Jump to content

Kennwort aktiv, obwohl es ausgelaufen ist


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich habe hier ein Problem mit Kennwörtern, die eigentlich abgelaufen sein sollten, aber trotzdem noch funktionieren.

Wir haben hier eine normale Windows-Domäne mit Win2008R2-DCs und einer Kennwortrichtlinie (hat mein Vorgänger eingerichtet) in der Default Domain Policy, die besagt, das die Kennwörter alle 60 Tage geändert werden müssen. Da es damit nie Probleme gab, wurde auch nichts geändert.

Seit neusten sollten die Kennworte aber alle 30 Tage geändert werden (neue betriebliche Vereinbarung). Ich hab also den Eintrag "maximales Kennwortalter" in der Policy von 60 auf 30 Tage geändert.

Heute erfuhr ich, das manche Kennworte wohl älter sind. Das Ganze mit pwexpire geprüft und siehe da, ein Kennwort ist 34 Tage und ein anderes 49 Tage alt. Beide PCs werden täglich neu gestartet, beide Benutzer können sich nach wie vor normal an der AD anmelden, kommen auf alle Netzlaufwerke, Outlook inkl. ein- und ausgehender Mails gehen auch.

 

Habe ich was vergessen? Muss an anderer Stelle noch was eingestellt werden? Oder muss noch etwas resetet oder neu gestartet werden?

Ich will nur, das sich ein Benutzer nicht mehr an der Domäne anmelden kann, wenn sein Kennwort älter als 30 Tage ist.

(Der Haken "Kennwort läuft nie ab" ist draußen.)

 

Vielen Dank schon mal

Grüsse

Matthias

post-57577-2843_thumb.jpg

Link zu diesem Kommentar

Ich hatte es ehrlich gesagt nicht explizit getestet. Werde mal einen Testuser anlegen.

Alle anderen pflegen ihr Kennwort anscheinend gewissenhaft, es kamen jedenfalls keine Beschwerden.

Ich habe einen Screenshot von der GPO angehangen. Wäre es denn so ok wie es dort eingestellt ist?

 

Ich lasse den Benutzer mit dem 49-Tage-Kennwort mal noch 11 Tage. Wenn das Kennwort dann abgelaufen ist, wurde die neue Einstellung anscheinend noch nicht richtig übernommen.

post-57577-0-81846800-1421754944_thumb.jpg

Link zu diesem Kommentar

Moin,

 

grundsätzlich ist die Konfiguration bezüglich des Ablaufs richtig. Aber:

 

  • Das ist nicht die "Default Domain Policy". Es ist ein GPO namens "Default Domain Policy 2004". Gibt es das originale Objekt noch? Wenn ja, dann hat dies vermutlich Priorität. Auf jeden Fall sollte man die Kennworteinstellungen ausschließlich in der originalen DefDomPol machen und in keiner anderen. Der Grund dafür ist hier beschrieben:
    [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]
    http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/
  • Du kannst die effektiven Policies im CMD-Fenster mit folgendem Kommando prüfen:
    net accounts /domain
  • Die Komplexitätsanforderung würde ich nicht abschalten.
  • Ihr fordert eine Kennworthistorie von 7 an, lasst aber sofortige Änderung zu (0 Tage). Damit kann ein User einfach direkt hintereinander siebenmal sein Kennwort ändern und wieder das alte nutzen.
    Kennworthistorie ist nur sinnvoll mit einem minimalen Kennwortalter von einem Tag.
  • 3 Versuche falscher Kennwörter bis zur Sperrung ist nicht gut.
    http://www.gruppenrichtlinien.de/artikel/kontosperrungsschwelle-auf-50-definieren-warum/
  • Insgesamt betrachtet, ist die automatische Kontensperrung sowieso nicht gut:
    [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net]
    http://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

Zur Not könntest du bei den Anwendern, deren Kennwort "zu alt" ist, den Haken "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen. Das lässt sich auch per PowerShell für mehrere Konten machen.

Eigentlich sollte das neue Kennwortalter aber gelten; wie gesagt, prüf es mal.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Nils,

 

Danke für die Erläuterungen. Sie machen wirklich Sinn und ich werde mit Sicherheit auch einige Werte entsprechend anpassen.

 

Was die "Default Domain Policy" angeht, so ist es zumindest die einzige in der Domäne, die so heißt. Auch wenn Sie "Default Domain Policy 2004" heißt.

 

Allerdings sagt "net accounts /domain" etwas anderes. Da heißt es plötzlich: "Maximales Kennwortalter 60 Tage".

Kann es am Namen der Policy liegen, das die Änderungen nicht übernommen werden? Kann es sein, das mein Vorgänger die Kennwortrichtlinien eingerichtet hat und danach (aus welchem Grund auch immer) die "Default Domain Policy" umbenannt hat?

 

Ich kann sie ja einfach mal "zurück umbenennen".

Siehst du da irgendwelche Risiken?

 

 

Gruß

Matthias

post-57577-0-05732700-1421761981_thumb.jpg

post-57577-0-72111600-1421761992_thumb.jpg

Link zu diesem Kommentar

Die DEfault Domain POlicy {31B2F340-016D-11D2-945F-00C04FB984F9} und die Default Domain Controller Policy {6AC1786C-016F-11D2-945F-00C04fB984F9} haben _immer_ die selbe ID. Kannst du also vergleichen. Ich würde sie zurück umbenennen, wenn es tatsächlich die Default ist.

 

Was kommt denn am Client an mittels gpresult /H?

 

Bye

Norbert

Link zu diesem Kommentar

Das mit den Zeilenumbrüchen greift hier grad um sich... BTT:

 

Erstelle einenn RSoP auf dem PDC-Emulator. Das ist der einzige Computer in Deiner Domäne, der Kennwortrichtlinien aus GPOs anwendet, die mit der Domäne verknüpft sind. Alles andere ist nur Client- und Member-Gedöns.

 

Und in DIESEM RSoP prüfst Du, woher die 60 Tage kommen.

Link zu diesem Kommentar

Guten Morgen,

 

tschuldigung, das ich mich erst jetzt melde. Hatten letzte Woche einiges um die Ohren...

 

Also:

Das mit dem Zeilenumbruch kam mir auch komisch vor. Im Editor sah es noch "normal" aus. In der Vorschau waren die Zeilenumbrüche schon weg und in der Live-Umgebung auch. Ich arbeite i.d.R. mit dem IE. Eine Zeit lang hatte ich den IE 11 drauf. Nach Problemen mit der Anzeige bei einigen Web-Anwendungen hab ich wieder den IE 10 drauf. Ich arbeite auf einem Win7 x64, kein Copy-Paste.

 

Zu meinem Problem.

Die Default Domain Policy hat ja irgendwann mal funktioniert, weil die entsprechenden Einstellungen bei "net accounts /Domain" angezeigt werden.

Spanisch kommt mir auch vor, das die Policy nicht nur umbenannt, sondern auch verschoben wurde.

Ich kann mich an früher bei Windows 2000 Domänen erinnern, das die beiden Haupt-Policy's immer direkt in der Root der Domäne stehen sollten/mussten. Ist das nach wie vor so?

In der momentanen Umgebung ist es jedenfalls so, das die Default Domain Controllers Policy mit der OU "Domain Controllers" verknüpft ist, in der nur die beiden DCs liegen. Die Default Domain Policy war umbenannt (siehe oben) und ist mit einer OU verknüpft, in der (aufgeteilt in weitere OUs) alle User-Konten und alle PC-Konten liegen (siehe Screenshots).

Ich habe nun die Default Domain Policy wieder in den richtigen Namen umbenannt, aber Änderungen darin werden beim Aufruf von "net accounts /Domain" nicht angezeigt, auch nach Neustart des PCs nicht.

 

RSoP habe ich auf dem DC2 ausgeführt, der auch alle Betriebsmaster hat, auch PDC-Master.

Dort wird aber angezeigt, das die Kennwort-Policys gar nicht definiert sind! Kann das damit zusammenhängen, das die Policys nicht direkt mit der Domäne, sondern mit einer OU verknüpft ist?

 

Ich habe mal ein paar Screenshots gemacht und mit angehangen, um es etwas zu verdeutlichen.

 

Die beiden DCs habe ich bis jetzt noch nicht neu gestartet...

 

Gruß

Matthias

post-57577-0-93626500-1422265015_thumb.jpg

post-57577-0-35480500-1422265038_thumb.jpg

Link zu diesem Kommentar

Die DDP ist normalerweise direkt oben in der Root. Die DDCP ist schon richtig in der OU der Domain Controllers.

 

Man könnte natürlich auch die GPOs auf Standard setzen: http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default-richtlinien/ Allerdings kann ich dir nicht sagen ob deine Probleme damit gelöst sind. Warte lieber nochmal auf Martin, der ist in dem Thema sehr tief drin.

Link zu diesem Kommentar

Die Wiederherstellung würde ich mir/dem TO erstmal ersparen, da die GPOs ja noch vorhanden sind (nur falsch verlinkt). Normalerweise geht man jetzt hin, kopiert die Default Domain Policy und verlinkt die Kopie ebenfalls an der bisherigen OU und entfernt die DDP-Verlinkung. Danach entfernt man alle Einstellungen, die dort nichts zu suchen haben aus der DDP und verlinkt sie zum Schluß auf Domänenebene.

Knackpunkte sind normalerweise Einstellungen im Security Bereich, da dort teilweise Einstellungen von Applikationsinstallationen vorgenommen werden (Exchange und SQL bspw.). Da muß man etwas recherchieren. Jedenfalls ist das aber alles nix, bei dem es keine Lösung gibt. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Womöglich wollte der frühere Admin damit sicherstellen, das die Kennwortrichtlinien nur auf "richtigen" Benutzer-Konten angewendet werden und nicht auf teilweise administrative Benutzerkonten in der OU Users.

Aber soweit ich weiß gelten Kennwort-Richtlinien eh domänenweit, solange in den Benutzer-Accounts nicht der Haken bei "Kennwort läuft nicht ab" gesetzt ist. Oder liege ich da falsch?

 

Ich gehe mal Norberts Vorgehensweise durch versuche die DDP zu kopieren, und schau mal wie ich da weiterkomme...

Gebe dann Bescheid...

 

 

Vielen Dank schon mal

 

Gruß

Matthias


Hmm, scheint wohl doch nicht so einfach zu sein.

Wenn ich die DDP kopieren will kommt die Meldung: Fehler - Die Bibliothek, das Laufwerk oder das Medium ist leer. (siehe Screenshot)

Der gleiche Fehler kommt, wenn ich einfach nur ein Backup davon machen will.

Es gibt auch einen Eintrag im Anwendungs-Eventlog:

Copy of GPO failed. Error [The library, drive, or media pool is empty.

Auf meinem Win7 ist die Event-ID 2004, auf dem DC (Win2008R2) ist die Event-ID 2008

 

Bei allen anderen GPOs geht es problemlos, nur bei der DDP nicht...

 

Mir gefällt das immer weniger... :(

post-57577-0-98133100-1422269971_thumb.jpg

post-57577-0-67316000-1422269988_thumb.jpg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...