Kennwortrichtlinie - In default Domain Policy

[zeus-cu 10]

Hallo Forum,

 

obwohl wir in der Default-Domain Policy eine Kennwortrichtline (s. Domain-Policy.png) festgelegt haben, greift diese einfach nicht.

Bei einem Aufruf von gpresult auf einem beliebigen Client wird aber angezeigt, dass die Default Domain Policy geladen wurde.

 

Ich hatte auch schon den Verdacht, dass die Policy von einer Anderen überschrieben wird, habe allerdings nichts finden können.

 

Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png)

 

Hat einer noch eine Idee an was das liegen könnte?

 

Die Kennwortrichtline, die momentan eingestellt ist, stammt noch aus Zeiten wo unsere Domäne auf NT4 lief. Mittlerweile ist sie allerdings auf 2008.

 

Gruß

Klaus

[NorbertFe 1.805]

obwohl wir in der Default-Domain Policy eine Kennwortrichtline (s. Domain-Policy.png) festgelegt haben, greift diese einfach nicht.

Woran machst du das fest?

Bei einem Aufruf von gpresult auf einem beliebigen Client wird aber angezeigt, dass die Default Domain Policy geladen wurde.

Schonmal gut.

 

 

Ich hatte auch schon den Verdacht, dass die Policy von einer Anderen überschrieben wird, habe allerdings nichts finden können.

Von was sollte deiner Meinung nach eine Kennwortrichtlinie auf Domänenebene denn überschrieben werden?

 

 

Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png)

GPEdit hat genau keine Aussagekraft in diesem Fall.

Die Kennwortrichtline, die momentan eingestellt ist, stammt noch aus Zeiten wo unsere Domäne auf NT4 lief. Mittlerweile ist sie allerdings auf 2008.

Ja, aber wo genau ist jetzt dein Problem? "Greift nicht und Verdacht" sind jetzt nicht wirklich aussagekräftige Fehlerbeschreibungen. ;)

 

Bye

Norbert

[Sunny61 773]

Hallo Forum,

Beim Domain-Admin zieht nur die Default-Policy. Wenn ich mich am Domain-Controller als Administrator anmelde und dann den lokalen gpedit.msc aufrufe, sehe ich nicht die eingestellte Kennwortrichtlinie. (s. Lokale-Einstellung.png)

Um die Aussage von Norbert etwas zu festigen, in GPEDIT.MSC siehst Du nur die Änderungen die auch an diesem Rechner via GPEDIT.MSC vorgenommen hast. Du mußt als einen Report erstellen. gpresult /H gpreport.html [ENTER]. Jetzt das gpreport.html betrachten.

[zeus-cu 10]

Hallo Norbert,

 

die Kennwortrichtlinie in der Default-Domain-Policy zieht definitiv nicht, weil weder die Kennwortkompläxität, Länge noch Haltbarkeit stimmen. Die Benutzer werden nach wie vor nach 42 Tagen aufgefordert ihr Passwort zu ändern.

Mit "net user xxxx /domain" auf der Shell für meinen Benutzer wird folgendes ausgegeben:

 

Letztes Setzen des Kennworts        11.12.2013 13:24:21
Kennwort läuft ab                            22.01.2014 13:24:21
Kennwort änderbar                         11.12.2013 13:24:21
Kennwort erforderlich                      Ja
Benutzer kann Kennwort ändern     Ja

 

Dies entspricht genau dessen, was im lokalen gpedit.msc angezeigt wird.

Bestimmt findet man die Einstellungen der Default-Domän-Policy irgendwo in der lokalen Registry. Weiß Du wo ich da nachsehen kann?

 

Hab noch ein Screenshot von gpresult /H beigefügt. Da sieht alles gut aus.

 

Gruß

Klaus

bearbeitet 16. Dezember 2013 von zeus-cu

[NorbertFe 1.805]

Hi,

 

Dies entspricht genau dessen, was im lokalen gpedit.msc angezeigt wird.

Bestimmt findet man die Einstellungen der Default-Domän-Policy irgendwo in der lokalen Registry. Weiß Du wo ich da nachsehen kann?

Hast du eventuell die Vererbung auf der OU der Domaincontroller unterbrochen? Ohne ein paar mehr Infos wird das nix. ;)

Hier mal ein wenig Hintergrundinfo: http://blogs.technet.com/b/askpfeplat/archive/2013/01/14/fun-and-games-active-directory-password-policies.aspx

 

Bye

Norbert

[zeus-cu 10]

Hallo Norbert,

 

ich suche den Fehler bestimmt schon eine Woche. Die Vererbung wurde nicht unterbrochen. Zumindest sehe ich es nicht. Die Default-Domain-Policy ist bei uns auf der Domäne angewendet. Es existiert auf der Domäne auch keine weitere Policy mit einer höheren Priorität. Wenn ich mir mit gpresult /H den generierten Report anzeigen lasse, ist dort die Kennwortrichtlinie aus der Default-Domain-Policy aufgeführt. Es gibt in diesem Report keine weiteren Treffer was die Kennwortrichtlinie betrifft. Ich bin echt ratlos.

 

Beim Aufruf von net accounts /domain wird folgendes angezeigt:

 

Die Anforderung wird auf einem Domänencontroller für Domäne dohle.com verarbeitet.

Abmelden erzwingen nach:                                  Nie
Minimales Kennwortalter (Tage):                          0
Maximales Kennwortalter (Tage):                         42
Minimale Kennwortlänge:                                     5
Länge der Kennwortchronik:                                1
Sperrschwelle:                                                      Nie
Sperrdauer (Minuten):                                          30
Sperrüberprüfungsfenster (Minuten):                   30
Rolle des Computers:                                           SICHERUNG

 

Keine Ahnung wo das her kommt.

 

Gruß

Klaus

[zeus-cu 10]

So habe jetzt in der Default Domain Policy die Kennwort Richtlinie gelöscht und eine weitere GPO auf die Domain gesetzt mit höherer Prio. Dann habe ich die GPO wieder gelöscht die Kennwortrichtline in der Default Domain Policy wieder eingetragen und jetzt wird sie beim Aufruf von net accounts /domain auch angezeigt. Very strange :

 

net accounts /domain
Die Anforderung wird auf einem Domänencontroller für Domäne xxxx.com verarbeitet.

Abmelden erzwingen nach:                                  Nie
Minimales Kennwortalter (Tage):                          0
Maximales Kennwortalter (Tage):                         365
Minimale Kennwortlänge:                                     8
Länge der Kennwortchronik:                                1
Sperrschwelle:                                                      Nie
Sperrdauer (Minuten):                                          30
Sperrüberprüfungsfenster (Minuten):                   30
Rolle des Computers:                                           PRIMÄR
 

Was mich jetzt allerdings sehr wurndert ist die Tatsache, das die lokale Kennwortrichtlinie (beim Aufruf von gpoedit.msc) jetzt ebenfalls dies Werte hat, die in der Default Domain Policy eingestellt sind. (s. Anlagen)

D.h. ich kann jetzt keine lokalen User auf dem Client mit einem einfachen Passwort anlegen. Zudem ist die lokale Kennwortrichtlinie ausgegraut. Ich kann nichts an ihr ändern, auch nicht wenn ich mich nur lokal anmelde.

Ist das so beabsichtigt?

 

Gruß

Klaus

bearbeitet 19. Dezember 2013 von zeus-cu

[NorbertFe 1.805]

Dann definier halt eine Richtlinie für lokale Konten. Ist doch kein Problem. Und wer braucht schon lokale Konten und dann auch noch mit einfachem Kennwort?

 

Bye

Norbert

[zeus-cu 10]

okay... Und wie mach ich das mit der Richtlinie für lokale Konten?

[NorbertFe 1.805]

Genauso, nur auf OU Ebene. ;)

[zeus-cu 10]

Schuldigung, wenn ich ein wenig Begriffstutzig bin.  Mit einer Kennwortrichtlinie auf einer OU ändere ich die lokale Richtlinie auf dem Client die Domänen Richtline bleibt dann aber erhlaten?

Ich möchte eigentlich, dass alle Benutzer in der Domäne die Kennwortrichtlinie mit komplexem Passwort erhalten. Lokale Benutzer sollen aber einfache Passwörter verwenden können.

Vermutlich wird so was aber nicht gehen oder?

[NorbertFe 1.805]

Nein damit änderst du das, was für lokale Konten auf dem PC gelten soll. ;)

[zeus-cu 10]

Aus irgendwelchen unerfindlichen Gründen hatte wir in den vergangenen ca. 4 Wochen die Passwortpolicy, welche auf der Default Domain Policy eingestellt war. Diese hatte sich irgendwie auf einmal doch aktiviert. Ich dachte alles wäre somit in Ordnung.

Heute ist die Policy aber wieder auf 42 Tage zurückgesetzt. Weiß der Teufel wo das herkommt. Ich bin ratlos.

 

Ich habe gerade auf einem unserer Domaincontroller mit Set-ADDefaultDomainPasswordPolicy die Policy wieder geändert, dies hält allerdings nur ca. 5 Minuten, dann steht wieder der alte Schrott drin.

Woher könnte das kommen?

Wie kann ich das debuggen?

 

Gruß

Klaus

[Sunny61 773]

 

Ich habe gerade auf einem unserer Domaincontroller mit Set-ADDefaultDomainPasswordPolicy die Policy wieder geändert, dies hält allerdings nur ca. 5 Minuten, dann steht wieder der alte Schrott drin.

Woher könnte das kommen?

Wie kann ich das debuggen?

5 Minuten ist IMHO der Default Replikationszeitraum zwischen den DCs.

[zeus-cu 10]

So ich glaube ich komme dem Fehler näher.

Auf unseren beiden DCs wird angezeigt, dass die Versionsnummer der Default-Domain Policy im Sysvol von der Versionsnummer im AD abweicht:

 

UserVersion      : AD Version: 8, SysVol Version: 8
ComputerVersion  : AD Version: 144, SysVol Version: 143

 

Dazu kommt dann noch, wenn ich mir die Default Domain Policy auf den beiden DC im sysvol ansehe, steht auf dem einen DC das maximale Passwortalter von 42 Tagen, auf dem Anderen 365 Tage (so wie es sein soll)

Allerdings hat die Default Domain Policy im Sysvol der beiden DC die gleiche Versionsnummer aber mit offensichtlich unterschiedlichen Inhalten.

 

Darf man das von Hand beheben, also die GPO von einem DC aus dem sysvol auf den anderen kopieren und dann noch die Versionsnummer mit dem im AD anpassen? Also mit Notpad in der GPT.ini rumfummeln?

 

Gruß

Klaus