15
Kennwortrichtlienen Komplexität lässt sich nicht ausschalten
Hallo Admins,
ich habe eine AD (Server 2008 R2 Standart x64), hier möchte ich unsichere Kennwörter (Intrant) verwenden. ich habe und gpedit als auch unter gpmc die Richtlinie angepasst (siehe Screenshots). Wo kann ich denn noch nachschauen?
Viele Grüße
Maffi
ich habe eine AD (Server 2008 R2 Standart x64), hier möchte ich unsichere Kennwörter (Intrant) verwenden. ich habe und gpedit als auch unter gpmc die Richtlinie angepasst (siehe Screenshots). Wo kann ich denn noch nachschauen?
Viele Grüße
Maffi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 345431
Url: https://administrator.de/contentid/345431
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Du must auch warten bis diese angewendet wurde oder halt gpupdate /force ausführen und auf den Computer das anwenden der neuen GPO erzwingen. Auch sollte man noch in Auge haben das es zwei GPO,s gibt. Einmal die Normale Domäne Gruppenrichtlinie und dann noch eine gesonderte Gruppenrichtlinie für Domäne Controler greift (Deswegen sind diese auch in einer eigenen OU)
Gruß an die IT-Welt,
J Herbrich
Du must auch warten bis diese angewendet wurde oder halt gpupdate /force ausführen und auf den Computer das anwenden der neuen GPO erzwingen. Auch sollte man noch in Auge haben das es zwei GPO,s gibt. Einmal die Normale Domäne Gruppenrichtlinie und dann noch eine gesonderte Gruppenrichtlinie für Domäne Controler greift (Deswegen sind diese auch in einer eigenen OU)
Gruß an die IT-Welt,
J Herbrich
Hi,
geht es um Kennwörter von lokalen Benutzern am Member Computer oder um Kennwörter von Domänenkonten?
Wenn Domäne:
Diese Richtlinie muss nur von allen DC dieser Domäne angewendet worden sein.
Beachte "minimales Kennwortalter" beim Testen. Wenn der Benutzer in den letzten 30 Tagen (Deine Einstellung) schonmal geändert hat, dann muss er eben noch warten. Wenn Du das testen willst, dann erstelle einfach einen neuen Benutzer.
E.
geht es um Kennwörter von lokalen Benutzern am Member Computer oder um Kennwörter von Domänenkonten?
Wenn Domäne:
Diese Richtlinie muss nur von allen DC dieser Domäne angewendet worden sein.
Beachte "minimales Kennwortalter" beim Testen. Wenn der Benutzer in den letzten 30 Tagen (Deine Einstellung) schonmal geändert hat, dann muss er eben noch warten. Wenn Du das testen willst, dann erstelle einfach einen neuen Benutzer.
E.
Hallo Herbrich,
gpupdate /force und auch einen Server neustart habe ich schon geführt, ebenso habe ich unter allen bei gpmc.msc aufgeführten default domain policy die anpassung vorgenommen. Wo könnte ich denn noch nachschauen?
Viele Grüße
Maffi
gpupdate /force und auch einen Server neustart habe ich schon geführt, ebenso habe ich unter allen bei gpmc.msc aufgeführten default domain policy die anpassung vorgenommen. Wo könnte ich denn noch nachschauen?
Viele Grüße
Maffi
Und es muss in der "Default Domain Policy" eingestellt werden, nicht in der "Default Domain Controllers Policy".
Hallo emeriks,
danke für die Antwort, auch dort habe ich es eingestellt, wie oben gesagt, überall wo ich es unter gpmc finden konnte.
danke für die Antwort, auch dort habe ich es eingestellt, wie oben gesagt, überall wo ich es unter gpmc finden konnte.
Nicht in der "Default Domain Controllers Policy"!!! Dein Screenshot zeigt diese.
Am DC rsop.msc starten und sich anzeigen lassen, welche GPO das denn gesetzt hat - so schwer ist diese Lösung nicht.
Wenn es dort ncht angezeigt wird, ist es eine PSO: https://technet.microsoft.com/en-us/library/2199dcf7-68fd-4315-87cc-ade3 ..?
Welche: zeigt dir der Befehl
Wenn es dort ncht angezeigt wird, ist es eine PSO: https://technet.microsoft.com/en-us/library/2199dcf7-68fd-4315-87cc-ade3 ..?
Welche: zeigt dir der Befehl
Get-ADUserResultantPasswordPolicy DeinUsername
... und "einstellen" heißt auch, das du es einstellen musst. Ein "nicht definiert" führt nicht zum Ziel.
Und wo das eingestellt wird ist ganz klar: Das lässt sich erst mal nur in der Default Domain Policy einstellen.
(Man kann inzwischen zwar mehrere Kennwortrichtlinien implementieren, aber ich denke, das das hier nicht der Fall sein dürfte. Da das nicht ganz so simpel ist, würdest du deine Frage nicht stellen...)
Und wo das eingestellt wird ist ganz klar: Das lässt sich erst mal nur in der Default Domain Policy einstellen.
(Man kann inzwischen zwar mehrere Kennwortrichtlinien implementieren, aber ich denke, das das hier nicht der Fall sein dürfte. Da das nicht ganz so simpel ist, würdest du deine Frage nicht stellen...)
Hallo,
Wen ich mal dazu noch anmerken darf; nicht definiert bedeutet aus Sicht der Verarbeitung der GPO das diese Einstellung nicht existiert. Wen man eine nicht definierte Einstellung setzt (Diese hat dann ein Wert der bei der Verarbeitung auch angewendet werden kann) und man dann diese Option wieder zurück stellt auf nicht definiert, dann ändert sich bei der nächsten Verarbeitung garnichts. Deswegen sollte man auch eine GPO zumindest in einer Test OU noch besser in einer ganzen Test Domäne definieren
Ich habe das hier geschrieben weil auch unerfahrene User das Lesen könnten weswegen diese Warnung denke ich mal durchaus berechtigt ist
Gruß an die IT-Welt,
J. Herbrich
Ein "nicht definiert" führt nicht zum Ziel.
Wen ich mal dazu noch anmerken darf; nicht definiert bedeutet aus Sicht der Verarbeitung der GPO das diese Einstellung nicht existiert. Wen man eine nicht definierte Einstellung setzt (Diese hat dann ein Wert der bei der Verarbeitung auch angewendet werden kann) und man dann diese Option wieder zurück stellt auf nicht definiert, dann ändert sich bei der nächsten Verarbeitung garnichts. Deswegen sollte man auch eine GPO zumindest in einer Test OU noch besser in einer ganzen Test Domäne definieren
Ich habe das hier geschrieben weil auch unerfahrene User das Lesen könnten weswegen diese Warnung denke ich mal durchaus berechtigt ist
Gruß an die IT-Welt,
J. Herbrich
Anmerkung zu:
Ich habe das hier geschrieben weil auch unerfahrene User das Lesen könnten
Aha. Und du bist Dir sicher bei dem, was Du schreibst? Man unterscheidet zwischen Policies, die Registry-Tattooing machen, und solchen, die es nicht tun. Die große Mehrheit macht es nicht und bei diesen ist "nicht definiert" der Weg. Zu den Zahlen: schaut mal Punkt 3 in GPOs zeitgesteuert aktivieren an.
Get-ADUserResultantPasswordPolicy DeinUsername
Danke, das war des Rätsels Lösung.
Danke, das war des Rätsels Lösung.
Und, welche Richtlinie war es nun?
Keine. PSOs sind nicht Teil von GPOs. GPOs werden auch von PSOs überstimmt.
Das ist mir schon klar. Es wäre aber nett, wenn der TO das auch für andere mal so schreiben würde. "Ach ja, da war noch so ein PSO. Keine Ahnung, wie das da hin kommt ..." 
Hat er doch.
