16
Kennwort kann nicht geändert werden weil Kennwortrichtlinie nicht richtig ist
Hallo Zusammen,
ich habe ein merkwürdiges Problem.
Wir haben eine ganz normale Windows Domäne auf Basis eines Windows 2003 SBS. Die AD läuft ebenfalls auf dem Server. Eine Kennworteichlinie gibt es bei uns nicht bzw. am Server ist diese nicht aktiviert. Das Standartpasswort für neue User ist 1111. Ein bestehender User der einen Win 7 Prof. PC hat, hat sein Passwort vergessen. Auf dem Server habe ich sein Passwort auf 1111 zurück gestellt. Als er dieses PW auf sein ursprüngliches abändern wollte, kam die Meldung:
Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.
Was mich wundert, wir haben keine Richtlinie bzg. Passwörter. Somit müsste doch jedes beliebiges Passwort vom System angenommen werden, oder?
Kennt ihr das Problem?
Hätte jemand von euch eine Lösung für mich?
Gruß
Martin
ich habe ein merkwürdiges Problem.
Wir haben eine ganz normale Windows Domäne auf Basis eines Windows 2003 SBS. Die AD läuft ebenfalls auf dem Server. Eine Kennworteichlinie gibt es bei uns nicht bzw. am Server ist diese nicht aktiviert. Das Standartpasswort für neue User ist 1111. Ein bestehender User der einen Win 7 Prof. PC hat, hat sein Passwort vergessen. Auf dem Server habe ich sein Passwort auf 1111 zurück gestellt. Als er dieses PW auf sein ursprüngliches abändern wollte, kam die Meldung:
Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.
Was mich wundert, wir haben keine Richtlinie bzg. Passwörter. Somit müsste doch jedes beliebiges Passwort vom System angenommen werden, oder?
Kennt ihr das Problem?
Hätte jemand von euch eine Lösung für mich?
Gruß
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253876
Url: https://administrator.de/contentid/253876
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Hi.
Prüfe am Server mittels rsop.msc, ob nicht doch eine besteht.
Prüfe am Server mittels rsop.msc, ob nicht doch eine besteht.
Ist die nicht eigentlich immer in der Default-Domain-Policy aktiv mit kA 7 Zeichen, Komplexität und max. Wiederholungen von xx (also identische PWs dürfen nicht nacheinander eingegeben werden) etc.
Hi,
also in der Standard Domänensicherheitseinstellung ist die Kennwortchronik mit 24 gespeichert und Minimales Kennwortalter mit 0.
Minimale Kennwortlänge 0
Maximale Kennwortlänge 0
Kennwort muss Komplexitätsvoraussetzungen entsprechen: deaktiviert
Gruß
Martin
also in der Standard Domänensicherheitseinstellung ist die Kennwortchronik mit 24 gespeichert und Minimales Kennwortalter mit 0.
Minimale Kennwortlänge 0
Maximale Kennwortlänge 0
Kennwort muss Komplexitätsvoraussetzungen entsprechen: deaktiviert
Gruß
Martin
Hallo,
das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Wenn der umbedingt sein altes PW haben soll, zetiere den zu Dir und lass den direkt über die AD MMC für sein Konto das Passwortzuürcksetzen.
Der Admin darf auch das alte Passwort als neues setzen.
Gruß
Chonta
das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Wenn der umbedingt sein altes PW haben soll, zetiere den zu Dir und lass den direkt über die AD MMC für sein Konto das Passwortzuürcksetzen.
Der Admin darf auch das alte Passwort als neues setzen.
Gruß
Chonta
Na dann hast du doch die Antwort...die Chronik.
Passwort 1: Test1
Passwort 2: Test2
usw.
oder du setzt sie runter oder aus.
Grüße
Passwort 1: Test1
Passwort 2: Test2
usw.
oder du setzt sie runter oder aus.
Grüße
Hi Chonta,
den Ausdruck "zetiere den zu Dir" finde ich gut. Er ist nämlich mein Chef -> Geschäftsführer
.
Nun ja, über die AD haben wir es ja mal probiert. Es hat nicht geklappt. Sein Client sagte bei der Anmeldung: Falsches Passwort. Na ja, es kann aber auch sein, dass er sich vertippt hat.
Gruß
Martin
den Ausdruck "zetiere den zu Dir" finde ich gut. Er ist nämlich mein Chef -> Geschäftsführer
.Nun ja, über die AD haben wir es ja mal probiert. Es hat nicht geklappt. Sein Client sagte bei der Anmeldung: Falsches Passwort. Na ja, es kann aber auch sein, dass er sich vertippt hat.
Gruß
Martin
Hi Chonta.
das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten. Diese Diskussion sieht man alle naslang...
1
Hallo,
sicher? Mit 2008 wurde eingeführt das man OUs unterschiedliche Passwortvorgaben geben konnte um Abteilungen mit besonderen Sicherheitsanforderungen anders behandeln zu können.
Mein AD ist noch von einem SBS 2003 mit allen GPO und da gibt es z.B. für die Passwörter ein extra GPO (nicht von mir angelegt) steht zwar das selbe drin wie in der DDP.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.
Werde das bei Gelegenheit mal nachtesten.
Gruß
Chonta
sicher? Mit 2008 wurde eingeführt das man OUs unterschiedliche Passwortvorgaben geben konnte um Abteilungen mit besonderen Sicherheitsanforderungen anders behandeln zu können.
Mein AD ist noch von einem SBS 2003 mit allen GPO und da gibt es z.B. für die Passwörter ein extra GPO (nicht von mir angelegt) steht zwar das selbe drin wie in der DDP.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.
Werde das bei Gelegenheit mal nachtesten.
Gruß
Chonta
Moin
Die Richtlinie muss mit der Domain verknüpft sein, damit sie auch auf Benutzer wirkt. Es darf aber durchaus eine andere als die DDP sein.
Es gibt da noch ein paar Besonderheiten, warum letztendlich die DDP für die Kennwortrichtlinien genommen werden sollte.
Besonderheiten der AD-Kennwortrichtlinie
Zitat von @DerWoWusste:
> das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten.
Da irrst du aber gewaltig!> das mit den Passwörtern kann auch in jedem anderen GPO eingestellt sein, sollte es eigenltich auch.
Weder kann, noch sollte. Es MUSS in der Default Domain Policy eingestellt werden, alles andere wirkt nicht auf Domänenkonten.
Die Richtlinie muss mit der Domain verknüpft sein, damit sie auch auf Benutzer wirkt. Es darf aber durchaus eine andere als die DDP sein.
Es gibt da noch ein paar Besonderheiten, warum letztendlich die DDP für die Kennwortrichtlinien genommen werden sollte.
Besonderheiten der AD-Kennwortrichtlinie
Mit 2008 wurden PSOs eingeführt, richtig. Diese sind jedoch nicht in GPOs enthalten, zwei paar Schuhe.
Wenn man die Passwoeteinstellungen nicht über andere GPO steuren kann stellt sich die Frage warum das GPO LSDOU dafür nicht wirken sollte.
Weil MS hier eine Sonderregelung hat. Nur hier.Es darf aber durchaus eine andere als die DDP sein.
Moin Goscho. Ich hab mich mal gewaltig geirrt, früher. Da dachte ich das selbe wie Du. Ich bin zu 100% sicher. Auch ausgetestet.
Wieder was gelernt 
Danke !
Danke !
Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.
Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Zitat von @Xaero1982:
Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.
Du musst dir die Artikel auch richtig durchlesen.Wenn ihr die verlinkten Artikel lest ist klar warum nur die Aussage von DWW korrekt ist.
Die Verarbeitung der DDP ist quasi hard codiert - alle anderen GPOs haben keine Auswirkungen auf die Domänenkonten.
Das stimmt nicht!Was bzgl. DDP und Kennwortrichtlinien stimmt, ist, dass an anderer Stelle als in der Gruppenrichtlinienverwaltung vorgenommene Änderungen bzgl. Passwortrichtlinien direkt über den PDC-Emulator in die DDP geschrieben werden.
Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.
Hi Goscho.
Das habe ich versucht und es stimmt nicht. Wenn ich anderweitig als in der DDP eine KW-Richtlinie erstelle, dann wirkt sie nicht auf die DCs - und auf den DCs und nur den DCs liegen die Domänenkennwörter. Worauf eine solche Policy wirkt, sind dann lediglich Clients und somit lokale Konten.
Man kann es auch bei Microsoft wortwörtlich so nachlesen, ich such's Dir nachher mal raus.
Aber wirklich, zum Nachstellen habe ich mir mal eine leere Domäne genommen und die DDP leer gelassen bezüglich Kennwörtern und eine andere Policy auf die OU DCs und auch auf den Domain-Head verlinkt UND sogar noch "enforce" eingestellt. Nach einem GPupdate auf den DCs kannst Du feststellen, dass diese Policy zwar angewendet wird, nicht aber deren Einstellungen - sie werden schlicht nicht gelistet und sind auch nicht aktiv. War mit einem 2012 R2er DC (+Update1) getestet, übrigens.
Ansonsten kannst du dir eine GPO "Meine Kennwortrichtlinie" erstellen, diese auf die Domäne verlinken, in der DDP alle Kennwortrichtlinien auf nichtdefiniert stellen und du wirst sehen, dass die anderen Kennwortrichtlinien trotzdem gezogen werden.
Das habe ich versucht und es stimmt nicht. Wenn ich anderweitig als in der DDP eine KW-Richtlinie erstelle, dann wirkt sie nicht auf die DCs - und auf den DCs und nur den DCs liegen die Domänenkennwörter. Worauf eine solche Policy wirkt, sind dann lediglich Clients und somit lokale Konten.
Man kann es auch bei Microsoft wortwörtlich so nachlesen, ich such's Dir nachher mal raus.
Aber wirklich, zum Nachstellen habe ich mir mal eine leere Domäne genommen und die DDP leer gelassen bezüglich Kennwörtern und eine andere Policy auf die OU DCs und auch auf den Domain-Head verlinkt UND sogar noch "enforce" eingestellt. Nach einem GPupdate auf den DCs kannst Du feststellen, dass diese Policy zwar angewendet wird, nicht aber deren Einstellungen - sie werden schlicht nicht gelistet und sind auch nicht aktiv. War mit einem 2012 R2er DC (+Update1) getestet, übrigens.
