Jump to content
Sign in to follow this  
mg_it

W2k3 - Änderung an Benutzereinstellung wird nach kurzer Zeit zurückgesetzt?

Recommended Posts

Hi!

 

Folgendes Problem:

Ich hab hier 2 Windows Server 2003 Domain Controller (SP1)

Domain functional Level: Windows Server 2003

 

Wenn ich nun an einem Benutzerobjekt die Account option "Cannot change password" auf DC1 aktiviere, wird diese auch problemlos auf DC2 repliziert, doch nach ca. 1h oder etwas mehr ist diese Einstellung wieder auf beiden DC's verschwunden.

 

Gleiches passiert wenn ich die Änderung zuerst auf DC2 vornehme. (wird auf DC1 repliziert, nach ca. 1h verschwindet die Eistellung wieder)

 

Mit replmon sind mir keine Fehler aufgefallen. (es wird ja auch korrekt repliziert)

 

Woran kann das liegen?

 

Pfuscht mir da eine Sicherheitsrichtlinie dazwischen?

 

MfG

Share this post


Link to post

Hy,

 

würd mal mit dem Gruppenrichtlinen Tool von MS auf Domänenebene bzw auf dem Container wo die DCs drin sind, schauen was da so gesetzt ist.

 

Gruß

 

CoolAce

Share this post


Link to post

Es ist nur die "Default Domain Controllers Policy" gesetzt und da drinn ist mir nichts aufgefallen, was mein Problem verursachen könnte.

 

Gibts andere Ansätze?

 

wenn eine Sicherheitsrichtlinie das Problem wäre dürfte die Änderung ja auch nicht auf den anderen DC repliziert werden, oder ?

Share this post


Link to post

Dürfte doch an einer Sicherheitsrichtlinie liegen!

 

Aber wie finde ich jetzt heraus welche Sicherheitsrichtlinie meine Benutzereinstellung "Cannot change password" zurücksetzt.

 

Ich weiss, dass die Einstellung "User must change Password at next logon" die Einstellung "Cannot change password" ausschließt, diese ist aber eh nicht aktiviert.

 

Hat jemand einen Hinweis, welche Richtlinie, dass Setzen der Einstellun "Cannot change password" verhindert bzw. zurücksetzt?

Share this post


Link to post

korrekt, verwende auch die Einstellung "Kennwort läuft nie ab"

 

seit wann stehen sich diese beiden Einstellunegn im Weg?

 

ich probiers mal aus und nehme die Einstellung "Kennwort läuft nic ab" heraus

Share this post


Link to post

Hab jetzt mal alle Kontenrichtlinien aus der "Default Domain Policy" und der "Default Domain Controller Policy" herausgenommen, außer

*) Password Policy - Password must meet complexity requirements: disabled

und die Kerberos Richtlinien sind auch konfiguriert

 

hab mit Replmon noch mal die Replikation beobachtet

wenn ich bei einem Benutzeraccount die Option:

"User cannot change Password" aktiviere wird diese auf den anderen Server richtig repliziert

 

jedoch wird stüdnlich (immer 9 Minuten nach der vollen Stunde) diese Option wieder zurückgesetzt (wird vom Replmon als normale Replikation erfasst)

 

wie kann ich das Problem am besten aufspüren?

hat noch jemand einen Tipp für mich?

Share this post


Link to post

mit rsop.msc hab ichs auch schon probiert, es sind unter

 

Computer Configuration -> Security Settings -> Account Policies -> Password Policy

 

alle Richtlinien auf "not defined" gesetzt

 

ich hab jetzt etwas herum experimentiert:

wenn ich einen neuen Benutzer anlege und dieser nur in der Gruppe "DomainUsers" ist

bleibt die Einstellung "User cannot change password" bestehen

sobald ich jedoch diesen Benutzer in eine manuell konfigurierte Sicherheitsgruppe aufnehme, wird die Einstellung "User cannot change password" wieder überschrieben

 

kann das daran liegen, dass die Sicherheitsgruppen von einer NT4-Domäne migriert wurden???

 

muss mal ausprobieren, ob dieses Problem auch auftritt wenn ich eine neue Sicherheitsgruppe erstelle und einen Benutzer in diese aufnehme

(leider wird diese Einstellung immer nur stündlich überschrieben :( )

Share this post


Link to post

habe 3 Testuser mit folgenden Gruppenzugehörigkeiten erstellt:

 

Gruppenmitgliedschaft von Test1:

DomainUsers

Administratoren

globale Sicherheitsgruppe (von NT4 migriert)

 

Gruppenmitgliedschaft von Test2:

DomainUsers

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

Gruppenmitgliedschaft von Test3:

DomainUsers

globale Sicherheitsgruppe (von NT4 migriert)

globale Sicherheitsgruppe (unter Windows Server 2003 neu erstellt)

 

bei den Benutzern "Test1" und "Test3" wurde die Einstellung "Benutzer kann Kennwort nicht ändern" wieder zurückgesetzt

 

bei Test2 wurde die Einstellung beibehalten

 

liegt also anscheinend an den Sicherheitsgruppen, die noch in der NT4-Domäne erstellt wurden

ist jemandem dieses Problem bekannt?

gibt es eine andere Möglichkeit, als alle Sicherheitsgruppen neu anzulegen?

 

wäre ja ein enormer aufwand, sämtliche Gruppenmitgliedschaften und Berechtigungen neu anzulegen

Share this post


Link to post

Hab die Ursache mit Hilfe der microsoft-newsgroup finden können.

 

AdminSDholder

 

http://support.microsoft.com/?scid=kb%3Ben-us%3B817433&x=3&y=9

 

AdminSDholder betrifft nicht nur die ACL's der gschützten Gruppen und Benutzerkonten, sonder eben auch die Benutzereinstellung "Benutzer kann Kennwort nicht ändern"

 

In meinem Fall waren alle Benutzer Mitglied der Druckoperatoren.

 

vielleicht Hilfts wem ;)

 

MfG

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...