Disceptator 10 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Hallo und Hüülfeeee!!! Wir hatten bisher einfache Kennwortrichtlinien bei uns in der Domäne. Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Kennwortchronik erzwingen 1 gespeicherte Kennwörter Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 2 Zeichen Minimales Kennwortalter 1 Tage Die Geschäftsführung möchte nun aber komplexere Passwörter und wechselnde Passwörter haben. Die Änderungen haben wir in der Domänenpolicy durchgeführt auf: Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiv Kennwortchronik erzwingen deaktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage Nun zum Problem. Die Passwörter können weiterhin nach den alten Vorgaben geändert werden. Warum?? gpresult -v auf der jeweiligen station Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MinimumPasswordAge Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MinimumPasswordLength Computereinstellung: 6 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Kennwortrl Richtlinie: MaximumPasswordAge Computereinstellung: 60 Es sind die Einstellungen von der domain Policy. wenn ich das Kennwort ändere bekomme ich als Fehlermeldung: --------------------------- Kennwort ändern --------------------------- Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht. --------------------------- OK --------------------------- und wenn ich die lokale (ausgegraute) lokale Sicherheitsrichtlinie mit gpedit.msc auf einem der DC aufrufe bekomme ich auch die alte Kennwortrichtlinienregelung. weiss momentan nicht weiter, woran es liegen könnte :( Es sieht alles richtig aus, auch über das gpresult. Warum werden die Einstellungen nicht übernommen? Warum haben wir immernoch die alten Einstellungen auf den DCs, obwohl die default domain policy auch für diese greifen sollte? Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Moin, gpupdate (bzw. bei 2000: secedit refreshpolicy) habt ihr ausgeführt? Gibt es ein anderes GPO auf Domänenebene, das ebenfalls die Kennwortrichtlinien setzt? Sieht nach dem geposteten Listing ganz so aus. Schaltet mal das andere ab. Geht es dann? Gruß, Nils Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 gpupdate wurde durchgeführt Wir haben testweise noch eine rl auf der domänenebene erstellt. Ist nun gelöscht. Die Einstellungen die wir in der default domain policy machen werden nicht aktiv. nach gpupdate auf dem dc sehe ich immernoch die alten einstellungen. die kontoeinstellungen: Richtlinie Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Kennwortchronik erzwingen Nicht definiert Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Nicht definiert Maximales Kennwortalter 56 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage das gpresult: Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxServiceAge Computereinstellung: 600 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxTicketAge Computereinstellung: 10 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordAge Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: PasswordHistorySize Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxClockSkew Computereinstellung: 60 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordLength Computereinstellung: 2 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaximumPasswordAge Computereinstellung: 60 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaxRenewAge Computereinstellung: 7 als admin am dc angemeldet Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Fehlermeldungen im Eventlog, wenn Du gpupdate auf dem DC ausführst? Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Hallo und Hüülfeeee!!!Wir hatten bisher einfache Kennwortrichtlinien bei uns in der Domäne. Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Kennwortchronik erzwingen 1 gespeicherte Kennwörter Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 2 Zeichen Minimales Kennwortalter 1 Tage Die Geschäftsführung möchte nun aber komplexere Passwörter und wechselnde Passwörter haben. Die Änderungen haben wir in der Domänenpolicy durchgeführt auf: Richtlinie Sicherheitseinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiv Kennwortchronik erzwingen deaktiviert Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Maximales Kennwortalter 60 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage Naja 6 Zeichen ist aber auch eher was zum Schein ;) Nun zum Problem. Die Passwörter können weiterhin nach den alten Vorgaben geändert werden. Dann hast du die falsche Richtlinie geändert. Gruppenrichtlinienobjekt: Kennwortrl Das ist die richtige, wie es aussieht. Also ändere es darin mal. Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 keine Fehlermeldungen in Systemlog. Kennwortrl war die test richtlinie die gelöscht ist. gpresult auf workstation: Kontorichtlinien ---------------- Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordAge Computereinstellung: 1 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MinimumPasswordLength Computereinstellung: 6 Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: LockoutBadCount Computereinstellung: Nicht zutreffend Gruppenrichtlinienobjekt: Default Domain Policy Richtlinie: MaximumPasswordAge Computereinstellung: 56 Vererbung ist nicht deaktiviert. Für Änderungen werden weiterhin die alten Einstellungen verlangt. Meldung auf Workstation bei Kennwortänderung über strg-alt-entf --------------------------- Kennwort ändern --------------------------- Das Kennwort muss aus mindestens 2 Zeichen bestehen. Es darf nicht mit einem der letzten 1 Kennwörter identisch sein und muss mindestens 1 Tage alt sein. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das diesen Anforderungen entspricht. --------------------------- OK --------------------------- Edit: Gruppenrichtlinienergebnisse domain\admin auf domain\dcname Daten ermittelt am: 15.10.2008 15:05:52 Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy Kennwortchronik erzwingen\ngespeicherte Kennwörter 1 gespeicherte Kennwörter Default Domain Policy Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert Default Domain Policy Maximales Kennwortalter 60 Tage Default Domain Policy Minimale Kennwortlänge 2 Zeichen Default Domain Policy Minimales Kennwortalter 1 Tage Default Domain Policy domain\username auf domain\workstationname Daten ermittelt am: 15.10.2008 15:11:47 Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Default Domain Policy Maximales Kennwortalter 56 Tage Default Domain Policy Minimale Kennwortlänge 6 Zeichen Default Domain Policy Minimales Kennwortalter 1 Tage Default Domain Policy Ich verstehe das nicht, beide beziehen die einstellungen von derselben defaulft domain policy... Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 und diese lautet: Default Domain Policy Daten ermittelt am: 15.10.2008 15:25:34 Alle ausblenden AllgemeinAusblenden DetailsAusblenden Domäne Besitzer Domänen-Admins Erstellt 28.05.2002 16:03:30 Verändert 15.10.2008 13:59:48 Benutzerrevisionen 8 (AD), 8 (sysvol) Computerrevisionen 263 (AD), 263 (sysvol) Eindeutige Kennung {31B2F340-016D-11D2-945F-00C04FB984F9} Status Aktiviert VerknüpfungenAusblenden Speicherort Erzwungen Verknüpfungsstatus Pfad domain Nein Aktiviert domain Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts. SicherheitsfilterungAusblenden Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name NT-AUTORITÄT\Authentifizierte Benutzer WMI-FilterungAusblenden Name des WMI-Filters Kein Beschreibung Nicht anwendbar DelegierungAusblenden Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt domain\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein domain\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein Computerkonfiguration (Aktiviert)Ausblenden Windows-EinstellungenAusblenden SicherheitseinstellungenAusblenden Kontorichtlinien/KennwortrichtlinienAusblenden Richtlinie Einstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert Maximales Kennwortalter 56 Tage Minimale Kennwortlänge 6 Zeichen Minimales Kennwortalter 1 Tage Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Ich verstehe das nicht, beide beziehen die einstellungen von derselben defaulft domain policy... Das ist beides der selbe PC? Falls ja, dann sieht es so aus, als wenn er das GPO bisher nicht übernommen hat. Wenn du in der Default Domainpolicy mal zum Testen bspw. das Arbeitsplatzicon ausblendest, wird das dann übernommen? Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 Das ist beides der selbe PC? Falls ja, dann sieht es so aus, als wenn er das GPO bisher nicht übernommen hat. Wenn du in der Default Domainpolicy mal zum Testen bspw. das Arbeitsplatzicon ausblendest, wird das dann übernommen? Bye Norbert Es ist einmal eine Workstation in der Produktion udn einmal einer der DCs. Das gpresult gibt ja die richtigen Einstellungen wieder -> auf der WS. Was ich nicht verstehe ist, dass die Einstellungen auf dem dc komplett anders sind. Wo kriegt er diese her? die default domain policy hat diese Einstellungen nicht. Wenn ich von Windows Player den Reiter Sicherheit ausblenden lasse über default domain policy wird dies auch so übernommen, der reiter ist dann ausgeblendet. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Es ist einmal eine Workstation in der Produktion udn einmal einer der DCs.Das gpresult gibt ja die richtigen Einstellungen wieder -> auf der WS. Was ich nicht verstehe ist, dass die Einstellungen auf dem dc komplett anders sind. Wo kriegt er diese her? die default domain policy hat diese Einstellungen nicht. Tja da scheint dein DC aber anderer Meinung zu sein ;) Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 Tja da scheint dein DC aber anderer Meinung zu sein ;)Richtlinie Einstellung Ausschlaggebendes Gruppenrichtlinienobjekt Kennwort muss Komplexitätsvoraussetzungen entsprechen Deaktiviert Default Domain Policy Bye Norbert ja das mein ich ja, woher hat er diese Einstellungen???? beide beziehen ihre Einstellungen aus derselben default domain policy. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 ja das mein ich ja, woher hat er diese Einstellungen????beide beziehen ihre Einstellungen aus derselben default domain policy. Tja, dann wird wohl einer der beiden eine nicht aktuelle Einstellung ziehen. Deswegen ja mein Vorschlag mal eine Einstellung zu wählen, die man sofort sieht ;) Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 hab ich ja gemacht, hat auch nach gpupdate auf client und server funktioniert. Windows Player den Reiter Sicherheit ausgeblendet über default domain policy so wird dies auch so übernommen, der reiter ist dann ausgeblendet. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 hab ich ja gemacht, hat auch nach gpupdate auf client und server funktioniert.Windows Player den Reiter Sicherheit ausgeblendet über default domain policy so wird dies auch so übernommen, der reiter ist dann ausgeblendet. OK, dann wäre ja schonmal geklärt, dass sowohl Server als auch Client die Richtlinie korrekt übernehmen. Nur noch mal zur Sicherheit gefragt: Wenn du dich also auf einem PC anmeldest und dein Kennwort änderst, dann kannst du ein Kennwort wählen, was bspw. 1234 lautet? Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 ja, genauso sieht es aus. Es existieren irgendwo anscheinend noch gecachte policies?? Sie werden übernommen, augenscheinlich, aber sie greifen nicht. – irgendjemand eine idee ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.