AD-Kennwort läuft ab trotz Wert 0 in GPO

[longbow 10]

Hallo zusammen

 

Ich hab hier noch so eine Wochenend-Knacknuss aus der ich nur halb schlau werde.

 

 

Umgebung läuft seit 6 Jahren, früher war in der Default Policy gesetzt 0 = Kennwort läuft nie ab und im AD bei den Usern auch das Flag gesetzt "Kennwort läuft nie ab" - Keine Diskussion bitte ob das Schlau ist oder nicht, das ist nicht mein Problem, ich bin nur der Dienstleister :-)

 

Vor 12 Monaten kam dann vom IT-Verantwortlichen die Aufforderung dass mit 100% Garantie alle User ihr Passwort ändern müssen - Wert in GPO runtergenommen auf 14 Tage, alle User haben das PW geändert, diejenigen welche nicht eingeloggt waren in den letzten 14 Tagen haben wir im AD das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt - Auftrag erledigt, danach GPO wieder auf 0 gesetzt für "Kennwort läuft nie ab"

 

11.5 Monate Ruhe - Nun erhalten auf einmal alle User die Aufforderung das Kennwort zu ändern obwohl in der Policy steht 0 = Kennwort läuft nie ab

 

GPO auf 999 Tage gesetzt (Umgebung wird in 11 Monaten abgelöst) -> kein Erfolg, Meldung bleibt

Terminalserver und DC alle gebootet, mit Gpupdate /force GPO's forciert -> Kein Erfolg, Meldung bleibt

 

-> bei jedem User im AD das Flag gesetzt "Kennwort läuft nie ab" -> Meldung kommt nicht mehr

 

Hat mir jemand eine logische und glaubwürdige Erklärung für das Systemverhalten? Ist das allenfalls so ein Problem mit "wenn einmal ein Wert gesetzt wurde darfst du alles setzen ausser 0 und mehr als 365 Tagen"???

 

Danke für eure Mithilfe

 

Grüsse aus der Schweiz

 

Longbow

[NilsK 2.785]

Moin,

 

in welcher Policy wurden die Einstellungen gesetzt?

Was gibt "net accounts /domain" aus?

 

[besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]
http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/

 

Gruß, Nils

[longbow 10]

Hallo Nils

 

Dein Typ war schon ein Volltreffer, mit net accounts /Domain kommt effektiv 365 Tage raus - hälst du es für möglich das meine Einstellung mit 999 Tage sich selbst korrigiert auf max. 365 Tage?

 

Die Einstellungen sind in der "Default Domain Policy" gesetzt und stehen immer noch auf 999 Tage. Alle anderen GPO's habe ich nochmals manuell gecheckt, ist sonst nirgends was drin was mit Kennwort zu tun hat, weder Länge noch Dauer noch Komplexität. Wirklich komisch - Wir haben auch nur 1 DC, es ist somit auch kein Replikationsproblem.

 

Was würdet ihr machen?

 

Gruss

 

Longbow

[NilsK 2.785]

Moin,

 

das ist ja komisch.

 

Versuch doch mal, in einem Admin-CMD die Einstellung auf "unlimited" zu setzen:

net accounts /maxpwage:unlimited /domain

Wie sieht hinterher die Abfrage von net accounts aus, und was steht in der DDP?

 

Dass der Wert in der DDP begrenzt wird, ist unwahrscheinlich. Ich tippe eher auf ein Anwendungsproblem der Richtlinie. Finden sich Einträge im Eventlog, die damit zu tun haben könnten?

Möglicherweise könnte es erforderlich sein, die Default-Policies zurückzusetzen. Vorher sollte man dokumentieren, was dort an Einstellungen gesetzt ist, um es hinterher manuell wieder einrichten zu können.

 

Gruß, Nils

PS. Dass dort nur ein DC läuft, sollte man korrigieren.

bearbeitet 8. Februar 2016 von NilsK

[longbow 10]

Hallo Nils

 

OK, irgendwas ist da (oder war da) wohl wirklich abgeschmiert

 

Nachdem ich nun den Wert per CMD auf unlimited geändert habe erscheint sowohl in der net Accounts /domain-Abfrage der Wert "Unbegrenzt" wie auc hin der DDP nun wieder der Wert 0, so wie es mal war aber nicht gegriffen hat.

 

Danke für deine Unterstützung.

 

PS: Die Umgebung wird Ende dieses Jahres in die Tonne geworfen