GPO Kennwortrichtlinie wird nicht angewandt
Hallo,
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.
Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.
Woran könnte es liegen?
VG
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.
Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.
Woran könnte es liegen?
VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585405
Url: https://administrator.de/contentid/585405
Ausgedruckt am: 14.11.2024 um 09:11 Uhr
41 Kommentare
Neuester Kommentar
Zitat von @SabSchap:
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
z.B. am Benutzerobjekt.Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
(Get-ADUser testbenutzer -Properties msDS-ResultantPSO)."msDS-ResultantPSO"
Edit: so etwa
CN=BlaBlaBla,CN=Password Settings Container,CN=System,DC=Domain,DC=Tld
Kann es evtl. Sein dass du in einer anderen Gruppenrichtlinie nochmal etwas zu den kennwortrichtlinien gesetzt hast?
Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.
Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.
Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Zitat von @Buddman:
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Das ist eine GPO, welche man nur auf die Domäne anwenden kann, nicht auf die OU.Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Auf die Default Domain Policy bezogen: Ja.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
Müsstest du über ADSI-Editor machen, einige password-policy's greifen nicht über GPO (warum auch immer).
hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
😂😂😂😂😂😂testuser -> watt´n Brüller.
Hast Du die Richtlinie nur in der Default Domain Policy oder zufällig auch woanders? Wenn ja, hast Du Beide erzwungen?
🖖