Jump to content
Marco31

Default Domain Policy - Einstellung maximales Kennwortalter zieht nicht

Recommended Posts

Hallo Forum,

 

ich habe hier ein Problem bei dem ich nicht ganz weiter weiß. Ich habe vor einiger Zeit ein paar Sachen an den Kennwortrichtlinien geändert (Länge des Passwortes und Maximales Kennwortalter). Das ganze habe ich in der Default Domain Policy geändert. Jetzt habe ich aber das Problem, dass die Passwörter weiterhin nach 30 Tagen und nicht wie in der Policy eingestellt nach 120 Tagen ablaufen. Ich kann mir das ganze nicht wirklich erklären, da ich keine andere GPO habe die Kennwortrichtlinien definiert... Hat jemand eine Idee wo das Problem liegen könnte?

Share this post


Link to post
Share on other sites

Hi,

 

wieviele Domain Controller gibt es denn?

  • Mehr wie einen DC: Dann prüfe die (Eventlogs auf den) DCs bzgl. Replikation
  • Einen DC: Sind alle Clients betroffen und nur vereinzelte?

Gruß

Jan

Share this post


Link to post
Share on other sites

Moin,

 

dann ist etwas nicht so, wie du vermutet hast. Meist sind es keine Replikationsprobleme, sondern Fehler beim Einstellen.

 

Fangen wir mal vorne an: Was für GPOs sind denn auf Domänenebene definiert? Es interessiert nur "ganz oben", weil Kennwortrichtlinien nur dort wirksam werden. In welchen davon sind welche Einstellungen für die Kennwörter vorgenommen?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Guten Morgen :-) 

 

Also auf Root-Ebene sind ausser der DDP noch 8 weitere GPO's definiert, aber keine davon hat Kennwortrichtlinien definiert. Zweimal Terminalserver (Anmelden über Terminaldienste zulassen & SSO), zweimal Zertifikat-Verteilung, einmal Einstellung TimeService, zweimal SMBv1 Disable, einmal Logon as Batch Job. Alle aktiv auf Root Ebene.

Share this post


Link to post
Share on other sites

Moin,

 

gut. Und was genau steht in der DDP bei den Kennwortrichtlinien drin? Dann zweiter Schritt: Was sagt ein RSoP?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Moin,

 

also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain?

 

Noch zwei weitere Tests:

  • was sagt netdom /query fsmo im CMD-Fenster?
  • Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest?

Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben.

 

Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 4 Minuten schrieb NilsK:

Moin,

 

also steht in der DDP etwas anderes als bei der Ausgabe von net accounts /domain?

 

Noch zwei weitere Tests:

  • was sagt netdom /query fsmo im CMD-Fenster?
  • Wenn du adsiedit.msc öffnest und dir die Eigenschaften des Domänenobjekts ansiehst, was steht dort bei den Feldern, die die Kennworteigenschaften angeben? Kommen andere Werte zurück, wenn du adsiedit mit einem anderen DC verbindest?

Es ist tatsächlich zu erwarten, dass sich im Eventlog was findet, denn es scheint wohl ein Problem zu geben. Was steht dort? Prüfe dabei alle Protokolle, die in Frage kommen, also auch die passenden unter "Anwendungs- und Dienstprotokolle". Weiterhin kann "dediag /E > c:\Pfad\dcdiag.txt" Aufschluss geben.

 

Gibt es weitere Auffälligkeiten oder Probleme, die damit zusammenhängen könnten? In dem Fall würde ich nicht mehr zögern, sondern einen Call bei Microsoft eröffnen.

 

Gruß, Nils

 

Ja, so ist es, da DPP und net accounts /Domain unterscheiden sich.

 

Zu Test 1: Das sieht unauffällig aus, da steht einer meiner beiden DC's (der Betriebsmaster) drin.

Zu Test 2: Wo muss ich da genau hinschauen? Mit adsiedit bin ich jetzt nicht so wirklich vertraut.

 

Weitere Probleme gibt es keine, zumindest keine die mir aufgefallen sind. 

Share this post


Link to post
Share on other sites

Moin,

 

also ist der PDC-Emulator korrekt identifziert? Der zugehörige DC funktioniert und antwortet auch?

 

Zu ADSIEdit:

  • Du startest adsiedit.msc. 
  • Rechtsklick auf ADSI-Editor, Verbindung herstellen.
  • Auswahl "Bekannten Namenskontext", dort "Standardmäßiger Namenskontext"
  • Im unteren Feld bei der oberen Option einen der beiden DCs auswählen.
  • Rechtsklick auf die Domäne, Eigenschaften. In dem Fenster siehst du dann die diversen Attribute des "Domain Head", dort findest du auch die Felder zu den Kennworteigenschaften.
  • Dann dasselbe noch mal ab dem zweiten Punkt dieser Liste, aber mit dem anderen DC.
  • Sind die Werte identisch oder unterschiedlich?

Ich bin gerade nicht mit einer Domäne verbunden und kann es nicht nachstellen, daher nur aus dem Kopf, sollte aber ungefähr so passen.

 

Was findet sich im Eventlog?

Was findet sich in dcdiag?

 

Gruß, Nils

 

Edited by NilsK
  • Like 1

Share this post


Link to post
Share on other sites

Also im Eventlog bekomme ich am DC SceCli Fehler 1202, 0x57. Und das seit dem Tag an dem ich die DPP geändert habe... Das ganze hört sich so an, als seien noch Uralte Reste in der DPP die hier Probleme machen:

https://superuser.com/questions/1422880/scecli-0x57-password-policy-event-1202

 

Tatsächlich wir der im Artikel genannte Eintrag "RequireLogonToChangePassword" im Winlogon protokolliert:

 

---Sicherheitsrichtlinien werden konfiguriert...
        Die Verabeitung der Wiederherstellungswerte für 7 Einstellungen wird gestartet.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordLength>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordHistorySize>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MaximumPasswordAge>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <MinimumPasswordAge>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <PasswordComplexity>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <RequireLogonToChangePassword>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ClearTextPassword>.
    Konfigurieren der Kennwortinformationen.
        Die Verabeitung der Wiederherstellungswerte für 3 Einstellungen wird gestartet.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutBadCount>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ResetLockoutCount>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <LockoutDuration>.
        Es besteht bereits ein Wiederherstellungswert für die Gruppenrichtlinieneinstellung <ForceLogoffWhenHourExpire>.
    Konfigurieren der Informationen der erzwungenen Abmeldung.

 

 

Kleine Rückmeldung: Ich habe die Anweisungen aus der ersten Antwort des Artikels ausgeführt (alle Einstellungen anwählen, ändern, speichern, wieder auf richtigen Wert setzen, speichern) und ein gpupdate /force gemacht. Siehe da, net accounts /Domain zeigt jetzt die Werte an, die auch in der DPP stehen. Habe auch die maximale Kennwortlänge auf 14 gesetzt.

 

Aber habe ich das richtig verstanden dass man über die DPP keine Passwortlänge größer 14 setzen kann??

Edited by Marco31

Share this post


Link to post
Share on other sites

Moin,

 

na, das ist mal spannend. Danke für die Rückmeldung. War mir so auch noch nicht bekannt.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Ja, auf sowas kann man verzichten :lol3: Die Einstellung "RequireLogonToChangePassword" wird aber auch jetzt noch im Winlogon geloggt. Ich muss aber gestehen dass ich mich nicht so recht traue, an der GPTTMP.INF rumzufummeln...

 

Hat jemand von euch Passwörter länger 14 Zeichen über die DPP konfiguriert oder nur über "Fine Grained Password Policy"?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...