27.06.2025
2382
7
0Das Kennwort für dieses Konto kann zu diesem Zeitpunkt nicht geändert werden
Hallo Administrator-Forum,
wir sind vor einigen Monaten auf Domaincontroller 2025 umgestiegen und haben nun folgendes Problem:
Wenn ein Benutzer sein Kennwort ändern muss und dabei ein Kennwort wählt, das nicht unseren Kennwortrichtlinien entspricht, erscheint nicht mehr der Hinweis:
„Das Kennwort entspricht nicht den Anforderungen der Kennwortrichtlinien.“
Stattdessen wird folgende Meldung angezeigt:
„Das Kennwort für das Konto kann zu diesem Zeitpunkt nicht geändert werden.“
Diese Meldung ist irreführend und führt bei unseren Benutzern zu Verwirrung, da sie denken, dass das Kennwort generell nicht geändert werden kann – und nicht, dass das neue Kennwort einfach nur den Richtlinien nicht entspricht.
Habt ihr eine Idee, warum diese Meldung nicht mehr korrekt angezeigt wird?
Gibt es ggf. eine Einstellung oder ein Update, das dieses Verhalten beeinflusst?
Viele Grüße
Christian
wir sind vor einigen Monaten auf Domaincontroller 2025 umgestiegen und haben nun folgendes Problem:
Wenn ein Benutzer sein Kennwort ändern muss und dabei ein Kennwort wählt, das nicht unseren Kennwortrichtlinien entspricht, erscheint nicht mehr der Hinweis:
„Das Kennwort entspricht nicht den Anforderungen der Kennwortrichtlinien.“
Stattdessen wird folgende Meldung angezeigt:
„Das Kennwort für das Konto kann zu diesem Zeitpunkt nicht geändert werden.“
Diese Meldung ist irreführend und führt bei unseren Benutzern zu Verwirrung, da sie denken, dass das Kennwort generell nicht geändert werden kann – und nicht, dass das neue Kennwort einfach nur den Richtlinien nicht entspricht.
Habt ihr eine Idee, warum diese Meldung nicht mehr korrekt angezeigt wird?
Gibt es ggf. eine Einstellung oder ein Update, das dieses Verhalten beeinflusst?
Viele Grüße
Christian
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673579
Url: https://administrator.de/forum/kennwort-aenderung-domaincontroller-fehler-673579.html
Ausgedruckt am: 18.07.2025 um 03:07 Uhr
7 Kommentare
Neuester Kommentar
Hi,
diese Meldung wird aber nicht vom Domaincontroller erzeugt sondern vom Client. Also muss sich in der letzten Zeit dort etwas geändert haben.
E.
diese Meldung wird aber nicht vom Domaincontroller erzeugt sondern vom Client. Also muss sich in der letzten Zeit dort etwas geändert haben.
E.
1
Ist das wirklich so, dass das Passwort nicht den Ruchtlinien entspricht?
Gibt's so eine Meldung nicht auch, wenn das Mindestalter noch nicht eingehalten wird?
Ich glaub, das spielt immer rein, wenn man da eine Kennwortrichtlinie ändert. Die Änderung klappt dann erst tags darauf.
Gibt's so eine Meldung nicht auch, wenn das Mindestalter noch nicht eingehalten wird?
Ich glaub, das spielt immer rein, wenn man da eine Kennwortrichtlinie ändert. Die Änderung klappt dann erst tags darauf.
2
Zitat von @kpunkt:
Ist das wirklich so, dass das Passwort nicht den Ruchtlinien entspricht?
Gibt's so eine Meldung nicht auch, wenn das Mindestalter noch nicht eingehalten wird?
Ich glaub, das spielt immer rein, wenn man da eine Kennwortrichtlinie ändert. Die Änderung klappt dann erst tags darauf.
Ist das wirklich so, dass das Passwort nicht den Ruchtlinien entspricht?
Gibt's so eine Meldung nicht auch, wenn das Mindestalter noch nicht eingehalten wird?
Ich glaub, das spielt immer rein, wenn man da eine Kennwortrichtlinie ändert. Die Änderung klappt dann erst tags darauf.
Genau, das liegt mit hoher Wahrscheinlichkeit am eingetragenen Mindestalter des Passwortes, einfach hier nochmal die GPO überprüfen und statt 1 (oder mehr) Tag(e) Mindestalter da eine 0 eintragen. Dann sollte die Änderung wieder möglich sein. Ansonsten muss dieser Zeitraum erst abgewartet werden, z.B. nach Passwortreset durch den Admin dann erst Änderung des Initialkennwortes am Tag darauf möglich.
Ansonsten, wenn die GPO-Änderung sehr frisch ist, einmal ein gpupdate am Clientgerät / Server durchführen oder Kiste abmelden, neustarten und wieder anmelden.
Leider wurde kein Screenshot der Einstellungen in der GPO mitgeschickt, dann liesse sich da einiges ausschliessen.
Viele Grüße,
n3cro
Hallo n3cro,
anbei die GPO
Die Richtlinie wurde seit dem Domain-Controller-Umzug nicht geändert – daher wundert es mich, dass jetzt plötzlich ein anderer Text angezeigt wird.
Gruß
Christian
anbei die GPO
Die Richtlinie wurde seit dem Domain-Controller-Umzug nicht geändert – daher wundert es mich, dass jetzt plötzlich ein anderer Text angezeigt wird.
Gruß
Christian
Moin.
-> minimales Kennwortalter 0 Tage
Dass dies die Sicherheit arg herabsetzt, muss dir klar sein. Jeder kann sein Kennwort nach Änderung per Skript in Sekunden wieder auf den alten Wert setzen.
Zum Thema:
Das könnte auch passieren, wenn man nur einen RODC zur Verfügung hat, der derzeit keine Verbindung zu einem vollwertigen DC hat. Oder wenn anderweitig ein Kommunikationsproblem zum DC besteht. teste mal mit anderen Konten am selben PC oder diesem Konto an einem anderen PC.
Oder ist es ein weiterer Bug von Server 2025 DCs? Mit Computerkontenkennwörtern gab es ja bereits einen Bug, der verhinderte, dass diese automatisch gewechselt wurden, was böse Folgen hatte: Vertrauensstellung weg.
-> minimales Kennwortalter 0 Tage
Dass dies die Sicherheit arg herabsetzt, muss dir klar sein. Jeder kann sein Kennwort nach Änderung per Skript in Sekunden wieder auf den alten Wert setzen.
Zum Thema:
Das könnte auch passieren, wenn man nur einen RODC zur Verfügung hat, der derzeit keine Verbindung zu einem vollwertigen DC hat. Oder wenn anderweitig ein Kommunikationsproblem zum DC besteht. teste mal mit anderen Konten am selben PC oder diesem Konto an einem anderen PC.
Oder ist es ein weiterer Bug von Server 2025 DCs? Mit Computerkontenkennwörtern gab es ja bereits einen Bug, der verhinderte, dass diese automatisch gewechselt wurden, was böse Folgen hatte: Vertrauensstellung weg.
1
Servus @christiana90
interessantes Thema.
Nach bisschen Befragung von Google und mit Hilfe der KI, da ich die KI plump dazu befragt habe, woran es liegen könnte kam folgendes dabei heraus:
Hilft das vielleicht weiter?
Grüße
Imperator
interessantes Thema.
Nach bisschen Befragung von Google und mit Hilfe der KI, da ich die KI plump dazu befragt habe, woran es liegen könnte kam folgendes dabei heraus:
Quelle: KI
- Neue Default-UI in Windows Server 2025
Microsoft hat im neuen Credentials-Provider die Anzeige von Fehlertexten standardmäßig auf „generisch“ umgeschaltet, um Angreifern weniger über eure Policy preiszugeben. Das heißt: Auch bei Klartext-Regelverstößen kommt nur noch die allgemeine Fehlermeldung.
→ Aktuell gibt es dafür noch keinen öffentlich dokumentierten „Schalter“, aber ihr könntet per Support-Ticket nach einer Registry-Option fragen, die das alte Verhalten („Das Kennwort entspricht nicht …“) wiederherstellt.
Microsoft hat im neuen Credentials-Provider die Anzeige von Fehlertexten standardmäßig auf „generisch“ umgeschaltet, um Angreifern weniger über eure Policy preiszugeben. Das heißt: Auch bei Klartext-Regelverstößen kommt nur noch die allgemeine Fehlermeldung.
→ Aktuell gibt es dafür noch keinen öffentlich dokumentierten „Schalter“, aber ihr könntet per Support-Ticket nach einer Registry-Option fragen, die das alte Verhalten („Das Kennwort entspricht nicht …“) wiederherstellt.
Hilft das vielleicht weiter?
Grüße
Imperator
Das klingt plausibel aus zwei Gründen: erstens haben wir es in der Tat mit einer nichtssagenden Meldung zu tun und zweitens würde es zu Microsofts Schusseligkeit passen, den authentifizieren Nutzer, der sein Kennwort ändern will, wie einen potentiellen Angreifer zu behandeln.
