Jump to content
Sign in to follow this  
einstein

Kennwortrichtlinie

Recommended Posts

Hallo Leute,

 

unter 2008R2 sind ja nun mehrere Kennwortrichtlinien möglich. Ich habe nun ein PSO erstellt und explizit Benutzern zugewiesen. Das entsprechende Attribut ist beim user auch hinterlegt, dass habe ich extra kontrolliert. Nun ist es aber dennoch so, dass die DDP "zieht" und nicht meine eigens PSO.

 

Ich finde aber auch keinen Fehler, es gibt ja einige Anleitungen wie es einzurichten ist und genau das habe ich getan.

 

Es handelt sich um eine W2K8R2 Domäne welche bis auf das fehlerlos arbeitet.

 

Hat jemand eine Idee was ich falsch mache oder wo der Fehler liegen könnte?

 

Danke!

Share this post


Link to post

Hallo Yusuf, exakt so ist es. Er zeigt mir hier die korrekte PSO inkl. der entsprechenden Werte etc. an.

 

Ich habe mich genau an Deine Anleitung gehalten und bin am verzweifeln. Verstehe derzeit echt nicht woran das liegen könnte.. :(

Share this post


Link to post

Die folgenden drei Optionen können stets die Kennwortvorgaben eines PSOs aushebeln. Trifft zufällig mindestens eins davon bei dem entsprechenden Benutzer zu?

 

- Kennwort läuft nie ab

- Kennwort mit umkehrbarer Verschlüsselung speichern

- Kennwort nicht erforderlich

Share this post


Link to post

Danke für deine Antwort. Zunächst dachte ich das wäre der Fehler gewesen, denn "Kennwort läuft nie ab" war tatsächlich noch aktiviert...... :(

 

Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.

 

Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)

Share this post


Link to post
Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.

 

Verknüpfe doch mal die PSO mit einem anderen (evtl. neuen) Benutzer. Funktioniert die PSO dann? Erstelle auch eine weitere PSO und verküpfe auch diese PSO mit diversen Benutzern oder Gruppen.

 

Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)

 

Keine Sorge, PSOs funktionieren prinzipiell! Nur deinem Fall liegt der Hase noch im Dunkeln vergraben. Das lässt sich aber sicher bald klären.

Share this post


Link to post

PSO hatte ich schon vorab mit Gruppen und mehreren Usern verknüpft ohne Erfolg. Selbst andere XP Client´s brachten nix.

 

Die Idee mit einem neu angelegten User war gut, leider auch hier kein Erfolg obgleich die Policy entsprechend zugewiesen ist. Habe ich erneut mit "Get-ADUserResultantPasswordPolicy" überprüft.

 

Aus irgendeinem Grund zieht immer noch die DDP und nicht die PSO obgleich die offensichtlich zugewiesen ist. Aktuell habe ich dafür keine Erklärung und auch keine Idee woran das liegen könnte? Ich meine das Prinzip dahinter verstanden zu haben, habe ja deinen Artikel ausführlich gelesen. Ich arbeite mit ADSI-Edit, vielleicht liegt es daran?

Zum Test erstelle ich nun mal die PSO neu via PowerShell.

Share this post


Link to post

Auch die verzweifelte Hoffnung das es per PowerShell Kommando im Gegensatz zu ADSI-Edit funktionieren würde hat sich nicht bestätigt. Diese Hoffnung war auch eher unwahrscheinlich.

Share this post


Link to post

Hi,

 

nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2?

 

Die Domäne muß

a) im Modus 2008 oder höher sein und

b) dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden).

 

Viele Grüße

olc

Share this post


Link to post

@NilsK

Das Tool hatte ich schon verwendet.

Die Zuordnung usw. habe ich schon mit ADs Powershell geprüft.

 

@olc

Ja Die Domäne ist im 2008R2 Modus und besteht nur aus 2008R2 DC´s.

Die PSO habe ich erst nach dem hochstufen angelegt. Genauer erst Wochen danach..

 

Danke erst mal für Eure Hilfe. Bisher tappe ich noch im Dunkeln wieso das nicht funktioniert wobei es doch relativ klar ist wie das einzurichten ist etc..

Share this post


Link to post

Hi einstein,

 

dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet?

Kennwortlänge, Komplexität, minimales Kennwortalter usw.?

 

Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten).

 

Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers.

 

Sind alle Benutzer betroffen oder nur ein einzelner?

 

Viele Grüße

olc

Share this post


Link to post

Hallo olc,

 

es werden wohl überhaupt keine Kriterien angewendet bzw. exakt diejenigen aus der DDP.

Meine Einstellungen in der PSO entsprechen den Beispielen der MS Hilfe. Wobei ich inzwischen schon einige verschiedene angelegt habe mit unterschiedlichen Einstellungen. Aber hier siehe selbst:

 

AppliesTo : {CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de}

ComplexityEnabled : True

DistinguishedName : CN=Standard,CN=Password Settings Container,CN=Sys

tem,DC=firma,DC=de

LockoutDuration : 00:30:00

LockoutObservationWindow : 00:30:00

LockoutThreshold : 10

MaxPasswordAge : 42.00:00:00

MinPasswordAge : 1.00:00:00

MinPasswordLength : 8

Name : Standard

ObjectClass : msDS-PasswordSettings

ObjectGUID : 1b6400a1-8734-409d-a3af-d068698b171e

PasswordHistoryCount : 24

Precedence : 10

ReversibleEncryptionEnabled : False

 

User habe ich inzwischen verschiedene getestet, ebenso mehrere Computer. Mit deinen vorgeschlagenen Exports bin ich im Moment etwas überfordert....

Share this post


Link to post

Hi einstein,

 

folgende Exports wären interessant: :)

 

1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt

2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt

3. Auf dem PDCe: secedit /cfg /export security.txt

 

Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export).

 

Viele Grüße

olc

Share this post


Link to post

Hi olc,

 

also secedit will bei mir nicht. Anbei die beiden anonymisierten Exports.

Was ich noch sagen wollte, die Domain ist eine SubDomain unserer RootDomain. Welche auch Funktionsebene 2K8R2 hat. Aber die Gesamtstrukturfunktionsebene ist noch 2003 da ich noch eine andere Subdomäne habe welche unter 2003 läuft.

 

dn: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain

changetype: add

objectClass: top

objectClass: msDS-PasswordSettings

cn: Standard

distinguishedName:

CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain

instanceType: 4

whenCreated: 20100917135541.0Z

whenChanged: 20100922145639.0Z

uSNCreated: 2413942

uSNChanged: 2580039

name: Standard

objectGUID:: oQBkGzSHnUCjr9BoaYsXHg==

objectCategory:

CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=RootDomain

dSCorePropagationData: 20100921114243.0Z

dSCorePropagationData: 16010101000001.0Z

msDS-MaximumPasswordAge: -36288000000000

msDS-MinimumPasswordAge: -864000000000

msDS-MinimumPasswordLength: 18

msDS-PasswordHistoryLength: 24

msDS-PasswordComplexityEnabled: TRUE

msDS-PasswordReversibleEncryptionEnabled: FALSE

msDS-LockoutObservationWindow: -18000000000

msDS-LockoutDuration: -18000000000

msDS-LockoutThreshold: 10

msDS-PSOAppliesTo:

CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=Firma,DC=de,DC=RootDomain

msDS-PasswordSettingsPrecedence: 10

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...