Jump to content

Default Domain Policy - Einstellung maximales Kennwortalter zieht nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

 

ich habe hier ein Problem bei dem ich nicht ganz weiter weiß. Ich habe vor einiger Zeit ein paar Sachen an den Kennwortrichtlinien geändert (Länge des Passwortes und Maximales Kennwortalter). Das ganze habe ich in der Default Domain Policy geändert. Jetzt habe ich aber das Problem, dass die Passwörter weiterhin nach 30 Tagen und nicht wie in der Policy eingestellt nach 120 Tagen ablaufen. Ich kann mir das ganze nicht wirklich erklären, da ich keine andere GPO habe die Kennwortrichtlinien definiert... Hat jemand eine Idee wo das Problem liegen könnte?

Link zu diesem Kommentar

Moin,

 

dann ist etwas nicht so, wie du vermutet hast. Meist sind es keine Replikationsprobleme, sondern Fehler beim Einstellen.

 

Fangen wir mal vorne an: Was für GPOs sind denn auf Domänenebene definiert? Es interessiert nur "ganz oben", weil Kennwortrichtlinien nur dort wirksam werden. In welchen davon sind welche Einstellungen für die Kennwörter vorgenommen?

 

Gruß, Nils

 

Link zu diesem Kommentar

Guten Morgen :-) 

 

Also auf Root-Ebene sind ausser der DDP noch 8 weitere GPO's definiert, aber keine davon hat Kennwortrichtlinien definiert. Zweimal Terminalserver (Anmelden über Terminaldienste zulassen & SSO), zweimal Zertifikat-Verteilung, einmal Einstellung TimeService, zweimal SMBv1 Disable, einmal Logon as Batch Job. Alle aktiv auf Root Ebene.

Link zu diesem Kommentar

Moin,

 

also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain?

 

Noch zwei weitere Tests:

  • was sagt netdom /query fsmo im CMD-Fenster?
  • Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest?

Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben.

 

Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 4 Minuten schrieb NilsK:

Moin,

 

also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain?

 

Noch zwei weitere Tests:

  • was sagt netdom /query fsmo im CMD-Fenster?
  • Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest?

Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben.

 

Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen.

 

Gruß, Nils

 

Ja, so ist es, da DPP und net accounts /Domain unterscheiden sich.

 

Zu Test 1: Das sieht unauffällig aus, da steht einer meiner beiden DC's (der Betriebsmaster) drin.

Zu Test 2: Wo muss ich da genau hinschauen? Mit adsiedit bin ich jetzt nicht so wirklich vertraut.

 

Weitere Probleme gibt es keine, zumindest keine die mir aufgefallen sind. 

Link zu diesem Kommentar

Moin,

 

also ist der PDC-Emulator korrekt identifziert? Der zugehörige DC funktioniert und antwortet auch?

 

Zu ADSIEdit:

  • Du startest adsiedit.msc. 
  • Rechtsklick auf ADSI-Editor, Verbindung herstellen.
  • Auswahl "Bekannten Namenskontext", dort "Standardmäßiger Namenskontext"
  • Im unteren Feld bei der oberen Option einen der beiden DCs auswählen.
  • Rechtsklick auf die Domäne, Eigenschaften. In dem Fenster siehst du dann die diversen Attribute des "Domain Head", dort findest du auch die Felder zu den Kennworteigenschaften.
  • Dann dasselbe noch mal ab dem zweiten Punkt dieser Liste, aber mit dem anderen DC.
  • Sind die Werte identisch oder unterschiedlich?

Ich bin gerade nicht mit einer Domäne verbunden und kann es nicht nachstellen, daher nur aus dem Kopf, sollte aber ungefähr so passen.

 

Was findet sich im Eventlog?

Was findet sich in dcdiag?

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Also im Eventlog bekomme ich am DC SceCli Fehler 1202, 0x57. Und das seit dem Tag an dem ich die DPP geändert habe... Das ganze hört sich so an, als seien noch Uralte Reste in der DPP die hier Probleme machen:

https://superuser.com/questions/1422880/scecli-0x57-password-policy-event-1202

 

Tatsächlich wir der im Artikel genannte Eintrag "RequireLogonToChangePassword" im Winlogon protokolliert:

 

---Sicherheitsrichtlinien werden konfiguriert...
        Die Verabeitung der Wiederherstellungswerte für 7 Einstellungen wird gestartet.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordLength>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordHistorySize>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MaximumPasswordAge>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordAge>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordComplexity>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <RequireLogonToChangePassword>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ClearTextPassword>.
    Konfigurieren der Kennwortinformationen.
        Die Verabeitung der Wiederherstellungswerte für 3 Einstellungen wird gestartet.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutBadCount>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ResetLockoutCount>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutDuration>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ForceLogoffWhenHourExpire>.
    Konfigurieren der Informationen der erzwungenen Abmeldung.

 

 

Kleine Rückmeldung: Ich habe die Anweisungen aus der ersten Antwort des Artikels ausgeführt (alle Einstellungen anwählen, ändern, speichern, wieder auf richtigen Wert setzen, speichern) und ein gpupdate /force gemacht. Siehe da, net accounts /Domain zeigt jetzt die Werte an, die auch in der DPP stehen. Habe auch die maximale Kennwortlänge auf 14 gesetzt.

 

Aber habe ich das richtig verstanden dass man über die DPP keine Passwortlänge größer 14 setzen kann??

bearbeitet von Marco31
Link zu diesem Kommentar

Ja, auf sowas kann man verzichten :lol3: Die Einstellung "RequireLogonToChangePassword" wird aber auch jetzt noch im Winlogon geloggt. Ich muss aber gestehen dass ich mich nicht so recht traue, an der GPTTMP.INF rumzufummeln...

 

Hat jemand von euch Passwörter länger 14 Zeichen über die DPP konfiguriert oder nur über "Fine Grained Password Policy"?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...