17
AD Kennwort ändern bei WIN10, oder WIN7 Client an Domäne nicht möglich :
Hallo. Bin ein recht unerfahrerner ITler. Ich habe 2 Rechner (User) in unterschiedlichen Domänen, bei denen ich, bzw, die Clients, das PW nicht ändern kann. Es kommt folgende Meldung :
"Das Kennwort entspricht nicht den Anforderungen der Kennwortrichtlinien. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennwortes und die Anforderungen bezüglich früherer Kennwörter."
Da ein User davon meiner ist, weiß ich nicht, was hier fehlen könnte. Mein PW hätte lauten sollen : HulkAvenger19$!
Das entspricht definitv allen Anforderungen. Oder übersehe ich etwas? Normal reicht 8 Zeichen, Groß und Kleinbuchstabe sowie Sonderzeichen und Zahl.
Hat jemand eine Idee für mich, bzw. auch meinen Kunden?
"Das Kennwort entspricht nicht den Anforderungen der Kennwortrichtlinien. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennwortes und die Anforderungen bezüglich früherer Kennwörter."
Da ein User davon meiner ist, weiß ich nicht, was hier fehlen könnte. Mein PW hätte lauten sollen : HulkAvenger19$!
Das entspricht definitv allen Anforderungen. Oder übersehe ich etwas? Normal reicht 8 Zeichen, Groß und Kleinbuchstabe sowie Sonderzeichen und Zahl.
Hat jemand eine Idee für mich, bzw. auch meinen Kunden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305246
Url: https://administrator.de/contentid/305246
Printed on: April 18, 2024 at 18:04 o'clock
17 Comments
Latest comment
Hi xtra-long,
oftmals liegt es an der Kennwort Chronik. Also es darf nicht jedes mal ein ähnliches Kennwort bzw. das gleiche gesetzt werden. Dieser Wert entspricht in den Default einstellungen glaube ich die letzten drei Passwörter. Also du musst erst wieder drei andere Passwörter eingeben bevor du wieder das selbe verwenden kannst.
Ich weiß das daran viele User scheitern
Am besten siehst du an deinem Domain Controller in den GPO´s nach was in der Default GPO an Richtlinien gesetzt ist, dies schreibst du auf und veröffentlichst es an die User. Dann weiß jeder Bescheid wie die Kennwortrichtlinien im Unternehmen gestaltet sind.
Pfad der GPO:
Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien
Ich kann dir nur empfehlen die Richtlinien nicht allzu locker zu schrauben, da es auf jeden Fall Sinnvoll ist das Passwort öfter mal zu ändern und einer gewissen Komplexibilität zu unterziehen.
Beste Grüße
Somebody
oftmals liegt es an der Kennwort Chronik. Also es darf nicht jedes mal ein ähnliches Kennwort bzw. das gleiche gesetzt werden. Dieser Wert entspricht in den Default einstellungen glaube ich die letzten drei Passwörter. Also du musst erst wieder drei andere Passwörter eingeben bevor du wieder das selbe verwenden kannst.
Ich weiß das daran viele User scheitern
Am besten siehst du an deinem Domain Controller in den GPO´s nach was in der Default GPO an Richtlinien gesetzt ist, dies schreibst du auf und veröffentlichst es an die User. Dann weiß jeder Bescheid wie die Kennwortrichtlinien im Unternehmen gestaltet sind.
Pfad der GPO:
Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien
Ich kann dir nur empfehlen die Richtlinien nicht allzu locker zu schrauben, da es auf jeden Fall Sinnvoll ist das Passwort öfter mal zu ändern und einer gewissen Komplexibilität zu unterziehen.
Beste Grüße
Somebody
- Wurde das Passwort bei den letzten 10 Änderungen schon mal verwendet ?
- Wurde die tatsächliche gültge Password-Policy auf dem DC in den GPOs überprüft das diese nicht geändert/angepasst wurde (längeres Passwort, längere History, etc.).
- Eigenschaft Minimum Password Age steht nicht auf 0 und User versucht kurz hintereinander sein Passwort zu ändern?
Gruß skybird
Moin.
@SomebodyToLove und @129413
Ich tippe auch auf das, was Skybird sagt: Du versuchst Dein Kennwort vor Ablauf des Mindestalters zu ändern.
Wenn es das nicht ist, prüfe auch auf PSOs, die evtl. aktiv sind: Powershell auf,
Get-ADUserResultantPasswordPolicy -identity DeinNutzername
Wenn da nichts zurückgegeben wird, unterliegst Du keiner PSO, wenn doch, kontrolliere die PSO.
@SomebodyToLove und @129413
oftmals liegt es an der Kennwort Chronik. Also es darf nicht jedes mal ein ähnliches Kennwort...
Es findet keine Ähnlichkeitsprüfung statt, es werden lediglich die letzten x Kennwörter verglichen.Ich tippe auch auf das, was Skybird sagt: Du versuchst Dein Kennwort vor Ablauf des Mindestalters zu ändern.
Wenn es das nicht ist, prüfe auch auf PSOs, die evtl. aktiv sind: Powershell auf,
Get-ADUserResultantPasswordPolicy -identity DeinNutzername
Wenn da nichts zurückgegeben wird, unterliegst Du keiner PSO, wenn doch, kontrolliere die PSO.
1
Vielen Dank. Ich habe den Befehl mal versucht... Bekomme aber einen Fehler :
PS C:\Users\xxxxxxx> Get-ADUserResultantPasswordPolicy -identity xxxxxx
The term 'Get-ADUserResultantPasswordPolicy' is not recognized as the name of a cmdlet, function, script file, or opera
ble program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:34
+ CategoryInfo : ObjectNotFound: (Get-ADUserResultantPasswordPolicy:String) , CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
Hast du ne Idee, was ich falsch mache?
PS C:\Users\xxxxxxx> Get-ADUserResultantPasswordPolicy -identity xxxxxx
The term 'Get-ADUserResultantPasswordPolicy' is not recognized as the name of a cmdlet, function, script file, or opera
ble program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:34
Get-ADUserResultantPasswordPolicy <<<< -identity xxxxxxx
+ CategoryInfo : ObjectNotFound: (Get-ADUserResultantPasswordPolicy:String) , CommandNotFoundException+ FullyQualifiedErrorId : CommandNotFoundException
Hast du ne Idee, was ich falsch mache?
Ich kann die Minimum PW Age gerade nicht überprüfen. Aber das Standard PW ist nun 7 Tage alt und ich kann es weiterhin nicht mit strg alt entf ändern. Es gibt noch keine History, weil der User ganz neu ist.
Der geht nur auf einem System mit RSAT oder dem DC direkt und einem vorherigen Import-Module ActiveDirectory wenn du noch eine ältere Powershell benutzt die noch kein Autoloading der Module unterstützt.
So. Habe es nun in der Powershell in AD Modul for Powershell gemacht. Es kommt jetzt keine Fehlermeldung. Aber auch sonst nichts. Wohin kommt denn die Antwort?
Wenn das Domain Functional Level nicht hoch genug steht bekommst du damit keine Ausgabe, oder aber es gibt einfach keine PSO für den User:
https://community.spiceworks.com/topic/499726-get-aduserresultantpasswor ...
https://community.spiceworks.com/topic/499726-get-aduserresultantpasswor ...
Nicht ganz. Wenn das functional level nicht hoch genug ist, sind auch schon gar keine PSOs möglich. Somit: Keine Antwort heißt keine PSO.
Bleibt also zu prüfen, ob die pw-Richtlinien wirklich so sind, wie Du sie annimmst. Prüfe dies auf einem Domänencontroller, zum Beispiel mit rsop.msc
Bleibt also zu prüfen, ob die pw-Richtlinien wirklich so sind, wie Du sie annimmst. Prüfe dies auf einem Domänencontroller, zum Beispiel mit rsop.msc
Moin,
für das einfahce ermitteln der Passwortrichtlinien reicht doch ein
am Client.
Damit bekommt man
Ich habe mal einen Screenshot beigefügt.
Den Befehl kann jeder Benutzer auf der CLI (Commandline Interface ==> Eingabeaufforderung) eingeben.
Gruss Penny.
für das einfahce ermitteln der Passwortrichtlinien reicht doch ein
Net Accounts /DomainDamit bekommt man
- Mindestdauer des Passwortes bevor es geändert werden kann
- maximaldauer, wann das Passwort abläuft
- Passworthistorie
Ich habe mal einen Screenshot beigefügt.
Den Befehl kann jeder Benutzer auf der CLI (Commandline Interface ==> Eingabeaufforderung) eingeben.
Gruss Penny.
Danke an alle !
Wäre nett, wenn Du auflöst, was das Problem war.
Das werde ich tun. Bin aber erst nächste Woche Freitag wieder vor Ort. Ich weiß nun aber zumindest, wie ich einfach die Richtlinie rausbekomme und werde dann auch berichten, ob es geht oder auch nicht... und dann brauche ich sicher eh nochmal Hilfe. 
So... konnte es jetzt mal an meinem eigenen Rechner testen :
Abmelden erzwingen nach: Nie
Minimales Kennwortalter (Tage): 7
Maximales Kennwortalter (Tage): Unbegrenzt
Minimale Kennwortlänge: 8
Länge der Kennwortchronik: 24
Sperrschwelle: Nie
Sperrdauer (Minuten): 30
Sperrüberprüfungsfenster (Minuten): 30
Rolle des Computers: SICHERUNG
Und ich konnte auch heute mein PW ändern Also musste ich 7 Tage warten, richtiig?
Abmelden erzwingen nach: Nie
Minimales Kennwortalter (Tage): 7
Maximales Kennwortalter (Tage): Unbegrenzt
Minimale Kennwortlänge: 8
Länge der Kennwortchronik: 24
Sperrschwelle: Nie
Sperrdauer (Minuten): 30
Sperrüberprüfungsfenster (Minuten): 30
Rolle des Computers: SICHERUNG
Und ich konnte auch heute mein PW ändern
Also musste ich 7 Tage warten, richtiig?
Rischtisch.
Minimales Kennwortalter (Tage): 7
OK. Dann frag ich mich, warum mein Admin das nicht gesehen hatte... Angeblich war ich da, wo auch alle anderen waren. Naja.. zukünfit weiß ich ja wo ich es sehen kann. Thx
Ich habe ja noch den zweiten Fall, bei dem ich nächste Woche Bescheid war. Denn Computer und User waren hier auch in der gleichen OU wie auch die anderen...
Ich habe ja noch den zweiten Fall, bei dem ich nächste Woche Bescheid war. Denn Computer und User waren hier auch in der gleichen OU wie auch die anderen...
Angeblich war ich da, wo auch alle anderen waren
Die Aussage zeugt schon von Unkenntnis - eine Domänen-Passwortpolicy wird nicht auf User angewendet, sondern auf Domänencontroller. Es wird per se keine Unterscheidung zwischen Usern gemacht, es sei denn man setzt PSOs ein.
