NorbertFe 2.281 Geschrieben 26. Januar 2015 Melden Geschrieben 26. Januar 2015 Du kopierst nicht, du sicherst. In der GPMC einfach mal den Container Gruppenrichtlinienobjekte öffnen "Rechtsklick auf die DDP" und kopieren. Danach wieder einfügen. Dann hast du Kopie der Default Domain Policy. ;) Bye Norbert
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Geschrieben 26. Januar 2015 Ich glaub, ich habe mir hier gerade eine größere Baustelle aufgemacht. Der wahrscheinlichste Grund, warum man von der DDP kein Backup machen oder kopieren kann (PowerShell bringt gleiche Fehlermeldung), ist wohl der, das die DDP mal eine Ordnerumleitung beinhaltete, die jetzt nicht mehr gültig ist. Vor etwa 4 Jahren, als ich noch nicht hier war, waren File-Server und DCs auf Win2003. Ich vermute, das dort die Ordnerumleitung irgendwann mal eingerichtet wurde mit Ziel auf den alten File-Server. Mittlerweile gibt es einen neuen File-Server (File1) und neue DCs unter Win2008R2. Die Einstellungen könne logischerweise nicht mehr verifiziert werden, weil die Pfade nicht mehr stimmen, aber ändern kann ich die Einstellungen in der DDP auch nicht, was vermutlich mit dem Wechsel auf Win2008R2-DC zusammenhängt. Hier http://serverfault.com/questions/154588/how-can-i-erase-the-traces-of-folder-redirection-from-the-default-domain-policy habe ich was gefunden, wie man die Ordnerumleitung manuell entfernen kann. Hat zwar etwas von einer Operation am offenen Herzen, könnte aber durchaus funktionieren. Ich könnte auch die Benutzerkonfiguration deaktivieren. Damit würde ich das Problem zwar nicht beheben, aber zumindest umgehen. Ich geb Bescheid wie es ausgegangen ist. Gruß Matthias
NorbertFe 2.281 Geschrieben 26. Januar 2015 Melden Geschrieben 26. Januar 2015 Was soll da schon kaputt gehen. Notfalls gibt's immer noch ein Restore. ;)
addy0604 11 Geschrieben 26. Januar 2015 Autor Melden Geschrieben 26. Januar 2015 Auch wieder wahr... ;) So, die Ordnerumleitung ist raus, im Nachhinein keine große Sache. (Unser Revisor wäre mir trotzdem an den Hals gesprungen...) Wie du vorgeschlagen hast habe ich eine Kopie von der DDP gemacht, die Kopie mit der OU verlinkt und die originale direkt unter die Domäne gehangen. Und siehe da, schon klappt es auch mit dem "maximalen Kennwortalter", zumindest per net accounts /domain auf dem DC2. Ich gehe aber davon aus, das sich die Kennwort-Policy morgen früh bei den beiden Benuztern meldet, deren Kennwort älter als 30 Tage ist. Vielen vielen Dank für die Hilfe. Beste Grüße Matthias
daabm 1.429 Geschrieben 26. Januar 2015 Melden Geschrieben 26. Januar 2015 @Sunny: Bin wieder da :) Meine Meinung dazu: Die DDP und die DDCP fasst man besser nicht an, sondern macht sich eine eigene GPO, die man dann weiter oben verlinkt. Hintergrund ist tatsächlich dcgpofix - und ich bin dann auch relativ leicht in der Lage, meine eigenen GPOs für Diagnosezwecke kurz auszuknipsen. Ob Kennwortrichtlinien nun in der DDP stehen oder in einer anderen, das ist egal - wichtig sind für Domänenuser dabei nur zwei Dinge: 1. Die GPO _muss_ mit der Domäne verknüpft sein. 2. Der PDC-Emulator muss Anwenden-Rechte darauf haben. Ob die DDP selbst überhaupt noch aktiv/verlinkt/vorhanden ist, spielt übrigens auch keine wirkliche Rolle :)
addy0604 11 Geschrieben 27. Januar 2015 Autor Melden Geschrieben 27. Januar 2015 Gut zu wissen. Man lernt halt nicht aus... Vielen Dank für die Erläuterungen. Grüße Matthias
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden