19
Frage zu den Komplexitätsanforderungen (Active Directory 2003 R2)
Guten Tag,
ich verstehe etwas bei der Kennwortvergabe bzw. änderung nicht. Es kann sein, dass ich grad betriebsblind bin. ;)
Über Antworten würde ich mich freuen.
Wir nutzen Active Directory 2003 R2. Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt, sondern in einer separaten Richtlinie, die nicht auf Domänenebene (also nicht für den Domänen-Admin und die Server), sondern nur auf der Organisationseinheit der Client-PCs und Benutzer verknüpft ist. Komplexitätsanforderungen sind aktiviert.
Die Gruppenrichtlinie wird korrekt übernommen.
Wenn ich als Benutzer an einem Client mein Kennwort ändern will in z.B. "E.d123456", funktioniert das nicht mit dem Hinweis, dass die Komplexitätsanforderungen nicht der Richtlinie entsprechen.
Wenn ich auf dem DC unter Active Directory Benutzer und Computer per Rechtsklick auf meinen Benutzer "Kennwort zurücksetzen" wähle, nimmt er das oben genannte Kennwort ohne Probleme.
Allerdings gilt hier genauso die Komplexitätsanforderung, denn ich kann da z.B. nicht "123" oder "123456789" vergeben.
Wie lässt sich das erklären?
ich verstehe etwas bei der Kennwortvergabe bzw. änderung nicht. Es kann sein, dass ich grad betriebsblind bin. ;)
Über Antworten würde ich mich freuen.
Wir nutzen Active Directory 2003 R2. Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt, sondern in einer separaten Richtlinie, die nicht auf Domänenebene (also nicht für den Domänen-Admin und die Server), sondern nur auf der Organisationseinheit der Client-PCs und Benutzer verknüpft ist. Komplexitätsanforderungen sind aktiviert.
Die Gruppenrichtlinie wird korrekt übernommen.
Wenn ich als Benutzer an einem Client mein Kennwort ändern will in z.B. "E.d123456", funktioniert das nicht mit dem Hinweis, dass die Komplexitätsanforderungen nicht der Richtlinie entsprechen.
Wenn ich auf dem DC unter Active Directory Benutzer und Computer per Rechtsklick auf meinen Benutzer "Kennwort zurücksetzen" wähle, nimmt er das oben genannte Kennwort ohne Probleme.
Allerdings gilt hier genauso die Komplexitätsanforderung, denn ich kann da z.B. nicht "123" oder "123456789" vergeben.
Wie lässt sich das erklären?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169801
Url: https://administrator.de/contentid/169801
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
19 Kommentare
Neuester Kommentar
Naja deine Gruppenrichtlinie ist ja nur auf die Clients bezogen da wie du schon geschrieben hast die Policy nur auf den clients angewendet wird.
Am Server findest du Lokale Sicherheitrichtlinen. Dort kannst du die Kennwortrichtlinen für den DC konfigurieren. Oder du machst eine 2 Policy für die Dcs bzw. Server.
LG Andreas Ausserwöger
Am Server findest du Lokale Sicherheitrichtlinen. Dort kannst du die Kennwortrichtlinen für den DC konfigurieren. Oder du machst eine 2 Policy für die Dcs bzw. Server.
LG Andreas Ausserwöger
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine Kennwortrichtlinien definiert.
Vielen Dank!
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine Kennwortrichtlinien definiert.
Vielen Dank!
Zitat von @O-Marc:
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den
Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine
Kennwortrichtlinien definiert.
Vielen Dank!
Also muss beim "Kennwort zurücksetzen" die Komplexitätsanforderung erfüllt werden, die für den
Server bzw. Admin gilt.
Das leuchtet ein. Ich habe grad per rsop.msc auf dem Server nachgesehen und für den sind tatsächlich keine
Kennwortrichtlinien definiert.
Vielen Dank!
Bitte gerne.
LG Andreas Ausserwöger
Hi.
Dein Verständnisproblem ist folgendes: Die Domänenkontenkennwörter werden immer am DC auf Komplexität geprüft, nicht am Client. Deswegen muss die gewünschte Richtlinie immer am DC angewendet werden. Auf den Clients braucht sie überhaupt nur dann angewendet werden, wenn man will, dass auch deren lokale Konten komplexe Kennwörter nutzen müssen.
Dein Verständnisproblem ist folgendes: Die Domänenkontenkennwörter werden immer am DC auf Komplexität geprüft, nicht am Client. Deswegen muss die gewünschte Richtlinie immer am DC angewendet werden. Auf den Clients braucht sie überhaupt nur dann angewendet werden, wenn man will, dass auch deren lokale Konten komplexe Kennwörter nutzen müssen.
Danke, das verstehe ich.
Bleibt eine Frage:
Warum wird mein neues Kennwort "E.d123456" nicht vom Client akzeptiert?
Für die Komplexitätsanforderung gilt:
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.
Zusätzlich ist eine Mindestlänge von 8 Zeichen definiert.
Im Kontonamen des Benutzers kommen zwar ein "e" und ein "D" vor, aber kein Punkt. Daher verstehe ich nicht, warum das Kennwort nicht angenommen wird.
Bleibt eine Frage:
Warum wird mein neues Kennwort "E.d123456" nicht vom Client akzeptiert?
Für die Komplexitätsanforderung gilt:
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.
Zusätzlich ist eine Mindestlänge von 8 Zeichen definiert.
Im Kontonamen des Benutzers kommen zwar ein "e" und ein "D" vor, aber kein Punkt. Daher verstehe ich nicht, warum das Kennwort nicht angenommen wird.
vom Client akzeptiert
wie jetzt "vom Client"? Vom Domänencontroller muss es heißen, falls es um ein Domänenkonto geht.Prüfe mit RSOP am DC, welche Kompl.Anforderungen dort aktiv sind.
Hallo.
Hier gilt aber als Empfehlung, dass genau diese Richtlinie auf Domänenebene gesetzt wird - http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...
LG Günther
Die Kennwortrichtlinie ist nicht in der Default Domain Policy festgelegt
Hier gilt aber als Empfehlung, dass genau diese Richtlinie auf Domänenebene gesetzt wird - http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...
LG Günther
Das war falsch ausgedrückt von mir. Mit "Vom Client akzeptiert" meine ich, wenn ich am Client-PC sitze und dort das Kennwort ändern will. Dann nimmt er das Kennwort "E.d123456" nicht an.
In der Richtlinie für diesen Client gilt
In der Richtlinie für diesen Client gilt
Richtlinie Einstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter 5 gespeicherte Kennwörter
Kennwörter mit umkehrbarer Verschlüsselung speichern Deaktiviert
Maximales Kennwortalter 150 Tage
Minimale Kennwortlänge 8 Zeichen
Minimales Kennwortalter 5 TageIn der Richtlinie für diesen Client gilt
Mann... schon wieder 
Schreib doch bitte, was am DC gilt (wenn es sich um Domänenkonten handelt). Was am Client gilt, gilt nur für dessen lokale Konten.
Und schonmal im Voraus: Das minimale Kennwortalter ist nicht zufällig unterschritten? Kennwortchronik ok?
Sorry, am DC gilt laut rsop.msc folgendes:
Das Kennwortalter ist nicht unterschritten und auch in der Chronik kam das gewählte Kennwort noch nicht vor.
Allerdings wird darauf hingewiesen, dass das Kennwort gelten muss: "wurde nicht während der letzten 180 Tage geändert"
Das wurde es aber. Wo kommen diese 180 Tage her? Es sind doch 150 Tage eingestellt.
Richtlinie Einstellung
Kennwort muss Komplexitätsvoraussetzungen entsprechen nicht definiert
Kennwortchronik erzwingen\ngespeicherte Kennwörter nicht definiert
Kennwörter mit umkehrbarer Verschlüsselung speichern nicht definiert
Maximales Kennwortalter nicht definiert
Minimale Kennwortlänge nicht definiert
Minimales Kennwortalter nicht definiertDas Kennwortalter ist nicht unterschritten und auch in der Chronik kam das gewählte Kennwort noch nicht vor.
Allerdings wird darauf hingewiesen, dass das Kennwort gelten muss: "wurde nicht während der letzten 180 Tage geändert"
Das wurde es aber. Wo kommen diese 180 Tage her? Es sind doch 150 Tage eingestellt.
Hi.
Erstelle doch einmal die Richtlinie so, wie in meinem Link beschrieben. Vermutlich sind dann deine Problem behoben.
LG Günther
Erstelle doch einmal die Richtlinie so, wie in meinem Link beschrieben. Vermutlich sind dann deine Problem behoben.
LG Günther
"Du willst nicht lernen" hätte ich jetzt fast geschrieben
Du musst es für den DC setzen. Das kannst Du über die Default Domain Policy machen, wie von Günther beschrieben, oder über die Default Domain Controllers Policy oder jede andere, die auf die DCs angewendet wird. Dann mach gpupdate /force auf dem DC und prüfe erneut mit rsop am DC.
Du musst es für den DC setzen. Das kannst Du über die Default Domain Policy machen, wie von Günther beschrieben, oder über die Default Domain Controllers Policy oder jede andere, die auf die DCs angewendet wird. Dann mach gpupdate /force auf dem DC und prüfe erneut mit rsop am DC.
Dich habe übersehen, sorry.
Danke für den Link, der bringt ja einiges ans Licht. Ich bin allerdings unschlüssig, ob ich das nun direkt anpasse. Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Danke für den Link, der bringt ja einiges ans Licht. Ich bin allerdings unschlüssig, ob ich das nun direkt anpasse. Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Hi.
Klar, wenn man sich dumm genug anstellt, dann immer?
Aber das ist ja unabhängig von der Richtlinie
LG Günther
Kann man damit nicht auch den Admin aussperren oder gewisse Dienstkonten (von denen wir im AD allerdings keine haben)?
Klar, wenn man sich dumm genug anstellt, dann immer?
Aber das ist ja unabhängig von der Richtlinie LG Günther
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.
Habe es nun testweise dennoch getan und jetzt gilt für den DC laut rsop.msc:
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.
Habe es nun testweise dennoch getan und jetzt gilt für den DC laut rsop.msc:
Kennwort muss Komplexitätsvoraussetzungen entsprechen Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter 5 Kennwörter
Kennwörter mit umkehrbarer Verschlüsselung speichern nicht definiert
Maximales Kennwortalter 150 Tage
Minimale Kennwortlänge 8 Zeichen
Minimales Kennwortalter 5 Tage
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?
Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Hast Du den Kennwortwechsel nun erneut versucht?
Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Hi.
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.
LG Günther
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss. Daher kann ich das nicht in der Default Domain Policy einstellen.
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.
LG Günther
Mahlzeit
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.
Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Zitat von @O-Marc:
;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss.
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen User so gewollt ist?;)
Ich möchte halt nicht, dass auch für den Admin regelmäßig das Kennwort geändert werden muss.
Daher kann
ich das nicht in der Default Domain Policy einstellen.
Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss nicht zwingend die DDP sein, diese bietet sich aber an).ich das nicht in der Default Domain Policy einstellen.
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.
Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Zitat von @DerWoWusste:
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?
Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO
erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
...UND?
Hast Du den Kennwortwechsel nun erneut versucht?
Wegen des Admins: Wenn Ihr ausschließlich 2008 Server oder 2008 R2 als DCs habt, kannst Du für diesen ja ein PSO
erstellen, was anders/weicher ist (fragwürdig, aber möglich).
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
Domänenfunktionslevel für PSOs muss auch mindestens auf 2008 sein.
Habe ich. Hat nicht geklappt, aber ich bin mir nun sicher, dass es am Alter des Kennwortes liegt. Ich habe für das betreffende Benutzerkonto ja heute schon das Kennwort zurück gesetzt und das widerspricht den Einstellungen in der Richtlinie.
Danke für Deine Mühe.
Zitat von @GuentherH:
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort
läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.
LG Günther
Sorry, aber das ist Unsinn. Warum glaubst du haben die Programmierer in den Eigenschaften des Users die Checkbox "Kennwort
läuft nie ab" eingebaut?
Und stell dir vor, im SBS 2008 / SBS 2011 ist die Kennwortrichtlinie genauso definiert wie in meinem Link beschrieben.
LG Günther
Da hast Du Recht. Warum ich heute bei diesem Thema so sehr auf dem Schlauch stehe, kann ich mir nicht erklären... ;)
Danke für Deine Beiträge.
Zitat von @goscho:
Mahlzeit
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen
User so gewollt ist?
Mahlzeit
Warum sollte den der Admin nicht regelmäßig sein Kennwort ändern, wenn es von der Firma für alle sonstigen
User so gewollt ist?
Eine berechtigte Frage, die ich mit meinen Admin-Kollegen besprechen werde.
Wenn du eine W2K3-Domäne hast, werden Kennwortrichtlinien nur gezogen, wenn diese auf die Domäne verlinkt sind (es muss
nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.
Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur
für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
nicht zwingend die DDP sein, diese bietet sich aber an).
Diese gilt immer für alle User und Computer dieser Domäne und nicht nur für bestimmte.
Was DerWoWusste dir erklären wollte ist folgendes:
Wenn du lokale Benutzer hast, kannst du andere Kennwortrichtlinien festlegen (und auch auf OUs verlinken), diese gelten dann nur
für die PCs in den entsprechenden OUs und auch nur für lokale Benutzer (benutzer@pc-Name).
Ich werde nun entgegen meines Beitrags vorhin nun doch die Default Domain Policy für die Kennwortrichtlinie nutzen.
Danke für Deinen Beitrag.
