none
Kennwortänderung, Dauer, Default Domain Policy enforce RRS feed

  • Frage

  • Hallo zusammen,

    ich möchte für eine OU eine andere Passwort Policy festlegen. Bei allen User in dieser OU sollen die User erst nach 42Tagen das Passwort ändern müssen.

    1 Frage: In der GPO findet man die Passwort Policy nur unter Computer Configuration obwohl es eigentlich User betrifft. Muss man auch die PC in diese OU geben?

    In der "Default Domain Policy" ist der Wert grundsätzlich festgelegt und die DDP ist enforced? Heißt dass, das die Policy in der OU nicht zieht weil sie von der Default Domain übersteuert wird?

    Policies - Windows Settings - Security Settings - Account Policies/Password Policy Policy Setting
    Maximum password age 42 days
    Minimum password age 0 days


    Chris

    Dienstag, 6. November 2012 14:36

Antworten

Alle Antworten

  • Hallo,

    so wie Du das willst, geht das nicht! Du kannst über eine GPO nur eine Kennwortrichtlinie definieren. Du brauchst PSOs.

    http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlinien-in-einer-domane/

    Viele Grüße

    Frank


    -- Frank Röder http://blog.iteach-online.de --

    • Als Antwort markiert -- Chris -- Mittwoch, 7. November 2012 09:34
    Dienstag, 6. November 2012 15:40
  • Am 06.11.2012 15:36, schrieb tron2010:
    > 1 Frage: In der GPO findet man die Passwort Policy *nur *unter Computer
    > Configuration obwohl es eigentlich User betrifft
     
    ... und wo werden Benutzer verwaltet und gespeichert?
    ;-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Dienstag, 6. November 2012 18:13
  • Hallo Frank,

    das klingt ja echt kompliziert?

    kurze Frage noch

    1.) Wozu wird der Dialog dann angeboten (Siehe neue GP Screenshot)

    2. Wenn ich den Wert in der Default Domain Policy ändern würde greift er schon für alle - oder?


    Chris

    Mittwoch, 7. November 2012 06:24
  • Hallo Chris,

    der Wert wird angeboten, da Microsoft nie wissen kann, wo Du die Richtlinie verknüpfen möchtest.
    Wenn Du den Wert in der DefDomPol anpasst, dann greift das für alle Benutzerkonten.

    Der einzige Weg ist also über die PSO´s.

    BTW: So kompliziert wie das klingt, ist das eigentlich nicht.

    Viele Grüße

    Frank


    -- Frank Röder http://blog.iteach-online.de --

    Mittwoch, 7. November 2012 09:15