SBS 2008 Kennwortrichtlinen

[SPEEDLOVER 10]

Hallo Leute,

hab ein sehr merkwürdiges Problem bei einem meiner Kunden.

Seit heut kommt bei der Anmeldung an der Domäne Kennwort läuft in XX Tagen ab bitte ändern.

Dies ist meinerseits und auch Seitens meiner Kunden nicht gewünscht.

 

Habe mich nun durch alle Policys geklickt:

"Default Domain Policy" -> bearbeiten

Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinen -> Kennwortrichtlinien

 

"Maximales Kennwortalter ist in allen Policys auf Nicht definiert eingestellt.

 

Woher kommt nun die Meldung bitte änder Sie Ihr Kennwort ?????

:confused::confused::confused::confused:

[Sunny61 773]

Habe mich nun durch alle Policys geklickt:

"Default Domain Policy" -> bearbeiten

Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinen -> Kennwortrichtlinien

 

"Maximales Kennwortalter ist in allen Policys auf Nicht definiert eingestellt.

 

Und wie sind die restlichen Einstellungen? Minimales Kennwortalter? In den Eigenschaften des Benutzerobjektes ist [X] Kennwort läuft nicht ab aktiviert?

[dmetzger 10]

In der Standard-Domänenrichtlinie "Maximales Kennwortalter" aktivieren und auf 0 Tage setzen (läuft nie ab).

 

In jeder Richtlinieneinstellung steht eine Erklärung dazu. Das hilft.

[SPEEDLOVER 10]

Hallo Sunny61 und dmezger,

 

habe jetzt mal direkt under den Usern nachgesehen unter dem Punkt Konto im AD war unter dem Punkt Kennwort läuft nie ab kein *****n gesetzt.

 

Werde auf Rat von dmetzger das Maximale Kennwort auf 0 definieren !!!!

 

Glaube aber das es mit dem Hacken im AD zusammen hängt. Man sollte halt beim erstellen von Benutzern mittels SBS Konsole doch nochmals alle Punkte im AD kontrollieren!!!!

 

Vielen Dank für den Tipp

[iDiddi 27]

Glaube aber das es mit dem Hacken im AD zusammen hängt.

Nein. Den brauchst Du im Normalfall nicht setzen. Und lass die Finger von den Default-Richtlinien. Wenn Du einen Richtlinie ändern musst, dann kopiere diese (Berechtigungen bitte kopieren), benenne Sie um (z.B. Firma-Default Domain Policy) und verknüpfe sie dort, wo auch die Original-Richtlinie verknüpft ist. Nun setze sie einfach in der Reihenfolge eine Position über das Original.

 

So kannst Du alle Änderungen ganz leicht wieder rückgängig machen, indem Du die Verknüpfung wieder löschst.

 

Ich hatte Dein Problem vor ein paar Tagen auch. Ich meine, die betreffende Richtlinie ist aber nicht die Default Domain Policy, sondern irgendeine andere (texte morgen, welche genau). Gehe alle nochmals durch und ändere die Kopie wie von dmetzger beschrieben ab.

[dmetzger 10]

Und lass die Finger von den Default-Richtlinien.

 

Die Kennwortrichtlinien sind DIE Ausnahme. Zwar kann man die Aussage von iDiddi in Technet so finden:

Domain Level Account Policies

 

"The Account policy must be defined in the Default Domain Policy or in a new policy that is linked to the root of the domain and given precedence over the Default Domain Policy, which is enforced by the domain controllers in the domain."

 

Dann gibt es aber auch diesen Technet-Artikel:

Updating the Default Domain Policy GPO and the Default Domain Controllers Policy GPO

 

"Changes in settings to domain security policy should always be made to the Default Domain Policy GPO."

 

Wir folgen Variante 2 seit Windows 2000, und diese wird von den lehrenden Directory Services-Spezialisten in Redmond explit auch empfohlen, mit der Begründung, dass nie eine Gruppenrichtlinie Vorrang vor der Standard-Domänenrichtlinie haben soll - deshalb heisst sie ja so.

 

Und ich dopple nach:

Modifying Account Policies in the Default Domain GPO: Group Policy

 

"If you want to modify the account policies at the domain level, it is recommended that you modify the default domain GPO."

 

Zu Deutsch: Kennwortrichtlinien gehören in die Standard-Domänenrichtlinie.

[GuentherH 61]

Hi.

 

Kennwortrichtlinien gehören in die Standard-Domänenrichtlinie

 

Was ja auch beim SBS 2008 dezidiert so ist. Und hier ein Artikel von Nils zu diesem Thema - faq-o-matic.net Besonderheiten der AD-Kennwortrichtlinie

 

LG Günther

[iDiddi 27]

OK. Interessant. Hab noch nie was davon gehört und es so auch nicht gelernt, aber die Links sind eindeutig. Hab aber nicht verstanden, was das jetzt genau für Auswirkungen hat.

 

Unter anderem überträgt er die Kennworteinstellungen direkt in das Domänenobjekt in Active Directory. Dort kann man sie ohne Zugriff auf die Default Domain Policy direkt auslesen (das Dokumentationswerkzeug José macht sich dies seit Version 3.0 zunutze).

 

Tatsächlich geht dieser Prozess aber noch einen Schritt weiter. Ändert man auf dem PDC-Emulator die Kennworteinstellungen direkt im Domänenobjekt (dem sog. “Domain Head”), so schreibt Windows die Daten zurück in die Default Domain Policy. Dies ist der einzige bekannte Fall, in dem Windows ein GPO ohne direktes Zutun des Administrators inhaltlich verändert.

 

Dieser Umstand hat allerdings Folgen, die u.U. unerwünscht sind. Hat man nämlich die effektive Kennworteinstellung nicht über die Default Domain Policy vorgenommen, sondern über ein eigenes GPO, so berücksichtigt der “Rückwärts-Schreibvorgang” dies nicht. Stattdessen überträgt er die Daten in die Default Domain Policy – offenkundig hartkodiert und ohne Logik zur Prüfung, welches GPO denn tatsächlich entscheidend ist.

Was wird wo wann rückwärts geschrieben? Ich verstehe irgendwie das Problem nicht.

 

Zu Deutsch: Kennwortrichtlinien gehören in die Standard-Domänenrichtlinie.

Dann frag ich mich aber, warum es z.B. beim SBS2k3 standardmäßig eine Small Business Server Domänenkennwortrichtlinie gibt :suspect: .

Ausserdem habe ich die Default Domain Policy bei allen meinen Kunden kopiert. Habe noch nie Schwierigkeiten damit gehabt. Die Default Domain Policy wurde immer korrekt überdeckt.

 

Oder ist der SBS hier mal wieder ein Sonderfall?

 

Also nochmal: Was kann passieren, wenn man so wie ich vorgeht :confused:

[cthoenes 10]

Hast du vielleicht einfach mal geschaut was in der SBS Console in den Kennwortrichtlinien angegeben ist?

 

greetz

[Daim 12]

Servus,

 

Was wird wo wann rückwärts geschrieben? Ich verstehe irgendwie das Problem nicht.

 

das Konfigurieren einer Kennwortrichtlinie macht nichts anderes, als Werte in die entsprechenden Attribute, die sich in der Domänenpartition befinden einzutragen. Die Konfiguration der Kennwortvorgaben kann sowohl in der Default Domain Policy (DDP), als auch in einer eigenen Richtlinie konfiguriert werden. Es ist aber auch möglich, die Konfiguration in den Attributen direkt auf dem PDC-Emulator vorzunehmen. Wenn man die Konfiguration direkt in den Attributen vornimmt, werden diese in die GPO übertragen, aber nur(!) in die DDP. Daher ist es empfehlenswert, die Kennwortrichtlinie gleich in der DDP zu konfigurieren.

 

So lange niemand auf die Idee kommt, die Änderungen in den Attributen vorzunehmen anstatt in der GPO, kann man die Kennwortvorgaben auch in einer anderen Kennwortrichtlinie vornehmen. Empfohlen ist jedoch ganz klar, die DDP zu nehmen.

[iDiddi 27]

Hallo Yusuf,

 

welch Ehre :). Danke für Deine Antwort. Jetzt hab auch ich es verstanden ;)

 

Aber da hat Microsoft beim SBS2k3 offensichtlich geschlampt. Im SBS2k8 gibts die Gruppenrichtlinie dann auch nicht mehr.

 

Off-Topic:

Klasse Blogg übrigens. Schau ich immer mal wieder rein :thumb1: