ich habe in meiner win2k-Domäne eine gruppenrichtline für kennwortlänge und -alter definiert.
Leider wird die Richtlinie nicht übernommen... die xp-console gibt die fehlermeldung "Gesperrte SOM" raus... Google findet dazu leider nix, kennt jemand das Problem?
bei welchem Befehl gibt die XP-Conxole (ich nehme an du meinst cmd.exe) "gesperrte SOM" aus?
Und wo hast Du die Richtliene definiert?
In der Default Domain Policy? In der Default Domain Controller Policy? In einer von Dir selbst erstellten Policy?
Wenn letzteres: wird Dein DC von der Policy mit betroffen? Sprich greift die auch für ihn?
Ansonsten definier die Policy mal in der Default Domain Controller Policy :-)
eine Änderung der Kennwortrichtlinie "zieht" nicht in einer der Domäne untergeordneten OU. Auch dann nicht, falls die Vererbung deaktiviert ist.
Doch, tut sie. In der OU müssen nur Rechner drin sein. Wenn das dann die Workstations sind, dann greift die Richtlinie halt für die lokalen Benutzerkonten der Rechner.
Zitat von lefg
Eine Änderung in der Sicherheitrichtlinie für Domänen setzt sich allerdings durch.
Logo, der Domänencontroller liegt ja in der Hierarchie unter der Sicherheitslinie für Domänen. Hast Du jetzt allerdings in der Default Domain Controller Policy andere Einstellungen für die Kennwortrichtlinie definiert, greifen natürlich diese.
Doch, tut sie. In der OU müssen nur Rechner drin sein. Wenn das dann die Workstations sind, dann greift die Richtlinie halt für die lokalen Benutzerkonten der Rechner.
Hallo Stony,
das Thema gab es gestern. Ich habe mich gewundert, es dann probiert und bin zum gleichen Ergebnis gekommen wie der TO.
In der OU war auch der richtige Rechner, die GPO selbst wirkte auch, das Startskript der Domäne wurde nicht mehr gestartet. Bei den Kennworteinstellungen wirkte die DDP.
Hast Du einen Tipp für uns, woran es liegen könnte?
hier das vorläufige amtliche endergebnis meiner forschungen:
Ausgangslage ist ein w2k server, domänencontroller (logisch), alle updates drauf, neu installiert
kenntwortlänge in der default domain controller policy definiert, gpo-update erzwungen, kennwort geändert: kennwortlänge aus der gpo wird ignoriert!
betreffenden benutzer in die ou domain controllers verschoben (eigentlich sinnfrei, da computer-gpo, aber versuch ist es wert), gpo-update erzwungen, kennwort geändert: kennwortlänge aus der gpo wird ignoriert!
änderungen in der default domain controller policy rückgängig gemacht, gpo-update erzwungen
kenntwortlänge in der default domain policy definiert, gpo-update erzwungen, kennwort geändert: kennwortlänge aus der gpo wird durchgesetzt!
fazit: kennwortrichtlinien greifen nur wenn sie in der default domain policy gesetzt werden (oder in einer anderen policy, die im domain root angelegt wird und mit "kein vorrang" konfiguriert wird).
hi, sorry dass ich jetzt erst wieder schreib... hatte voll vergessen, dass ich hier gefragt hatte
Also, das Problem hat sich mittlerweile gelöst:
Kennwortrichtlinien war ein eigenes GPO, nix auf der Default Domain Policy!
Hab das Objekt nun auf der oberen Domainebene verknüpft - direkt unter Default Domain Policy ... das alleine hats aber nicht gebracht!
Und zwar musste ich noch in der GP-Adminkonsole unter XP nicht nur Authentifizierte Benutzer sondern auch noch NETZWERK als berechtigte Gruppe angeben, erst nachdem ich das getan hatte, haben alle Clients die GPO übernommen und alles funktioniert bestens...
)
