22
GPO wirkt nur auf Computerobjekte
Hey Leute,
bin gerade dabei eine GPO mit Passwortrichtlinie zu erstellen.
Nun bin ich etwas verunsichert. Die Einstellungen werden ja auf der Ebene "Computer Configuration" in der GPO gemacht.
Heißt es das die GPO nur bei Computern wirkt die in der Domäne bzw. in der OU sind wo diese vererbt bzw verknüpft ist?
Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen.
VG an alle
bin gerade dabei eine GPO mit Passwortrichtlinie zu erstellen.
Nun bin ich etwas verunsichert. Die Einstellungen werden ja auf der Ebene "Computer Configuration" in der GPO gemacht.
Heißt es das die GPO nur bei Computern wirkt die in der Domäne bzw. in der OU sind wo diese vererbt bzw verknüpft ist?
Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen.
VG an alle
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 230160
Url: https://administrator.de/forum/gpo-wirkt-nur-auf-computerobjekte-230160.html
Ausgedruckt am: 08.04.2025 um 03:04 Uhr
22 Kommentare
Neuester Kommentar
Moin,
Deine Passwortrichtlinen für Domain-User legst du auf den Domaincontroller, nicht auf die Clients also von daher unerheblich.
Gruß
Chris
Deine Passwortrichtlinen für Domain-User legst du auf den Domaincontroller, nicht auf die Clients also von daher unerheblich.
Gruß
Chris
Hi.
Recht hat er. Aber sag bitte dennoch genauer, was Du mit "Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen" sagen wolltest. Du hast vermutlich Rechner, die nicht domain-joined sind und von diesen wird mittels Domänenkonten zugegriffen?
Recht hat er. Aber sag bitte dennoch genauer, was Du mit "Meine Frage bezieht sich auf Cleint die nicht der der AD sind aber mit Usern aus der AD auf z.B. Windows Fileserver zugreifen" sagen wolltest. Du hast vermutlich Rechner, die nicht domain-joined sind und von diesen wird mittels Domänenkonten zugegriffen?
Moin Moin,
ja z.B. Mac's
Nun habe ich aber alles eingerichtet und habe ein weiteres Problem:
ich habe eine 2008 Domäne und habe in der default Domain Policy eine Passwortrichtlinie eingerichtet (Komplex, 90 Tage 8 Zeichen, min 1 Tag)
Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nichts komplexes und weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix
Hoffe ihr könnt mir helfen
Danke!
ja z.B. Mac's
Nun habe ich aber alles eingerichtet und habe ein weiteres Problem:
ich habe eine 2008 Domäne und habe in der default Domain Policy eine Passwortrichtlinie eingerichtet (Komplex, 90 Tage 8 Zeichen, min 1 Tag)
Ich sehe auch wenn ich auf dem Client wenn ich CDM als Administrator aufrufe und gpresult /h test.html mache das die GPO da ist. Nur wenn ich an dem gleichen Cleinet das Kennwort ändere dann wir alles angenommen, sprich nichts komplexes und weniger als 8 Zeichen. Verstehe nicht was ich falsch gemacht habe, bin schon den ganzen Tag dran und finde nix
Hoffe ihr könnt mir helfen
Danke!
Also, um ein paar Missverständnisse aufzuklären...
->Du zeigst ein Bild der DDCP und schreibst dann, "dass die GPO da ist" AUF DEM CLIENT? Der Client bekommt doch nicht die DDCP, oder ist Dein Client der DC?
Warum ich frage: die Domänenkennwörter liegen auf dem DC und werden auch nur dort geändert. Also muss Deine Policy auf dem DC wirken, nicht auf dem Client, somit ist ein gpresult am Client unnütz.
->Du zeigst ein Bild der DDCP und schreibst dann, "dass die GPO da ist" AUF DEM CLIENT? Der Client bekommt doch nicht die DDCP, oder ist Dein Client der DC?
Warum ich frage: die Domänenkennwörter liegen auf dem DC und werden auch nur dort geändert. Also muss Deine Policy auf dem DC wirken, nicht auf dem Client, somit ist ein gpresult am Client unnütz.
hmmm, das gibt mir einiges zu denken.
hast Recht die gpresult auf dem DC ausgeführt zeigt nichts von der Kennwortrichtlinie, aber warum die DDCP ist doch mit der OU Domain Controller verknüpft.
hmmm.
PS. mein Client ist nicht der DC
hast Recht die gpresult auf dem DC ausgeführt zeigt nichts von der Kennwortrichtlinie, aber warum die DDCP ist doch mit der OU Domain Controller verknüpft.
hmmm.
PS. mein Client ist nicht der DC
Mach auf dem DC zunächst mal ein
gpupdate /force
und dann erneut ein gpresult und dann wird es laufen.
gpupdate /force
und dann erneut ein gpresult und dann wird es laufen.
schon probiert leider ohne Erfolg auch nach Restart
aber wenn ich auf dem DC gpresult /h ausführe sehe ich folgendes:
siehe Bild
und ich sehe das die DCP gesperrt ist oder interpretiere ich es falsch?
PS. du schreibst ja auch immer DDCP und ich rede immer von der DDP hoffe das ich das auch mit der DDP machen kann
VG
aber wenn ich auf dem DC gpresult /h ausführe sehe ich folgendes:
siehe Bild
und ich sehe das die DCP gesperrt ist oder interpretiere ich es falsch?
PS. du schreibst ja auch immer DDCP und ich rede immer von der DDP hoffe das ich das auch mit der DDP machen kann
VG
Bitte klar und deutlich. Es gibt keine DCP. Du meinst die DDP, die ist laut Deinem Bild abgelehnt.
Wenn, so wie ich Dich verstehe, die Kennworteinstellungen in der DDCP sind und, laut Deinem letzten Bild, diese erfolgreich auf die DCs (alle DCs!) angewendet wird, dann muss es funktionieren.
Lies den Bericht, den Du siehst, doch mal weiter, werden die Einstellungen denn als gesetzt aufgeführt?
Wenn, so wie ich Dich verstehe, die Kennworteinstellungen in der DDCP sind und, laut Deinem letzten Bild, diese erfolgreich auf die DCs (alle DCs!) angewendet wird, dann muss es funktionieren.
Lies den Bericht, den Du siehst, doch mal weiter, werden die Einstellungen denn als gesetzt aufgeführt?
Moin,
du verknüpfst die Policy falsch. Sie muss unter Domain\Domain Controller
nicht default Domain Policy erstelle am besten eine neue und lege sie zu den DCs, dann gehst du nach den Best Practices vor.
Edit: nutzt du wirklich die DDCP sollte es funktionieren.
Edit2: Alle nötigen Infos, sollte es noch nicht funktionieren, kannst du hier finden:
http://social.technet.microsoft.com/Forums/windowsserver/de-DE/ce46d527 ...
Gruß
Chris
du verknüpfst die Policy falsch. Sie muss unter Domain\Domain Controller
nicht default Domain Policy erstelle am besten eine neue und lege sie zu den DCs, dann gehst du nach den Best Practices vor.
Edit: nutzt du wirklich die DDCP sollte es funktionieren.
Edit2: Alle nötigen Infos, sollte es noch nicht funktionieren, kannst du hier finden:
http://social.technet.microsoft.com/Forums/windowsserver/de-DE/ce46d527 ...
Gruß
Chris
Hey Leute,
sorry habe mich etwas vertippt.
Also Stand der Dinge.
Die Passwortpolicy ist in der DDP definiert welche aber auch laut gpresult gesperrt ist.
Diese ist aber auch mit der OU Domain Controller verknüpft.
In der DDCP habe ich keine Passwordpolicy definiert.
PS. welche Best Practise meinst du? http://technet.microsoft.com/en-us/magazine/ff741764.aspx
hier steht leider nicht über DDP oder DDCP
Was wäre jetzt eurer Vorschlag? die DDCP konfigurieren oder das Problem mit der Sperre der DDP lösen?
VG
sorry habe mich etwas vertippt.
Also Stand der Dinge.
Die Passwortpolicy ist in der DDP definiert welche aber auch laut gpresult gesperrt ist.
Diese ist aber auch mit der OU Domain Controller verknüpft.
In der DDCP habe ich keine Passwordpolicy definiert.
PS. welche Best Practise meinst du? http://technet.microsoft.com/en-us/magazine/ff741764.aspx
hier steht leider nicht über DDP oder DDCP
Was wäre jetzt eurer Vorschlag? die DDCP konfigurieren oder das Problem mit der Sperre der DDP lösen?
VG
Moin,
die Lösung ist einfach:
1. Neues Policy Objekt erstellen
2. Auf DCs (und nur auf DC, nich in Root) verknüpfen
3. Passworteinstellungen hinterlegen
Fertig und nach best Practices gelöst.
Gruß
Chris
die Lösung ist einfach:
1. Neues Policy Objekt erstellen
2. Auf DCs (und nur auf DC, nich in Root) verknüpfen
3. Passworteinstellungen hinterlegen
Fertig und nach best Practices gelöst.
Gruß
Chris
Hi,
habe ich gemacht und leider geht es noch immer nicht (PasswortPolicy)
Die Policy taucht zwar auf dem DC nach gpupdate / force und einem Restart auf aber nicht die PasswortSettings.
anbei ein Bild von Gpresult
hmmm eine Idee?
oder ist es die Rheinfolge der Gruppenrichtlineinobjekte?
Ich habe auf der OU Domain Controllers folgende GPO's:
1. DDCP
2. DDP
3. weiter GPO
4. und zuletzt die neue Passwort Policy
habe ich gemacht und leider geht es noch immer nicht (PasswortPolicy)
Die Policy taucht zwar auf dem DC nach gpupdate / force und einem Restart auf aber nicht die PasswortSettings.
anbei ein Bild von Gpresult
hmmm eine Idee?
oder ist es die Rheinfolge der Gruppenrichtlineinobjekte?
Ich habe auf der OU Domain Controllers folgende GPO's:
1. DDCP
2. DDP
3. weiter GPO
4. und zuletzt die neue Passwort Policy
Moin,
Also ich sehe eine erfolgreich angewendete Policy, jetzt solltest du mal schauen, wo deine Password Policy arbeitet. (Zeig uns doch mal den Ausschnitt, wo die Passwort Policy Settings angezeigt werden und/oder das Schema, das deine Passwort Policy hat. Du kannst dir die Settings ja schon ausgewertet im GPEdit anzeigen lassen. Was hast du gesetzt?
Gruß
Chris
Also ich sehe eine erfolgreich angewendete Policy, jetzt solltest du mal schauen, wo deine Password Policy arbeitet. (Zeig uns doch mal den Ausschnitt, wo die Passwort Policy Settings angezeigt werden und/oder das Schema, das deine Passwort Policy hat. Du kannst dir die Settings ja schon ausgewertet im GPEdit anzeigen lassen. Was hast du gesetzt?
Gruß
Chris
Hi.
Nimm die DDCP.
Nimm die DDCP.
Moin,
machen wir es uns leicht. Schau dir einfach mal an, wie es hier funktioniert:
http://www.youtube.com/watch?v=KTQsZnnAgRU#t=36
im Zweifel funktioniert das immer. (Ja, es ist ein Server 2003 aber in jeder höheren Version funktioniert es genauso)
Gruß
Chris
machen wir es uns leicht. Schau dir einfach mal an, wie es hier funktioniert:
http://www.youtube.com/watch?v=KTQsZnnAgRU#t=36
im Zweifel funktioniert das immer. (Ja, es ist ein Server 2003 aber in jeder höheren Version funktioniert es genauso)
Gruß
Chris
es tut mir leid aber das geht noch immer nicht habe nun einfach in der DDCP die Kennwortrichtlinie eingerichtet und gpupdate /force + restart auf einem der DC'S gemacht
Gpresult auf dem DC ausgeführt und ich sehe alles mögliche aber nicht die Kennwort settings.
Was mir auber aufgefallen ist, ist folgendes:
Ihr sagt ja die Policy wird nur auf die DC's angewandt.
Wenn ich auf einem der DC'S die Lokale sicherheitsrichtlinie starte sehe ich die EInstellungen die im Moment bei den User wohl aktiv sind. Kann es sein das die Lokale Sicherheitsrichtlinie auf den DC die Domain User abarbeitet und meine DDCP bzw. meine DDP überschreibt?
PS. mache auch nichts anderes als im Video außer das im Video die Domain Security Policy aus der Verwaltung gestartet wird. Bei mir auf eine Win2008 starte ich in der Verwaltung direkt die Gruppenrichtlinienverwaltung und suche mir in der OU Domain Controllers die entsprechende Gruppenrichtlinie aus
Muss noch dazusagen das das ganze Konstrukt mit den Passwortrichtlinen bereits von meinem Vorgänger erstellt war. Ich wollte die Passwortrichtlinien nur etwas strenger machen und habe die bereits bestehende Richtlinie angepasst.
Gpresult auf dem DC ausgeführt und ich sehe alles mögliche aber nicht die Kennwort settings.
Was mir auber aufgefallen ist, ist folgendes:
Ihr sagt ja die Policy wird nur auf die DC's angewandt.
Wenn ich auf einem der DC'S die Lokale sicherheitsrichtlinie starte sehe ich die EInstellungen die im Moment bei den User wohl aktiv sind. Kann es sein das die Lokale Sicherheitsrichtlinie auf den DC die Domain User abarbeitet und meine DDCP bzw. meine DDP überschreibt?
PS. mache auch nichts anderes als im Video außer das im Video die Domain Security Policy aus der Verwaltung gestartet wird. Bei mir auf eine Win2008 starte ich in der Verwaltung direkt die Gruppenrichtlinienverwaltung und suche mir in der OU Domain Controllers die entsprechende Gruppenrichtlinie aus
Muss noch dazusagen das das ganze Konstrukt mit den Passwortrichtlinen bereits von meinem Vorgänger erstellt war. Ich wollte die Passwortrichtlinien nur etwas strenger machen und habe die bereits bestehende Richtlinie angepasst.
Dann wird die lokale SicherheitsRL aktiv sein. Du kannst Sie zurücksetzen auf nicht konfiguriert und dann die DDCP nutzen, dann wird das auch gleich auf beiden DCs aktiv (am anderen DC sicherheitshalber auch die lokale SicherheitsRL prüfen und zurücksetzen, dann gpupdate /force auf beiden.
habe jetzt festgestellt das es tatsächlich die lokale Sicherheitrl ist. Wenn ich an der schraube dann kommt das bei den clients an.
Wenn ich eine lokale SicherheitsRL ändere dann kriegen das sogar alle DC mit, dachte die ist nur lokal wie der Name schon sagt aber anscheind nicht.
Mir ist nur ein Rätsel warum mein Vorgänger das damit gemacht hat
Wenn ich eine lokale SicherheitsRL ändere dann kriegen das sogar alle DC mit, dachte die ist nur lokal wie der Name schon sagt aber anscheind nicht.
Mir ist nur ein Rätsel warum mein Vorgänger das damit gemacht hat
Dachte die ist nur lokal wie der Name schon sagt
Ja und? Auch lokale Richtlinien wirken auf das lokale System. Und im Fall der DCs sind eben genau diese Kennwörter auf dem lokalen System.
wusste nicht das die Lokale Sicherheitrichtlinien auf alle DC's gesynct werden das meine ich.
buuh das war ja eine schwere Geburt! vielen Dank Jungs!
buuh das war ja eine schwere Geburt! vielen Dank Jungs!
Schön.
Und nun mal entspannt zurückgelehnt und nachgedacht, was Du eigentlich erreicht hast. Weiterhin können Kennwörter wie Schnucki1 verwendet werden, die ja nicht gerade sicher sind, da sie in jedem Wörterbuch eines Angreifers stehen. Microsofts Komplexitätsanforderungen sind schlaff.
Ich rate allen zu Anixis Password Policy enforcer.
Und nun mal entspannt zurückgelehnt und nachgedacht, was Du eigentlich erreicht hast. Weiterhin können Kennwörter wie Schnucki1 verwendet werden, die ja nicht gerade sicher sind, da sie in jedem Wörterbuch eines Angreifers stehen. Microsofts Komplexitätsanforderungen sind schlaff.
Ich rate allen zu Anixis Password Policy enforcer.
das war die Anforderung die ich erfüllen musste, ist somit erledigt.
Ist schon mal besser als vorher
abc oder ähnlich
Ist schon mal besser als vorher
abc oder ähnlich
