tschoschua 10 Geschrieben 22. August 2006 Autor Melden Teilen Geschrieben 22. August 2006 wollte auch gerade sagen, finde das tool nirgens.. =( @ Wäscherei Funzt auch nicht durch aktivierung der komplexität Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Lade Dir die Resource Kit Tools für 2003 herunter, installiere auf einer XP-Maschine und führe von dort aus ... Hier ist was Besseres: Download details: Windows 2000 Resource Kit Tool: FAZAM2000 edit: Oh Maaan, in der reduzierten Version wird das für Dich Relevante nicht angezeigt ... Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 22. August 2006 Autor Melden Teilen Geschrieben 22. August 2006 was nun? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 So, nochmal von vorne, wenn die "Kennwortrichtlinie" nicht mehr existiert und die Einstellungen in der Default Domain Policy vorgenommen werden, werden sie auch nicht durchgesetzt (nach einem SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE). Existieren GPOs, in denen "Kein Vorrang" definiert wurde, entweder auf Standort- oder OU-Ebene (Default Domain Controllers Policy z.B.) . Ist die Ereignisanzeige sauber, was das Anwenden von Policies angeht (SceCli) ? Werden eigentlich andere Einstellungen in der Default Domain Policy angewendet ? Wenn Du die "Lokale Sicherheitsrichtlinie" öffnest, kannst Du die effektiven Einstellungen, was die Passwörter angeht, sehen @Wäscherei Microsoft sagt folgendes: NOTE:It may be undesirable to modify the default domain policy. As an alternative way to accomplish this, create a new group policy object at the domain level and call it Password Restrictions(for example). Set the desired Password limitations in that policy. Then be sure to set the new policy to "No Override" so that the default domain policy does not override it. Cannot Reset Passwords by Using the Active Directory Users and Computers Snap-in Warum man aber "Kein Vorrang" konfigurieren soll, weiss ich auch nicht. Die Einstellungen wirken auch, wenn das GPO über der Default Domain Policy steht. edit: hab noch mal ein bisschen rumprobiert, Account-Einstellungen in der Default Domain Controllers OU haben keinen Effekt, selbst wenn das GPO auf "Kein Vorrang" steht. How to configure account policies in Active Directory Ebenso wenig ein so konfiguriertes GPO auf Standortebene. Group Policy application rules for domain controllers Ein Deaktivieren der Vererbung auf der Domain Controllers OU schon (ist bei Dir aber nicht so). Changes are not applied when you change the password policy Vielleicht ja auch das hier ... Password policy is not updated when replication occurs even though you applied hotfix 326112, hotfix 326797, or Windows 2000 Service Pack 4 on a Windows 2000-based computer Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 @Grizzly999 Vielen Dank für die Blumen. Es gibt im Internet mehrer Qellen, welche als bevorzugte Stelle für die Kennwortrichtlinie die Default Domain Policy angeben. Unteranderem auch eine von einem MVP betrieben HP. => Gruppenrichtlinien - Übersicht, FAQ und Tutorials [OT on] Kaum einer, der sich mit Gruppenrichtlinien und allem was damit zusammenhängt gut auskennt, rät zu so etwas, sondern genau zum Gegenteil, mich eingeschlossen. Ich kann in dem von dir angegebenen Link auch keine Aussage finden, die deine bevorzugte Vorgehensweise stützt. Aber ich lasse jetzt doch einfach mal den MVP-Kollegen für Gruppenrichtlinen, Mark Heitbrink, genau auf dem Link, den du angegeben hast selber sprechen: Es gibt immer wieder Momente, in denen man sich wünscht, man könnte noch mal von vorne beginnen. Viele, die sich das erste Mal an das Thema Gruppenrichtlinien herangewagt haben, haben ihre kompletten Einstellungen in den beiden Default Richtlinien vorgenommen. Nach einiger Zeit der Nutzung kommt man zur Erkenntnis, dass es sich als unglücklich herausstellt. In einem der anderen Artikel habe ich schon mal verkündet "Finger weg!" von den Standardrichtlinien. Man arbeitet ja auch nicht mit dem original Schnittmusterbogen oder nimmt seine teuren CDs mit ins Auto. Man erstellt sich Kopien und hantiert mit diesen, damit das Original unversehrt bleibt. Quelle: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Und die Blumen hast du dir selber eingehandelt. Auf Millionen von Domänen in der Welt werden Kennwortrichtlinien gesetzt, und zwar in einer eigens dafür eingerichteten GPO, und die funktionieren. Es sind hier keinerlei generellen Probleme vorhanden, genau das wolltest du den Lesern dieses Threads mit deiner sehr absoluten Aussage erzählen. [OT off] grizzly999 Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 @Grizzly999 Habe aber trotzdem das Problem mit der Kennwortrichtlinie. Wenn ich eine extra Policy erstelle wurde sie nicht gzogen. Erst als ich die Einstellungen in der Default Domain Policy gemacht hatte, zogen alle Clients die Kennwortrichtlinie. Und das auch in einer nachgestellten Testumgebung bei unserem Systemhaus unseres vertrauens. Alle anderen Einstellungen werden auch bei uns in einer extra Policy geregelt. Ist halt meine Erfahrung und die habe ich hier mitgteilt, für sowas ist ein Forum doch da? Oder? Hier die Textstelle auf Gruppenrichtlinien.de: Das Wichtigste vorweg: Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy. Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 Ihr beide seit technisch sehr begabt.. also anstatt zu diskutieren könntet ihr mir helfen oder? =) habe nun folgendes entdeckt: Am 22.08.2006 um 14.38 erschien das erste mal diese Fehlermeldung in der Ereignisanzeige: Quelle: UserenvTyp: Fehler Ereignis-ID: 1000 Benutzer: NT-AUTORITÄT\SYSTEM Die clientseitige Erweiterung "Skripts" der Gruppenrichtlinie empfing Flags (16) und hat einen Fehlerstatuscode (2) zurückgegeben. Die Fehlermeldung bekomme ich immer im Anwendungsprotokoll auf unserem Server. Ich hab bereits Versucht da was bei Microsoft zu finden, ist aber fehlgeschlagen siehe da: http://www.mcseboard.de/windows-forum-ms-backoffice-31/ereignis-id-1000-a-23594.html hat nix geholfen.. =( hab diese Artikel auch shon gefunden, die sind bei mir aber auch nicht in der Registry.. Na gut, diese Fehlermeldung muss aufgetreten sein, nachdem ich das häckchen bei "Richtlinienvererbung deaktivieren" rausgenommen hab. wenn man die zeit mit den Beiträgen vergleicht.. gruss und danke für die hilfe.. Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Wie sieht es mit den Berechtigung aus, war darf die Policies anwenden (lesen, übernehmen). Ist da was verbogen? Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 ne da ist soweit alles i.o! Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 hmmm, jetzt ist mir aufgefallen, dass ich nicht in die Default-domain-controllers-policy reinkomme.. fehlermeldung: Das Gruppenrichtlinien Objekt konnte nicht geöffnet werden....... Details: Das system kann den angegebenen Pfad nicht finden. da scheint mir etwas nicht zu stimmen.. soviel ich weiss, sind in dies GPO keine richtlinien definiert, soll ich die wiederherstellen? Wenn ja wie? irgerndwelche tipps oder vorsichtsmassnahmen? Danke Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 RECREATEDEFPOL ... DNS ist in Ordnung ? Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 DNS musste ich neu konfigurieren als ich das ganze übernommen habe, läuft tiptop.. wird durch diesen befehl effektiv nur die default domain controllers policy wiederhergestellt? danke Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Beide Default Policies, also Default Domain Policy und Default Domain Controllers Policy. Funktioniert jetzt auch die Kennwortrichtlinie ? Beim 2003er mit DCGPOFIX kann man auswählen, welche man wiederherstellen will. Schau mal in der Hilfe zu RECREATEDEFPOL, ob das auch geht, weiss ich jetzt leider nicht genau ... Zitieren Link zu diesem Kommentar
tschoschua 10 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 Problem behoben! Vielen Dank. für solche, die ähnliche Probleme haben. Also. Auf domäneebene wurde die Default domain policy unbedannt oder gelöscht.. ==> aufgrund dessen auch nicht wiederhergestellt (zum glück nicht, es war viel definiert) Die Default domain controllers policy war irgendwie defekt oder nicht mehr vorhanden. Und diese bringt die effektive kennwortrichtlinie an den client weiter (soviel ich weiss) weil diese defekt war, geschah das nicht! durch das tool hab ich nun die defailt domain controllers policy wiederhergestellt, kann sie wieder öffnen und alles ist super.. vielen dank IThome und allen weiteren beteiligten.!! Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Die Default domain controllers policy war irgendwie defekt oder nicht mehr vorhanden. Und diese bringt die effektive kennwortrichtlinie an den client weiter Erstmal schön, daß alles wieder geht! Aber die obige Aussage hätte ich doch ganz gerne geklärt. Ich könnte schwören dafür ist nicht die DC Richtlinie sondern eben gerade die "Default Domain Policy" zuständig. (Vielleicht nicht die Richtlinie, was ich meine ist die "Stelle" - also gelinkt an die Domain und nicht an die DC-OU) Bitte bitte korrigiert mich oder sagt mir noch besser ich habe recht... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.