none
AD Benutzerpasswort ändern bei Windows 7 über Taskmanager RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Leute,

    wenn ein Benutzer sein Domänenpasswort unter Windows7 über den Taskmanager ändern möchte, so erhält er kontinuierlich den Hinweis, dass das Passwort nicht den Anforderungen entspricht (was es aber tut). Erzwinge ich jedoch das Ändern des Passworts im AD Users and Computers durch den Haken bei "Benutzer muss Passwort bei der nächsten Anmeldung ändern", dann kann er genau das zuvor abgelehnte Passwort auf einmal verwenden.

    Gibt es Unterschiede in der Passwortdefinition für die Art der Änderung?

    Viele Grüße Dirk
    Mittwoch, 17. August 2011 08:46
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 17.08.2011 17:07, schrieb -Dirk-:
    > - nur eine einzige Richtline, die die Passworteinstellungen regelt.
    > Diese ist mit "Standorte" verknüpft.
    > - keine Verebung deaktiviert (keine blauen Ausrufezeichen)
    >
    > - ldp: tja, da steht: minPwdAge: 432000;
     
    Okay - das Format kann ich jetzt gerade nicht interpretieren. minPwdAge
    sollte etwas aussprucken, das 05:00:00:00 für fünf Tage, null Stunden,
    null Minuten und null Sekunden bedeutet.
     
    Was mich aber stutzig macht: Passwortrichtlinien können nur auf
    Domänenebene verlinkt werden. Überall sonst verlinkt wirken sich die
    Einstellungen auf maschinen-lokale Benutzerkonten aus, nicht auf AD-Konten.
     
    Wenn du die Passwortrichtlinie für Domänenkonten ändern willst, wovon
    ich jetzt ausgehe, dann musst du das in einer Gruppenrichtlinie auf
    Domänenebene machen. Ein guter Kandidat dafür ist die Default Domain
    Policy - da liegen sie bei Default schon drin.
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    • Als Antwort markiert -Dirk- Donnerstag, 18. August 2011 07:28
    Mittwoch, 17. August 2011 15:13
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 17.08.2011 10:46, schrieb -Dirk-:
    > wenn ein Benutzer sein Domänenpasswort unter Windows7 über den
    > Taskmanager ändern möchte, so erhält er kontinuierlich den Hinweis, dass
    > das Passwort nicht den Anforderungen entspricht (was es aber tut).
    > Erzwinge ich jedoch das Ändern des Passworts im AD Users and Computers
    > durch den Haken bei "Benutzer muss Passwort bei der nächsten Anmeldung
    > ändern", dann kann er genau das zuvor abgelehnte Passwort auf einmal
    > verwenden.
    >
    > Gibt es Unterschiede in der Passwortdefinition für die Art der Änderung?
     
    Nein, da sollte es keine Unterschiede geben. Eventuell kollidiert die
    "freiwillige" Passwortänderung mit der "minimum password age"
    Einstellung der Passwortrichtlinie.
     
    Cheers,
    Florian
     
     
    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 11:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Florian,

    daran hatte ich auch gedacht, steht aber auf 0 Tage.

    Viele Grüße Dirk
    Mittwoch, 17. August 2011 11:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe das eben mal mit einem XP-Client versucht, dort funktioniert es ebenfalls nicht, er zeigt aber mehr Infos an: Das Kennwort wäre keine 5 Tage alt.

    Die 5 Tage minimales Kennwortalter ist eine alte Einstellung, die ich heut morgen geändert habe auf 0 Tage. Ein RSOP auf dem Client zeigt mir auch an, dass die Richtline angekommen ist, es werden im RSOP-Ergebnis "0 Tage" bei "minimales Kennwortaöter angezeigt".

    Ich habe den Client sowie den Testbenutzer in eine neue OU gelegt, auf die nur eine einzige GPO wirkt, die Default Domain Policy (per Standort-GPO).

    Es sieht so aus, als ignoriere der Client diese Einstellung. Hmmm.

    Viele Grüße Dirk
    Mittwoch, 17. August 2011 14:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Dirk,

    das wird das Problem sein. Was dir der Client an dieser Stelle anzeigt, ist irrelevant. Die Domänencontroller werten die Passwortrichtlinie aus und müssen deshalb die richtige Einstellung bekommen.

    Prüfe bitte mal folgendes:

    - auf Domänenebene: gibt es mehrere Richtlinien, die Passworteinstellungen definieren? Wie ist deren Verknüpfungsreihenfolge in der GPMC?

    - Ist "Block Inheritance" auf der Domain Controllers-OU aktiviert?

    - wenn du dich per LDP mit dem Domänencontroller verbindest (Connect, Bind, Tree anzeigen) und die Attribute von DC=deineDom,DC=com anzeigst, welchen Wert hat das Attribut minPwdAge? Das ist der Wert, der tatsächlich "wirkt".

     

    Cheers,

    Florian

    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 14:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Florian,

    - nur eine einzige Richtline, die die Passworteinstellungen regelt. Diese ist mit "Standorte" verknüpft.
    - keine Verebung deaktiviert (keine blauen Ausrufezeichen)

    - ldp: tja, da steht: minPwdAge: 432000;

    also nix mit 0 Tagen!

    Ich habe 2 Standorte in derselben Domäne. Es gibt 2 GPOs - jeweils auf Standorteben - die das Kennwortgeschehen regeln. Bei der ersten GPO ist es auf 0 Tagen, bei der zweiten steht es noch auf 5 Tagen (was ich eingentlich auch will).

    Welchen Wert welcher GPO sehe ich in der LDP-Abfrage?

    Habe es auch mal bei der 2. GPO auf 0 gesetzt -> LDP zeigt trotzdem 432000 an.

    Viele Grüße Dirk
    Mittwoch, 17. August 2011 15:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 17.08.2011 17:07, schrieb -Dirk-:
    > - nur eine einzige Richtline, die die Passworteinstellungen regelt.
    > Diese ist mit "Standorte" verknüpft.
    > - keine Verebung deaktiviert (keine blauen Ausrufezeichen)
    >
    > - ldp: tja, da steht: minPwdAge: 432000;
     
    Okay - das Format kann ich jetzt gerade nicht interpretieren. minPwdAge
    sollte etwas aussprucken, das 05:00:00:00 für fünf Tage, null Stunden,
    null Minuten und null Sekunden bedeutet.
     
    Was mich aber stutzig macht: Passwortrichtlinien können nur auf
    Domänenebene verlinkt werden. Überall sonst verlinkt wirken sich die
    Einstellungen auf maschinen-lokale Benutzerkonten aus, nicht auf AD-Konten.
     
    Wenn du die Passwortrichtlinie für Domänenkonten ändern willst, wovon
    ich jetzt ausgehe, dann musst du das in einer Gruppenrichtlinie auf
    Domänenebene machen. Ein guter Kandidat dafür ist die Default Domain
    Policy - da liegen sie bei Default schon drin.
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    • Als Antwort markiert -Dirk- Donnerstag, 18. August 2011 07:28
    Mittwoch, 17. August 2011 15:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Also die Domäne läuft schon einige Jahre - und bisher hat es so immer geklappt mit der Standortverlinkung.

    Ursprünglich ist es eine Kopie der Default Domän Policy, ergänzt um einige Punkte und mit den Standorten verknüpft. Warum soll das nicht funktionieren?

    LDP-Auszug:

    1> forceLogoff: 0 (none);
     1> lockoutDuration: -9223372036854775808 (none);
     1> lockOutObservationWindow: 3600;
     1> lockoutThreshold: 5;
     1> maxPwdAge: 7776000;
     1> minPwdAge: 432000;
     1> minPwdLength: 5;

    5 Zeichen, 5 Versuche bis zum Lockout, stimmt soweit. maxPwdAge zeigt die Zeit ebenfalls in Sekunden an. In sich schlüsig. Sind 2003er DCs.

    Hab mir alle GPO's, die auf den clinet wirken, nochmals durchgesehen - nirgendwo ist es diese Richtlinie definiert, außer in der Default Domain Policy auf Standortebene.

    Ich habe jetzt mal in den GPO's der Standort die Definition bzgl. der Kennwortrichtlinien rausgenommen und eine neue GPO auf Domänenebene gesetzt. Werde morgen mal sehen, ob sich dadurch was ändert.

     

     

    Viele Grüße Dirk
    Mittwoch, 17. August 2011 15:24
    |
  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 17.08.2011 17:24, schrieb -Dirk-:
    > Ursprünglich ist es eine Kopie der Default Domän Policy, ergänzt um
    > einige Punkte und mit den Standorten verknüpft. Warum soll das nicht
    > funktionieren?
     
    Naja, das ist die Funktionalität, die Windows nutzt, um die
    Passwortrichtlinie zu erstellen - Fine-Grained Password Policies jetzt
    mal aussen vor gelassen.
     
    Windows wird die Richtlinien auf Domänenebene verlinkt evaluieren und
    die "gewinnende" Richtlinie mit den Passwortrichtlinien nutzen und die
    gewinnenden Einstellungen auf das NC-Head Objekt schreiben. Das ist der
    Auszug:
     
    > LDP-Auszug:
    >
    > 1> forceLogoff: 0 (none);
    > 1> lockoutDuration: -9223372036854775808 (none);
    > 1> lockOutObservationWindow: 3600;
    > 1> lockoutThreshold: 5;
    > 1> maxPwdAge: 7776000;
    > 1> minPwdAge: 432000;
    > 1> minPwdLength: 5;
     
    Die 432000 sind fünf Tage in Sekunden, das passt. Meine Darstellung in
    LDP ist einfach anders.
     
    > Hab mir alle GPO's, die auf den clinet wirken, nochmals durchgesehen -
    > nirgendwo ist es diese Richtlinie definiert, außer in der Default Domain
    > Policy auf Standortebene.
     
    Das kann variieren. Wenn du auf einer OU Passworteinstellungen
    verteilst, wirst du diese auf dem Client (RSOP) sehen. Entscheidend sind
    die Richtlinien auf Domäneneebene verlinkt.
     
    Wenn es bei euch schon so jahrelang funktioniert wundert mich das.
    Eventuell sind die GPOs mehrfach verlinkt. Für Domänenbenutzerkonten,
    die sich an der Domäne anmelden, sind definitiv die Passwortrichtlinien
    interessant, die auf der Domänenebene verlinkt sind (und in LDP auf dem
    NC Head sichtbar sind). Wenn du dich mit SERVERNAME\meinLokalerBenutzer
    lokal an einer Maschine anmeldest, sieht es anders aus.
     
    Sieh dir doch mal bitte die GPOs auf Domänenebene an und vergleiche, was
    da angezeigt wird. Das sollte sich mit den Einstellungen da (LDP)
    überschneiden.
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT necessarily correlate with the ones of my friends, family or my employer. If anyone should be allowed to mark a response as an "answer", it should be the thread creator. No one else.
    Mittwoch, 17. August 2011 15:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Florian,

    yep - Du hattest recht. Mit der Richtlinie auf Domänenebene verlinkt funktioniert alles wieder, auch LPD zeigts jetzt richtig an.

    Warums in der weiteren Vergangenheit funktioniert hat, ist mir auch ein Rätsel. Auf der anderen Seite ändert man ja auch nicht täglich die Kennwortrichtlinie, vielleicht läufts schon lange nicht mehr und es ist mir einfach nicht aufgefallen.

     

    Seis drum, besten Dank für Deine kompetenete Hilfe!

    Viele Grüße Dirk
    Donnerstag, 18. August 2011 07:28
    |