Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO Kennwortrichtlinie wird nicht angewandt

Mitglied: SabSchap

SabSchap (Level 1) - Jetzt verbinden

07.07.2020 um 11:17 Uhr, 362 Aufrufe, 41 Kommentare

Hallo,
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.

Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.

Woran könnte es liegen?

VG
41 Antworten
Mitglied: DerWoWusste
07.07.2020 um 11:25 Uhr
Hi.

Prüfe, ob die geänderte GPO bereits auf allen DCs angewendet wird. Das ist auch schon alles, was schiefgehen kann.
Bitte warten ..
Mitglied: emeriks
07.07.2020 um 11:29 Uhr
Hi,
PSO's (Password Policy Object) sind aber keine vorhanden? Diese würden sonst die Domänenrichtlinie übersteuern.

E.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:35 Uhr
Wie prüfe ich, ob die GPO auf dem DC angewendet wurde?
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 11:36 Uhr
net user ist ein archaisches Kommando. Das kann keine PSOs anzeigen.
Ergo: die 180 Tage kommen definitiv nicht aus einer PSO ->Prüfung auf PSOs zwecklos.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:37 Uhr
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:38 Uhr
wo kommen die 180 Tage dann her?
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:39 Uhr
wenn ich auf "Domain COntroller" gehe und GPOupdate klicke- wird erfolgreich angezeigt. heißt, dass die GPO auf den DC angewendet wird, richtig?
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 11:39 Uhr
Ich habe dir bereits einen Vorschlag gemacht - geht dem nach.
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020, aktualisiert um 11:50 Uhr
Auf allen DCs einmal anmelden und Rechtklick auf cmd.exe -> "als Administrator ausführen" und dort
Ausführen und die angewendeten Kennwortrichtlinien prüfen.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:47 Uhr
Kennwortrichtlinien sind da im DC
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 11:50 Uhr
Sag doch bitte deutlich "sind da an allen DCs" bzw. "wir haben nur einen DC".
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:50 Uhr
wir haben nur einen dc
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 11:51 Uhr
zeig mir mal die Ausgabe von
net user testuser /domain
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 11:55 Uhr
bitteschön
net_testuser - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 12:00 Uhr
Nein... bitte einen echten Nutzer bei Euch verwenden. Testnutzer stand nur da, um anzuzeigen, dass Du vielleicht nicht einen nehmen solltest, dessen Name nicht im Internet angezeigt werden soll.
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020, aktualisiert um 12:14 Uhr
Setz das Kennwort eines Testaccounts mal jetzt neu und teste danach das Kommando erneut.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 12:37 Uhr
Trotzdem das gleich Spiel. 180 Tage bis das Kennwort abläuft.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 12:41 Uhr
Vielleicht hab ich auch hier irgendwo einen Fehler?
gpo - Klicke auf das Bild, um es zu vergrößern
ddp - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 12:46 Uhr
Oder hier
ddp-einstellungen - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 12:58 Uhr
Keine Fehler ersichtlich.
Wenn Du bitte mal die html-Datei anzeigst, die dir
aufruft, kommen wir vielleicht drauf.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 13:16 Uhr
Gerne. aber da müsste ich ja ziemlich viel schwärzen. die kann ich so nicht hier veröffentlichen
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 13:22 Uhr
Dann schwing den Pinsel.
Bitte warten ..
Mitglied: emeriks
07.07.2020, aktualisiert um 13:24 Uhr
Zitat von SabSchap:
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
z.B. am Benutzerobjekt.
Wenn da ein Distinguished Name geliefert wird, dann gilt für diesen Benutzer eine PSO.

Edit: so etwa
CN=BlaBlaBla,CN=Password Settings Container,CN=System,DC=Domain,DC=Tld
Bitte warten ..
Mitglied: Buddman
07.07.2020 um 13:31 Uhr
Kann es evtl. Sein dass du in einer anderen Gruppenrichtlinie nochmal etwas zu den kennwortrichtlinien gesetzt hast?

Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.

Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.

Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Bitte warten ..
Mitglied: emeriks
07.07.2020 um 13:34 Uhr
Zitat von Buddman:
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Das ist eine GPO, welche man nur auf die Domäne anwenden kann, nicht auf die OU.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 13:41 Uhr
hier der Auszug...
gpresult1png - Klicke auf das Bild, um es zu vergrößern
gpresult2 - Klicke auf das Bild, um es zu vergrößern
gpresult3 - Klicke auf das Bild, um es zu vergrößern
gpresult4 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 13:43 Uhr
ich habe die Domain Default Policy jetzt über geordnet , wie ob im Screenshot zu sehen ist und in der OU Computer, sowie unter Domain Controllers drin. Ist das evtl. zu viel und die darf nur einmal drin sein?
gpo_x - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Buddman
07.07.2020 um 13:48 Uhr
Aaaah default domain policy.
Deswegen sollte man erst die Frage gründlich lesen bevor man antwortet :D
Bitte warten ..
Mitglied: emeriks
07.07.2020 um 13:55 Uhr
Die Default Domain Policy noch einmal an die OU's zu verlinken ist Unsinn. Zumal sie ja an der Domäne erzwungen wird.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 13:57 Uhr
also nur hier, siehe Bild. Und alle anderen löschen?
gpo_x - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
07.07.2020 um 13:59 Uhr
Nun mal besinnlich: was Du da einblendest, ist nicht das, was Du kontrollieren und hier abbilden sollst. Das Gesuchte sieht so aus:
capture - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
07.07.2020 um 14:04 Uhr
Zitat von SabSchap:
also nur hier, siehe Bild. Und alle anderen löschen?
Auf die Default Domain Policy bezogen: Ja.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
Bitte warten ..
Mitglied: SabSchap
07.07.2020 um 14:05 Uhr
das meinst du?
ddp2 - Klicke auf das Bild, um es zu vergrößern
ddp1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: scar71
08.07.2020 um 07:57 Uhr
Müsstest du über ADSI-Editor machen, einige password-policy's greifen nicht über GPO (warum auch immer).

hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
Bitte warten ..
Mitglied: DerWoWusste
08.07.2020 um 08:19 Uhr
SabSchap, können wir das nun zum Abschluss bringen? Bitte reiche doch einen Screenshot nach, der von der von mir abgebildeten Stelle in der result.html stammt.
Bitte warten ..
Mitglied: SabSchap
08.07.2020 um 11:55 Uhr
Screenshot für DerWoWusste. Danke schonmal
gpresultx - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
08.07.2020 um 12:00 Uhr
Geh mal der aufgezeichneten Warnung nach.
Bitte warten ..
Mitglied: Dr.Bit
08.07.2020, aktualisiert um 16:35 Uhr
Zitat von SabSchap:

bitteschön

😂😂😂😂😂😂testuser -> watt´n Brüller.

Hast Du die Richtlinie nur in der Default Domain Policy oder zufällig auch woanders? Wenn ja, hast Du Beide erzwungen?

🖖
Bitte warten ..
Mitglied: SabSchap
17.07.2020 um 08:46 Uhr
Hallo,
ich habe Sie hier. SIehe Bild. Ich gestalte das erste Mal GPO's und habe das auch nicht beruflich gelernt. Selbst angeeignet. Daher vielleicht für Euch hier pille palle. Muss ih die GPO nur in Default Domain Policy haben und nirgends anders? Habe diese überall erzwungen. Darf sie nur in der Default Domain Policy erzwungen werden oder nicht erzwungen?

Danke!
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
17.07.2020 um 11:06 Uhr
Erzwingen ist nicht nötig. Die Default Domain Policy reicht. Die wirkt auf die Domain Controllers.

Du gehst am besten zu meinem letzten Kommentar zurück, wo ich dich bitte, dem angezeigten Fehler nachzugehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

GPO wird teilweise nicht angewandt. GPResult -R Zugriff verweigert

Frage von SchroediWindows Server8 Kommentare

Hallo zusammen, wir haben in unserer Umgebung die Folder Redirection per Standard für jeden User aktiviert. Einige Clients sind ...

Windows Server

Richtlinie wird nicht angewandt obwohl sie Scheinbar gezogen wird

gelöst Frage von Dr3amcatcherWindows Server10 Kommentare

Hallo zusammen, Ich habe ein relativ seltsames Phänomen. Ich hatte eine Richtlinie erstellt welche folgendes bewirkt: Wenn ein Benutzer ...

Exchange Server

Exchange 2016 Nachrichtenfluss Regel wird nach 2 Tagen nicht mehr angewandt

gelöst Frage von XartorExchange Server2 Kommentare

Hallo zusammen, ich habe ein Problem mit Exchange 2016. Ich habe 2 Regeln konfiguriert welche alle E-Mails welche im ...

Windows Server

GPO Komplexitätsvoraussetzungen

Frage von GassstWindows Server1 Kommentar

Servus, kann mir eventuell jemand beantworten, wo ich die Datei der Komplexitätsvoraussetzungen anpassen kann? Es steht ja bei Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien ...

Neue Wissensbeiträge
Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 1 TagMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 3 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 5 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Cloud-Dienste

Wenn die Cloud geklaut (oder einfach nur abgeschaltet) wurde

Information von certifiedit.net vor 7 TagenCloud-Dienste10 Kommentare

Wie war das mit der Reliability und was ist mit dem Datenschutz?

Heiß diskutierte Inhalte
Windows Server
Denselben Port auf verschiedenen Netzwerkkarten nutzen
gelöst Frage von entchenbrotWindows Server17 Kommentare

Hi wir haben einen Server PC mit verschiedenen Netzwerkkarten als Art Gaming-Server und würden gerne ein Spiel in zwei ...

Microsoft Office
Office 2019 Deployment
gelöst Frage von NRG2112Microsoft Office16 Kommentare

Hallo zusammen, ich verzweifel mit Microsofts neuen Office 2019 Setups. Ich versuche jetzt 2 Stunden lang ein Office 2019 ...

Cloud-Dienste
Cisco 8841 - Enter activation code
Frage von c0d3.r3dCloud-Dienste11 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Windows Server
Login Screen - keine User mehr sichtbar nach Installation der Remotedesktopdienste (Windows Server 2016)
Frage von kartoffelesserWindows Server10 Kommentare

Hallo Admins und Poweruser, könnt ihr mir bitte bei meinem "Problem" helfen? Ausgangslage: Windows Server 2016 - Standalone in ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...