Jump to content
Sign in to follow this  
styria

Gruppenrichtlinie Vererbung bzw Auslesen

Recommended Posts

Hallo!

 

Ich habe folgende Problem und ich hoffe mir kann jemand schnell helfen.

 

Wir haben in unsrem Domain-Forest folgende Situation

 

Root-Domain

Sub-Domain

 

wir haben in der Sub-Domain eine GPO (Password) die den Kennwortwechsel nach 90 Tagen erzwingt (Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 1

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 90

min. Kennwortlänge = 6

min. Kennwortalter = 0

 

dies ist eine eigene GPO und nicht eine Einstellung aus einer großen GPO bzw. von der DefaultDomainPolicy!

die DefaultDomainPolicy ist in der DomainStruktur nicht verknüpft und auch deaktiviert.

 

 

Es gibt in der Root-Domain eine GPO die ganz oben verknüpft ist - in diesem Fall ist das die DefaultDomainPolicy, bei der folgende Einstellung gesetzt ist:

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 24

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 42

min. Kennwortlänge = 7

min. Kennwortalter = 1

 

Jetzt die Fragen:

1. Welche Policy greift auf die User & Computer in der Subdomain?

Es gibt keine Vererbungsdeaktiverung auf der Sub-Domain.

Die Root-Domain beinhaltet keine User & Comuter - das Leben spielt sich in den Sub-Domains ab.

 

2. Wie kann ich auf einem PC auslesen, welche GPOs effektiv greifen?

Mit gpresult seh ich es zwar, aba da seh ich nicht ob was von einer übergeordneten Domain kommt, oder irre ich mich?

 

Warum ich das Frage?

Es soll in der Subdomain das Kennwort nach 90 Tagen geändert werden, doch User bei denen das Kennwort 28 Tage alt ist bzw älter, bei denen kommt jetzt bereits die Meldund dass das Kennwort in 14 Tagen oder kürzer, abläuft.

Warum? es soll doch erst nach 90 Tage geändert werden müssen.

 

Vielleicht kennt jemand ein Tool bei dem ich genau auslesen kann welche GPOs greifen bzw. vl. gibt es in der Registry einen Key wo ich mir das anschaun kann.

 

Hoffe ich konnte die Problematik klar und deutlich darstellen.

Share this post


Link to post
Share on other sites

Jetzt die Fragen:

1. Welche Policy greift auf die User & Computer in der Subdomain?

Es gibt keine Vererbungsdeaktiverung auf der Sub-Domain.

Die Root-Domain beinhaltet keine User & Comuter - das Leben spielt sich in den Sub-Domains ab.

 

Kennwortrichtlinien gelten pro Domain und nicht pro Forest. ;)

 

 

2. Wie kann ich auf einem PC auslesen, welche GPOs effektiv greifen?

Mit gpresult seh ich es zwar, aba da seh ich nicht ob was von einer übergeordneten Domain kommt, oder irre ich mich?

 

Seit XP mit rsop.msc

 

Es soll in der Subdomain das Kennwort nach 90 Tagen geändert werden, doch User bei denen das Kennwort 28 Tage alt ist bzw älter, bei denen kommt jetzt bereits die Meldund dass das Kennwort in 14 Tagen oder kürzer, abläuft.

 

Dann wird es wohl ein Alter von 76 Tagen haben. ;)

 

Warum? es soll doch erst nach 90 Tage geändert werden müssen.

 

Da steht Kennwortalter und nicht Kennwortdauer. ;) Also wenn dein Nutzer sein Kennwort schon 80 Tage hat und du jetzt die Richtlinie aktivierst, dann hat er eben noch 10 Tage Zeit.

Du kannst alle einheitlich auf 90 Tage zurücksetzen, indem du alle User markierst und den Haken setzt "User muß Kennwort bei der nächsten Anmeldung ändern" auf "Übernehmen" klickst, und danach den Haken wieder entfernst und auf OK klickst.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

rsop.msc sieht man die GPO so wie sie sein sollte - also die GPO-Settings von der Sub-Domain - trotzdem werden die User aufgefordert das Kennwort nach 42 Tagen zu ändern - obwohl rsop.msc anzeigt dass es erst nach 90 Tagen ist

Das Kennwortalter der User weiß ich sogar 1. weil wir vor ungefähr 33 Tagen alle resetet haben und 2. weil ich es über das Tool "Network Account Password Age" auslesen kann.

 

Kann es nicht sein dass die GPO aus der Root-Domain nach unten durchschlägt? den dort sind die 42 Tage definiert.

 

danke für deine schnelle Antwort

 

mfg

Share this post


Link to post
Share on other sites

teste es doch einfach in dem du kurzerhand in der root-domain das kennwortalter auf 90 hochsetzt. das dürfte wohl kaum einem auffallen wenn du es danach gleich wieder auf 42 zurücksetzt ;) achja....gpupdate /force am client nicht vergessen ;)

Share this post


Link to post
Share on other sites

hab ich vor rund 1 1/2 stunden gemacht, hab in der root die GPO auf 365 Tage gesetzt - client natürlich gpupdate /force - sogar durchstarten!

 

also eigentlich gibt es jetzt nirgendst mehr die einstellung mit den 42 tagen - oda?

und trotzdem kommt noch immer die meldung - das kann doch nicht sein!? -verdammt!?

 

ich weiß nimma weiter ...

Share this post


Link to post
Share on other sites

Kann es nicht sein dass die GPO aus der Root-Domain nach unten durchschlägt?

 

Nein.

Wenn dein rsop am Client sagt 90 Tage, dann würde ich dem erstmal glauben. ;) Bist du sicher, dass du dich mit einem User der Subdomain anmeldest?

 

Bye

Norbert

Share this post


Link to post
Share on other sites
also eigentlich gibt es jetzt nirgendst mehr die einstellung mit den 42 tagen - oda?

WRONG!

Aus deiner obigen Beschreibung schlußfolgere ich:

Du hattest 42 Tage max. Kennwortalter, also Standard. Der oder die Benutzer haben mit dieser Einstellung ihr Kennwort gesetzt oder geändert.

Danach hast du die Zeit auf 90 Tage erhöht. Das ist ja so machbar, klar, aber das Attribut des Datums der nächsten Kennwortänderung (am Benutzerobjekt) wird bei denen, die das Kennwort noch mit 42 Tagen max. Alter gesetzt hatten nicht autom. auf 90d hochgesetzt. Ändere bei dem/den Benutzern jetzt das Kennwort und du hast 90 tage Ruhe ;)

 

 

grizzly999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...