usw. Ich habe das auch noch überprüft.

    Egal.

    Fakt ist, daß der DC die Accountrichtlinien (passe mich dir an:-) v. Default domain Policy zieht und eine Änderung v. Admin Kennwort 4 stellig im Benutzerverwaltung v. DC erlaubt. Wenn ich die Richtlinien v. Default domain Policy zurücksetze oder die Verknüpfung davon entferne, werden die Account Richtlinien im Bezug auf Kennwortlänge etc. aus der Richtlinie Default domain controller Policy nicht gezogen aber die übrigen Richtlinien die standard mäßig drin sind schon.

    Und? Nichts anderes hat dir Martin doch geschrieben. Passwortrichtlinien für Domain Konten haben nur Gültigkeit, wenn sie auf Domänenebene deklariert werden. Also kann deine DDCP keine Wirkung zeigen was Passwortrichtlinien angeht.

    Weitere Lektüre:
    http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/
    http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 13:08
  • Hallo Norbert,

    vielen Dank für die Antwort. 

    Dann versuche ich mal zu schildern was ich testen möchte.

    Auf der Domänenebene möchte ich, daß alle die Standardeinstellungen haben sollen, w. z. B. Kennwortlänge v. 7 und Komplexität. Jedoch möchte ich am Domänencontroller selbst eine Kennwortlänge v. min. 10 Zeichen haben, so daß andere mir untergeordnete Admins, bei einer Änderung min. 10 Zeichen eingeben müssen.

    Wie mache ich das:-)

    Der einzige DC ist bereits in der einzigen OU Domain Controllers.

    Dienstag, 6. Oktober 2015 13:38
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    Dann versuche ich mal zu schildern was ich testen möchte.

    Auf der Domänenebene möchte ich, daß alle die Standardeinstellungen haben sollen, w. z. B. Kennwortlänge v. 7 und Komplexität. Jedoch möchte ich am Domänencontroller selbst eine Kennwortlänge v. min. 10 Zeichen haben, so daß andere mir untergeordnete Admins, bei einer Änderung min. 10 Zeichen eingeben müssen.

    Schau dir die Links an, die ich dir im anderen Posting gegeben habe. Das Stichwort ist https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx

    Wie mache ich das:-)

    Siehe Link.

    Der einzige DC ist bereits in der einzigen OU Domain Controllers.

    Auch wenns nicht der einzige ist, sollten die da alle stehen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 13:45
  • > Fakt ist, daß der DC die Accountrichtlinien (passe mich dir an:-) v.
    > Default domain Policy zieht und eine Änderung v. Admin Kennwort 4
    > stellig im Benutzerverwaltung v. DC erlaubt. Wenn ich die Richtlinien v.
    > Default domain Policy zurücksetze oder die Verknüpfung davon entferne,
    > werden die Account Richtlinien im Bezug auf Kennwortlänge etc. aus der
    > Richtlinie Default domain controller Policy nicht gezogen aber die
    > übrigen Richtlinien die standard mäßig drin sind schon.
     
    Ja, sag ich doch. Den PDC interessieren Kennwortrichtlinien in der DDCP
    nicht, und wenn Du die DDP deaktivierst, bleiben deren letzte Werte
    trotzdem erhalten, die verschwinden nicht.
     
    Ein effektives "nicht definiert" gibt es für Kennwortrichtlinien nicht.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 6. Oktober 2015 13:54
  • Hallo,

    erstmal vielen Dank euch beiden.

    Ich werde mich in dem englischen Text mal durchkämpfen. 

    Wenn ich die Kennwortrichtlinien in der DDCP verändere ziehen die ja nicht. 

    Stellen sich für mich dann die Fragen:

    1. Wann und in welchem Fall ziehen die DDCP Richtlinien?

    2. Wenn die Accountrichtlinien v. DDCP nicht ziehen, warum kann man sie darin verstellen.

    Dienstag, 6. Oktober 2015 14:14
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    Wenn ich die Kennwortrichtlinien in der DDCP verändere ziehen die ja nicht.

    Stellen sich für mich dann die Fragen:

    1. Wann und in welchem Fall ziehen die DDCP Richtlinien?

    Gar nicht. Wie oft möchtest du es noch hören? Die ZIEHEN GAR NICHT! NIE! ;)

    2. Wenn die Accountrichtlinien v. DDCP nicht ziehen, warum kann man sie darin verstellen.

    Weil Microsoft keine Lust hatte für die DDCP eine andere GUI zu bauen. Du kannst auch in allen anderen GPOs Accountpolicies definieren und die wirken auch nicht (auf Domänenkonten). ;)
    Warum ist die Banane krumm?
    http://www.pickywallpapers.com/movies-tvshows/despicable-me/despicable-me-2-banana-picture/

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 14:29
  • Hallo Norbert,

    wir reden ein bisschen aneinander vorbei.

    Das die Accountrichtlinien nicht ziehen, habe ich verstanden.

    Für was ist die DDCP dann gut? Welcher Teil kann man den bearbeiten? Irgendein Teil davon muß ja ziehen, sonst bräuchte wir sie ja nicht. Das davon etwas zieht sieht man ja im gpresult.

    In dem Zeitalter und bei dem Fortschritt, sollte sich Microsoft schon die Mühe gebe, die Sachen richtig zu trennen. Für mich ist das ja wie ein Rätselraten.

    Aber vielen Dank für deine Mühe

    Dienstag, 6. Oktober 2015 17:50
  • Hallo Norbert,

    ich habe mich jetzt ein bisschen im I-Net schlau gemacht.

    Mann soll die Finger v. Default policys nehmen. Mann soll eigene Policys machen.

    Das sagt mir, das sind spezielle Voreinstellungen mit DDP und DDCP.

    Ich werde mich wohl tiefer reinlesen müssen.

    Aber vielen Dank für eure Mühe.

    Dienstag, 6. Oktober 2015 18:17
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,

    wir reden ein bisschen aneinander vorbei.

    Nein.

    Das die Accountrichtlinien nicht ziehen, habe ich verstanden.

    Für was ist die DDCP dann gut?

    Die gilt für DCs (mit AUsnahme der Accountpolicies).

    Welcher Teil kann man den bearbeiten? Irgendein Teil davon muß ja ziehen, sonst bräuchte wir sie ja nicht. Das davon etwas zieht sieht man ja im gpresult.

    Alles ausser Account Policies.

    In dem Zeitalter und bei dem Fortschritt, sollte sich Microsoft schon die Mühe gebe, die Sachen richtig zu trennen. Für mich ist das ja wie ein Rätselraten.

    Nur weil du es nicht verstanden hast, muß sich also jemand Mühe geben? ;) Ich denke wenn du dich eingelesen hast, wirst du das nicht mehr so wild sehen.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 19:51
  • Am 06.10.2015 schrieb Servet Kaplan:
    Hi,
     > ich habe mich jetzt ein bisschen im I-Net schlau gemacht.

    Gute Idee.

    Mann soll die Finger v. Default policys nehmen. Mann soll eigene Policys machen.

    Ja, aber das hat andere Gründe. ;)
    U.a. sind die GUIDs dieser GPOs immer identisch und deswegen gibts auch Anwendungen, die die hardcodiert verwenden.
    oder auch: http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

    Das sagt mir, das sind spezielle Voreinstellungen mit DDP und DDCP.

    Naja die sind nicht wirklich speziell. Kann man sich doch anschauen.

    Ich werde mich wohl tiefer reinlesen müssen.

    Immer eine gute Idee.

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 6. Oktober 2015 19:54
  • Hallo Norbert,

    vielen Dank für deine Hilfe. Hat mir sehr geholfen. Das du mich ein bisschen veräppeln tust ist auch ok:-)

    Ich habe mir das durchgelesen, was du mir geschickt hast. Jedoch verstehe ich einen Satz nicht genau. Vielleicht bist du so nett und erklärst mir was die damit meinen:

    Ändert man auf dem PDC-Emulator die Kennworteinstellungen direkt im Domänenobjekt (dem sog. “Domain Head”), so schreibt Windows die Daten zurück in die Default Domain Policy.

    Was meinen die genau mit "direkt im Domänenobjekt"? Mit was für einem tool wird hier die "Kennworteinstellungen" geändert? Und was wird z. B. gäendert? Kennwort selbst oder Kennwortlänge? Ich stehe hier ein bisschen auf dem Schlauch.

    Veräppel mich bitte nicht gleich wieder:-)

    Dienstag, 6. Oktober 2015 22:59
  • > Was meinen die genau mit "direkt im Domänenobjekt"? Mit was für einem
    > tool wird hier die "Kennworteinstellungen" geändert? Und was wird z. B.
    > gäendert? Kennwort selbst oder Kennwortlänge? Ich stehe hier ein
    > bisschen auf dem Schlauch.
     
    ADSIEdit oder ADExplorer oder ein LDAP-Browser...
     
    Die Domäne selbst hat Attribute (wie jedes andere AD-Objekt auch) -
    unter anderem maxPwdAge, minPwdAge, minPwdLength. Änderst Du die, dann
    werden diese Änderungen in die DDP zurückgeschrieben. Andersrum genauso
    - änderst Du die DDP, landen die Änderungen in diesen Attributen.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 7. Oktober 2015 08:47
  • Am 07.10.2015 schrieb Servet Kaplan:
    Hi,

    vielen Dank für deine Hilfe. Hat mir sehr geholfen. Das du mich ein bisschen veräppeln tust ist auch ok:-)

    Mach ich doch gar nicht. :)

    Ich habe mir das durchgelesen, was du mir geschickt hast. Jedoch verstehe ich einen Satz nicht genau. Vielleicht bist du so nett und erklärst mir was die damit meinen:

    Ändert man auf dem PDC-Emulator die Kennworteinstellungen direkt im Domänenobjekt (dem sog. “Domain Head”), so schreibt Windows die Daten zurück in die Default Domain Policy.

    Was meinen die genau mit "direkt im Domänenobjekt"? Mit was für einem tool wird hier die "Kennworteinstellungen" geändert? Und was wird z. B. gäendert? Kennwort selbst oder Kennwortlänge? Ich stehe hier ein bisschen auf dem Schlauch.

    Hat Martin dir bereits geantwortet. Ich denke das sollte also geklärt sein, oder? :)

    Bye
    Norbert

    Mittwoch, 7. Oktober 2015 09:32
  • Ah Martin,

    vielen Dank. Habs verstanden. Glaube ich zumindest:-)

    Kannst du mir auch eventuell erklären was dieser Begriff genau bedeutet:

    Domänenobjekt (dem sog. “Domain Head”)

    Vielen Dank für eure Mühe.

    Mittwoch, 7. Oktober 2015 09:32
  • Am 07.10.2015 schrieb Servet Kaplan:
    Hi,

    Kannst du mir auch eventuell erklären was dieser Begriff genau bedeutet:

    Domänenobjekt (dem sog. “Domain Head”)

    https://technet.microsoft.com/en-us/library/cc961591.aspx

    Bye
    Norbert

    Mittwoch, 7. Oktober 2015 09:50
  • Hallo Norbert,

    vielen Dank, aber mit Englisch tue ich mir schwer. Da verstehe ich zwar schon einiges aber kann mir nicht sicher sein. Aber ich weiß ungefähr um was es geht.

    Ich habe einen weiteren Test durchgeführt.

    Ich habe eine Gruppenrichtlinie test erstellt. Kennwortlänge auf 4 gesetzt und die komplextität abgeschaltet.

    Ergebnis ist: auf Domänenebene zieht die Richtlinie aber im OU Domänencontroller zieht die Richtlinie im Bezug auf Kontorichtlinien nicht. 

    Das sagt mir, daß die Beschränkung im Bezug auf die Kontorichtlinien nicht am DDCP liegt sondern bereits schon für die OU der DC. Ist das richtig?

    Folgende Fragen hätte ich noch dazu:

    Macht es Sinn die Vererbung für die OU der DC auszuschalten damit die Einstellungen für die Domänenuser nicht im DC ziehen. Z. B. Laufwerksmappung?

    Donnerstag, 8. Oktober 2015 09:32
  • Am 08.10.2015 schrieb Servet Kaplan:
    Hi,

    vielen Dank, aber mit Englisch tue ich mir schwer. Da verstehe ich zwar schon einiges aber kann mir nicht sicher sein. Aber ich weiß ungefähr um was es geht.

    Aha. Dann nimm halt Google Translate. ;)

    Das sagt mir, daß die Beschränkung im Bezug auf die Kontorichtlinien nicht am DDCP liegt sondern bereits schon für die OU der DC. Ist das richtig?

    Nein.
     > Folgende Fragen hätte ich noch dazu:


    Macht es Sinn die Vererbung für die OU der DC auszuschalten damit die Einstellungen für die Domänenuser nicht im DC ziehen. Z. B. Laufwerksmappung?

    Nein, das ist nicht sinnvoll. Du solltest dir lieber anschauen, wie man GPO Design vornimmt, anstatt dich mit den DEfault Policies und der Domain Controller OU zu befassen. Das ist nicht zielführend.

    Bye
    Norbert

    Donnerstag, 8. Oktober 2015 09:47
  • > Ergebnis ist: auf Domänenebene zieht die Richtlinie aber im OU
    > Domänencontroller zieht die Richtlinie im Bezug auf Kontorichtlinien nicht.
     
    Steht doch weiter oben schon mehrfach...
     
     
    > Das sagt mir, daß die Beschränkung im Bezug auf die Kontorichtlinien
    > nicht am DDCP liegt sondern bereits schon für die OU der DC. Ist das
    > richtig?
     
    Nein, das liegt am DC, der das einfach nicht macht, egal in welcher OU
    er ist. Punkt.
     
    > Macht es Sinn die Vererbung für die OU der DC auszuschalten damit die
    > Einstellungen für die Domänenuser nicht im DC ziehen. Z. B.
    > Laufwerksmappung?
     
    Nein. Für Server aktiviert man Loopback Replace.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Donnerstag, 8. Oktober 2015 10:49