3
Kennwortrichtlinie funktioniert nicht
Hallo,
folgendes Problem. Es gibt einen DC 2008R2 und einige Terminalserver und ein normales AD. Jetzt hab ich die wunderbare Aufgabe das auf einem Server die User ihre Kennwörter über RDP ändern wollen. Da das ganze in dieser Umgebung nicht vorgesehen war hab ich die User in eine eigene Organisationseinheit gesteckt und dieser eine eigene GPO zugewiesen. Funktioniert wunderbar, der Server und die entsprechenden User ziehen sich die GPO. Nur hab ich jetzt das Problem das sie ihre Kennwörter nicht ändern können, jedes mal wenn ich es mit einem Testuser versuche kommt.
"Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien der ....."
Die Kennwörter entsprechen aber definitiv der Richtlinie, sehr komplex, Sonderzeichen, groß klein, Zahlen, alles drinnen. Aber es geht nicht.
Hier noch Auszüge von gpresult und secedit
Kann mir da jemand weiterhelfen ?
folgendes Problem. Es gibt einen DC 2008R2 und einige Terminalserver und ein normales AD. Jetzt hab ich die wunderbare Aufgabe das auf einem Server die User ihre Kennwörter über RDP ändern wollen. Da das ganze in dieser Umgebung nicht vorgesehen war hab ich die User in eine eigene Organisationseinheit gesteckt und dieser eine eigene GPO zugewiesen. Funktioniert wunderbar, der Server und die entsprechenden User ziehen sich die GPO. Nur hab ich jetzt das Problem das sie ihre Kennwörter nicht ändern können, jedes mal wenn ich es mit einem Testuser versuche kommt.
"Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien der ....."
Die Kennwörter entsprechen aber definitiv der Richtlinie, sehr komplex, Sonderzeichen, groß klein, Zahlen, alles drinnen. Aber es geht nicht.
Hier noch Auszüge von gpresult und secedit
Richtlinienergebnissatz fr Computer
-------------------------------------
Softwareinstallationen
----------------------
Nicht zutreffend
Skripts zum Starten
-------------------
Nicht zutreffend
Skripts zum Herunterfahren
--------------------------
Nicht zutreffend
Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutDuration
Computereinstellung: 90
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MaximumPasswordAge
Computereinstellung: 60
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordAge
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ResetLockoutCount
Computereinstellung: 90
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutBadCount
Computereinstellung: 10
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordHistorySize
Computereinstellung: 10
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordLength
Computereinstellung: 10
šberwachungsrichtlinie
----------------------
Nicht zutreffend
Benutzerrechte
--------------
Nicht zutreffend
Sicherheitsoptionen
-------------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordComplexity
Computereinstellung: Aktiviert
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ClearTextPassword
Computereinstellung: Nicht aktiviert
Nicht zutreffend
Ereignisprotokolleinstellungen
------------------------------
Nicht zutreffend
Eingeschr„nkte Gruppen
----------------------
Nicht zutreffend
Systemdienste
-------------
Nicht zutreffend
(System Access)
MinimumPasswordAge = 0
MaximumPasswordAge = 60
MinimumPasswordLength = 10
PasswordComplexity = 1
PasswordHistorySize = 10
LockoutBadCount = 10
ResetLockoutCount = 90
LockoutDuration = 90
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
NewAdministratorName = "Administrator"
NewGuestName = "Gast"
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1
EnableGuestAccount = 0
[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
AuditPrivilegeUse = 0
AuditPolicyChange = 0
AuditAccountManage = 0
AuditProcessTracking = 0
AuditDSAccess = 0
AuditAccountLogon = 0
-------------------------------------
Softwareinstallationen
----------------------
Nicht zutreffend
Skripts zum Starten
-------------------
Nicht zutreffend
Skripts zum Herunterfahren
--------------------------
Nicht zutreffend
Kontorichtlinien
----------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutDuration
Computereinstellung: 90
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MaximumPasswordAge
Computereinstellung: 60
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordAge
Computereinstellung: Nicht zutreffend
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ResetLockoutCount
Computereinstellung: 90
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: LockoutBadCount
Computereinstellung: 10
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordHistorySize
Computereinstellung: 10
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: MinimumPasswordLength
Computereinstellung: 10
šberwachungsrichtlinie
----------------------
Nicht zutreffend
Benutzerrechte
--------------
Nicht zutreffend
Sicherheitsoptionen
-------------------
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: PasswordComplexity
Computereinstellung: Aktiviert
Gruppenrichtlinienobjekt: FDS-Benutzer und Computer
Richtlinie: ClearTextPassword
Computereinstellung: Nicht aktiviert
Nicht zutreffend
Ereignisprotokolleinstellungen
------------------------------
Nicht zutreffend
Eingeschr„nkte Gruppen
----------------------
Nicht zutreffend
Systemdienste
-------------
Nicht zutreffend
(System Access)
MinimumPasswordAge = 0
MaximumPasswordAge = 60
MinimumPasswordLength = 10
PasswordComplexity = 1
PasswordHistorySize = 10
LockoutBadCount = 10
ResetLockoutCount = 90
LockoutDuration = 90
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
NewAdministratorName = "Administrator"
NewGuestName = "Gast"
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1
EnableGuestAccount = 0
[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
AuditPrivilegeUse = 0
AuditPolicyChange = 0
AuditAccountManage = 0
AuditProcessTracking = 0
AuditDSAccess = 0
AuditAccountLogon = 0
Kann mir da jemand weiterhelfen ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 216891
Url: https://administrator.de/contentid/216891
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
3 Kommentare
Neuester Kommentar
Hi.
Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients. Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur Auswirkungen auf lokale Konten.
Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients. Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur Auswirkungen auf lokale Konten.
Zitat von @DerWoWusste:
Hi.
Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients.
Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur
Auswirkungen auf lokale Konten.
Hi.
Die Kennwortrichtlinie für Domänenkonten kann nur und muss auf die DCs angewendet werden, niemals auf die Clients.
Domänenkennwörter liegen auf dem DC - Kennwortrichtlinien, die auf Clients angewendet werden haben deshalb nur
Auswirkungen auf lokale Konten.
Versteh ich das jetzt so richtig das ich die Kennwortrichtlinie nur auf die Default Domain Policy anwenden kann, besser gesagt ich muss dem DC auch diese GPO zuordnen? Dann wäre das Problem das die Kennwortrichtlinie aber nur auf diese 5 User angewendet werden soll.
Es muss nicht die Def.Dom.Pol. sein, kann es aber. Hauptsache, sie wird auf die DCs angewendet.
Um 5 User anders zu behandeln, kannst Du mit PSOs arbeiten, sofern Deine Domäne 2008er oder höher vom Funktionslevel hat. Lies Dich über PSOs ein. Am flinksten eingestellt mit einem Tool wie dem von Parphelia: PASSWORD POLICY MANAGER by PARHELIA TOOLS
Um 5 User anders zu behandeln, kannst Du mit PSOs arbeiten, sofern Deine Domäne 2008er oder höher vom Funktionslevel hat. Lies Dich über PSOs ein. Am flinksten eingestellt mit einem Tool wie dem von Parphelia: PASSWORD POLICY MANAGER by PARHELIA TOOLS
