Jump to content

[Server2012] GPO Kennwortrichtlinie / Komplexität wirkt nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

mir ist aufgefallen, dass nach dem manuellen zurücksetzen eines Kennwortes via AD-benutzer u. Computer (ohne den Haken gesetzt zu haben: "Benutzer muss Kennwort bei der nächsten Anmeldung ändern") der Nutzer sein Kennwort nicht selbständig ändern kann. Es erscheit immer wieder beim versuch das Kennwort zu ändern folgendes: "Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlininen..." u.s.w.

 

Die Kennwortkomplexität ist allerdings deaktivert. Es gab vorher fälscherweise eine eigene Password-Policy GPO die auf die oberste OU der Domäne und nicht auf den Domänen-Header verlinkt war.

Diese habe ich entfernt und die Kennwortrichtline wieder in die Defaul Domain Policy eingetragen. Das bringt mir

PS C:\Users\admin> Get-ADDefaultDomainPasswordPolicy


ComplexityEnabled           : False
DistinguishedName           : DC=meine-firma,DC=org
LockoutDuration             : 00:05:00
LockoutObservationWindow    : 00:05:00
LockoutThreshold            : 6
MaxPasswordAge              : 60.00:00:00
MinPasswordAge              : 40.00:00:00
MinPasswordLength           : 6
objectClass                 : {domainDNS}
objectGuid                  : 267a5d25-0e8d-494e-bf58-e444682f11a4
PasswordHistoryCount        : 5
ReversibleEncryptionEnabled : False

auf beiden DC's.

 

Ich habe den Client und beide DC's bereits neugestartet.

 

Setze ich allerdings den Haken beim manuelle zurücksetzten "Benutzer muss Kennwort bei der nächsten Anmeldung ändern", muss und kann der Nutzer wieder ein eigenes Kennwort vergeben.

 

Im Active-Directory Verwaltungscenter habe ich nichts angepasst. Default wird allerdings folgendes vorgegeben. Das wird ja aber sicher nicht wirken?

post-60361-0-69792700-1476176437_thumb.png

 

Kann mir bitte jemand einen Tipp geben, wo es da klemmt? Warum wirkt die Kennwortrichtlinie nicht korrekt?

MfG

Edited by michelo82
Link to comment

Hallo,

 

Ich kann die Werte bezüglich minimales und maximales Kennwortalter nicht "lesen", sind das 40 Tage?Ich vermute hier aber dein Problem. Setzt du das Kennwort ohne Haken bezüglich "Benutzer muss neu vergeben" gilt halt das minimale Kennwortalter. Also so lange muss das gesetzte Kennwort genutzt werden, bevor es geändert werden darf. Setzt du den Haken, greift das mindest-Kennwortalter nicht und muss/kann gleich geändert werden...

 

Gruß

Björn

Link to comment

Hat sich denn was geändert? Ja. Wird sie angewandt? Ja.

 

Schadet ja auch nicht.

Jain. Es führt im Zweifel dazu, dass man Fehler nicht erkennt, weil man mit /force eben die Anwendung der Gruppenrichtlinien erzwingt. Wenn es bei der normalen Übernahme aber Probleme geben sollte, wird man das nicht "sehen". Und ja, ich hab schon solche Kundensysteme gefunden, bei denen dann eben Startupskripte mit /force liefen usw. usf. Ja es ist im Allgemeinen überflüssig. Und wenn es überflüssig ist, sollte man es eben auch nicht verwenden.

Link to comment

das "/force" nach gpupdate ist bei mir so tief  in die Finger Sehnen und Muskeln eingebrannt, das bekomme ich wohl nie mehr raus. Genauso wie z.B. das "/all" bei ipconfig, auch wenn ich es gar nicht brauche.

 

Mal ehrlich, wer von uns ist so flexibel und hat diese cmd-Klassiker schon aus seinem Repertoire gestrichen und durch modernere, zweifellos mächtigere Befehle ersetzt?

- Invoke-Gpupdate

- https://blogs.technet.microsoft.com/josebda/2015/04/18/windows-powershell-equivalents-for-common-networking-commands-ipconfig-ping-nslookup/

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...