gelöst GPO Kennwortrichtlinie wird ignoriert trotz default domain policy

Mitglied: Gladius

Gladius (Level 1) - Jetzt verbinden

06.01.2015, aktualisiert 15:51 Uhr, 5192 Aufrufe, 7 Kommentare, 1 Danke

Hallo liebe Administratoren,

nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.

In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).

Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
b6ee6a086edd7a962439663df92d7be6 - Klicke auf das Bild, um es zu vergrößern

Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.

Hat jemand eine Idee, wo das Problem sein könnte?

Vielen dank im Voraus!

Lieber Gruß
Gladius
Mitglied: DerWoWusste
06.01.2015 um 11:56 Uhr
Hi.

Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 12:31 Uhr
Hallo DerWoWusste und danke für das Befassen mit meinem Problem.

Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.

Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 12:52 Uhr
Dann frage bitte am DC mit rsop.msc ab, was dort für Einstellungen gelten.
Wir reden schon von einem Domänenkonto, oder?
Bitte warten ..
Mitglied: Gladius
06.01.2015, aktualisiert um 13:31 Uhr
Ok jetzt bin ich verwirrt. Auf dem DC wird nach dem rsop.msc bei allen Kennwortrichtlinien "Nicht definiert" angezeigt. Die GPO-Verknüpfung befindet sich direkt unterhalb des Domänen-Namens und unter der Domäne (in einer OU) befindet sich auch der DC. Damit sollte die GPO doch greifen, oder?

Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 06.01.2015, aktualisiert um 15:51 Uhr
Zu analysieren, warum die Default Domain Policy nicht zieht, ist sehr einfach mit gpresult getan. Vermutlich ist eine andere Policy auf "enforced" gesetzt.
Bitte warten ..
Mitglied: Gladius
06.01.2015 um 16:00 Uhr
Ok ich glaube ich hab es gefunden.

Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.

Vielen Dank für deine Hilfe, hast mir sehr geholfen!

Gruß
Gladius
Bitte warten ..
Mitglied: DerWoWusste
06.01.2015 um 16:34 Uhr
Schön...aber nun bitte noch klären, warum die Leserrechte verweigert wurden!
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware34 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Netzwerke
Sicherheitsbetrachtung virtualisierte Umgebung
gelöst Philipp711FrageNetzwerke22 Kommentare

Hallo liebe Community, ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen. Beispiel: Ich habe einen Hypervisor ...

Outlook & Mail
Nach Update von Office 2013 auf 2016 funktioniert das Autodiscover nicht mehr
gelöst StefanKittelFrageOutlook & Mail14 Kommentare

Hallo, ich habe hier einen PC mit Win10 Prof (20H2). Darauf installiert war Office 2013 Home and Business. Dieses ...

Notebook & Zubehör
Surface pro 3 oder aktueller
devazubiFrageNotebook & Zubehör11 Kommentare

Moin moin zusammen, ich möchte eine kurze Umfrage/Feedbackrunde starten. Ich habe gerade angefangen Wirtschaftsinformatik berufsbegleitend zu studieren. Ich würde ...

Router & Routing
Mariadb über nginx direkt erreichen?
TastuserFrageRouter & Routing8 Kommentare

Hallo, ich habe eine Dockerumgebung mit einem letsencrypt (neu swag) Container mit nginx und einen mariadb Container. Nun möchte ...

Hosting & Housing
Performance mediawiki unter windows10 - (cgi)
jan99FrageHosting & Housing8 Kommentare

Moin! zunächst einmal hoffe ich so einigermassen die richtige Gruppe gewählt zu haben. Ich bin in userem Unternehmen so ...

Ähnliche Inhalte
Windows Server

Local Security Policy vs. Default Domain Policy

Oliver16FrageWindows Server4 Kommentare

Hi @ Forum, auf einem Windows Server 2008 R2 ist als lokale Security Policy einen Min Passwortlänge von 8 ...

Windows Netzwerk

Windows ignoriert sporadisch Metrik bei mehreren Default-Gateways

RoterFruchtZwergFrageWindows Netzwerk22 Kommentare

Hallo zusammen, ich nutze seit vielen Jahren regelmäßig VPNs, darunter früher Hamachi, OpenVPN, Cisco und ZeroTier. Manche VPNs konfigurieren ...

Windows Server

Kennwortrichtlinien in der Default Domain Pol

gelöst smartinoFrageWindows Server4 Kommentare

Hallo zusammen, ich habe hier eine Organisation, die hat de facto keine Passwort Richtlinie. Also Kennwörter laufen grundsätzlich nie ...

Windows Server

PowerShell Execution Policy per GPO festlegen

SchmoizFrageWindows Server6 Kommentare

Hallo zusammen, ich habe ein kleines Problem mit einer GPO. Ich möchte ein PowerShell-Skript bei der Benutzeranmeldung ausführen, welche ...

Windows Server

Windows Server 2008 R2 - Kennwortrichtlinie nur in der Default Domain Policy ändern? JA-Nein? Bin verwirrt

SachellenFrageWindows Server23 Kommentare

Guten Morgen liebe Mitglieder, ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, ...

Windows Server

GPO gesucht - Konto bei fehlerhafter Dienstanmeldung - lockout policy

GrueneSosseMitSpeckFrageWindows Server8 Kommentare

Hi, ich hab gerade mit einer etwas seltsam anmutenden Thematik zu tun. Irgendjemand hatte die geniale Idee, an der ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud