ich möchte die Domain Kennwortrichtlinien von Standard zu Komplex ändern.
Meine Frage:
1- Kann ich bestimmte Benutzer von der Richtlinie ausnehmen, sodass sie ihr normales Password "Kein komplexes Passwort" weiterhin benutzen können? Ob dies über "Kennwort zurücksetzen und Festlegen" oder geht es anders?
Ich habe diese Anleitung "http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortrichtlinien_PSO_2008.htm" gefolgt. Diese PSO ist verbunden mit und muß das Password Komplex sein [msDS-PasswordComplexityEnabled = True]:
DN= OU=Standard Benutzer,OU=Benutzer,OU=Firma GmbH,DC=Firma,DC=local, und die gpupdate /force ausgeführt.
1- Ich habe auf dem 2008 DC immer noch die Standard Kennwortrichtlinien aktive, ich habe es noch nicht geändert.
2- Ich wollte die neue PSO testen, aber diese PSO wirkt nicht, wenn ich einen neuen Benzter im Kontanier "Standard Benutzer" erstelle und ein standard Password "test1234" vergebe, akzeptiert das System es ohne Fehlermeldung.
Sollte es aber nicht so sein, ich hätte eine Fehlermeldung bekommen sollen!!
Oder die PSO arbeitet nur mit CN und kein OU?? In Anleitung stehet CN=......., ich habe die DN Name mit Copy & Past gemacht. In die OU=Standard Benutzer,OU=Benutzer sind alle Domain Bentzer.
Du kannst ausschließlich Benutzer oder globale Sicherheitsgruppen mit PSOs versehen. OUs gehen nicht.
Siehe dazu auch:
Zitat von http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
Are there any special considerations?
Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. By default, only members of the Domain Admins group can set fine-grained password policies. However, you can also delegate the ability to set these policies to other users. The domain functional level must be Windows Server 2008.
Alle Domain Benutzer haben momentan einfache Passwörter.
Wirkt diese Einstellung sofort oder NUR, wenn der Benutzer sein passwort demnächst ändern will oder muß??
Wie kann ich alle Benutzer Ihr Passwörter an diese PSO bzw. Komplexe Passwörter zwingen, ohne dass ich die Domain KennwortRichtlinien zu ändern muß.
Meine Ängeste sind, Wenn ich die Domain KennwortRichtlinien zu KomplexRichtlininen ändern würde, dass bestimmte Benutzerkonten, die einfaches PW haben, weil die einen Maschine Benutzer sind, und ihre Passwörter sind festgesetzt und nicht ändernbar, sind nicht mehr einloggen können.
Ich habe mich überlegt, die KomplexRichtlinien als standard Domain KennwortRichtlinien einzusetzen und die PSO für bestimmten Benutzer als Ausnahme für einfache Passwörter zu verwenden.
