Passwort Policy

[slako 10]

Hallo Leute,

 

bei uns im Unternehmen soll eine allgemeine Passwort-Policy festgelegt werden. Ich hab die Einstellungen angefügt.

 

Wenn ich die GPO verwende bekomme ich wenn ich dann auf einem Client wenn ich das Passwort ändern will folgende Meldung:

 

"Das Kennwort muss aus mindestens 2 Zeichen bestehen ..." obwohl ich als mindestlänge für das Kennwort 8 Zeichen festgelegt habe.

 

Hab ich da noch was falsch gemacht?

 

Danke!

[Daim 12]

Servus,

 

kannst du das bitte ausführlicher beschreiben, in welcher GPO du welche Einstellungen vorgenommen und wohin du die GPO verlinkt hast? Kommt die GPO auch am Client an (prüfe das mit RSOP oder gpresult)?

[Necron 71]

Hi,

 

um welche GP handelt es sich, wo du die Änderung vorgenommen hast?

Welches Server Betriebssystem haben die DC's?

[slako 10]

Ich habe den User in einer extra OU, und habe dieser einer extra GP mit den Einstellungen zugeteilt. Mit gpresult wird auch die GP die ich angelegt habe angezeigt.

 

Auf den DC läuft 2003 Standard mit SP2.

[JustinXiang 10]

Hallo Slako!

 

Wenn mich nicht alles täuscht ist ein setzten der Passwort Gruppenrichtlinie unter Win2k3 nur auf Domain-Ebene möglich (betrifft also alle benutzer)

 

LG

 

JustinXiang

[Necron 71]

Hi,

 

unter Windows Server 2003 funktioniert eine separate Password Policy nicht, denn wenn sie erstellt wurde gilt sie nur für die lokalen Benutzer des Computers, der sich in der entsprechenden OU befindet. Für Domänenbenutzer werden weiterhin die Einstellungen aus der Default Domain Policy angewendet. Erst ab Windows Server 2008 ist dies mit PSOs möglich was du vor hast!

[Daim 12]

Die Kennwortrichtlinie wird unter den Computerkonfigurationen in der Gruppenrichtlinie und nicht unter den Benutzerkonfigurationen konfiguriert! Die Benutzerobjekte können mit den Kennworteinstellungen nichts anfangen. Die Kennwortoptionen werden nur von Computerobjekten verwertet und befinden sich unter:

 

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

 

und

 

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien

 

 

Bis einschließlich Windows Server 2003 kann mit Bordmittel nur eine Kennwort- und Kontosperrungsrichtlinie innerhalb einer Domäne auf Domänenbenutzer wirken. Damit die Richtlinien auf Domänenbenutzer wirken, müssen diese zwingend auf Domänenebene verlinkt werden. Wenn stattdessen die beiden Richtlinien auf eine Organisationseinheit (OU) verlinkt werden, wirkt sich das lediglich auf die Computer die sich in dieser OU befinden aus und die Kennwortvorgaben gelten somit nur für die lokalen Benutzerkonten, die sich auf diesen Computern befinden.

 

Die Kennwortrichtlinie sollte in allen Serverversionen stets in der Default Domain Policy konfiguriert werden!

[slako 10]

Hallo Leute,

 

danke für für die Hilfe, ich hab gerade bei mir nochmal getestet und funktioniert sofort (ich dachte schon bei mir AD is a größeres Problem).

 

@Daim

Danke für deine ausführliche Erklärung, jetzt is es mir klar warum es so ist.

 

Danke!!

[NorbertFe 1.827]

faq-o-matic.net Besonderheiten der AD-Kennwortrichtlinie als interessante Lektüre für Zwischendurch. ;)

 

Bye

Norbert