NorbertFe 1.829 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 ja, genauso sieht es aus.Es existieren irgendwo anscheinend noch gecachte policies?? Sie werden übernommen, augenscheinlich, aber sie greifen nicht. – irgendjemand eine idee ? Betrifft das alle Computer? Was passiert, wenn du mal einen PC komplett neu aufsetzt und dann versuchst an diesem dein Kennwort zu ändern? Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Führe erstmal RSOP.MSC aus und schaue nach, aus welcher Richtlinie die Einstellungen kommen (dort kann man es gut erkennen). Prüfe, ob in der Domain Controllers OU die Vererbung deaktiviert ist. Prüfe, wer dieses GPO in der Ausgabe von RSOP.MSC anwenden darf. Prüfe die Reihenfolge der GPO Abarbeitung auf der Domänenebene ... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Gibst du uns hier nochmal einen aktuellen gpresult /v /scope:computer, ausgeführt auf einem DC. Computersensitive Daten kannst du ja X-en P.S.: ein HTNL-Report des Ergbissatzes mit der GPMC wäre noch besser ;) grizzly999 Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Prüfe, ob in der Domain Controllers OU die Vererbung deaktiviert ist. Im Fall der Passwortrichtlinien sollte das keine Rolle spielen. Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Ganz sicher spielt das eine Rolle, denn dort wird es ja angewendet ... Changes are not applied when you change the password policy Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Ganz sicher spielt das eine Rolle, denn dort wird es ja angewendet ...Changes are not applied when you change the password policy Jetzt wo ich das nochmal lese; vergiß meinen Kommentar. Eindeutiger Koffeinmangel. :) Bin erstmal Kaffee holen. Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 17. Oktober 2008 Autor Melden Teilen Geschrieben 17. Oktober 2008 Folgende Sitiuation liegt nun bei uns vor: - sämtliche Arbeitsstationen erhalten die gewünschte Richtlinie! (lokale Tests auf den jeweiligen Rechnern zwingen uns demnach zur Passwortkomplexität) - auch alle Server in der Domäne (nicht Controller) unterliegen gewünschten Richtlinien (lokal) - Auf allen 3 DC werden die Richtlinien nicht angewendet (net accounts liefert immer noch alte Einstellungen), obwohl in der Datei GptTmpl.inf alle Konfigurationspunkte der GPO korrekt eingetragen sind. Bin mit meinem Latein am Ende :o( p.s.: Koffeinmangel ist immer schlecht ^^ Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Oktober 2008 Melden Teilen Geschrieben 17. Oktober 2008 Hi, wenn die Policy auf allen Clients und Memberservern greift, nur auf den DCs nicht, dann würde ich folgende Dinge einmal überprüfen: Ich weiß, das wurde schon gesagt: Aber bitte schau noch einmal in einem GPMC RSOP HTML Report, ob die Default Domain Policy (oder welche Policy das auch immer auf Domänenebene regelt) auch mit den entsprechenden Einstellungen angewendet ist. Da sich die DCs (außer dem PDC) die Passwort Policy über den Domain NC Head ziehen, solltest Du einmal prüfen, ob dort die korrekten Werte drin stehen, siehe den unteren Teil von Ask the Directory Services Team : Fail to log Security Settings from Default Domain Policy . Sind die Werte im Domain NC Head korrekt, ändere einmal "beliebige" andere Einstellungen in den Sicherheitseinstellungen der Default Domain Policy (oder der Policy, in der die Passwort Policies definiert sind) testweise, etwa wer sich an den DCs anmelden darf --> füge testweise einen zusätzlichen Benutzer ein. Wird nach einem "gpupdate /force" diese Einstellung übernommen und sind weiterhin im Anwendungs-Ereignisprotokoll Einträge, daß "SCECLI" Sicherheitseinstellungen übernommen hat? Falls nicht würde ich die Sicherheitsdatenbank der DCs als auch die dazugehörigen Logfiles einmal löschen und die DCs nacheinander neu starten, siehe Punkt 5 in Scecli.dll errors occur when opening Account Policies or Local Policies: Group Policy . Bringt auch das nichts, kannst Du die Security CSE einmal neu initialisieren:regsvr32 /u scecli.dll regsvr32 scecli.dll + Server Neustart. Danach prüfe, ob nun die Einträge im Application Event Log stehen und ob die Policies angewendet werden. Vorher ein Backup der Systeme anfertigen! ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 ich habe nach dem RSOP aufruf auf dem dc ein ausrufezeichen bei der computerkonfiguration... Kann aber nicht lokalisieren, was es sein kann und wodurch es verursacht wird. Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 ich habe nach dem RSOP aufruf auf dem dc ein ausrufezeichen...Kann aber nicht lokalisieren, was es sein kann und wodurch es verursacht wird. Im Normalfall ein Usermapping von entweder einem gelöschten User der per GPO in dienste o.ä. eingetragen wird oder der lokale Administrator. Sollte eigentlich in der Erklärung auch irgendwo auftauchen. Falls es das nicht ist, mach mal nen Screenshot. Bye Norbert Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 wenn ich die comupterkonfiguration aufklappe ist das ausrufezeichen nicht zu sehen. Taucht nur hier auf... Die Computer und Benutzerkonfiguration sind beide aktiv. ist jeweils nach gpupdate zu sehen: Montag, 20. Oktober 2008 14:55:01 Security hat angefordert, die Richtlinieneinstellungen erneut zu verarbeiten. Dies kann durch einen nicht-kritischen Fehler, der während der vorherigen Verarbeitung der Richtlinie aufgetreten ist, verursacht worden sein. na toll, welchen nicht kritischen fehler meinen die?? Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 wenn ich die comupterkonfiguration aufklappe ist das ausrufezeichen nicht zu sehen. Klick dich mal durch. es steht bestimmt irgendwo in den Sicherheitsrichtlinien ein Nutzer drin, den es nicht mehr im AD gibt. Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Mach´ mal nen rechtsklick auf Computerkonfiguration - Eigenschaften - Fehlerinformation ... Zitieren Link zu diesem Kommentar
Disceptator 10 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 Klick dich mal durch. es steht bestimmt irgendwo in den Sicherheitsrichtlinien ein Nutzer drin, den es nicht mehr im AD gibt. Bye Norbert ja, es gibt ein paar gelöschte, kommen die Warnungen dadurch zustande? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Zur Zeit der Richtlinieneinstellungsanwendung muss es dann auch einen korrespondierenden Eventeintrag geben, welcher ist das und was steht da drin ? Hast Du mal geschaut, ob die Richtlinienvererbung auf der Domain Controllers OU deaktiviert wurde ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.