sabschap
Goto Top

GPO Kennwortrichtlinie wird nicht angewandt

Hallo,
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.

Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.

Woran könnte es liegen?

VG

Content-ID: 585405

Url: https://administrator.de/contentid/585405

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

DerWoWusste
DerWoWusste 07.07.2020 um 11:25:26 Uhr
Goto Top
Hi.

Prüfe, ob die geänderte GPO bereits auf allen DCs angewendet wird. Das ist auch schon alles, was schiefgehen kann.
emeriks
emeriks 07.07.2020 um 11:29:08 Uhr
Goto Top
Hi,
PSO's (Password Policy Object) sind aber keine vorhanden? Diese würden sonst die Domänenrichtlinie übersteuern.

E.
SabSchap
SabSchap 07.07.2020 um 11:35:15 Uhr
Goto Top
Wie prüfe ich, ob die GPO auf dem DC angewendet wurde?
DerWoWusste
DerWoWusste 07.07.2020 um 11:36:10 Uhr
Goto Top
net user ist ein archaisches Kommando. Das kann keine PSOs anzeigen.
Ergo: die 180 Tage kommen definitiv nicht aus einer PSO ->Prüfung auf PSOs zwecklos.
SabSchap
SabSchap 07.07.2020 um 11:37:22 Uhr
Goto Top
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
SabSchap
SabSchap 07.07.2020 um 11:38:04 Uhr
Goto Top
wo kommen die 180 Tage dann her?
SabSchap
SabSchap 07.07.2020 um 11:39:28 Uhr
Goto Top
wenn ich auf "Domain COntroller" gehe und GPOupdate klicke- wird erfolgreich angezeigt. heißt, dass die GPO auf den DC angewendet wird, richtig?
DerWoWusste
DerWoWusste 07.07.2020 um 11:39:35 Uhr
Goto Top
Ich habe dir bereits einen Vorschlag gemacht - geht dem nach.
DerWoWusste
DerWoWusste 07.07.2020 aktualisiert um 11:50:59 Uhr
Goto Top
Auf allen DCs einmal anmelden und Rechtklick auf cmd.exe -> "als Administrator ausführen" und dort
gpresult /h %temp%\result.html /f & %temp%\result.html
Ausführen und die angewendeten Kennwortrichtlinien prüfen.
SabSchap
SabSchap 07.07.2020 um 11:47:29 Uhr
Goto Top
Kennwortrichtlinien sind da im DC
DerWoWusste
DerWoWusste 07.07.2020 um 11:50:13 Uhr
Goto Top
Sag doch bitte deutlich "sind da an allen DCs" bzw. "wir haben nur einen DC".
SabSchap
SabSchap 07.07.2020 um 11:50:46 Uhr
Goto Top
wir haben nur einen dc
DerWoWusste
DerWoWusste 07.07.2020 um 11:51:54 Uhr
Goto Top
zeig mir mal die Ausgabe von
net user testuser /domain
SabSchap
SabSchap 07.07.2020 um 11:55:41 Uhr
Goto Top
bitteschön
net_testuser
DerWoWusste
DerWoWusste 07.07.2020 um 12:00:16 Uhr
Goto Top
Nein... bitte einen echten Nutzer bei Euch verwenden. Testnutzer stand nur da, um anzuzeigen, dass Du vielleicht nicht einen nehmen solltest, dessen Name nicht im Internet angezeigt werden soll.
SabSchap
SabSchap 07.07.2020 um 12:02:59 Uhr
Goto Top
sorry.
net-user
DerWoWusste
DerWoWusste 07.07.2020 aktualisiert um 12:14:31 Uhr
Goto Top
Setz das Kennwort eines Testaccounts mal jetzt neu und teste danach das Kommando erneut.
SabSchap
SabSchap 07.07.2020 um 12:37:07 Uhr
Goto Top
Trotzdem das gleich Spiel. 180 Tage bis das Kennwort abläuft.
SabSchap
SabSchap 07.07.2020 um 12:41:02 Uhr
Goto Top
Vielleicht hab ich auch hier irgendwo einen Fehler?
gpo
ddp
SabSchap
SabSchap 07.07.2020 um 12:46:09 Uhr
Goto Top
Oder hier
ddp-einstellungen
DerWoWusste
DerWoWusste 07.07.2020 um 12:58:19 Uhr
Goto Top
Keine Fehler ersichtlich.
Wenn Du bitte mal die html-Datei anzeigst, die dir
gpresult /h %temp%\result.html /f & %temp%\result.html
aufruft, kommen wir vielleicht drauf.
SabSchap
SabSchap 07.07.2020 um 13:16:47 Uhr
Goto Top
Gerne. aber da müsste ich ja ziemlich viel schwärzen. die kann ich so nicht hier veröffentlichen
DerWoWusste
DerWoWusste 07.07.2020 um 13:22:21 Uhr
Goto Top
Dann schwing den Pinsel.
emeriks
emeriks 07.07.2020 aktualisiert um 13:24:48 Uhr
Goto Top
Zitat von @SabSchap:
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
z.B. am Benutzerobjekt.
(Get-ADUser testbenutzer -Properties msDS-ResultantPSO)."msDS-ResultantPSO"  
Wenn da ein Distinguished Name geliefert wird, dann gilt für diesen Benutzer eine PSO.

Edit: so etwa
CN=BlaBlaBla,CN=Password Settings Container,CN=System,DC=Domain,DC=Tld
Buddman
Buddman 07.07.2020 um 13:31:17 Uhr
Goto Top
Kann es evtl. Sein dass du in einer anderen Gruppenrichtlinie nochmal etwas zu den kennwortrichtlinien gesetzt hast?

Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.

Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.

Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
emeriks
emeriks 07.07.2020 um 13:34:09 Uhr
Goto Top
Zitat von @Buddman:
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Das ist eine GPO, welche man nur auf die Domäne anwenden kann, nicht auf die OU.
SabSchap
SabSchap 07.07.2020 um 13:41:00 Uhr
Goto Top
hier der Auszug...
gpresult2
gpresult4
gpresult3
gpresult1png
SabSchap
SabSchap 07.07.2020 um 13:43:52 Uhr
Goto Top
ich habe die Domain Default Policy jetzt über geordnet , wie ob im Screenshot zu sehen ist und in der OU Computer, sowie unter Domain Controllers drin. Ist das evtl. zu viel und die darf nur einmal drin sein?
gpo_x
Buddman
Buddman 07.07.2020 um 13:48:51 Uhr
Goto Top
Aaaah default domain policy.
Deswegen sollte man erst die Frage gründlich lesen bevor man antwortet :D
emeriks
emeriks 07.07.2020 um 13:55:21 Uhr
Goto Top
Die Default Domain Policy noch einmal an die OU's zu verlinken ist Unsinn. Zumal sie ja an der Domäne erzwungen wird.
SabSchap
SabSchap 07.07.2020 um 13:57:32 Uhr
Goto Top
also nur hier, siehe Bild. Und alle anderen löschen?
gpo_x
DerWoWusste
DerWoWusste 07.07.2020 um 13:59:54 Uhr
Goto Top
Nun mal besinnlich: was Du da einblendest, ist nicht das, was Du kontrollieren und hier abbilden sollst. Das Gesuchte sieht so aus:
capture
emeriks
emeriks 07.07.2020 um 14:04:02 Uhr
Goto Top
Zitat von @SabSchap:
also nur hier, siehe Bild. Und alle anderen löschen?
Auf die Default Domain Policy bezogen: Ja.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
SabSchap
SabSchap 07.07.2020 um 14:05:52 Uhr
Goto Top
das meinst du?
ddp1
ddp2
scar71
scar71 08.07.2020 um 07:57:19 Uhr
Goto Top
Müsstest du über ADSI-Editor machen, einige password-policy's greifen nicht über GPO (warum auch immer).

hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
DerWoWusste
DerWoWusste 08.07.2020 um 08:19:20 Uhr
Goto Top
SabSchap, können wir das nun zum Abschluss bringen? Bitte reiche doch einen Screenshot nach, der von der von mir abgebildeten Stelle in der result.html stammt.
SabSchap
SabSchap 08.07.2020 um 11:55:57 Uhr
Goto Top
Screenshot für DerWoWusste. Danke schonmal
gpresultx
DerWoWusste
DerWoWusste 08.07.2020 um 12:00:35 Uhr
Goto Top
Geh mal der aufgezeichneten Warnung nach.
Dr.Bit
Dr.Bit 08.07.2020 aktualisiert um 16:35:47 Uhr
Goto Top
Zitat von @SabSchap:

bitteschön

😂😂😂😂😂😂testuser -> watt´n Brüller.

Hast Du die Richtlinie nur in der Default Domain Policy oder zufällig auch woanders? Wenn ja, hast Du Beide erzwungen?

🖖
SabSchap
SabSchap 17.07.2020 um 08:46:36 Uhr
Goto Top
Hallo,
ich habe Sie hier. SIehe Bild. Ich gestalte das erste Mal GPO's und habe das auch nicht beruflich gelernt. Selbst angeeignet. Daher vielleicht für Euch hier pille palle. Muss ih die GPO nur in Default Domain Policy haben und nirgends anders? Habe diese überall erzwungen. Darf sie nur in der Default Domain Policy erzwungen werden oder nicht erzwungen?

Danke!
unbenannt
DerWoWusste
DerWoWusste 17.07.2020 um 11:06:38 Uhr
Goto Top
Erzwingen ist nicht nötig. Die Default Domain Policy reicht. Die wirkt auf die Domain Controllers.

Du gehst am besten zu meinem letzten Kommentar zurück, wo ich dich bitte, dem angezeigten Fehler nachzugehen.