Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
habe das Problem das die Passwortpolicy die ich als extra GPO neben der Dafault Domain Policy laufen habe. Ich habe die GPO "Passwort" Erzwungen und habe sie von der Priorität ganz nach oben gesetzt.
Kann es sein das die default domain policy in der die Passwort-Geschichte deaktiviert ist, die GPO "Passwort" obwohl sie erzwungen wird, ausschaltet?
..Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy
Die Passwort Settings kannst du IMHO nur per Default Domain Policy einstellen und gilt dann für ALLE User.
Wenn du nur für bestimmte Benutzer eigene Policys benötigst kannst du folgendes machen:
Die Passwortpolicy MUSS auf Domänenebene angwendet werden, aber nicht in der Default Domain Policy. Weiterhin gilt sie für ALLE Benutzer der Domäne und nicht nur für einige. Wenn sie in der Priorität höher als die Default Domain Policy ist, bringt das Erzwingen nur dann was, wenn auf OU-Ebene eine andere Passwortpolicy für lokale Benutzerkonten angelegt wurde ...
ist es nicht möglich die User für die die Passwortrichtinie ziehen soll, aus der default domain policy zu entfernen, die einstellungen die drin stehen in die Passwort GPO mit rein zu nehmen???
so sollte es doch möglich sein das die gpo passwort endlich zieht oder nicht.. ?
Nein, die Policy zieht für alle ... Wenn sie gar nicht zieht, hast Du eventuell ein falsch eingestellte Sicherheitsfilterung. Das ist eine COMPUTER-Richtlinie und keine BENUTZER-Richtlinie. Sie wirkt auf die darunter liegenden Domänencontroller in der Domain Controllers-OU. Sicherheitsfilterung für Benutzer in einem GPO, welches computerrelevante Dinge einstellt. bringt absolut nichts ...
Lass die Default Domain Policy am besten so, wie sie ist und definiere separate Richtlinien ...
Willst Du unterschiedliche Richtlinien, dann so wie Ducke geschrieben hat ...
und wenn ich die User die diese policy bekommen sollen explizit in die sicherheitsfilterung einsortiere.. ? und die autorisierten benutzer entferne.. ?
Nein, siehe oben ... Wenn Du die Authentifizierten Benutzer entfernst, wird die Richtlinie gar nicht angewendet (die Computerkonten der DCs sind auch Mitglied der Authentifizierten Benutzer und benötigen die Berechtigung "Gruppenrichtlinie übernehmen")
Passwortpolicy zieht nicht
