Jump to content

Kennwortrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute

 

Habe zurzeit ein kleines Problem.

 

Hab eine Testumgebung mit VirtualPC aufgebaut. 2 Server und 1 Client. Bin gerade dabei, die Gruppenrichtlinien etwas genauer unter die Lupe zu nehmen. Dabei habe ich folgendes Problem:

 

Habe im AD eine neue OU "Arbeitsstationen" erstellt, welche alle PCs der Testumgebung enthalten, vorläufig halt nur eine WS :D .

 

Auf diese OU habe ich eine Gruppenrichtlinie gesetzt, welche mir verbietet, beim Wechsel des Kennworts wieder dasselbe zu nehmen, minimale Länge des Passwortes 6 Zeichen, Mindestalter Passwort 0 Tage, Maximalalter des Passworts 30 Tage. Soweit, so gut.

 

Melde ich mich nun als User an der WS an, wird die Richtlinie übernommen und angewendet. Ändere ich jetzt das Passwort, kann ich zwar wegen den Richtlinien nicht mehr dasselbe verwenden, jedoch dard das Passwort kürzer als 6 Zeichen sein. Mit der Richtlinie sollte dies nicht möglich sein.

 

Die Richtlinie überschreibt ja die lokalen Sicherheitsrichtlinien. Melde ich mich aber lokal am System der WS an, ändere die Sicherheitsruchtlinien, melde mich erneut als lokaler User anfunktionierts tadellos. :confused:

 

Warum wird die minimale Passwortlänge auf Domänenebene nicht übernommen?

 

Any ideas?

Link zu diesem Kommentar

Hallo Morph,

 

 

brwic hats ja schon angedeutet. Hier ein Zitat aus http://www.gruppenrichtlinie.de:

Eine weitere Sonderstellung innerhalb der möglichen Einstellung nehmen die Kennwortrichtlinien ein. Jede Domäne hat genau eine Kontorichtlinie (i.d.R. Default Domain Policy). Die Einstellungen der Domänenrichtlinie gelten für die Domäne und damit für alle Domänenkonten. Es nicht möglich für die Nutzer in verschiedenen OUs unterschiedliche Kennwortrichtlinien (z.B.: Länge und Gültigkeit des Passwortes) einzustellen. Dieses ist nur pro Domäne möglich. Die Einstellung innerhalb einer OU wird nur von den Computerobjekten der OU übernommen (nicht von der Domäne) und wirken sich damit nur auf die jeweiligen lokalen Benutzerkonten aus.

 

Dem füge ich noch hinzu: In einer Domäne gibt es genau EINE Kontorichtlinie.

Ergo: Willst Du eine oder mehrere Kontorichtlinie, brauchst Du eine oder mehrere Domänen. :)

 

Gruss

mover

Link zu diesem Kommentar

hab die richtlinie auch schon in die default domain policy gesetzt, hat leider nix gebracht... :confused:

 

wenn ich mich als user anmelde, sollte ich das passwort zwar ändern können, aber mit mindestlänge. schau ich in der verwaltung und führe als Admin auf der Arbeitsstation die "lokale Sicherheitseinstellungen" aus, sind da ja unter anderem die "effektive Einstellungen" unter Kontorichtlinien --> Kennwortrichtlinien zu sehen. sind dies die Richtlinien, welche in der default domain policy gesetzt wurden?

 

@brwic

 

danke für den Link, werd mich da mal erkundigen.

Link zu diesem Kommentar

Moment mal,

 

zu Deinem 1. Beitrag:

Wenn sich ein User (auch Admin) lokal an einer Workstation anmeldet, gelten natürlich keine für die Domäne erstellten Gruppenrichtlinien.

 

zu Deinem 2. Beitrag:

... und führe als Admin auf der Arbeitsstation die "lokale Sicherheitseinstellungen" aus

Wie "führst" Du die denn aus ?

Was steht denn unter "effektive Einstellung"?

Und bist Du dabei lokal oder an der Domäne angemeldet?

 

Gruss

mover

Link zu diesem Kommentar

zu 1.

 

ist mir jetzt im nachhinein auch klar geworden ;)

 

zu 2.

 

Ich meld mich als "User" an, öffne die Verwaltung in der Systemsteuerung, klicke lokale Sicherheitseinstellungen mit der rechten Maustaste an und wähle "ausführen als" und geb da den Admin der Domäne ein.

 

Unter "effektive Einstellung" steht folgendes:

Kennwortchronik erzwingen = 1 Gespeicherte Kennwörter

Komplexitätsanforderungen = Deaktiviert

umkehrbare Verschlüsselung = Deaktiviert

Maximales Alter = 42 Tage

Minimale Kennwortlänge = 0 Zeichen

Minimales Kennwortalter = 0 Tage

 

Obwohl ich die Default Domain Policy ändere, tut sich da nichts... Und auch auf dem DC ist die Datei Gpttmpl.inf im SYSVOL-Verzeichnis mit den oben genannten Werten gespeichert, obwohl ich die Default Domain Policy abgeändert habe...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...