15
Active Directory - Kennwortrichtlinie plötzlich geändert?
Guten Morgen,
kann es sein, dass aus heiterem Himmel plötzlich eine Kennwortänderung gefordert wird?
Der Server ist ein 2016 von Oktober 19. Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Heute Morgen plötzlich dann die Meldung, dass die Kennwörter abgelaufen seien? Selbst wenn ich es vergessen hätte, käme die Meldung doch nach 30 Tagen und nicht nach 6 Monaten...
mfG
tsunami
kann es sein, dass aus heiterem Himmel plötzlich eine Kennwortänderung gefordert wird?
Der Server ist ein 2016 von Oktober 19. Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Heute Morgen plötzlich dann die Meldung, dass die Kennwörter abgelaufen seien? Selbst wenn ich es vergessen hätte, käme die Meldung doch nach 30 Tagen und nicht nach 6 Monaten...
mfG
tsunami
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566630
Url: https://administrator.de/contentid/566630
Printed on: April 19, 2024 at 20:04 o'clock
15 Comments
Latest comment
Hi,
von allein kommt sowas nicht.
E.
von allein kommt sowas nicht.
Zitat von @tsunami:
Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Eigentlich? Hast Du mal den aktuellen Stand überprüft? Was ist denn aktuell bei den Benutzern eingestellt?Die AD-User sind eigendlich alle angelegt worden, dass die Kennwörter nicht ablaufen und nicht geändert werden können.
Heute Morgen plötzlich dann die Meldung, dass die Kennwörter abgelaufen seien?
Dann dürften die beiden o.g. Einstellungen an den Benutzerkonten nicht mehr vorhanden sein. Wenn dem so sein sollte: Wer hat sie dann geändert? Sind da mehrere Admins am Werk?Selbst wenn ich es vergessen hätte, käme die Meldung doch nach 30 Tagen und nicht nach 6 Monaten...
Nein. Meines Wissens ist standardmäßig gar keine Richtlinie dafür aktiv. Wenn Du von 30 Tagen ausgehst, dann habt Ihr da also schon mal was geändert?E.
Hi,
das war schnell.
Keine weiteren Admins. I Kennwort kann nicht geändert werden, Kennwort läuft nie ab, wenn man den Haken raus nimmt, schlägt MS doch 30 Tage Änderungsrythmus vor, meine ich.
Ich muss nachher mal schauen.
Was mich irritiert, ist das die Meldung jetzt kommt. Nicht zum 1.4. oder 31.03...
mfG
tsunami
das war schnell.
Keine weiteren Admins. I Kennwort kann nicht geändert werden, Kennwort läuft nie ab, wenn man den Haken raus nimmt, schlägt MS doch 30 Tage Änderungsrythmus vor, meine ich.Ich muss nachher mal schauen.
Was mich irritiert, ist das die Meldung jetzt kommt. Nicht zum 1.4. oder 31.03...
mfG
tsunami
Hallo
Bitte auch einmal in die Default Domain Policy schauen, ob dort eventuell etwas festgelegt wurde.
Es gibt hier keine Vorbelegung das Kennwortalter betreffend.
Das Kennwortalter bestimmt sich ja nach dem Datumsstempel zu dem es zuletzt gesetzt wurde.
Gruß
Radiogugu
Bitte auch einmal in die Default Domain Policy schauen, ob dort eventuell etwas festgelegt wurde.
Es gibt hier keine Vorbelegung das Kennwortalter betreffend.
Das Kennwortalter bestimmt sich ja nach dem Datumsstempel zu dem es zuletzt gesetzt wurde.
Gruß
Radiogugu
Hallo,
ich hatte sowas schon mal. Bei uns war es so, dass ich an den GPOs und den Konten rumgespielt hatte als ich für einzelne Konten die Smartcardanwendung aktivieren wollte. Dabei war mir ein Fehlerchen unterlaufen, was ich aber umgehend (sagen wir 8 Minuten später ) korrigiert hatte. Bevor ich das aber korrigiert hatte, war die erste Änderung zwischen den DCs repliziert worden. Einzelne PCs haben dann tatsächlich die fehlerhafte Konfiguration übernommen, weil ihr DC die korrigierte Version noch nicht hatte. Uns so mussten die Benutzer dieser PCs ihr Kennwort ändern.
Also - Häkchen hin und her setzen kann trotzdem Effekte machen.
Grüße
lcer
ich hatte sowas schon mal. Bei uns war es so, dass ich an den GPOs und den Konten rumgespielt hatte als ich für einzelne Konten die Smartcardanwendung aktivieren wollte. Dabei war mir ein Fehlerchen unterlaufen, was ich aber umgehend (sagen wir 8 Minuten später ) korrigiert hatte. Bevor ich das aber korrigiert hatte, war die erste Änderung zwischen den DCs repliziert worden. Einzelne PCs haben dann tatsächlich die fehlerhafte Konfiguration übernommen, weil ihr DC die korrigierte Version noch nicht hatte. Uns so mussten die Benutzer dieser PCs ihr Kennwort ändern.
Also - Häkchen hin und her setzen kann trotzdem Effekte machen.
Grüße
lcer
Es gibt hier keine Vorbelegung das Kennwortalter betreffend.
Doch. In der default domain policy stehen 42 Tage drin, wenn man nichts ändert.
Kennwort kann nicht geändert werden, Kennwort läuft nie ab
Das kann nicht sein. Wenn das aktiv wäre, würdest Du keine Symptome sehen, wie du sie beschreibst.Du hast vermutlich mehrere DCs, oder? Prüfe das Vorhandensein der Haken auf allen DCs, evtl. sind die nicht mehr synchron.
Zitat von @Looser27:
Doch. In der default domain policy stehen 42 Tage drin, wenn man nichts ändert.
Es gibt hier keine Vorbelegung das Kennwortalter betreffend.
Doch. In der default domain policy stehen 42 Tage drin, wenn man nichts ändert.
Korrekt, ich muss mich entschulidgen.
War irgendwie der Meinung, dass die GPO Option nicht standardmäßig gesetzt ist.
Gruß
Radiogugu
nun wer 2016 RTM installiert und sich später mal ein paar Updates reinfährt kann schon mal darunter leiden, daß Microsoft die Interpretation der nicht gesetzten GPOs im Sinne der Sicherheit verändert... dazu gehörte auch mal die Kennwortkomplexität bei Domänenkonten
Zitat von @GrueneSosseMitSpeck:
..., daß Microsoft die Interpretation der nicht gesetzten GPOs im Sinne der Sicherheit verändert... dazu gehörte auch mal die Kennwortkomplexität bei Domänenkonten
..., daß Microsoft die Interpretation der nicht gesetzten GPOs im Sinne der Sicherheit verändert... dazu gehörte auch mal die Kennwortkomplexität bei Domänenkonten
Welche nicht gesetzten GPOs? Ich erstelle doch den User, setzte die Kennwortrichtlinien fest (läuft nicht ab, kann Kennwort nicht ändern usw.).
Die Kennwörter sind um die 20 Zeichen lang. Also zu wenig komplex kann nicht sein. Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Zitat von @tsunami:
Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Nein. Kann und darf es auch nicht.Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Zitat von @emeriks:
da war doch was: https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baselin ...Zitat von @tsunami:
Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Nein. Kann und darf es auch nicht.Kann es wirklich sein, dass Microsoft vorschreibt, dass die Kennwörter alle x Tage geändert werden müssen?
Microsoft hatte die password-expiration policies aus der Security Basline entfernt. Bitte beachten - die Security baseline ist nicht die Default Domain policy.
Grüße
lcer
Hm,
das würde doch bedeuten, dass gesetzte GPOs zur Änderung alle X Tage inaktiv sind und die KW dauerhaft gültig sind.
Dazu zwei Fragen: Überschreiben die GPOs die User-Eigenschaften oder umgekehrt?
In dem Link wird diskutiert warum und wieso die Policy entfernt wurde.
Betrifft das denn nun wirklich mein Problem? Ich habe den umgekehrten Fall, dass die Policy plötzlich gestezt wurde...
Gruß
tsunami
das würde doch bedeuten, dass gesetzte GPOs zur Änderung alle X Tage inaktiv sind und die KW dauerhaft gültig sind.
Dazu zwei Fragen: Überschreiben die GPOs die User-Eigenschaften oder umgekehrt?
In dem Link wird diskutiert warum und wieso die Policy entfernt wurde.
Betrifft das denn nun wirklich mein Problem? Ich habe den umgekehrten Fall, dass die Policy plötzlich gestezt wurde...
Gruß
tsunami
User übersteuert Richtlinie.
Gehst du auf meinen Kommentar noch ein, oder hast du gerade keine Möglichkeit, die DCs einzeln zu prüfen?
Hi, sorry, ist untergegangen.
Nein 1 DC.
Komischerweise ist es nur bei 2 Benutzern aufgetreten... SO dringend war es auch nicht, die Kennwörter geändert und gut.
Irritiert bin ich aber schon.
Nein 1 DC.
Komischerweise ist es nur bei 2 Benutzern aufgetreten... SO dringend war es auch nicht, die Kennwörter geändert und gut.
Irritiert bin ich aber schon.
