Jump to content

Kennwortrichtlinie


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

unter 2008R2 sind ja nun mehrere Kennwortrichtlinien möglich. Ich habe nun ein PSO erstellt und explizit Benutzern zugewiesen. Das entsprechende Attribut ist beim user auch hinterlegt, dass habe ich extra kontrolliert. Nun ist es aber dennoch so, dass die DDP "zieht" und nicht meine eigens PSO.

 

Ich finde aber auch keinen Fehler, es gibt ja einige Anleitungen wie es einzurichten ist und genau das habe ich getan.

 

Es handelt sich um eine W2K8R2 Domäne welche bis auf das fehlerlos arbeitet.

 

Hat jemand eine Idee was ich falsch mache oder wo der Fehler liegen könnte?

 

Danke!

Link zu diesem Kommentar

Danke für deine Antwort. Zunächst dachte ich das wäre der Fehler gewesen, denn "Kennwort läuft nie ab" war tatsächlich noch aktiviert...... :(

 

Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.

 

Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)

Link zu diesem Kommentar
Aber es funktioniert auch nachdem ich diese Option rausgenommen habe nicht. Das Kennwort lief erwartungsgemäß sofort ab usw. aber an meinem Problem ändert das nix.

 

Verknüpfe doch mal die PSO mit einem anderen (evtl. neuen) Benutzer. Funktioniert die PSO dann? Erstelle auch eine weitere PSO und verküpfe auch diese PSO mit diversen Benutzern oder Gruppen.

 

Das ist für mich sehr ärgerlich da genau diese Möglichkeit einer der Hauptgründe waren um unser AD auf 2008R2 zu migrieren. (Die Migration erfolgte hier komplett durch neue Domaincontroller.)

 

Keine Sorge, PSOs funktionieren prinzipiell! Nur deinem Fall liegt der Hase noch im Dunkeln vergraben. Das lässt sich aber sicher bald klären.

Link zu diesem Kommentar

PSO hatte ich schon vorab mit Gruppen und mehreren Usern verknüpft ohne Erfolg. Selbst andere XP Client´s brachten nix.

 

Die Idee mit einem neu angelegten User war gut, leider auch hier kein Erfolg obgleich die Policy entsprechend zugewiesen ist. Habe ich erneut mit "Get-ADUserResultantPasswordPolicy" überprüft.

 

Aus irgendeinem Grund zieht immer noch die DDP und nicht die PSO obgleich die offensichtlich zugewiesen ist. Aktuell habe ich dafür keine Erklärung und auch keine Idee woran das liegen könnte? Ich meine das Prinzip dahinter verstanden zu haben, habe ja deinen Artikel ausführlich gelesen. Ich arbeite mit ADSI-Edit, vielleicht liegt es daran?

Zum Test erstelle ich nun mal die PSO neu via PowerShell.

Link zu diesem Kommentar

Hi,

 

nur noch einmal genau nachgefragt: Die Domäne befindet sich auch im Domänenfunktionsmodus 2008 oder höher? Oder sind nur alle DCs 2008 R2?

 

Die Domäne muß

a) im Modus 2008 oder höher sein und

b) dürfen die PSOs erst eingerichtet werden, wenn der Modus schon hochgestuft wurde (denn wenn ich mich recht entsinne, werden PSOs nicht korrekt angewendet, wenn sie vor dem Hochstufen schon eingerichtet wurden).

 

Viele Grüße

olc

Link zu diesem Kommentar

@NilsK

Das Tool hatte ich schon verwendet.

Die Zuordnung usw. habe ich schon mit ADs Powershell geprüft.

 

@olc

Ja Die Domäne ist im 2008R2 Modus und besteht nur aus 2008R2 DC´s.

Die PSO habe ich erst nach dem hochstufen angelegt. Genauer erst Wochen danach..

 

Danke erst mal für Eure Hilfe. Bisher tappe ich noch im Dunkeln wieso das nicht funktioniert wobei es doch relativ klar ist wie das einzurichten ist etc..

Link zu diesem Kommentar

Hi einstein,

 

dann noch einmal genau gefragt: Welches Kriterium wird denn nicht angewendet?

Kennwortlänge, Komplexität, minimales Kennwortalter usw.?

 

Welche Werte hast Du konkret in der PSO eingestellt (am besten postest Du einen LDIFDE Dump des PSO Objekts im AD) und welche in der Kennwortrichtlinie der Domäne (am besten per "secedit /cfg /export" vom PDCe ziehen und hier posten).

 

Zusätzlich poste bitte den Export der PS Ausgabe oder von einer "effectivepso" Abfrage des betroffenen Benutzers.

 

Sind alle Benutzer betroffen oder nur ein einzelner?

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo olc,

 

es werden wohl überhaupt keine Kriterien angewendet bzw. exakt diejenigen aus der DDP.

Meine Einstellungen in der PSO entsprechen den Beispielen der MS Hilfe. Wobei ich inzwischen schon einige verschiedene angelegt habe mit unterschiedlichen Einstellungen. Aber hier siehe selbst:

 

AppliesTo : {CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de}

ComplexityEnabled : True

DistinguishedName : CN=Standard,CN=Password Settings Container,CN=Sys

tem,DC=firma,DC=de

LockoutDuration : 00:30:00

LockoutObservationWindow : 00:30:00

LockoutThreshold : 10

MaxPasswordAge : 42.00:00:00

MinPasswordAge : 1.00:00:00

MinPasswordLength : 8

Name : Standard

ObjectClass : msDS-PasswordSettings

ObjectGUID : 1b6400a1-8734-409d-a3af-d068698b171e

PasswordHistoryCount : 24

Precedence : 10

ReversibleEncryptionEnabled : False

 

User habe ich inzwischen verschiedene getestet, ebenso mehrere Computer. Mit deinen vorgeschlagenen Exports bin ich im Moment etwas überfordert....

Link zu diesem Kommentar

Hi einstein,

 

folgende Exports wären interessant: :)

 

1. LDIFDE -d "CN=Tester,OU=Benutzer&Computer,DC=firma,DC=de" -f Benutzer.txt

2. LDIFDE -d "CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de" -f PSO.txt

3. Auf dem PDCe: secedit /cfg /export security.txt

 

Darin wird man sehen, wie genau der Benutzer aussieht (PSO applies to), wie die PSO und wie die Domänen-Kennwortrichtlinien aussehen (letzter Export).

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi olc,

 

also secedit will bei mir nicht. Anbei die beiden anonymisierten Exports.

Was ich noch sagen wollte, die Domain ist eine SubDomain unserer RootDomain. Welche auch Funktionsebene 2K8R2 hat. Aber die Gesamtstrukturfunktionsebene ist noch 2003 da ich noch eine andere Subdomäne habe welche unter 2003 läuft.

 

dn: CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain

changetype: add

objectClass: top

objectClass: msDS-PasswordSettings

cn: Standard

distinguishedName:

CN=Standard,CN=Password Settings Container,CN=System,DC=firma,DC=de,DC=RootDomain

instanceType: 4

whenCreated: 20100917135541.0Z

whenChanged: 20100922145639.0Z

uSNCreated: 2413942

uSNChanged: 2580039

name: Standard

objectGUID:: oQBkGzSHnUCjr9BoaYsXHg==

objectCategory:

CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=RootDomain

dSCorePropagationData: 20100921114243.0Z

dSCorePropagationData: 16010101000001.0Z

msDS-MaximumPasswordAge: -36288000000000

msDS-MinimumPasswordAge: -864000000000

msDS-MinimumPasswordLength: 18

msDS-PasswordHistoryLength: 24

msDS-PasswordComplexityEnabled: TRUE

msDS-PasswordReversibleEncryptionEnabled: FALSE

msDS-LockoutObservationWindow: -18000000000

msDS-LockoutDuration: -18000000000

msDS-LockoutThreshold: 10

msDS-PSOAppliesTo:

CN=Tester,OU=Benutzer&Computer,OU=MeineOU,DC=Firma,DC=de,DC=RootDomain

msDS-PasswordSettingsPrecedence: 10

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...