o-marc
Goto Top

Frage zu den Komplexitätsanforderungen (Active Directory 2003 R2)

Guten Tag,

ich verstehe etwas bei der Kennwortvergabe bzw. änderung nicht. Es kann sein, dass ich grad betriebsblind bin. ;)
Über Antworten würde ich mich freuen.

Wir nutzen Active Directory 2003 R2. Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt, sondern in einer separaten Richtlinie, die nicht auf Domänenebene (also nicht für den Domänen-Admin und die Server), sondern nur auf der Organisationseinheit der Client-PCs und Benutzer verknüpft ist. Komplexitätsanforderungen sind aktiviert.

Die Gruppenrichtlinie wird korrekt übernommen.

Wenn ich als Benutzer an einem Client mein Kennwort ändern will in z.B. "E.d123456", funktioniert das nicht mit dem Hinweis, dass die Komplexitätsanforderungen nicht der Richtlinie entsprechen.
Wenn ich auf dem DC unter Active Directory Benutzer und Computer per Rechtsklick auf meinen Benutzer "Kennwort zurücksetzen" wähle, nimmt er das oben genannte Kennwort ohne Probleme.
Allerdings gilt hier genauso die Komplexitätsanforderung, denn ich kann da z.B. nicht "123" oder "123456789" vergeben.

Wie lässt sich das erklären?

Content-Key: 169801

Url: https://administrator.de/contentid/169801

Printed on: June 24, 2024 at 11:06 o'clock

Member: Ausserwoeger
Ausserwoeger Jul 15, 2011 at 09:49:58 (UTC)
Goto Top
Naja deine Gruppenrichtlinie ist ja nur auf die Clients bezogen da wie du schon geschrieben hast die Policy nur auf den clients angewendet wird.

Am Server findest du Lokale Sicherheitrichtlinen. Dort kannst du die Kennwortrichtlinen für den DC konfigurieren. Oder du machst eine 2 Policy für die Dcs bzw. Server.

LG Andreas Ausserwöger
Member: O-Marc
O-Marc Jul 15, 2011 at 10:07:48 (UTC)
Goto Top
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine Kennwortrichtlinien definiert.

Vielen Dank!
Member: Ausserwoeger
Ausserwoeger Jul 15, 2011 at 10:11:08 (UTC)
Goto Top
Zitat von @O-Marc:
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den
Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine
Kennwortrichtlinien definiert.

Vielen Dank!

Bitte gerne.

LG Andreas Ausserwöger
Member: DerWoWusste
DerWoWusste Jul 15, 2011 at 10:13:39 (UTC)
Goto Top
Hi.

Dein Verständnisproblem ist folgendes: Die Domänenkontenkennwörter werden immer am DC auf Komplexität geprüft, nicht am Client. Deswegen muss die gewünschte Richtlinie immer am DC angewendet werden. Auf den Clients braucht sie überhaupt nur dann angewendet werden, wenn man will, dass auch deren lokale Konten komplexe Kennwörter nutzen müssen.
Member: O-Marc
O-Marc Jul 15, 2011 at 10:17:06 (UTC)
Goto Top
Danke, das verstehe ich.

Bleibt eine Frage:

Warum wird mein neues Kennwort "E.d123456" nicht vom Client akzeptiert?

Für die Komplexitätsanforderung gilt:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.

Zusätzlich ist eine Mindestlänge von 8 Zeichen definiert.
Im Kontonamen des Benutzers kommen zwar ein "e" und ein "D" vor, aber kein Punkt. Daher verstehe ich nicht, warum das Kennwort nicht angenommen wird.
Member: DerWoWusste
DerWoWusste Jul 15, 2011 at 10:21:42 (UTC)
Goto Top
vom Client akzeptiert
wie jetzt "vom Client"? Vom Domänencontroller muss es heißen, falls es um ein Domänenkonto geht.

Prüfe mit RSOP am DC, welche Kompl.Anforderungen dort aktiv sind.
Member: GuentherH
GuentherH Jul 15, 2011 at 10:29:58 (UTC)
Goto Top
Hallo.

Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt

Hier gilt aber als Empfehlung, dass genau diese Richtlinie auf Domänenebene gesetzt wird - http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...

LG Günther
Member: O-Marc
O-Marc Jul 15, 2011 at 10:30:23 (UTC)
Goto Top
Das war falsch ausgedrückt von mir. Mit "Vom Client akzeptiert" meine ich, wenn ich am Client-PC sitze und dort das Kennwort ändern will. Dann nimmt er das Kennwort "E.d123456" nicht an.

In der Richtlinie für diesen Client gilt


Richtlinie Einstellung 
Kennwort muss Komplexitätsvoraussetzungen entsprechen   Aktiviert 
Kennwortchronik erzwingen\ngespeicherte Kennwörter      5 gespeicherte Kennwörter 
Kennwörter mit umkehrbarer Verschlüsselung speichern    Deaktiviert 
Maximales Kennwortalter                                 150 Tage 
Minimale Kennwortlänge                                  8 Zeichen 
Minimales Kennwortalter                                 5 Tage
Member: DerWoWusste
DerWoWusste Jul 15, 2011 at 10:34:25 (UTC)
Goto Top
In der Richtlinie für diesen Client gilt
Mann... schon wieder face-smile
Schreib doch bitte, was am DC gilt (wenn es sich um Domänenkonten handelt). Was am Client gilt, gilt nur für dessen lokale Konten.

Und schonmal im Voraus: Das minimale Kennwortalter ist nicht zufällig unterschritten? Kennwortchronik ok?
Member: O-Marc
O-Marc Jul 15, 2011 at 10:55:55 (UTC)
Goto Top
Sorry, am DC gilt laut rsop.msc folgendes:

Richtlinie Einstellung 
Kennwort muss Komplexitätsvoraussetzungen entsprechen   nicht definiert 
Kennwortchronik erzwingen\ngespeicherte Kennwörter      nicht definiert 
Kennwörter mit umkehrbarer Verschlüsselung speichern    nicht definiert 
Maximales Kennwortalter                                 nicht definiert 
Minimale Kennwortlänge                                  nicht definiert 
Minimales Kennwortalter                                 nicht definiert


Das Kennwortalter ist nicht unterschritten und auch in der Chronik kam das gewählte Kennwort noch nicht vor.
Allerdings wird darauf hingewiesen, dass das Kennwort gelten muss: "wurde nicht während der letzten 180 Tage geändert"

Das wurde es aber. Wo kommen diese 180 Tage her? Es sind doch 150 Tage eingestellt.
Member: GuentherH
GuentherH Jul 15, 2011 at 11:19:05 (UTC)
Goto Top
Hi.

Erstelle doch einmal die Richtlinie so, wie in meinem Link beschrieben. Vermutlich sind dann deine Problem behoben.

LG Günther
Member: DerWoWusste
DerWoWusste Jul 15, 2011 at 11:30:44 (UTC)
Goto Top
"Du willst nicht lernen" hätte ich jetzt fast geschrieben face-smile
Du musst es für den DC setzen. Das kannst Du über die Default Domain Policy machen, wie von Günther beschrieben, oder über die Default Domain Controllers Policy oder jede andere, die auf die DCs angewendet wird. Dann mach gpupdate /force auf dem DC und prüfe erneut mit rsop am DC.
Member: O-Marc
O-Marc Jul 15, 2011 at 11:31:06 (UTC)
Goto Top
Dich habe übersehen, sorry.
Danke für den Link, der bringt ja einiges ans Licht. Ich bin allerdings unschlüssig, ob ich das nun direkt anpasse. Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Member: GuentherH
GuentherH Jul 15, 2011 at 11:44:38 (UTC)
Goto Top
Hi.

Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?

Klar, wenn man sich dumm genug anstellt, dann immer? face-wink Aber das ist ja unabhängig von der Richtlinie face-wink

LG Günther
Member: O-Marc
O-Marc Jul 15, 2011 at 12:03:48 (UTC)
Goto Top
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Habe es nun testweise dennoch getan und jetzt gilt für den DC laut rsop.msc:

Kennwort muss Komplexitätsvoraussetzungen entsprechen   Aktiviert 
Kennwortchronik erzwingen\ngespeicherte Kennwörter      5 Kennwörter
Kennwörter mit umkehrbarer Verschlüsselung speichern    nicht definiert 
Maximales Kennwortalter                                 150 Tage 
Minimale Kennwortlänge                                  8 Zeichen 
Minimales Kennwortalter                                 5 Tage 
Member: DerWoWusste
DerWoWusste Jul 15, 2011 at 12:09:44 (UTC)
Goto Top
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Member: GuentherH
GuentherH Jul 15, 2011 at 12:13:52 (UTC)
Goto Top
Hi.

Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.

Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther
Member: goscho
goscho Jul 15, 2011 at 12:20:46 (UTC)
Goto Top
Mahlzeit
Zitat von @O-Marc:
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss.
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen User so gewollt ist?
Daher kann
ich das nicht in der Default Domain Policy einstellen.
Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Member: O-Marc
O-Marc Jul 15, 2011 at 12:36:23 (UTC)
Goto Top
Zitat von @DerWoWusste:
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?

Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO
erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx

Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.

Habe ich. Hat nicht geklappt, aber ich bin mir nun sicher, dass es am Alter des Kennwortes liegt. Ich habe für das betreffende Benutzerkonto ja heute schon das Kennwort zurück gesetzt und das widerspricht den Einstellungen in der Richtlinie.
Danke für Deine Mühe.


Zitat von @GuentherH:
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort
läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.

LG Günther

Da hast Du Recht. Warum ich heute bei diesem Thema so sehr auf dem Schlauch stehe, kann ich mir nicht erklären... ;)
Danke für Deine Beiträge.


Zitat von @goscho:
Mahlzeit
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen
User so gewollt ist?

Eine berechtigte Frage, die ich mit meinen Admin-Kollegen besprechen werde.


Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss
nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.

Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur
für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).


Ich werde nun entgegen meines Beitrags vorhin nun doch die Default Domain Policy für die Kennwortrichtlinie nutzen.
Danke für Deinen Beitrag.