Kennwort kann nicht geändert werden weil Kennwortrichtlinie nicht richtig ist

marcys
Goto Top
Hallo Zusammen,

ich habe ein merkwürdiges Problem.

Wir haben eine ganz normale Windows Domäne auf Basis eines Windows 2003 SBS. Die AD läuft ebenfalls auf dem Server. Eine Kennworteichlinie gibt es bei uns nicht bzw. am Server ist diese nicht aktiviert. Das Standartpasswort für neue User ist 1111. Ein bestehender User der einen Win 7 Prof. PC hat, hat sein Passwort vergessen. Auf dem Server habe ich sein Passwort auf 1111 zurück gestellt. Als er dieses PW auf sein ursprüngliches abändern wollte, kam die Meldung:

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.


Was mich wundert, wir haben keine Richtlinie bzg. Passwörter. Somit müsste doch jedes beliebiges Passwort vom System angenommen werden, oder?

Kennt ihr das Problem?

Hätte jemand von euch eine Lösung für mich?

Gruß
Martin

Content-Key: 253876

Url: https://administrator.de/contentid/253876

Ausgedruckt am: 01.07.2022 um 16:07 Uhr

Mitglied: DerWoWusste
DerWoWusste 05.11.2014 um 08:04:06 Uhr
Goto Top
Hi.

Prüfe am Server mittels rsop.msc, ob nicht doch eine besteht.
Mitglied: Xaero1982
Xaero1982 05.11.2014 um 08:13:30 Uhr
Goto Top
Ist die nicht eigentlich immer in der Default-Domain-Policy aktiv mit kA 7 Zeichen, Komplexität und max. Wiederholungen von xx (also identische PWs dürfen nicht nacheinander eingegeben werden) etc.
Mitglied: Marcys
Marcys 05.11.2014 um 08:14:06 Uhr
Goto Top
Hi,

also in der Standard Domänensicherheitseinstellung ist die Kennwortchronik mit 24 gespeichert und Minimales Kennwortalter mit 0.

Minimale Kennwortlänge 0
Maximale Kennwortlänge 0
Kennwort muss Komplexitätsvoraussetzungen entsprechen: deaktiviert

Gruß
Martin
Mitglied: Chonta
Lösung Chonta 05.11.2014 aktualisiert um 08:46:35 Uhr
Goto Top
Hallo,

das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Wenn der umbedingt sein altes PW haben soll, zetiere den zu Dir und lass den direkt über die AD MMC für sein Konto das Passwortzuürcksetzen.
Der Admin darf auch das alte Passwort als neues setzen.

Gruß

Chonta
Mitglied: Xaero1982
Xaero1982 05.11.2014 um 08:35:23 Uhr
Goto Top
Na dann hast du doch die Antwort...die Chronik.

Passwort 1: Test1
Passwort 2: Test2
usw.
oder du setzt sie runter oder aus.

Grüße
Mitglied: Marcys
Marcys 05.11.2014 um 08:46:39 Uhr
Goto Top
Hi Chonta,

den Ausdruck "zetiere den zu Dir" finde ich gut. Er ist nämlich mein Chef -> Geschäftsführer ;-) face-wink.

Nun ja, über die AD haben wir es ja mal probiert. Es hat nicht geklappt. Sein Client sagte bei der Anmeldung: Falsches Passwort. Na ja, es kann aber auch sein, dass er sich vertippt hat.

Gruß
Martin
Mitglied: DerWoWusste
DerWoWusste 05.11.2014 um 09:02:05 Uhr
Goto Top
Hi Chonta.

das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten. Diese Diskussion sieht man alle naslang...
Mitglied: Chonta
Chonta 05.11.2014 um 09:21:09 Uhr
Goto Top
Hallo,

sicher? Mit 2008 wurde eingeführt das man OUs unterschiedliche Passwortvorgaben geben konnte um Abteilungen mit besonderen Sicherheitsanforderungen anders behandeln zu können.
Mein AD ist noch von einem SBS 2003 mit allen GPO und da gibt es z.B. für die Passwörter ein extra GPO (nicht von mir angelegt) steht zwar das selbe drin wie in der DDP.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.

Werde das bei Gelegenheit mal nachtesten.

Gruß

Chonta
Mitglied: goscho
goscho 05.11.2014 um 09:43:21 Uhr
Goto Top
Moin
Zitat von @DerWoWusste:
> das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten.
Da irrst du aber gewaltig!
Die Richtlinie muss mit der Domain verknüpft sein, damit sie auch auf Benutzer wirkt. Es darf aber durchaus eine andere als die DDP sein.
Es gibt da noch ein paar Besonderheiten, warum letztendlich die DDP für die Kennwortrichtlinien genommen werden sollte.
Besonderheiten der AD-Kennwortrichtlinie
Mitglied: DerWoWusste
DerWoWusste 05.11.2014 um 09:43:40 Uhr
Goto Top
Mit 2008 wurden PSOs eingeführt, richtig. Diese sind jedoch nicht in GPOs enthalten, zwei paar Schuhe.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.
Weil MS hier eine Sonderregelung hat. Nur hier.
Mitglied: DerWoWusste
DerWoWusste 05.11.2014 aktualisiert um 09:45:12 Uhr
Goto Top
Es darf aber durchaus eine andere als die DDP sein.
Moin Goscho. Ich hab mich mal gewaltig geirrt, früher. Da dachte ich das selbe wie Du. Ich bin zu 100% sicher. Auch ausgetestet.
Mitglied: Chonta
Chonta 05.11.2014 um 09:48:46 Uhr
Goto Top
Wieder was gelernt :-) face-smile Danke !
Mitglied: Xaero1982
Xaero1982 05.11.2014 um 09:49:41 Uhr
Goto Top
Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.

Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Mitglied: goscho
goscho 05.11.2014 aktualisiert um 13:45:12 Uhr
Goto Top
Zitat von @Xaero1982:

Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.
Du musst dir die Artikel auch richtig durchlesen.
Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Das stimmt nicht!

Was bzgl. DDP und Kennwortrichtlinien stimmt, ist, dass an anderer Stelle als in der Gruppenrichtlinienverwaltung vorgenommene Änderungen bzgl. Passwortrichtlinien direkt über den PDC-Emulator in die DDP geschrieben werden.
Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.
Mitglied: DerWoWusste
DerWoWusste 05.11.2014 aktualisiert um 13:52:13 Uhr
Goto Top
Hi Goscho.

Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.

Das habe ich versucht und es stimmt nicht. Wenn ich anderweitig als in der DDP eine KW-Richtlinie erstelle, dann wirkt sie nicht auf die DCs - und auf den DCs und nur den DCs liegen die Domänenkennwörter. Worauf eine solche Policy wirkt, sind dann lediglich Clients und somit lokale Konten.

Man kann es auch bei Microsoft wortwörtlich so nachlesen, ich such's Dir nachher mal raus.
Aber wirklich, zum Nachstellen habe ich mir mal eine leere Domäne genommen und die DDP leer gelassen bezüglich Kennwörtern und eine andere Policy auf die OU DCs und auch auf den Domain-Head verlinkt UND sogar noch "enforce" eingestellt. Nach einem GPupdate auf den DCs kannst Du feststellen, dass diese Policy zwar angewendet wird, nicht aber deren Einstellungen - sie werden schlicht nicht gelistet und sind auch nicht aktiv. War mit einem 2012 R2er DC (+Update1) getestet, übrigens.