traxxtec
Sep 13, 2013
view4069
view3
0
Goto Top

Kennwortrichtlinie funktioniert nicht

GermanQuestionWindows ServerMicrosoft
Hallo,

folgendes Problem. Es gibt einen DC 2008R2 und einige Terminalserver und ein normales AD. Jetzt hab ich die wunderbare Aufgabe das auf einem Server die User ihre Kennwörter über RDP ändern wollen. Da das ganze in dieser Umgebung nicht vorgesehen war hab ich die User in eine eigene Organisationseinheit gesteckt und dieser eine eigene GPO zugewiesen. Funktioniert wunderbar, der Server und die entsprechenden User ziehen sich die GPO. Nur hab ich jetzt das Problem das sie ihre Kennwörter nicht ändern können, jedes mal wenn ich es mit einem Testuser versuche kommt.

"Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien der ....."

Die Kennwörter entsprechen aber definitiv der Richtlinie, sehr komplex, Sonderzeichen, groß klein, Zahlen, alles drinnen. Aber es geht nicht.

Hier noch Auszüge von gpresult und secedit

Richtlinienergebnissatz fr Computer
-------------------------------------

Softwareinstallationen
----------------------
Nicht zutreffend

Skripts zum Starten
-------------------
Nicht zutreffend

Skripts zum Herunterfahren
--------------------------
Nicht zutreffend

Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutDuration
Computereinstellung: 90

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MaximumPasswordAge
Computereinstellung: 60

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordAge
Computereinstellung: Nicht zutreffend

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ResetLockoutCount
Computereinstellung: 90

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutBadCount
Computereinstellung: 10

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordHistorySize
Computereinstellung: 10

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordLength
Computereinstellung: 10

šberwachungsrichtlinie
----------------------
Nicht zutreffend

Benutzerrechte
--------------
Nicht zutreffend

Sicherheitsoptionen
-------------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordComplexity
Computereinstellung: Aktiviert

Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ClearTextPassword
Computereinstellung: Nicht aktiviert

Nicht zutreffend

Ereignisprotokolleinstellungen
------------------------------
Nicht zutreffend

Eingeschr„nkte Gruppen
----------------------
Nicht zutreffend

Systemdienste
-------------
Nicht zutreffend


(System Access)
MinimumPasswordAge = 0
MaximumPasswordAge = 60
MinimumPasswordLength = 10
PasswordComplexity = 1
PasswordHistorySize = 10
LockoutBadCount = 10
ResetLockoutCount = 90
LockoutDuration = 90
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
NewAdministratorName = "Administrator"
NewGuestName = "Gast"
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1
EnableGuestAccount = 0
[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
AuditPrivilegeUse = 0
AuditPolicyChange = 0
AuditAccountManage = 0
AuditProcessTracking = 0
AuditDSAccess = 0
AuditAccountLogon = 0



Kann mir da jemand weiterhelfen ?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 216891

Url: https://administrator.de/contentid/216891

Printed on: April 19, 2024 at 08:04 o'clock

3 Comments
Latest comment
Goto Top
Member: DerWoWusste
DerWoWusste Sep 13, 2013 at 11:44:20 (UTC)
Goto Top
Hi.

Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients. Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur Auswirkungen auf lokale Konten.
Member: TraxxTec
TraxxTec Sep 13, 2013 updated at 11:53:43 (UTC)
Goto Top
Zitat von @DerWoWusste:
Hi.

Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients.
Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur
Auswirkungen auf lokale Konten.

Versteh ich das jetzt so richtig das ich die Kennwortrichtlinie nur auf die Default Domain Policy anwenden kann, besser gesagt ich muss dem DC auch diese GPO zuordnen? Dann wäre das Problem das die Kennwortrichtlinie aber nur auf diese 5 User angewendet werden soll.
Member: DerWoWusste
DerWoWusste Sep 13, 2013 at 12:07:02 (UTC)
Goto Top
Es muss nicht die Def.Dom.Pol. sein, kann es aber. Hauptsache, sie wird auf die DCs angewendet.
Um 5 User anders zu behandeln, kannst Du mit PSOs arbeiten, sofern Deine Domäne 2008er oder höher vom Funktionslevel hat. Lies Dich über PSOs ein. Am flinksten eingestellt mit einem Tool wie dem von Parphelia: PASSWORD POLICY MANAGER by PARHELIA TOOLS
GermanQuestionWindows ServerMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentgleixnerdCheck of ZFW Firewallgleixnerd