DaFlo 10 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 (bearbeitet) Hallo, wir haben bei uns im Unternehmen eine Kennwortrichtlinie im Einsatz. Diese greift leider nicht. Über GPResult sehe ich - das er sich diese richtig zieht. Jemand eine Idee woran das liegt? Gruß Flo bearbeitet 9. Juni 2015 von DaFlo
Sunny61 833 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Wo und wie genau hast Du die Kennwortrichtlinie angelegt?
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Hallo, in der Kennwortrichtlinie (extra neu angelegt) ist folgendes eingestellt: Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwortchronik erzwingen Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter Anwender vor Ablauf des Kennworts auffordern Die Richtlinie habe ich mit einzelnen OUs verbunden.
Sunny61 833 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Ich dachte mir schon so etwas. ;) Lies doch mal diese beiden Artikel: http://www.gruppenrichtlinien.de/artikel/kennwortrichtlinien/ http://www.gruppenrichtlinien.de/artikel/fine-grained-password-policies-fgpp-password-settings-objects-pso/ Nach der Lektüre der beiden Artikel weißt du auch, weshalb deine selbst erstellte nicht greift. ;)
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-)
zahni 587 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Richtig, Die Richtlinie muss auf den DC's und den Computer-Konten angewendet werden. Das ist eines der wenigen Dinge, die ich in der Default Policy einstelle.
Sunny61 833 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Oh... ich verstehe. Also muss ich das nur in die Default Pol. packen und das wars? :-) Hast Du es denn jetzt im Computer- oder Benutzerteil realisiert?
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt?
Sunny61 833 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 (bearbeitet) @Sunny: Ich habe es noch gar nicht umgesetzt... werde es erst in den nächsten 1-2 Tagen machen! In http://www.mcseboard.de/topic/203601-kennwortrichtlinien-greifen-nicht/?do=findComment&comment=1270416 schreibst es greift nicht. Also hattest Du es zu dem Zeiptunkt schon umgesetzt oder war das nicht die Wahrheit? @Zahni: Magst du mir verraten - welche Dinge man noch unbedingt in der Default Policy umsetzt? Ich persönlich konfiguriere das SMB-Signing noch in den beiden Policies, für alles andere erstellt man u.a. auch wegen der Übersichtlichkeit, eigene neue GPOs. bearbeitet 9. Juni 2015 von Sunny61
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 (bearbeitet) Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. bearbeitet 9. Juni 2015 von DaFlo
Sunny61 833 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Moment... ich habe es noch nicht in die Default Policy eingetragen - sondern nur in eine "extra" Gruppenrichtlinie! Und diese greift nicht! Ich muss es noch in die Default Policy umtragen. Sorry fürs Missverständnis. Dachte ich mir, Danke für die Korrektur und die Rückmeldung. ;)
daabm 1.431 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Ich muss es noch in die Default Policy umtragen. Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. Sonst wird sie nämlich wieder überschrieben - die Verarbeitung erfolgt von unten nach oben.Steht bestimmt irgendwo in den beiden Links, die Sunny schon gepostet hat. Oder in einem der anderen Howtos von Mark. @Zahni: In die DDP und DDCP packe ich zumindest gar nix - ich mach mir eine eigene (ggf. halt als Kopie davon), schiebt die drüber und ändere dann da. Motivation dafür sind die statischen GUIDs der beiden und DCGPOFIX. Aber das ist natürlich keine in Stein gemeißelte Regel, sondern nur ein Erfahrungswert :)
DaFlo 10 Geschrieben 9. Juni 2015 Autor Melden Geschrieben 9. Juni 2015 Ok... den Punkt habe ich nicht gedacht. Danke daabm für den "Kopfanstoß"! :-) Nun muss ich doch nochmal fragen falls ich es in die DDP bzw. in die DDCP packe - dann betrifft es ja "alle". Server sollen von der Kennwortänderung (ist in der Computerkonfiguration eingestellt) nicht betreffen - wie kann ich das am "schnellsten" ausschließen?
NorbertFe 2.283 Geschrieben 9. Juni 2015 Melden Geschrieben 9. Juni 2015 Häh? Ein Kennwort läuft im ad überall gleich ab. Ist ja nur ein Konto. Und falls du lokale Konten nutzt (hoffentlich nicht) dann kannst du das mit anderen gpos übersteuern. Steht alles im obigen Link.
NilsK 3.046 Geschrieben 10. Juni 2015 Melden Geschrieben 10. Juni 2015 Moin, Nein, mußt Du nicht. Du mußt nur "Deine" Policy über die Default Domain Policy schieben. jein. Rein von der GPO-Verarbeitung ist das richtig. Kennwortrichtlinien gehören trotzdem nur in die DDP, weil es da noch harkodierte Prozesse im AD gibt: [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden