Hallo Leute,
unter 2008R2 sind ja nun mehrere Kennwortrichtlinien möglich. Ich habe nun ein PSO erstellt und explizit Benutzern zugewiesen. Das entsprechende Attribut ist beim user auch hinterlegt, dass habe ich extra kontrolliert. Nun ist es aber dennoch so, dass die DDP "zieht" und nicht meine eigens PSO.
Ich finde aber auch keinen Fehler, es gibt ja einige Anleitungen wie es einzurichten ist und genau das habe ich getan.
Es handelt sich um eine W2K8R2 Domäne welche bis auf das fehlerlos arbeitet.
Hat jemand eine Idee was ich falsch mache oder wo der Fehler liegen könnte?
Danke!
23 Antworten in diesem Thema
#2
Daim
-
-
- 4.542 Beiträge
Expert Member
Geschrieben 17. September 2010 - 14:38
Servus,
das bedeutet, wenn du diesen AD-PowerShellbefehl "Get-ADUserResultantPasswordPolicy <Benutzer>" ausführst, bekommst du die entsprechende PSO angezeigt?
LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten
das bedeutet, wenn du diesen AD-PowerShellbefehl "Get-ADUserResultantPasswordPolicy <Benutzer>" ausführst, bekommst du die entsprechende PSO angezeigt?
LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten
#3
einstein
-
-
- 153 Beiträge
Member
Geschrieben 20. September 2010 - 09:33
Hallo Yusuf, exakt so ist es. Er zeigt mir hier die korrekte PSO inkl. der entsprechenden Werte etc. an.
Ich habe mich genau an Deine Anleitung gehalten und bin am verzweifeln. Verstehe derzeit echt nicht woran das liegen könnte..
Ich habe mich genau an Deine Anleitung gehalten und bin am verzweifeln. Verstehe derzeit echt nicht woran das liegen könnte..
70-270/290/291/284
#4
Daim
-
-
- 4.542 Beiträge
Expert Member
Geschrieben 20. September 2010 - 09:44
Die folgenden drei Optionen können stets die Kennwortvorgaben eines PSOs aushebeln. Trifft zufällig mindestens eins davon bei dem entsprechenden Benutzer zu?
- Kennwort läuft nie ab
- Kennwort mit umkehrbarer Verschlüsselung speichern
- Kennwort nicht erforderlich
- Kennwort läuft nie ab
- Kennwort mit umkehrbarer Verschlüsselung speichern
- Kennwort nicht erforderlich
#5
einstein
-
-
- 153 Beiträge
Member
Geschrieben 20. September 2010 - 11:03
Danke für deine Antwort. Zunächst dachte ich das wäre der Fehler gewesen, denn "Kennwort läuft nie ab" war tatsächlich noch aktiviert......
Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.
Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)
Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.
Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)
70-270/290/291/284
#6
Daim
-
-
- 4.542 Beiträge
Expert Member
Geschrieben 20. September 2010 - 11:38
Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.
Verknüpfe doch mal die PSO mit einem anderen (evtl. neuen) Benutzer. Funktioniert die PSO dann? Erstelle auch eine weitere PSO und verküpfe auch diese PSO mit diversen Benutzern oder Gruppen.
Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)
Keine Sorge, PSOs funktionieren prinzipiell! Nur deinem Fall liegt der Hase noch im Dunkeln vergraben. Das lässt sich aber sicher bald klären.
#7
einstein
-
-
- 153 Beiträge
Member
Geschrieben 20. September 2010 - 12:32
PSO hatte ich schon vorab mit Gruppen und mehreren Usern verknüpft ohne Erfolg. Selbst andere XP Client´s brachten nix.
Die Idee mit einem neu angelegten User war gut, leider auch hier kein Erfolg obgleich die Policy entsprechend zugewiesen ist. Habe ich erneut mit "Get-ADUserResultantPasswordPolicy" überprüft.
Aus irgendeinem Grund zieht immer noch die DDP und nicht die PSO obgleich die offensichtlich zugewiesen ist. Aktuell habe ich dafür keine Erklärung und auch keine Idee woran das liegen könnte? Ich meine das Prinzip dahinter verstanden zu haben, habe ja deinen Artikel ausführlich gelesen. Ich arbeite mit ADSI-Edit, vielleicht liegt es daran?
Zum Test erstelle ich nun mal die PSO neu via PowerShell.
Die Idee mit einem neu angelegten User war gut, leider auch hier kein Erfolg obgleich die Policy entsprechend zugewiesen ist. Habe ich erneut mit "Get-ADUserResultantPasswordPolicy" überprüft.
Aus irgendeinem Grund zieht immer noch die DDP und nicht die PSO obgleich die offensichtlich zugewiesen ist. Aktuell habe ich dafür keine Erklärung und auch keine Idee woran das liegen könnte? Ich meine das Prinzip dahinter verstanden zu haben, habe ja deinen Artikel ausführlich gelesen. Ich arbeite mit ADSI-Edit, vielleicht liegt es daran?
Zum Test erstelle ich nun mal die PSO neu via PowerShell.
70-270/290/291/284
#9
NilsK
-
-
- 8.255 Beiträge
Expert Member
Geschrieben 21. September 2010 - 09:19
Moin,
ich habe gute Erfahrungen mit diesem Tool gemacht:
faq-o-matic.net Abgestufte Kennwortrichtlinien endlich komfortabel
Du kannst dir mit José die Definition und Zuordnung der PSOs anzeigen lassen - vielleicht wird da ja ein Fehler deutlich.
faq-o-matic.net José: Version 3.0 ist da
Gruß, Nils
ich habe gute Erfahrungen mit diesem Tool gemacht:
faq-o-matic.net Abgestufte Kennwortrichtlinien endlich komfortabel
Du kannst dir mit José die Definition und Zuordnung der PSOs anzeigen lassen - vielleicht wird da ja ein Fehler deutlich.
faq-o-matic.net José: Version 3.0 ist da
Gruß, Nils
Nils Kaczenski
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
MVP Directory Services: Architecture
... der beste Schritt zur Problemlösung: Anforderungen definieren!
Kostenlosen Support gibt es nur im Forum, nicht privat!
#10
olc
-
-
- 3.922 Beiträge
Expert Member
Geschrieben 21. September 2010 - 18:56
Hi,
nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2?
Die Domäne muß
a) im Modus 2008 oder höher sein und
dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden).
Viele Grüße
olc
nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2?
Die Domäne muß
a) im Modus 2008 oder höher sein und
dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden).Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)
#11
einstein
-
-
- 153 Beiträge
Member
Geschrieben 22. September 2010 - 13:06
@NilsK
Das Tool hatte ich schon verwendet.
Die Zuordnung usw. habe ich schon mit ADs Powershell geprüft.
@olc
Ja Die Domäne ist im 2008R2 Modus und besteht nur aus 2008R2 DC´s.
Die PSO habe ich erst nach dem hochstufen angelegt. Genauer erst Wochen danach..
Danke erst mal für Eure Hilfe. Bisher tappe ich noch im Dunkeln wieso das nicht funktioniert wobei es doch relativ klar ist wie das einzurichten ist etc..
Das Tool hatte ich schon verwendet.
Die Zuordnung usw. habe ich schon mit ADs Powershell geprüft.
@olc
Ja Die Domäne ist im 2008R2 Modus und besteht nur aus 2008R2 DC´s.
Die PSO habe ich erst nach dem hochstufen angelegt. Genauer erst Wochen danach..
Danke erst mal für Eure Hilfe. Bisher tappe ich noch im Dunkeln wieso das nicht funktioniert wobei es doch relativ klar ist wie das einzurichten ist etc..
70-270/290/291/284
#12
olc
-
-
- 3.922 Beiträge
Expert Member
Geschrieben 22. September 2010 - 13:36
Hi einstein,
dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet?
Kennwortlänge, Komplexität, minimales Kennwortalter usw.?
Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten).
Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers.
Sind alle Benutzer betroffen oder nur ein einzelner?
Viele Grüße
olc
dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet?
Kennwortlänge, Komplexität, minimales Kennwortalter usw.?
Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten).
Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers.
Sind alle Benutzer betroffen oder nur ein einzelner?
Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)
#13
einstein
-
-
- 153 Beiträge
Member
Geschrieben 22. September 2010 - 15:04
Hallo olc,
es werden wohl überhaupt keine Kriterien angewendet bzw. exakt diejenigen aus der DDP.
Meine Einstellungen in der PSO entsprechen den Beispielen der MS Hilfe. Wobei ich inzwischen schon einige verschiedene angelegt habe mit unterschiedlichen Einstellungen. Aber hier siehe selbst:
AppliesTo : {CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de}
ComplexityEnabled : True
DistinguishedName : CN=Standard,CN=Password Settings Container,CN=Sys
tem,DC=firma,DC=de
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 8
Name : Standard
ObjectClass : msDS-PasswordSettings
ObjectGUID : 1b6400a1-8734-409d-a3af-d068698b171e
PasswordHistoryCount : 24
Precedence : 10
ReversibleEncryptionEnabled : False
User habe ich inzwischen verschiedene getestet, ebenso mehrere Computer. Mit deinen vorgeschlagenen Exports bin ich im Moment etwas überfordert....
es werden wohl überhaupt keine Kriterien angewendet bzw. exakt diejenigen aus der DDP.
Meine Einstellungen in der PSO entsprechen den Beispielen der MS Hilfe. Wobei ich inzwischen schon einige verschiedene angelegt habe mit unterschiedlichen Einstellungen. Aber hier siehe selbst:
AppliesTo : {CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de}
ComplexityEnabled : True
DistinguishedName : CN=Standard,CN=Password Settings Container,CN=Sys
tem,DC=firma,DC=de
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 8
Name : Standard
ObjectClass : msDS-PasswordSettings
ObjectGUID : 1b6400a1-8734-409d-a3af-d068698b171e
PasswordHistoryCount : 24
Precedence : 10
ReversibleEncryptionEnabled : False
User habe ich inzwischen verschiedene getestet, ebenso mehrere Computer. Mit deinen vorgeschlagenen Exports bin ich im Moment etwas überfordert....
70-270/290/291/284
#14
olc
-
-
- 3.922 Beiträge
Expert Member
Geschrieben 22. September 2010 - 16:00
Hi einstein,
folgende Exports wären interessant:
1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt
2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt
3. Auf dem PDCe: secedit /cfg /export security.txt
Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export).
Viele Grüße
olc
folgende Exports wären interessant:
1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt
2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt
3. Auf dem PDCe: secedit /cfg /export security.txt
Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export).
Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)
#15
einstein
-
-
- 153 Beiträge
Member
Geschrieben 23. September 2010 - 07:15
Hi olc,
also secedit will bei mir nicht. Anbei die beiden anonymisierten Exports.
Was ich noch sagen wollte, die Domain ist eine SubDomain unserer RootDomain. Welche auch Funktionsebene 2K8R2 hat. Aber die Gesamtstrukturfunktionsebene ist noch 2003 da ich noch eine andere Subdomäne habe welche unter 2003 läuft.
dn: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain
changetype: add
objectClass: top
objectClass: msDS-PasswordSettings
cn: Standard
distinguishedName:
CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain
instanceType: 4
whenCreated: 20100917135541.0Z
whenChanged: 20100922145639.0Z
uSNCreated: 2413942
uSNChanged: 2580039
name: Standard
objectGUID:: oQBkGzSHnUCjr9BoaYsXHg==
objectCategory:
CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=RootDomain
dSCorePropagationData: 20100921114243.0Z
dSCorePropagationData: 16010101000001.0Z
msDS-MaximumPasswordAge: -36288000000000
msDS-MinimumPasswordAge: -864000000000
msDS-MinimumPasswordLength: 18
msDS-PasswordHistoryLength: 24
msDS-PasswordComplexityEnabled: TRUE
msDS-PasswordReversibleEncryptionEnabled: FALSE
msDS-LockoutObservationWindow: -18000000000
msDS-LockoutDuration: -18000000000
msDS-LockoutThreshold: 10
msDS-PSOAppliesTo:
CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=Firma,DC=de,DC=RootDomain
msDS-PasswordSettingsPrecedence: 10
also secedit will bei mir nicht. Anbei die beiden anonymisierten Exports.
Was ich noch sagen wollte, die Domain ist eine SubDomain unserer RootDomain. Welche auch Funktionsebene 2K8R2 hat. Aber die Gesamtstrukturfunktionsebene ist noch 2003 da ich noch eine andere Subdomäne habe welche unter 2003 läuft.
dn: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain
changetype: add
objectClass: top
objectClass: msDS-PasswordSettings
cn: Standard
distinguishedName:
CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain
instanceType: 4
whenCreated: 20100917135541.0Z
whenChanged: 20100922145639.0Z
uSNCreated: 2413942
uSNChanged: 2580039
name: Standard
objectGUID:: oQBkGzSHnUCjr9BoaYsXHg==
objectCategory:
CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=RootDomain
dSCorePropagationData: 20100921114243.0Z
dSCorePropagationData: 16010101000001.0Z
msDS-MaximumPasswordAge: -36288000000000
msDS-MinimumPasswordAge: -864000000000
msDS-MinimumPasswordLength: 18
msDS-PasswordHistoryLength: 24
msDS-PasswordComplexityEnabled: TRUE
msDS-PasswordReversibleEncryptionEnabled: FALSE
msDS-LockoutObservationWindow: -18000000000
msDS-LockoutDuration: -18000000000
msDS-LockoutThreshold: 10
msDS-PSOAppliesTo:
CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=Firma,DC=de,DC=RootDomain
msDS-PasswordSettingsPrecedence: 10
70-270/290/291/284
