tsunami
22.04.2020
view1979
view15
0
Goto Top

Active Directory - Kennwortrichtlinie plötzlich geändert?

FrageMicrosoftWindows Server
Guten Morgen,
kann es sein, dass aus heiterem Himmel plötzlich eine Kennwortänderung gefordert wird?
Der Server ist ein 2016 von Oktober 19. Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Heute Morgen plötzlich dann die Meldung, dass die Kennwörter abgelaufen seien? Selbst wenn ich es vergessen hätte, käme die Meldung doch nach 30 Tagen und nicht nach 6 Monaten...
mfG
tsunami
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 566630

Url: https://administrator.de/forum/active-directory-kennwortrichtlinie-ploetzlich-geaendert-566630.html

Ausgedruckt am: 14.04.2025 um 16:04 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
emeriks
emeriks 22.04.2020 aktualisiert um 09:15:37 Uhr
Goto Top
Hi,
von allein kommt sowas nicht.
Zitat von @tsunami:
Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Eigentlich? Hast Du mal den aktuellen Stand überprüft? Was ist denn aktuell bei den Benutzern eingestellt?
Heute Morgen plötzlich dann die Meldung, dass die Kennwörter abgelaufen seien?
Dann dürften die beiden o.g. Einstellungen an den Benutzerkonten nicht mehr vorhanden sein. Wenn dem so sein sollte: Wer hat sie dann geändert? Sind da mehrere Admins am Werk?
Selbst wenn ich es vergessen hätte, käme die Meldung doch nach 30 Tagen und nicht nach 6 Monaten...
Nein. Meines Wissens ist standardmäßig gar keine Richtlinie dafür aktiv. Wenn Du von 30 Tagen ausgehst, dann habt Ihr da also schon mal was geändert?

E.
tsunami
tsunami 22.04.2020 um 09:13:16 Uhr
Goto Top
Hi,
das war schnell. face-smile Keine weiteren Admins. I Kennwort kann nicht geändert werden, Kennwort läuft nie ab, wenn man den Haken raus nimmt, schlägt MS doch 30 Tage Änderungsrythmus vor, meine ich.
Ich muss nachher mal schauen.
Was mich irritiert, ist das die Meldung jetzt kommt. Nicht zum 1.4. oder 31.03...

mfG
tsunami
radiogugu
radiogugu 22.04.2020 um 09:18:42 Uhr
Goto Top
Hallo

Bitte auch einmal in die Default Domain Policy schauen, ob dort eventuell etwas festgelegt wurde.

Es gibt hier keine Vorbelegung das Kennwortalter betreffend.

Das Kennwortalter bestimmt sich ja nach dem Datumsstempel zu dem es zuletzt gesetzt wurde.

Gruß
Radiogugu
lcer00
lcer00 22.04.2020 um 09:30:14 Uhr
Goto Top
Hallo,

ich hatte sowas schon mal. Bei uns war es so, dass ich an den GPOs und den Konten rumgespielt hatte als ich für einzelne Konten die Smartcardanwendung aktivieren wollte. Dabei war mir ein Fehlerchen unterlaufen, was ich aber umgehend (sagen wir 8 Minuten später ) korrigiert hatte. Bevor ich das aber korrigiert hatte, war die erste Änderung zwischen den DCs repliziert worden. Einzelne PCs haben dann tatsächlich die fehlerhafte Konfiguration übernommen, weil ihr DC die korrigierte Version noch nicht hatte. Uns so mussten die Benutzer dieser PCs ihr Kennwort ändern.

Also - Häkchen hin und her setzen kann trotzdem Effekte machen.

Grüße

lcer
Looser27
Looser27 22.04.2020 um 09:31:11 Uhr
Goto Top
Es gibt hier keine Vorbelegung das Kennwortalter betreffend.

Doch. In der default domain policy stehen 42 Tage drin, wenn man nichts ändert.
DerWoWusste
DerWoWusste 22.04.2020 um 10:37:18 Uhr
Goto Top
Kennwort kann nicht geändert werden, Kennwort läuft nie ab
Das kann nicht sein. Wenn das aktiv wäre, würdest Du keine Symptome sehen, wie du sie beschreibst.
Du hast vermutlich mehrere DCs, oder? Prüfe das Vorhandensein der Haken auf allen DCs, evtl. sind die nicht mehr synchron.
radiogugu
radiogugu 22.04.2020 um 10:55:30 Uhr
Goto Top
Zitat von @Looser27:

Es gibt hier keine Vorbelegung das Kennwortalter betreffend.

Doch. In der default domain policy stehen 42 Tage drin, wenn man nichts ändert.

Korrekt, ich muss mich entschulidgen.

War irgendwie der Meinung, dass die GPO Option nicht standardmäßig gesetzt ist.

Gruß
Radiogugu
GrueneSosseMitSpeck
GrueneSosseMitSpeck 22.04.2020 um 15:58:48 Uhr
Goto Top
nun wer 2016 RTM installiert und sich später mal ein paar Updates reinfährt kann schon mal darunter leiden, daß Microsoft die Interpretation der nicht gesetzten GPOs im Sinne der Sicherheit verändert... dazu gehörte auch mal die Kennwortkomplexität bei Domänenkonten
tsunami
tsunami 23.04.2020 um 09:15:23 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

..., daß Microsoft die Interpretation der nicht gesetzten GPOs im Sinne der Sicherheit verändert... dazu gehörte auch mal die Kennwortkomplexität bei Domänenkonten

Welche nicht gesetzten GPOs? Ich erstelle doch den User, setzte die Kennwortrichtlinien fest (läuft nicht ab, kann Kennwort nicht ändern usw.).
Die Kennwörter sind um die 20 Zeichen lang. Also zu wenig komplex kann nicht sein. Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
emeriks
emeriks 23.04.2020 um 09:22:17 Uhr
Goto Top
Zitat von @tsunami:
Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Nein. Kann und darf es auch nicht.
lcer00
lcer00 23.04.2020 um 09:32:20 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @tsunami:
Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Nein. Kann und darf es auch nicht.
da war doch was: https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baselin ...

Microsoft hatte die password-expiration policies aus der Security Basline entfernt. Bitte beachten - die Security baseline ist nicht die Default Domain policy.

Grüße

lcer
tsunami
tsunami 23.04.2020 um 10:29:04 Uhr
Goto Top
Hm,
das würde doch bedeuten, dass gesetzte GPOs zur Änderung alle X Tage inaktiv sind und die KW dauerhaft gültig sind.
Dazu zwei Fragen: Überschreiben die GPOs die User-Eigenschaften oder umgekehrt?
In dem Link wird diskutiert warum und wieso die Policy entfernt wurde.
Betrifft das denn nun wirklich mein Problem? Ich habe den umgekehrten Fall, dass die Policy plötzlich gestezt wurde...
Gruß
tsunami
emeriks
emeriks 23.04.2020 um 10:40:24 Uhr
Goto Top
Zitat von @tsunami:
Überschreiben die GPOs die User-Eigenschaften oder umgekehrt?
User übersteuert Richtlinie.
DerWoWusste
DerWoWusste 23.04.2020 aktualisiert um 16:10:54 Uhr
Goto Top
Gehst du auf meinen Kommentar noch ein, oder hast du gerade keine Möglichkeit, die DCs einzeln zu prüfen?
tsunami
tsunami 07.05.2020 um 08:01:34 Uhr
Goto Top
Hi, sorry, ist untergegangen.
Nein 1 DC.
Komischerweise ist es nur bei 2 Benutzern aufgetreten... SO dringend war es auch nicht, die Kennwörter geändert und gut.
Irritiert bin ich aber schon.
FrageMicrosoftWindows Server
Mehr von tsunamitsunamiJavascript Video einbettentsunami - 7 KommentaretsunamiVPN Verbindungen werden im Client nicht angezeigttsunami - 11 KommentaretsunamiM365 Postfach lässt sich nicht hinzufügentsunami - 7 KommentaretsunamiVPN Roadwarrior funktioniert nur nach entfernen und hinzufügen der Taptsunami - 9 Kommentare
Heiß diskutiert
BitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 29 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 28 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 25 KommentareHappyHannesPing Spikes im HeimnetzHappyHannes - 17 KommentareYan2021Verhindern, dass ständig eine Verknüpfung auf dem Desktop erscheintYan2021 - 15 KommentarekpunktSQL 2022 Standard richtig lizensieren (wieder mal)kpunkt - 15 KommentareStefanKittelIdeen für ein zukünftiges IT-Setup für mich sammelnStefanKittel - 14 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareludibubiKein Zugriff über RDP auf Win11-Rechner. Anmeldung nicht möglichludibubi - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentareFischi71Exchange Online 3 BenutzerFischi71 - 12 KommentaredertowaMicrosoft 365 Family Abonnementteilung außer Gefecht?dertowa - 12 Kommentare