Jump to content

W2k3 - Änderung an Benutzereinstellung wird nach kurzer Zeit zurückgesetzt?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi!

 

Folgendes Problem:

Ich hab hier 2 Windows Server 2003 Domain Controller (SP1)

Domain functional Level: Windows Server 2003

 

Wenn ich nun an einem Benutzerobjekt die Account option "Cannot change password" auf DC1 aktiviere, wird diese auch problemlos auf DC2 repliziert, doch nach ca. 1h oder etwas mehr ist diese Einstellung wieder auf beiden DC's verschwunden.

 

Gleiches passiert wenn ich die Änderung zuerst auf DC2 vornehme. (wird auf DC1 repliziert, nach ca. 1h verschwindet die Eistellung wieder)

 

Mit replmon sind mir keine Fehler aufgefallen. (es wird ja auch korrekt repliziert)

 

Woran kann das liegen?

 

Pfuscht mir da eine Sicherheitsrichtlinie dazwischen?

 

MfG

Link zu diesem Kommentar

Dürfte doch an einer Sicherheitsrichtlinie liegen!

 

Aber wie finde ich jetzt heraus welche Sicherheitsrichtlinie meine Benutzereinstellung "Cannot change password" zurücksetzt.

 

Ich weiss, dass die Einstellung "User must change Password at next logon" die Einstellung "Cannot change password" ausschließt, diese ist aber eh nicht aktiviert.

 

Hat jemand einen Hinweis, welche Richtlinie, dass Setzen der Einstellun "Cannot change password" verhindert bzw. zurücksetzt?

Link zu diesem Kommentar

Hab jetzt mal alle Kontenrichtlinien aus der "Default Domain Policy" und der "Default Domain Controller Policy" herausgenommen, außer

*) Password Policy - Password must meet complexity requirements: disabled

und die Kerberos Richtlinien sind auch konfiguriert

 

hab mit Replmon noch mal die Replikation beobachtet

wenn ich bei einem Benutzeraccount die Option:

"User cannot change Password" aktiviere wird diese auf den anderen Server richtig repliziert

 

jedoch wird stüdnlich (immer 9 Minuten nach der vollen Stunde) diese Option wieder zurückgesetzt (wird vom Replmon als normale Replikation erfasst)

 

wie kann ich das Problem am besten aufspüren?

hat noch jemand einen Tipp für mich?

Link zu diesem Kommentar

mit rsop.msc hab ichs auch schon probiert, es sind unter

 

Computer Configuration -> Security Settings -> Account Policies -> Password Policy

 

alle Richtlinien auf "not defined" gesetzt

 

ich hab jetzt etwas herum experimentiert:

wenn ich einen neuen Benutzer anlege und dieser nur in der Gruppe "DomainUsers" ist

bleibt die Einstellung "User cannot change password" bestehen

sobald ich jedoch diesen Benutzer in eine manuell konfigurierte Sicherheitsgruppe aufnehme, wird die Einstellung "User cannot change password" wieder überschrieben

 

kann das daran liegen, dass die Sicherheitsgruppen von einer NT4-Domäne migriert wurden???

 

muss mal ausprobieren, ob dieses Problem auch auftritt wenn ich eine neue Sicherheitsgruppe erstelle und einen Benutzer in diese aufnehme

(leider wird diese Einstellung immer nur stündlich überschrieben :( )

Link zu diesem Kommentar

habe 3 Testuser mit folgenden Gruppenzugehörigkeiten erstellt:

 

Gruppenmitgliedschaft von Test1:

DomainUsers

Administratoren

globale Sicherheitsgruppe (von NT4 migriert)

 

Gruppenmitgliedschaft von Test2:

DomainUsers

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

Gruppenmitgliedschaft von Test3:

DomainUsers

globale Sicherheitsgruppe (von NT4 migriert)

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

bei den Benutzern "Test1" und "Test3" wurde die Einstellung "Benutzer kann Kennwort nicht ändern" wieder zurückgesetzt

 

bei Test2 wurde die Einstellung beibehalten

 

liegt also anscheinend an den Sicherheitsgruppen, die noch in der NT4-Domäne erstellt wurden

ist jemandem dieses Problem bekannt?

gibt es eine andere Möglichkeit, als alle Sicherheitsgruppen neu anzulegen?

 

wäre ja ein enormer aufwand, sämtliche Gruppenmitgliedschaften und Berechtigungen neu anzulegen

Link zu diesem Kommentar

Hab die Ursache mit Hilfe der microsoft-newsgroup finden können.

 

AdminSDholder

 

http://support.microsoft.com/?scid=kb%3Ben-us%3B817433&x=3&y=9

 

AdminSDholder betrifft nicht nur die ACL's der gschützten Gruppen und Benutzerkonten, sonder eben auch die Benutzereinstellung "Benutzer kann Kennwort nicht ändern"

 

In meinem Fall waren alle Benutzer Mitglied der Druckoperatoren.

 

vielleicht Hilfts wem ;)

 

MfG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...