emptyman
Goto Top

Kennwortrichtlinie funktioniert nicht richtig

Hallo zusammen,

ich habe ein kleines Problem mit meiner GPO für die Kennwortrichtlinie.
Dem Bild könnt ihr meine Einstellungen entnehmen.
c6619abb52a7d69d2d8ddb3c40afb8ce

Die Einstellungen werden meines Erachtens auch ordnungsgemäß übernommen. Nur haben die User nun das Problem, dass egal welches Kennwort sie vergeben wollen, nachdem sie dazu aufgefordert wurden ihr Kennwort ändern zu müssen, die Meldung erhalten "Das Kennwort entspricht nicht den Anforderungen......."!!!

Ich kann mir leider nicht erklären was da los ist. Ich habe auch alle möglichen Varianten beim vergeben des Kennworts durch, konnte aber selber auch nichts erreichen.

Vielleicht kann jemand von euch erkennen, was an der GPO falsch ist, oder kennt das Problem und hat einen Lösungsansatz für mich. face-smile

Vielen Dank im Voraus und beste Grüße

Achso: Umgebung Server 2008 R2 Domäne (Win 7 Clients bzw. Citrix User (XenApp 6.5 Server 2008 R2) über ThinClients.

Sollte ich was vergessen haben, fragt mich bitte einfach.

Danke und Cheers

Content-ID: 192881

Url: https://administrator.de/forum/kennwortrichtlinie-funktioniert-nicht-richtig-192881.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

kontext
kontext 17.10.2012 aktualisiert um 08:46:24 Uhr
Goto Top
HeyHo,

Wie hast du das Passwort eingegeben?
mind. 8 Zeichen (bei dir 10 Zeichen da durch GPO festgelegt)
Großbuchstaben
Sonderzeichen
Zahlen
und kein Teil vom Benutzername

http://msdn.microsoft.com/de-de/library/ms161959(v=sql.90).aspx

EDIT: zum Test könntest du mal P@ssw0rd12! vergeben ...
... da hast du dann alles drinnen - und das müsste funktionieren

Cheers
@zanko
Emptyman
Emptyman 17.10.2012 um 08:46:29 Uhr
Goto Top
Ja richtig!
Dementsprechend habe ich das auch eingegeben und auch mit vielen anderen Varianten versucht! Ich habe echt alles durch und weiß nicht weiter, daher ja auch mein Post. face-sad
kontext
kontext 17.10.2012 um 08:57:33 Uhr
Goto Top
Probier mal testweise minimales Kennwortalter auf 1 Tage zu ändern ...
... habe gerade deine GPO mit meiner verglichen.

Wie hast du die GPO konfiguriert?

Cheers
@zanko
Emptyman
Emptyman 17.10.2012 um 09:00:44 Uhr
Goto Top
Okay.
Ich teste das gleich mal mit deinem Passwortvorschlag und sollte das nicht funktionieren, teste ich nochmal nachdem ich dann das Kennwortalter auf einen Tag geändert habe.

Verstehe ehrlich gesagt nicht was du mit "wie ich die GPO konfiguriert habe" meinst!? face-sad
kontext
kontext 17.10.2012 um 09:05:28 Uhr
Goto Top
Teste mal, vll. funktionierts ja.
Bzgl. Konfiguration ...
... hast du eine neue GPO erstellt oder hast du z.b. die Domain Policy genommen
... was steht im Bereich bei der Sicherheitsfilterung - hast da was konfiguriert

So meine ich ;)
Außerdem wird die GPO auf dem Client gezogen (was sagt rsop)

Cheers
Emptyman
Emptyman 17.10.2012 um 09:17:46 Uhr
Goto Top
Achso meinst du das! face-wink

Ja, ich habe eine neue Richtlinie erstellt. Die Domain Policy habe ich unberührt gelassen.
Ich habe zwei Kennwortrichtlinien, da ich zwischen normalen Office Usern und VPN Usern unterscheide. Die VPN User haben bisschen verstärkte Einstellungen. In der Sicherheitsfilterung habe ich die Sicherheitsgruppe (in der die jeweiligen User sind) hinzugefügt.

Ja, die GPO wird auf dem Client angenommen, das habe ich schon geprüft.
catachan
catachan 17.10.2012 aktualisiert um 11:00:44 Uhr
Goto Top
Hi

grundsätzlich kann es in einem Ad Netzwerk bis 2008 nur 1 Kennwort Policy geben. Das ist demnach die Default Domain Policy. Alle anderen Policy werden nicht funktionieren. Es gibt seit 2008 (r2) die Möglichkeit zusätzliche richtlinien anzulegen. allerdings nicht in Form einer GPO sondern sogenannte PSO

http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...

LG
Emptyman
Emptyman 17.10.2012 um 13:13:36 Uhr
Goto Top
Ja sauber!
Genau das erklärt mein Problem.

Vielen Dank.
Werde das gleich morgen mal umsetzen.

@zanko
An dir natürlich auch dickes Danke und bis demnächst! face-smile

Cheers
DerWoWusste
DerWoWusste 17.10.2012 um 17:56:00 Uhr
Goto Top
Moin catachan.
grundsätzlich kann es in einem Ad Netzwerk bis 2008 nur 1 Kennwort Policy geben. Das ist demnach die Default Domain Policy. Alle anderen Policy werden nicht funktionieren.
Nicht ganz korrekt. Jede Policy kann Kennwortpolicy sein - die Frage ist, wo sie angewendet werden soll. Domänennutzerkennwörter liegen auf dem DC - nur dort und nirgendwo anders kann und muss die Richtlinie also wirken. Man kann also eben so gut eine Policy erstellen, die mit "no override" eingestellt ist, die man auf den DCs wirken lässt und fertig: sie wird für alle Domänenkonten gelten. Jegliche andere Richtlinien, die man neben dieser Policy oder neben der Default Domain Policy (sofern sie denn konfiguriert ist) auf OUs mit Client-PCs anwendet, wirkt natürlich auch! - jedoch nur auf lokale und nicht auf Domänenkonten.

@Emptyman: Dein Problem war wohl, dass Dir nicht bekannt war, dass die Passwortpolicy auf die DCs wirken muss.
Emptyman
Emptyman 17.10.2012 um 21:41:59 Uhr
Goto Top
Aha! Ich werde immer schlauer! face-smile

Bedeutet, dass ich die GPO auf die DCs delegieren muss?

Cheers
DerWoWusste
DerWoWusste 18.10.2012 um 09:04:01 Uhr
Goto Top
Willst Du die lokalen Konten (falls Benutzer überhaupt welche nutzen/erstellen dürfen) von der selben Richtlinie verwalten lassen, wendest Du sie auf alle an - zum Beispiel über die Default Domain Policy. Wenn Du nur die Domänennutzerkonten beeinflussen willst, konfigurierst Du eine GPO, die Du nur mit der OU der DCs verknüpfst. Ein GPupdate /force danach auf den DCs nicht vergessen.