4
Frage bzgl. Kennwortrichtlinien Domäne in Hybrid-Umgebung
Folgender Zustand:
AD-Umgebung mit Windows 2019 Server als DC
Userverwaltung lokal
AD-Sync über AD-Conncet zu Office 365
Kleine Domäne mit niedriger zweitstelliger, wechselnder Userbasis.
Problem
Kennwortrichtlinien wurden ursprünglich klassisch in Default Domain Policy (...Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien) erstellt/geändert.
Eine Prüfung per Powershell (Get-ADDefaultDomainPasswordPolicy) ergab nun, dass hier die Standard Microsoft Werte hinterlegt sind
Die Änderung per Powershell (Set-ADDefaultDomainPasswordPolicy) ändert die in der PS angezeigten Werte. Ebenfalls werden die Werte in der DDP überschrieben.
Ein kurzer Gegencheck ergibt, dass dies nicht anders herum funktioniert.
Gibt es hierfür eine Erklärung ?
AD-Umgebung mit Windows 2019 Server als DC
Userverwaltung lokal
AD-Sync über AD-Conncet zu Office 365
Kleine Domäne mit niedriger zweitstelliger, wechselnder Userbasis.
Problem
Kennwortrichtlinien wurden ursprünglich klassisch in Default Domain Policy (...Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien) erstellt/geändert.
Eine Prüfung per Powershell (Get-ADDefaultDomainPasswordPolicy) ergab nun, dass hier die Standard Microsoft Werte hinterlegt sind
Die Änderung per Powershell (Set-ADDefaultDomainPasswordPolicy) ändert die in der PS angezeigten Werte. Ebenfalls werden die Werte in der DDP überschrieben.
Ein kurzer Gegencheck ergibt, dass dies nicht anders herum funktioniert.
Gibt es hierfür eine Erklärung ?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667277
Url: https://administrator.de/forum/frage-bzgl-kennwortrichtlinien-domaene-in-hybrid-umgebung-667277.html
Ausgedruckt am: 20.04.2025 um 21:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
GPOs, auch die DDP wird nicht per AD-Connect synchronisiert. Syncronisiert werden die Benutzer und deren Benutzerattribute.
Grüße
lcer
Zitat von @tt-2021:
Kennwortrichtlinien wurden ursprünglich klassisch in Default Domain Policy (...Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien) erstellt/geändert.
Ist das eine Original 2019 Default Domain Policy oder stammt die von einer 2008er ADKennwortrichtlinien wurden ursprünglich klassisch in Default Domain Policy (...Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien) erstellt/geändert.
Eine Prüfung per Powershell (Get-ADDefaultDomainPasswordPolicy) ergab nun, dass hier die Standard Microsoft Werte hinterlegt sind
Was meint "Standard Microsoft Werte"? Welche Werte sind das?Die Änderung per Powershell (Set-ADDefaultDomainPasswordPolicy) ändert die in der PS angezeigten Werte. Ebenfalls werden die Werte in der DDP überschrieben.
Ein kurzer Gegencheck ergibt, dass dies nicht anders herum funktioniert.
Was bedeutet andersherum?Ein kurzer Gegencheck ergibt, dass dies nicht anders herum funktioniert.
GPOs, auch die DDP wird nicht per AD-Connect synchronisiert. Syncronisiert werden die Benutzer und deren Benutzerattribute.
Grüße
lcer
Es ist ein komplett neu aufgesetztes AD mit Server 2019. Keine Migration.
Mit Standard Microsoft Werten meine ich : max. Alter 42 Tage, Chronik für 24 Passwörter etc.
siehe https://www.windowspro.de/sites/windowspro.de/files/imagepicker/3/thumbs ...
Andersherum : Geänderte Einstellungen in der DDP finden sich nicht in den in der Powershell anzeigten Werten wieder.
D.h. sie bleiben nach erneutem Anzeige von Get-ADDefaultDomainPasswordPolicy unverändert.
Das AD-Connect habe ich nur der Vollständigkeit halber mit erwähnt.
grüße
Thomas
Mit Standard Microsoft Werten meine ich : max. Alter 42 Tage, Chronik für 24 Passwörter etc.
siehe https://www.windowspro.de/sites/windowspro.de/files/imagepicker/3/thumbs ...
Andersherum : Geänderte Einstellungen in der DDP finden sich nicht in den in der Powershell anzeigten Werten wieder.
D.h. sie bleiben nach erneutem Anzeige von Get-ADDefaultDomainPasswordPolicy unverändert.
Das AD-Connect habe ich nur der Vollständigkeit halber mit erwähnt.
grüße
Thomas
Hallo,
Du kannst den parameter -Server verwenden, um den DC zu spezifizieren, siehe: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-a ...
Grüße
lcer
Zitat von @tt-2021:
Andersherum : Geänderte Einstellungen in der DDP finden sich nicht in den in der Powershell anzeigten Werten wieder.
D.h. sie bleiben nach erneutem Anzeige von Get-ADDefaultDomainPasswordPolicy unverändert.
Die Änderungen der der DDP müssen ins Active Directory übernommen werden und die Änderung muss auf die DCs repliziert werden. Hast Du gewartet?Andersherum : Geänderte Einstellungen in der DDP finden sich nicht in den in der Powershell anzeigten Werten wieder.
D.h. sie bleiben nach erneutem Anzeige von Get-ADDefaultDomainPasswordPolicy unverändert.
Du kannst den parameter -Server verwenden, um den DC zu spezifizieren, siehe: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-a ...
Grüße
lcer
Hallo Icer,
Danke für deine Antworten.
Entgegen der Empfehlung ist Aufgrund der geringen Anzahl der User nur 1 DC aktiv.
Die ursprünglichen Einstellungen wurden schon vor Monaten in den DDP hinterlegt.
Grüße
Thomas
Danke für deine Antworten.
Entgegen der Empfehlung ist Aufgrund der geringen Anzahl der User nur 1 DC aktiv.
Die ursprünglichen Einstellungen wurden schon vor Monaten in den DDP hinterlegt.
Grüße
Thomas
