toag1983
Goto Top

Änderungen der Kennwortrichtlinien der Domäne werden nicht übernommen

Auf einem Windows 2008 Server - Terminalserver und DC - werden Änderungen an den Kennwortrichtlinien nicht übernommen

Wir haben einen Windows 2008 Server, der sowohl AD-Controller wie auch Terminalserver ist. Die Remotedesktopbenutzer können sich anmelden, sie können aber nicht ihr Kennwort ändern (über Start - Einstellungen - Windows-Sicherheit) - es kommt immer wieder die Meldung, dass das Kennwort nicht den Kennwortrichtlinien entspricht.

383f4ecf7f9855b3d696743eeefe848a

Sämtliche Kennwortrichtlinien im Gruppenrichtlinien-Editor haben wir deaktiviert, die lokalen Richtlinien auch, gpupdate /force durchgeführt, Neustarts - es lässt sich ums Verrecken nicht einrichten.

Hat jemand eine Idee für dieses Problem?


Vielen Dank im Voraus!


Tim-Ole Golz

Content-ID: 143232

Url: https://administrator.de/forum/aenderungen-der-kennwortrichtlinien-der-domaene-werden-nicht-uebernommen-143232.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

goscho
goscho 20.05.2010 um 12:50:33 Uhr
Goto Top
Zitat von @toag1983:
Wir haben einen Windows 2008 Server, der sowohl AD-Controller wie auch Terminalserver ist. Die Remotedesktopbenutzer können
sich anmelden, sie können aber nicht ihr Kennwort ändern (über Start - Einstellungen - Windows-Sicherheit) - es
kommt immer wieder die Meldung, dass das Kennwort nicht den Kennwortrichtlinien entspricht.


Sämtliche Kennwortrichtlinien im Gruppenrichtlinien-Editor haben wir deaktiviert, die lokalen Richtlinien auch, gpupdate
/force durchgeführt, Neustarts - es lässt sich ums Verrecken nicht einrichten.

Wenn du den DC zum TS machst, dann musst du dich nicht wundern, dass das passiert.
Auf deinem DC ziehen auch die Richtlinien der Domain Controller (bspw. DDCP).

Welche Gruppenrichtlinien hast du bearbeitet, nur die lokale per gpedit oder hast du die Gruppenrichtlinienverwaltung für die Domäne aufgerufen und die entsprechenden Richtlinien bearbeitet?
toag1983
toag1983 20.05.2010 um 16:45:47 Uhr
Goto Top
hallo,


> Sämtliche Kennwortrichtlinien im Gruppenrichtlinien-Editor haben wir deaktiviert, die lokalen Richtlinien auch,
gpupdate
> /force durchgeführt, Neustarts - es lässt sich ums Verrecken nicht einrichten.

Wenn du den DC zum TS machst, dann musst du dich nicht wundern, dass das passiert.

inwiefern? ich muss die lokale Anmeldung am DC erlauben und den Remote Desktop-Nutzern das Recht dazu geben, sich am TS anzumelden, ansonsten wüßte ich nicht von irgendwelchen Einschränkungen. MS warnt zwar vor dem Szenario, welches wir fahren, aber uch habe im Netz nichts konkretes gefunden, was dagegen sprechen sollte - oder ist genau diese mangelnde Kennwortänderungsmöglichkeit einer der Gründe?


Auf deinem DC ziehen auch die Richtlinien der Domain Controller (bspw. DDCP).

OK - aber die haben wir ja auch geändert.

Welche Gruppenrichtlinien hast du bearbeitet, nur die lokale per gpedit


weshalb "gpedit"? dabei kommt:

"gpedit konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig usw. usf . "

Aber über die Lokalen Sicherheitsrichtlinien => Kennwortrichtlinien haben wir "Kennwort muss Komplexitätsvoraussetzungen entsprechen" deaktiviert.

oder hast du die Gruppenrichtlinienverwaltung für die
Domäne aufgerufen und die entsprechenden Richtlinien bearbeitet?

ebenfalls ja.

Start =>Programme => Verwaltung => Gruppenrichtlinienverwaltung => Gruppenrichtlinienverwaltungs-Editor ausgeführt auf

a) Default Domain Policy => Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Kontorichtlinien => Kennwortrichtlinien => "Kennwort muss Komplexitätsvoraussetzungen entsprechen" deaktiviert.

b) Default Domain Controller Policy => Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Kontorichtlinien => Kennwortrichtlinien => "Kennwort muss Komplexitätsvoraussetzungen entsprechen" deaktiviert.

Ausserdem heißt es bei jedem Klick auf die Default Domain bzw. Default Domain Controller Policy:

"Änderungen, die Sie hier vornehmen, sind global für das Gruppenrichtlinienobjekt und wirken sich so auf alle anderen Orte aus, die mit diesem Gruppenrichtlinienobjekt verknüpft sind." - und das interpretiere ich so, dass sich Änderungen am obersten Level der Domänenhierarchie auf die unteren Ebenen auswirken müssen; wozu wäre denn sonst der ganze schöne AD-Baum da?


Ich habe gpupdate ausgeführt und diverse Neustarts gemacht, wie bereits gesagt. Es bleibt hartnäckig dabei: die Remote Desktop-Nutzer können nach wie vor nicht ihre Kennwörter ändern.

mfg


Tim-Ole
goscho
goscho 20.05.2010, aktualisiert am 18.10.2012 um 18:42:13 Uhr
Goto Top
Was ergibt denn der Richtlinienergebnissatz auf diesem DC?
Kannst du direkt in der GPO-Verwaltung ausgeben (mit den Credentials eines Users).

Schau mal in diesen Thread, ist eigentlich das selbe, nur ohne TS:
Kennwortrichtlinien zum Haareraufen
toag1983
toag1983 20.05.2010 um 17:36:40 Uhr
Goto Top
Danke für die schnelle antwort!


Zitat von @goscho:
Was ergibt denn der Richtlinienergebnissatz auf diesem DC?
Kannst du direkt in der GPO-Verwaltung ausgeben (mit den Credentials eines Users).

ist das der Karteireiter rechts neben den Einstellungen? wo stelle ich da wie irgendwelche credentials ein?

ich habe einfach mal

gpresult /h gpresult.html /USER:username

ausgeführt, da steht dasselbe mit der Kennwortkomplexität, alles deaktiviert.

Ich hatte (nach der lektüre des von dir angegebenen threads) noch die Idee, das minimale Alter von 1 Tag zu deaktivieren, nur kann ich das nicht bei den lokalen richtlinien (ausgegraut), und bei den domaineinstellungen hat es nichts gebracht face-sad

also keine passwortänderungsmöglichkeit für die user, müssen sie halt immer den admin anrufen ... face-wink

oder gibt es ne andere idee?


danke und gruss
goscho
goscho 20.05.2010 um 18:01:15 Uhr
Goto Top
Zitat von @toag1983:
Danke für die schnelle antwort!

Hatte gerade ein bisschen Zeit.

> Zitat von @goscho:
> ----
> Was ergibt denn der Richtlinienergebnissatz auf diesem DC?
> Kannst du direkt in der GPO-Verwaltung ausgeben (mit den Credentials eines Users).

Im GPO-Editor des DC gibt es unter Gruppenrichtlinie den Punkt: Gruppenrichtlinienergebnisse.
Dort führst du den Assistenten aus (dieser Computer, dein eingeschränkter User). Dann hast du rechts alle Ergebnisse.

also keine passwortänderungsmöglichkeit für die user, müssen sie halt immer den admin anrufen ... face-wink

oder gibt es ne andere idee?


Kannst du das Kennwort auf einem Client-PC ändern?

Edit:
Ich habe genau dein Szenario gerade nachgestellt (hatte noch so eine Testumgebung)
DC2008 (freigegeben für 2 normale User als TS im Remoteverwaltungsmodus)
3. User hinzugefügt, diesen angemeldet und das Kennwort geändert
Das klappte mit jedem beliebigen Kennwort (auch nur ein Buchstabe), bis ich ein altes Kennwort nehmen wollte (Kennwortchronik auf dem DC ist aktiv mit Wert 24).
Alle anderen Richtlinien habe ich auf aus gestellt (0 Tage, keine minimale Länge, keine Komplexität)
toag1983
toag1983 20.05.2010 um 18:31:21 Uhr
Goto Top
> ----
> Danke für die schnelle antwort!

Hatte gerade ein bisschen Zeit.

OK face-wink


Im GPO-Editor des DC gibt es unter Gruppenrichtlinie den Punkt: Gruppenrichtlinienergebnisse.
Dort führst du den Assistenten aus (dieser Computer, dein eingeschränkter User). Dann hast du rechts alle Ergebnisse.

sory, ich hab grade nochmal alles durchgeforstet - ich habe im Gruppenrichtlinien-Editor nirgends einen Punkt "Gruppenrichtlinie" und auch keinen Punkt "Gruppenrichtlinienergebnisse" - oder ich bin total blind:

http://i.technet.microsoft.com/cc753295.ff4839a8-31f2-4d18-aee0-52f922b ...


> oder gibt es ne andere idee?

Kannst du das Kennwort auf einem Client-PC ändern?

ich habe bisher keine PCs in der domäne, nur den TS - deswegen weiss ich es nicht. könnte ich aber morgen mal ausprobieren.

Edit:
Ich habe genau dein Szenario gerade nachgestellt (hatte noch so eine Testumgebung)
DC2008 (freigegeben für 2 normale User als TS im Remoteverwaltungsmodus)
3. User hinzugefügt, diesen angemeldet und das Kennwort geändert
Das klappte mit jedem beliebigen Kennwort (auch nur ein Buchstabe), bis ich ein altes Kennwort nehmen wollte (Kennwortchronik
auf dem DC ist aktiv mit Wert 24).

Alle anderen Richtlinien habe ich auf aus gestellt (0 Tage, keine minimale Länge, keine Komplexität)

ok, ich aktiviere die kennwortrichtlinie mal wieder und setze sie auf 1 buchstaben.

danke und gruss


tim-ole
goscho
goscho 20.05.2010 um 18:58:04 Uhr
Goto Top
Hallo tom-ole,
du hast einen W2K8-DC.

Server-Manager -> Features -> Gruppenrichtinienverwaltung -> Deine Gesamtstruktur -> Domäne

Dein Link zeigt die Bearbeitung einer lokalen GPO, nicht den Editor für die Domäne.

Wenn du dort die Ergebnisse anzeigen lässt, siehst du genau, was eingestellt wurde.

Führe nach Änderungen gpupdate /force auf dem DC aus, sonst wird die Änderung nicht sofort aktiv.

Hilft dir dieser Link zur Info:
http://technet.microsoft.com/de-de/magazine/2007.12.securitywatch.aspx
toag1983
toag1983 20.05.2010 um 19:51:38 Uhr
Goto Top
Hallo tom-ole,

tim-ole face-wink

du hast einen W2K8-DC.

korrekt! Das sagte ich anfänglich aber auch schon mal, IIRC ... face-wink


Server-Manager -> Features -> Gruppenrichtinienverwaltung -> Deine Gesamtstruktur -> Domäne

Dein Link zeigt die Bearbeitung einer lokalen GPO, nicht den Editor für die Domäne.

das war nur ein Beispielbild aus dem Internet, weil mir beim Erstellen einer Antwort hier eine einfache Möglichkeit fehlt, ein eigenes Bild hochzuladen.


Wenn du dort die Ergebnisse anzeigen lässt, siehst du genau, was eingestellt wurde.

Ich habs hier mal hochgeladen:

http://82.198.201.161/pix/gpo-bericht-user.jpg


=> eindeutig: alles deaktiviert, ws Kennwortkomplexität erzwingen könnte.

Führe nach Änderungen gpupdate /force auf dem DC aus, sonst wird die Änderung nicht sofort aktiv.

wie ebenfalls bereits erwähnt: habe ich jedesmal brav gemacht; ausserdem diverse Neustarts ... User angelegt, gelöscht - alles vergebens; es bleibt diese nervige Fehlermeldung:

http://82.198.201.161/pix/kennwortaenderung-misserfolg.jpg



danke für den Link, er dient aber eher zur verwirrung und belustigung:

"Es ist etwas gewöhnungsbedürftig, die Active Directory-Datenbank aufzurufen, um Kontorichtlinieneinstellungen einzurichten oder zu ändern."


das ganze ist schon etwas ärgerlich; andererseits haben wir in letzter zeit ziemlich erfolgreich mit Samba und LDAP rumgespielt, im Moment sind solche Geschichten nur noch der Sargnagel für den Microsoft Server-Krams; übersichtlich, gut funktionierend, überschaubar zu administrieren und nachvollziehbar ist auf jeden fall etwas anderes face-sad

ich gehe davon aus, dass wir in kürze eine Sambadomänenstruktur aufbauen und dort den Terminalserver nur als einfachen mitgliederserver einreihen werden. In Samba können die User jedenfals wohl ihre passwörter ohne solch komplizierte riten ändern ...

trotzdem bleibt das unbefriedigend - ich werde nochmal ein wenig damit herumtesten, vielleicht finde ich ja noch irgendwo den entscheidenden schalter.


vielen dank für deine mühen und anregungen!


Grüße


Tim-Ole
dog
dog 21.05.2010 um 03:13:39 Uhr
Goto Top
Auf deinem DC ziehen auch die Richtlinien der Domain Controller (bspw. DDCP).

Das ist egal.
Es gibt nur einen Kennwortrichtlinien-Satz pro Domain, nämlich den in der "Default Domain Policy" - alles andere wird ignoriert.
In Server 2008 ist es zwar möglich mehrere anzulegen, aber nicht über gpmc/gpedit.

Führe auf dem TS mal rsop.msc aus und achte auf Ausrufezeichen oder Kreuze.
toag1983
toag1983 21.05.2010 um 07:40:37 Uhr
Goto Top
Hallo, dog,

> Auf deinem DC ziehen auch die Richtlinien der Domain Controller (bspw. DDCP).

Das ist egal.
Es gibt nur einen Kennwortrichtlinien-Satz pro Domain, nämlich den in der "Default Domain Policy" - alles
andere wird ignoriert.

Endlich mal einer, der mir glaubt ... face-wink

Deswegen kommt bei Änderungen der Default Domain Policy ja auch IMHO auch der Hinweis von oben:

"Änderungen, die Sie hier vornehmen, sind global für das Gruppenrichtlinienobjekt und wirken sich so auf alle anderen Orte aus, die mit diesem Gruppenrichtlinienobjekt verknüpft sind."

Führe auf dem TS mal rsop.msc aus und achte auf Ausrufezeichen oder Kreuze.

Danke für den Tipp! Hier ist das Ergebnis:

http://82.198.201.161/pix/rsop-msc.jpg


Gruß

Tim-Ole
RedRabbit
RedRabbit 21.05.2010 um 08:36:46 Uhr
Goto Top
Unter 2008 haben DCs eine eigene verschärfte "Kennwortrichtlinie", und zwar dahingehend, das zwar alle Änderungen an der Domänenrichtlinie übernommen werden, die Kenntwortkomplexität aber grundsätzlich eingeschaltet bleibt. Dies kann imho unter den Sicherheitsrichtlinien oder in der DDCP deaktiviert werden. In diesem einem speziellen Fall hat eine Änderung der Kennwortrichtlinie in der Domäne keine Auswirkung auf die DCs der Domäne.
goscho
goscho 21.05.2010 um 09:22:43 Uhr
Goto Top
Zitat von @dog:
> Auf deinem DC ziehen auch die Richtlinien der Domain Controller (bspw. DDCP).

Das ist egal.
Es gibt nur einen Kennwortrichtlinien-Satz pro Domain, nämlich den in der "Default Domain Policy" - alles
andere wird ignoriert.
In Server 2008 ist es zwar möglich mehrere anzulegen, aber nicht über gpmc/gpedit.

Sorry, ja habe mich vertan.

Die Möglichkeit, verschiedene Kennwortrichtlinien festzulegen und wie das funktioniert, wird hier sehr gut beschrieben:
http://www.serverhowto.de/Teil-1-Password-Policies-unter-Windows-Server ...
toag1983
toag1983 21.05.2010 um 14:35:32 Uhr
Goto Top
Hallo, Leute,


erstmal Danke für eure Anregungen! Aber das, was ich diesem Link entnehme, kann nicht ernst gemeint sein, oder ... ? :

"(Auszug)
Wer über ADSIEdit in einer MMC arbeiten möchte, findet die gleichen Attribute in den Dialogen beim Anlegen der Policy ebenfalls wieder.

‘ Datei: C:\PSO-Enhanced-Security.ldf
‘ Es folgt die Definition des Namens für die neue Password Policy:
DN:CN=PSO-Enhanced-Security,CN=Password Settings Container,CN=System,DC=,DC=

‘ Es soll eine neue Policy angelegt werden:
changetype:add

‘ Die Objektklasse lautet wie beschrieben wie folgt:
objectClass:msDS-PasswordSettings

‘ Das maximale Kennwortalter beträgt (Beispiel 30 Tage):
msDS-MaximumPasswordAge:-25920000000000

‘ Das minimale Kennwortalter vor einer möglichen Änderung lautet (Beispiel 3 Tage):
msDS-MinimumPasswordAge:-2592000000000

‘ Die minimale Kennwortlänge lautet:
msDS-MinimumPasswordLength:10

‘ Als Passwort Historie wählen wir 20 Kennwörter:
msDS-PasswordHistoryLength:20

‘ Kennwortkomplexität aktiv oder inaktiv:
msDS-PasswordComplexityEnabled:true

‘ Wie lang ist die Zeit, bis der Counter für falsche Logon-Versuche zurückgesetzt wird (Beispiel 1 Stunde):
msDS-LockoutObservationWindow: -36000000000

‘ Wie lange gilt eine Sperrung, bis der Benutzer sich wieder anmelden kann (Beispiel 30 Minuten):
msDS-LockoutDuration: -18000000000

‘ Wie viele falsche Logon-Versuche können bis zu einer Sperrung durchgeführt werden:
msDS-LockoutTreshold: 5

‘ Es folgt die oben genannte Priorität des Password Setting Objects:
msDS-PasswordSettingsPrecedence: 50

‘ Sollen die Kennwörter mit umkehrbarer Verschlüsselung gespeichert werden?
msDS-PasswordReversibleEncryptionEnabled: false

‘ Auf welches Objekt soll die Policy verlinkt werden:
MsDS-PSOAppliesTo: CN=,CN=Users,DC=,DC=

Importiert man diese Datei nun mittels: ldifde –i –f C:\PSO-Enhanced-Security.ldf
in den Password Setting Container, ist der Import erledigt.

Die Werte sind als 100 Nanosekunden Intervalle angegeben – und dazu noch „negativ“. Hintergrund ist das sogenannte "I8" Format, welches als Datentyp für das Attribut verwendet wird.

Als kleine Stütze zur Berechnung dieser Werte folgen anbei die Formeln dafür. Für alle, die mit 10^7 oder dem Windows Rechner in der wissenschaftlichen Ansicht nichts anfangen können folgt der Hinweis, dass es sich dabei um eine „1“ mit 7 „Nullen“ handelt, also „10.000.000“.

- Minuten = -(Anzahl) * 60 * 10^7
- Stunden = -(Anzahl) * 60 * 60 * 10^7
- Tage = -(Anzahl) * 24 * 60 * 60 *10^7

to-be-continued ... "

Ich zitiere mal einen ehemaligen IT-Kollegen eines benachbarten Unternehmens: "Wir stellen jetzt von Unix um auf Microsoft, weil diesen Unixkrtam, das kann ja keiner verwalten ... !"

Da kann ich jetzt nur bitter lachen ... seit zwei Tagen versuchen wir, den Usern die Änderung ihres Passworts zu ermöglichen - bisher ohne Erfolg.

Unter Samba / LDAP / OpenSourve ist auch keine heile Welt, aber da waren das zwei kurze Befehle und Einträge in der Konfig und das war´s ...

Das KANN doch bei Windows 2008 Server nicht ernsthaft dermassen kompliziert gemacht sein ... ?!

Sollten wir vielleicht einen so genannten Case bei Microsoft aufmachen?


Grüße


Tim-Ole
toag1983
toag1983 21.05.2010 um 18:02:09 Uhr
Goto Top
So, Leute,


ich vermute inzwischen, dass es daran liegt, dass ich die Kennwortkomplexität nicht abgeschaltet hatte, BEVOR ich den Server zum DC hochgestuft hatte ... jetzt kann ich die Lokale Sicherheitsrichtlinie nicht mehr bearbeiten, und die trifft, weil die Anmeldung ja "eigentlich" lokal am Server geschieht ...

Ich bin die ganze Zeit remote auf dem Server und werde nachher mal versuchen, mich nochmal als lokaler Admin anzumelden und die Richtlinie zu ändern; dann berichte ich mal.


Grüße


Tim-Ole