Frage zu den Komplexitätsanforderungen (Active Directory 2003 R2)

Mitglied: O-Marc

O-Marc (Level 1) - Jetzt verbinden

15.07.2011 um 11:38 Uhr, 8031 Aufrufe, 19 Kommentare

Guten Tag,

ich verstehe etwas bei der Kennwortvergabe bzw. änderung nicht. Es kann sein, dass ich grad betriebsblind bin. ;)
Über Antworten würde ich mich freuen.

Wir nutzen Active Directory 2003 R2. Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt, sondern in einer separaten Richtlinie, die nicht auf Domänenebene (also nicht für den Domänen-Admin und die Server), sondern nur auf der Organisationseinheit der Client-PCs und Benutzer verknüpft ist. Komplexitätsanforderungen sind aktiviert.

Die Gruppenrichtlinie wird korrekt übernommen.

Wenn ich als Benutzer an einem Client mein Kennwort ändern will in z.B. "E.d123456", funktioniert das nicht mit dem Hinweis, dass die Komplexitätsanforderungen nicht der Richtlinie entsprechen.
Wenn ich auf dem DC unter Active Directory Benutzer und Computer per Rechtsklick auf meinen Benutzer "Kennwort zurücksetzen" wähle, nimmt er das oben genannte Kennwort ohne Probleme.
Allerdings gilt hier genauso die Komplexitätsanforderung, denn ich kann da z.B. nicht "123" oder "123456789" vergeben.

Wie lässt sich das erklären?
Mitglied: Ausserwoeger
15.07.2011 um 11:49 Uhr
Naja deine Gruppenrichtlinie ist ja nur auf die Clients bezogen da wie du schon geschrieben hast die Policy nur auf den clients angewendet wird.

Am Server findest du Lokale Sicherheitrichtlinen. Dort kannst du die Kennwortrichtlinen für den DC konfigurieren. Oder du machst eine 2 Policy für die Dcs bzw. Server.

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:07 Uhr
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine Kennwortrichtlinien definiert.

Vielen Dank!
Bitte warten ..
Mitglied: Ausserwoeger
15.07.2011 um 12:11 Uhr
Zitat von @O-Marc:
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den
Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine
Kennwortrichtlinien definiert.

Vielen Dank!

Bitte gerne.

LG Andreas Ausserwöger
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:13 Uhr
Hi.

Dein Verständnisproblem ist folgendes: Die Domänenkontenkennwörter werden immer am DC auf Komplexität geprüft, nicht am Client. Deswegen muss die gewünschte Richtlinie immer am DC angewendet werden. Auf den Clients braucht sie überhaupt nur dann angewendet werden, wenn man will, dass auch deren lokale Konten komplexe Kennwörter nutzen müssen.
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:17 Uhr
Danke, das verstehe ich.

Bleibt eine Frage:

Warum wird mein neues Kennwort "E.d123456" nicht vom Client akzeptiert?

Für die Komplexitätsanforderung gilt:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.

Zusätzlich ist eine Mindestlänge von 8 Zeichen definiert.
Im Kontonamen des Benutzers kommen zwar ein "e" und ein "D" vor, aber kein Punkt. Daher verstehe ich nicht, warum das Kennwort nicht angenommen wird.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:21 Uhr
vom Client akzeptiert
wie jetzt "vom Client"? Vom Domänencontroller muss es heißen, falls es um ein Domänenkonto geht.

Prüfe mit RSOP am DC, welche Kompl.Anforderungen dort aktiv sind.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 12:29 Uhr
Hallo.

Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt

Hier gilt aber als Empfehlung, dass genau diese Richtlinie auf Domänenebene gesetzt wird - http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...

LG Günther
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:30 Uhr
Das war falsch ausgedrückt von mir. Mit "Vom Client akzeptiert" meine ich, wenn ich am Client-PC sitze und dort das Kennwort ändern will. Dann nimmt er das Kennwort "E.d123456" nicht an.

In der Richtlinie für diesen Client gilt


Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 12:34 Uhr
In der Richtlinie für diesen Client gilt
Mann... schon wieder :) face-smile
Schreib doch bitte, was am DC gilt (wenn es sich um Domänenkonten handelt). Was am Client gilt, gilt nur für dessen lokale Konten.

Und schonmal im Voraus: Das minimale Kennwortalter ist nicht zufällig unterschritten? Kennwortchronik ok?
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 12:55 Uhr
Sorry, am DC gilt laut rsop.msc folgendes:


Das Kennwortalter ist nicht unterschritten und auch in der Chronik kam das gewählte Kennwort noch nicht vor.
Allerdings wird darauf hingewiesen, dass das Kennwort gelten muss: "wurde nicht während der letzten 180 Tage geändert"

Das wurde es aber. Wo kommen diese 180 Tage her? Es sind doch 150 Tage eingestellt.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 13:19 Uhr
Hi.

Erstelle doch einmal die Richtlinie so, wie in meinem Link beschrieben. Vermutlich sind dann deine Problem behoben.

LG Günther
Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 13:30 Uhr
"Du willst nicht lernen" hätte ich jetzt fast geschrieben :) face-smile
Du musst es für den DC setzen. Das kannst Du über die Default Domain Policy machen, wie von Günther beschrieben, oder über die Default Domain Controllers Policy oder jede andere, die auf die DCs angewendet wird. Dann mach gpupdate /force auf dem DC und prüfe erneut mit rsop am DC.
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 13:31 Uhr
Dich habe übersehen, sorry.
Danke für den Link, der bringt ja einiges ans Licht. Ich bin allerdings unschlüssig, ob ich das nun direkt anpasse. Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 13:44 Uhr
Hi.

Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?

Klar, wenn man sich dumm genug anstellt, dann immer? ;-) face-wink Aber das ist ja unabhängig von der Richtlinie ;-) face-wink

LG Günther
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 14:03 Uhr
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Habe es nun testweise dennoch getan und jetzt gilt für den DC laut rsop.msc:

Bitte warten ..
Mitglied: DerWoWusste
15.07.2011 um 14:09 Uhr
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Bitte warten ..
Mitglied: GuentherH
15.07.2011 um 14:13 Uhr
Hi.

Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther
Bitte warten ..
Mitglied: goscho
15.07.2011 um 14:20 Uhr
Mahlzeit
Zitat von @O-Marc:
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss.
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen User so gewollt ist?
Daher kann
ich das nicht in der Default Domain Policy einstellen.
Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Bitte warten ..
Mitglied: O-Marc
15.07.2011 um 14:36 Uhr
Zitat von @DerWoWusste:
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO
erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.

Habe ich. Hat nicht geklappt, aber ich bin mir nun sicher, dass es am Alter des Kennwortes liegt. Ich habe für das betreffende Benutzerkonto ja heute schon das Kennwort zurück gesetzt und das widerspricht den Einstellungen in der Richtlinie.
Danke für Deine Mühe.


Zitat von @GuentherH:
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort
läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther

Da hast Du Recht. Warum ich heute bei diesem Thema so sehr auf dem Schlauch stehe, kann ich mir nicht erklären... ;)
Danke für Deine Beiträge.


Zitat von @goscho:
Mahlzeit
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen
User so gewollt ist?

Eine berechtigte Frage, die ich mit meinen Admin-Kollegen besprechen werde.


Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss
nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur
für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).


Ich werde nun entgegen meines Beitrags vorhin nun doch die Default Domain Policy für die Kennwortrichtlinie nutzen.
Danke für Deinen Beitrag.
Bitte warten ..
Heiß diskutierte Inhalte
Zusammenarbeit
Klimaschutz
NebellichtVor 22 StundenTippZusammenarbeit49 Kommentare

Hallo friends, (friends in Anlehnung an die vielen Fs in dem englischen von FFF: fridays for future. Übrigens am 19.03.2021 gibts wieder einen globalen ...

Notebook & Zubehör
Tipp für festgefressene Scharniere bei Lenovo V120 Notebook?
gelöst LochkartenstanzerVor 1 TagFrageNotebook & Zubehör20 Kommentare

Moin Kollegen, Ich habe hier ein Lenovo V120 mit einem laut Internet üblichen Problem von "festgefressenen" Scharnieren. Ich könnte jetzt aufwendig das Notebook zerlegen ...

Microsoft Office
Microsoft365 und Outlook verbinden
ratzekahl1Vor 1 TagFrageMicrosoft Office31 Kommentare

Guten Morgen zusammen, ich habe einige Probleme / Fragen. Ich habe Office 365 auf den ersten Rechnern installiert. Admin angelegt, Benutzer usw. Da ich ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 1 TagAllgemeinMicrosoft Office14 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...

Viren und Trojaner
Ryuk Ransomware Warnzeichen
SchlemihlVor 1 TagFrageViren und Trojaner8 Kommentare

Guten Abend, nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryuk verhält, musste ich feststellen, dass unser kleines Netzwerk für eine ...

Internet
Sichere Verbindung von zu Hause zu einem Firmenpc
haiflosseVor 1 TagFrageInternet6 Kommentare

Hallo! Ich suche eine Lösung mit der ich eine sichere Verbindung (ohne das ein Virus, Trojaner oder Ransom Virus den Computer bzw. Netzwerk zerstört) ...

Windows 10
Leeres Desktop bei neuen Usern - möglich?
gelöst istike2Vor 1 TagFrageWindows 104 Kommentare

Hallo, in dem aktuellen Windows 10 Image haben wir leider vergessen das Desktop zu bereinigen. Wir haben also bei jedem neuen User einen vollen ...

TK-Netze & Geräte
2 x VPN site-to-site möglich?!
RicoPausBVor 1 TagFrageTK-Netze & Geräte6 Kommentare

Moin aktuell haben wir hier ein site-to-site vpn via IPsec. Das ganze läuft stabil aber langsam mit 2 x AVM6490 an Vodafone-Anschlüssen. Nun gibt ...