7
GPO Kennwortrichtlinie wird ignoriert trotz default domain policy
Hallo liebe Administratoren,
nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.
In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).
Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.
Hat jemand eine Idee, wo das Problem sein könnte?
Vielen dank im Voraus!
Lieber Gruß
Gladius
nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden.
In der Firma, in welcher ich neu angefangen habe, wird eine Win2k Domäne mit einem Win2008R2 Server als DC eingesetzt. Die Clients nutzen Win7. Von meinen Vorgängern wurden eine Reihe von Gruppenrichtlinien eingerichtet, unter anderem auch eine für die Kennwortrichtlinien. Jetzt hat sich herausgestellt, dass diese Kennwortrichtlinie scheinbar nicht greift. Daraufhin habe ich die Verknüpfungen mit dieser Richtlinie entfernt und die Einstellungen in die Default Domain Policy übertragen (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien), was leider auch keine Verbesserung bewirkte.
Daraufhin habe ich die anderen GPO´s überprüft, bei jeder sind die Kennwortrichtlinien auf "Nicht definiert" eingestellt. Ein Problem mit der Verbindung zwischen DC und PC scheint nicht zu bestehen, die GPO zum Laufwerksmapping beispielsweise funktioniert.
Führe ich auf meinem PC ein gpresult /r aus, wird mir bestätigt, dass die Policy angewendet wird und Richtlinien der lokalen Gruppe keine Anwendung findet (diese habe ich nichtsdestotrotz überprüft, keine Einträge vorhanden).
Im Gruppenrichtlinienergebnissatz der MMC auf meinem PC kann ich die Einstellungen auch auslesen:
Trotz der Einstellungen kann ich jedoch wild mein Passwort ändern und bekomme ca. alle 1-2 Monate die Aufforderung mein Kennwort zu ändern.
Ich nutze nicht standardmäßig ein Administratorkonto und weiß von mindestens zwei weiteren Nutzern, welche das gleiche Problem haben. Ob ich die Richtlinie erzwinge oder nicht, scheint keinen Unterschied zu machen.
Hat jemand eine Idee, wo das Problem sein könnte?
Vielen dank im Voraus!
Lieber Gruß
Gladius
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258991
Url: https://administrator.de/contentid/258991
Ausgedruckt am: 19.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Hi.
Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
Dein Missverständnis ist, dass Du die GPO am Client anwenden willst. Lediglich an den Domänencontrollern muss sie angewendet werden, nur dort liegen die Domänenkennwörter, dort werden sie geändert. Mach das gpupdate also an den DCs und es wird gehen.
1
Hallo DerWoWusste und danke für das Befassen mit meinem Problem.
Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.
Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Ich hab es gleich ausprobiert, aber es hat leider auch keine Verbesserung gebracht. Ich kann weiterhin X-Mal hintereinander das Kennwort ändern.
Was ich noch vergessen habe zu schreiben, es gibt nur den einen DC und die policy liegt unverändert auf Domänenebene.
Dann frage bitte am DC mit rsop.msc ab, was dort für Einstellungen gelten.
Wir reden schon von einem Domänenkonto, oder?
Wir reden schon von einem Domänenkonto, oder?
Ok jetzt bin ich verwirrt. Auf dem DC wird nach dem rsop.msc bei allen Kennwortrichtlinien "Nicht definiert" angezeigt. Die GPO-Verknüpfung befindet sich direkt unterhalb des Domänen-Namens und unter der Domäne (in einer OU) befindet sich auch der DC. Damit sollte die GPO doch greifen, oder?
Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Edit: Auch wenn hier das Problem liegen dürfte, es handelt sich ausschließlich um Domänenkontos
Zu analysieren, warum die Default Domain Policy nicht zieht, ist sehr einfach mit gpresult getan. Vermutlich ist eine andere Policy auf "enforced" gesetzt.
Ok ich glaube ich hab es gefunden.
Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.
Vielen Dank für deine Hilfe, hast mir sehr geholfen!
Gruß
Gladius
Nach genauerer Betrachtung des Ergebnisses von grpreslut ist mir aufgefallen, dass eine Eindeutige ID (Zahlenwert in geschweiften Klammern) unter abgelehnt anzeigt wurde. Die Begründung lautete "Zugriff nicht möglich". Natürlich passte diese ID zur default domain policy.. Beim suchen stieß ich auf Antworten, die sagten man solle die Gruppe "Authentifizierte Benutzer" hinzufügen, da sonst kein Recht auf das lesen zur verfügung stehen würde. Also hab ich die Berechtigungen geprüft und mir ist aufgefallen, dass (warum auch immer) der DC extra eingetragen wurde und diesem anscheinend Berechtigungen fehlten. Nachdem ich ihm nun passende Rechte vergeben habe, stellte rsop mit die erwarteten Einstellungen dar und die Tests auf dem Client verliefen auch positiv.
Vielen Dank für deine Hilfe, hast mir sehr geholfen!
Gruß
Gladius
Schön...aber nun bitte noch klären, warum die Leserrechte verweigert wurden!
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.
Vermutung: jemand hat (was kein guter Stil ist) die Default Policy tüchtig genutzt und dann bemerkt "ups, das übernimmt der DC ja auch" und ihn durch die Sicherheitsfilterung wieder ferngehalten. Schau also unbedingt rein, was in der Policy alles konfiguriert ist - dies trifft jetzt auch den DC.
