Jump to content

Gruppenrichtlinie Vererbung bzw Auslesen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe folgende Problem und ich hoffe mir kann jemand schnell helfen.

 

Wir haben in unsrem Domain-Forest folgende Situation

 

Root-Domain

Sub-Domain

 

wir haben in der Sub-Domain eine GPO (Password) die den Kennwortwechsel nach 90 Tagen erzwingt (Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 1

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 90

min. Kennwortlänge = 6

min. Kennwortalter = 0

 

dies ist eine eigene GPO und nicht eine Einstellung aus einer großen GPO bzw. von der DefaultDomainPolicy!

die DefaultDomainPolicy ist in der DomainStruktur nicht verknüpft und auch deaktiviert.

 

 

Es gibt in der Root-Domain eine GPO die ganz oben verknüpft ist - in diesem Fall ist das die DefaultDomainPolicy, bei der folgende Einstellung gesetzt ist:

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 24

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 42

min. Kennwortlänge = 7

min. Kennwortalter = 1

 

Jetzt die Fragen:

1. Welche Policy greift auf die User & Computer in der Subdomain?

Es gibt keine Vererbungsdeaktiverung auf der Sub-Domain.

Die Root-Domain beinhaltet keine User & Comuter - das Leben spielt sich in den Sub-Domains ab.

 

2. Wie kann ich auf einem PC auslesen, welche GPOs effektiv greifen?

Mit gpresult seh ich es zwar, aba da seh ich nicht ob was von einer übergeordneten Domain kommt, oder irre ich mich?

 

Warum ich das Frage?

Es soll in der Subdomain das Kennwort nach 90 Tagen geändert werden, doch User bei denen das Kennwort 28 Tage alt ist bzw älter, bei denen kommt jetzt bereits die Meldund dass das Kennwort in 14 Tagen oder kürzer, abläuft.

Warum? es soll doch erst nach 90 Tage geändert werden müssen.

 

Vielleicht kennt jemand ein Tool bei dem ich genau auslesen kann welche GPOs greifen bzw. vl. gibt es in der Registry einen Key wo ich mir das anschaun kann.

 

Hoffe ich konnte die Problematik klar und deutlich darstellen.

Link zu diesem Kommentar

Jetzt die Fragen:

1. Welche Policy greift auf die User & Computer in der Subdomain?

Es gibt keine Vererbungsdeaktiverung auf der Sub-Domain.

Die Root-Domain beinhaltet keine User & Comuter - das Leben spielt sich in den Sub-Domains ab.

 

Kennwortrichtlinien gelten pro Domain und nicht pro Forest. ;)

 

 

2. Wie kann ich auf einem PC auslesen, welche GPOs effektiv greifen?

Mit gpresult seh ich es zwar, aba da seh ich nicht ob was von einer übergeordneten Domain kommt, oder irre ich mich?

 

Seit XP mit rsop.msc

 

Es soll in der Subdomain das Kennwort nach 90 Tagen geändert werden, doch User bei denen das Kennwort 28 Tage alt ist bzw älter, bei denen kommt jetzt bereits die Meldund dass das Kennwort in 14 Tagen oder kürzer, abläuft.

 

Dann wird es wohl ein Alter von 76 Tagen haben. ;)

 

Warum? es soll doch erst nach 90 Tage geändert werden müssen.

 

Da steht Kennwortalter und nicht Kennwortdauer. ;) Also wenn dein Nutzer sein Kennwort schon 80 Tage hat und du jetzt die Richtlinie aktivierst, dann hat er eben noch 10 Tage Zeit.

Du kannst alle einheitlich auf 90 Tage zurücksetzen, indem du alle User markierst und den Haken setzt "User muß Kennwort bei der nächsten Anmeldung ändern" auf "Übernehmen" klickst, und danach den Haken wieder entfernst und auf OK klickst.

 

Bye

Norbert

Link zu diesem Kommentar

rsop.msc sieht man die GPO so wie sie sein sollte - also die GPO-Settings von der Sub-Domain - trotzdem werden die User aufgefordert das Kennwort nach 42 Tagen zu ändern - obwohl rsop.msc anzeigt dass es erst nach 90 Tagen ist

Das Kennwortalter der User weiß ich sogar 1. weil wir vor ungefähr 33 Tagen alle resetet haben und 2. weil ich es über das Tool "Network Account Password Age" auslesen kann.

 

Kann es nicht sein dass die GPO aus der Root-Domain nach unten durchschlägt? den dort sind die 42 Tage definiert.

 

danke für deine schnelle Antwort

 

mfg

Link zu diesem Kommentar
also eigentlich gibt es jetzt nirgendst mehr die einstellung mit den 42 tagen - oda?

WRONG!

Aus deiner obigen Beschreibung schlußfolgere ich:

Du hattest 42 Tage max. Kennwortalter, also Standard. Der oder die Benutzer haben mit dieser Einstellung ihr Kennwort gesetzt oder geändert.

Danach hast du die Zeit auf 90 Tage erhöht. Das ist ja so machbar, klar, aber das Attribut des Datums der nächsten Kennwortänderung (am Benutzerobjekt) wird bei denen, die das Kennwort noch mit 42 Tagen max. Alter gesetzt hatten nicht autom. auf 90d hochgesetzt. Ändere bei dem/den Benutzern jetzt das Kennwort und du hast 90 tage Ruhe ;)

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...