41
GPO Kennwortrichtlinie wird nicht angewandt
Hallo,
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.
Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.
Woran könnte es liegen?
VG
ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert.
Das Kennwort soll nach 365 Tage geändert werden.
Wenn ich per net user xxxxx /domain die Daten abfrage erhalte ich als Info, dass jeweils nach 6 Monaten das Kennwort geändert werden soll. Woher auch immer diese Einstellung geholt wird.
Woran könnte es liegen?
VG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585405
Url: https://administrator.de/contentid/585405
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
41 Kommentare
Neuester Kommentar
Hi.
Prüfe, ob die geänderte GPO bereits auf allen DCs angewendet wird. Das ist auch schon alles, was schiefgehen kann.
Prüfe, ob die geänderte GPO bereits auf allen DCs angewendet wird. Das ist auch schon alles, was schiefgehen kann.
Hi,
PSO's (Password Policy Object) sind aber keine vorhanden? Diese würden sonst die Domänenrichtlinie übersteuern.
E.
PSO's (Password Policy Object) sind aber keine vorhanden? Diese würden sonst die Domänenrichtlinie übersteuern.
E.
Wie prüfe ich, ob die GPO auf dem DC angewendet wurde?
net user ist ein archaisches Kommando. Das kann keine PSOs anzeigen.
Ergo: die 180 Tage kommen definitiv nicht aus einer PSO ->Prüfung auf PSOs zwecklos.
Ergo: die 180 Tage kommen definitiv nicht aus einer PSO ->Prüfung auf PSOs zwecklos.
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
wo kommen die 180 Tage dann her?
wenn ich auf "Domain COntroller" gehe und GPOupdate klicke- wird erfolgreich angezeigt. heißt, dass die GPO auf den DC angewendet wird, richtig?
Ich habe dir bereits einen Vorschlag gemacht - geht dem nach.
Auf allen DCs einmal anmelden und Rechtklick auf cmd.exe -> "als Administrator ausführen" und dort
Ausführen und die angewendeten Kennwortrichtlinien prüfen.
gpresult /h %temp%\result.html /f & %temp%\result.html
Kennwortrichtlinien sind da im DC
Sag doch bitte deutlich "sind da an allen DCs" bzw. "wir haben nur einen DC".
wir haben nur einen dc
zeig mir mal die Ausgabe von
net user testuser /domain
net user testuser /domain
bitteschön
Nein... bitte einen echten Nutzer bei Euch verwenden. Testnutzer stand nur da, um anzuzeigen, dass Du vielleicht nicht einen nehmen solltest, dessen Name nicht im Internet angezeigt werden soll.
sorry.
Setz das Kennwort eines Testaccounts mal jetzt neu und teste danach das Kommando erneut.
Trotzdem das gleich Spiel. 180 Tage bis das Kennwort abläuft.
Vielleicht hab ich auch hier irgendwo einen Fehler?
Oder hier
Keine Fehler ersichtlich.
Wenn Du bitte mal die html-Datei anzeigst, die dir
aufruft, kommen wir vielleicht drauf.
Wenn Du bitte mal die html-Datei anzeigst, die dir
gpresult /h %temp%\result.html /f & %temp%\result.html
Gerne. aber da müsste ich ja ziemlich viel schwärzen. die kann ich so nicht hier veröffentlichen
Dann schwing den Pinsel.
Zitat von @SabSchap:
Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
z.B. am Benutzerobjekt.Wo finde ich PSO's? Ich nehme an, dass diese gesetzt wurden, weil irgendwo ja hinterlegt worden sein muss, dass die Passwörter alle 6 Monate geändert werden sollen.
(Get-ADUser testbenutzer -Properties msDS-ResultantPSO)."msDS-ResultantPSO" Edit: so etwa
CN=BlaBlaBla,CN=Password Settings Container,CN=System,DC=Domain,DC=Tld
Kann es evtl. Sein dass du in einer anderen Gruppenrichtlinie nochmal etwas zu den kennwortrichtlinien gesetzt hast?
Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.
Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Du könntest auch mal in der gruppenrichtlinien management Konsole die gruppenrichtlinienergebnisse für diesen PC bzw. diesen user durchlaufen lassen.
Da müsstest du dann sehen können woher er die 6 Monate bezieht bzw. Warum er die 365 Tage nicht annimmt.
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Zitat von @Buddman:
Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
Das ist eine GPO, welche man nur auf die Domäne anwenden kann, nicht auf die OU.Ansonsten im Ausschlussverfahren vorgehen. Eine testumgebungs-ou bauen, dort nur einen testuser rein und die entsprechende gruppenrichtlinie verknüpfen. Ein gpupdate machen und schauen ob dann die kennwortrichtlinien passen.
hier der Auszug...
ich habe die Domain Default Policy jetzt über geordnet , wie ob im Screenshot zu sehen ist und in der OU Computer, sowie unter Domain Controllers drin. Ist das evtl. zu viel und die darf nur einmal drin sein?
Aaaah default domain policy.
Deswegen sollte man erst die Frage gründlich lesen bevor man antwortet :D
Deswegen sollte man erst die Frage gründlich lesen bevor man antwortet :D
Die Default Domain Policy noch einmal an die OU's zu verlinken ist Unsinn. Zumal sie ja an der Domäne erzwungen wird.
also nur hier, siehe Bild. Und alle anderen löschen?
Nun mal besinnlich: was Du da einblendest, ist nicht das, was Du kontrollieren und hier abbilden sollst. Das Gesuchte sieht so aus:
Auf die Default Domain Policy bezogen: Ja.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
Du löschst da auch keine GPO, sondern entfernst nur deren Verknüpfung mit den OU's.
das meinst du?
Müsstest du über ADSI-Editor machen, einige password-policy's greifen nicht über GPO (warum auch immer).
hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
hier: https://blog.thesysadmins.co.uk/active-directory-fine-grained-passwords- ...
SabSchap, können wir das nun zum Abschluss bringen? Bitte reiche doch einen Screenshot nach, der von der von mir abgebildeten Stelle in der result.html stammt.
Screenshot für DerWoWusste. Danke schonmal
Geh mal der aufgezeichneten Warnung nach.
😂😂😂😂😂😂testuser -> watt´n Brüller.
Hast Du die Richtlinie nur in der Default Domain Policy oder zufällig auch woanders? Wenn ja, hast Du Beide erzwungen?
🖖
Hallo,
ich habe Sie hier. SIehe Bild. Ich gestalte das erste Mal GPO's und habe das auch nicht beruflich gelernt. Selbst angeeignet. Daher vielleicht für Euch hier pille palle. Muss ih die GPO nur in Default Domain Policy haben und nirgends anders? Habe diese überall erzwungen. Darf sie nur in der Default Domain Policy erzwungen werden oder nicht erzwungen?
Danke!
ich habe Sie hier. SIehe Bild. Ich gestalte das erste Mal GPO's und habe das auch nicht beruflich gelernt. Selbst angeeignet. Daher vielleicht für Euch hier pille palle. Muss ih die GPO nur in Default Domain Policy haben und nirgends anders? Habe diese überall erzwungen. Darf sie nur in der Default Domain Policy erzwungen werden oder nicht erzwungen?
Danke!
Erzwingen ist nicht nötig. Die Default Domain Policy reicht. Die wirkt auf die Domain Controllers.
Du gehst am besten zu meinem letzten Kommentar zurück, wo ich dich bitte, dem angezeigten Fehler nachzugehen.
Du gehst am besten zu meinem letzten Kommentar zurück, wo ich dich bitte, dem angezeigten Fehler nachzugehen.
