linuxguru
Goto Top

Kennwortrichtlinie gesperrt

Hallo!

Ich habe auf meinem Windows Server 2008 R2 das Problem, dass ich die Kennwortrichtlinie in der gpedit.msc nicht ändern kann - diese ist gesperrt (ausgegraut).

Habe in die gpmc.msc reingeschaut weil ich irgendwo gelesen habe, dass das dort entsperrt werden kann, aber ich weiß nicht wo.

Kann mir jemand bitte erklären was zu tun ist bevor ich was falsches tue?

Content-ID: 502153

Url: https://administrator.de/forum/kennwortrichtlinie-gesperrt-502153.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

141320
141320 07.10.2019 aktualisiert um 09:52:09 Uhr
Goto Top
Zitat von @Linuxguru:

Hallo!

Ich habe auf meinem Windows Server 2008 R2 das Problem, dass ich die Kennwortrichtlinie in der gpedit.msc nicht ändern kann - diese ist gesperrt (ausgegraut).
Normal wenn es eine Domain ist, denn die Hosts erhalten die Richtlinie per GPO und deswegen ist der Eintrag dort auch ausgegraut.
Habe in die gpmc.msc reingeschaut weil ich irgendwo gelesen habe, dass das dort entsperrt werden kann, aber ich weiß nicht wo.
Default Domain Policy GPO
Kann mir jemand bitte erklären was zu tun ist bevor ich was falsches tue?
Deinem Netzwerkadmin bescheid sagen, bevor du was machst dessen Folgen du nicht kennst, denn in dem Bereich kannst du viel falsch machen wenn du nicht alle Fallstricke kennst die deine Änderungen zur Folge haben!
Linuxguru
Linuxguru 07.10.2019 aktualisiert um 09:55:15 Uhr
Goto Top
Ich bin der Netzwerkadmin. Ist mein privates Netzwerk (nicht produktiveinsatz).

So, ich habs gefunden, doch beim Speichern folgt der nächste Fehler. Die Datei ist aber da.
3463
141320
141320 07.10.2019 aktualisiert um 09:57:04 Uhr
Goto Top
Zitat von @Linuxguru:

Ich bin der Netzwerkadmin. Ist mein privates Netzwerk (nicht produktiveinsatz).

So, ich habs gefunden, doch beim Speichern folgt der nächste Fehler
Dann hast du wohl schon zu viel des Guten "rum probiert".
Vor dem machen kommt erst mal Lesen ...
https://www.einfaches-netzwerk.at/grundlagen-der-gruppenrichtlinien/
https://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
emeriks
emeriks 07.10.2019 um 09:59:07 Uhr
Goto Top
Zitat von @Linuxguru:
So, ich habs gefunden, doch beim Speichern folgt der nächste Fehler. Die Datei ist aber da.
Hast Du da mehrere DC?
Falls ja: Ist sie auf allen vorhanden?
Linuxguru
Linuxguru 07.10.2019 um 10:03:59 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Linuxguru:
So, ich habs gefunden, doch beim Speichern folgt der nächste Fehler. Die Datei ist aber da.
Hast Du da mehrere DC?
Falls ja: Ist sie auf allen vorhanden?

Nein, es ist nur einer und 5 clients, davon 4 virtuell.

Hab die Datei per Hand bearbeitet, es ist ein weiterer Fehler aufgetaucht, siehe unten.

Das Kennwort hat aber Groß- und Kleinbuchstaben sowie Zahlen, keine Sonderzeichen. Es hat eine Länge von 9 Zeichen - erlaubt habe ich ab 8.
345434
Linuxguru
Linuxguru 07.10.2019 um 10:04:16 Uhr
Goto Top
Zitat von @141320:

Zitat von @Linuxguru:

Ich bin der Netzwerkadmin. Ist mein privates Netzwerk (nicht produktiveinsatz).

So, ich habs gefunden, doch beim Speichern folgt der nächste Fehler
Dann hast du wohl schon zu viel des Guten "rum probiert".
Vor dem machen kommt erst mal Lesen ...
https://www.einfaches-netzwerk.at/grundlagen-der-gruppenrichtlinien/
https://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...

Hab die Datei per Hand bearbeitet, es ist ein weiterer Fehler aufgetaucht, siehe unten.

Das Kennwort hat aber Groß- und Kleinbuchstaben sowie Zahlen, keine Sonderzeichen. Es hat eine Länge von 9 Zeichen - erlaubt habe ich ab 8.
345434
141320
141320 07.10.2019 aktualisiert um 10:10:01 Uhr
Goto Top
Zitat von @Linuxguru:
Hab die Datei per Hand bearbeitet, es ist ein weiterer Fehler aufgetaucht, siehe unten.
A. Link oben Default Richtlinien wiederherstellen, manuell rum pfuschen muss da keiner !
Das Kennwort hat aber Groß- und Kleinbuchstaben sowie Zahlen, keine Sonderzeichen. Es hat eine Länge von 9 Zeichen - erlaubt habe ich ab 8.
Normal ohne Neustart bzw. GPO Refresh der Computer Policies wird das nichts. Die anderen Richtlinien die du angepasst hast sehen wir hier ja nicht und die müssen ebenso erfüllt werden, wie z.B. die History und minimales Kennwortalter.
emeriks
emeriks 07.10.2019 aktualisiert um 10:13:18 Uhr
Goto Top
Zitat von @Linuxguru:
Das Kennwort hat aber Groß- und Kleinbuchstaben sowie Zahlen, keine Sonderzeichen. Es hat eine Länge von 9 Zeichen - erlaubt habe ich ab 8.
Es gibt noch andere Kriterien, welche zu beachten sind:
- Das Passwort darf keine Teile des Benutzernamens enthalten. (Bsp: TestUser und Test#_?123 geht nicht
- Ein Passwort darf u.U. erst nach einer konfigurierten Anzahl anderer Passwörter wiederverwendet werden. (laut Richtlinien)
- Das Passwort darf u.U. erst nach x Tagen wieder geändert werden (laut Richtlinien)
In all diesen Fällen wird er auch nur melden, dass es nicht den Anforderungen entsprechen würde.
Linuxguru
Linuxguru 07.10.2019 um 10:14:12 Uhr
Goto Top
Keines der Fälle trifft zu, es ist ein neuer Benutzer und das Kennwort hat nichts mit dem Benutzernamen (oder Realnamen) gemein.
Linuxguru
Linuxguru 07.10.2019 um 10:15:02 Uhr
Goto Top
Was interessant ist - in der gpmc.msc sehe ich die vorgenommene Einstellung (8 Zeichen etc.) und in der gpedit.msc sehe ich noch die alten Einstellungen.
emeriks
emeriks 07.10.2019 um 10:17:53 Uhr
Goto Top
Zitat von @Linuxguru:
Was interessant ist - in der gpmc.msc sehe ich die vorgenommene Einstellung (8 Zeichen etc.) und in der gpedit.msc sehe ich noch die alten Einstellungen.
gpedit am Client oder wie jetzt?
Falls ja, dann muss man auf diesem Client erstmal ein GPUPDATE ausführen oder booten?
Linuxguru
Linuxguru 07.10.2019 um 10:28:37 Uhr
Goto Top
Nein, alles auf dem DC. Neustarten kann ich momentan nicht, da läuft noch ein Dienst. Aber ich mach das später und dann mal schaun.
emeriks
emeriks 07.10.2019 um 10:38:23 Uhr
Goto Top
Zitat von @Linuxguru:
Nein, alles auf dem DC.
Dann meinst Du bei "gpmc.msc" die generierte XML-Ansicht dieser GPO?
Linuxguru
Linuxguru 07.10.2019 um 10:42:30 Uhr
Goto Top
Natürlich. Hab ich doch oben geschrieben.
141320
Lösung 141320 07.10.2019 aktualisiert um 10:51:03 Uhr
Goto Top
Zitat von @Linuxguru:

Nein, alles auf dem DC. Neustarten kann ich momentan nicht, da läuft noch ein Dienst. Aber ich mach das später und dann mal schaun.
Wie @emeriks schon sagt => gpupdate /force
Lesen hilft:
https://www.isumsoft.com/windows-2008/change-password-policy-on-windows- ...
emeriks
Lösung emeriks 07.10.2019 aktualisiert um 11:20:41 Uhr
Goto Top
Zitat von @Linuxguru:
Natürlich. Hab ich doch oben geschrieben.
Nein, so explizit nicht, sonst hätte ich nicht gefragt. Denn ich wette, dass die meisten "kleinen" Admins gar nicht wissen, dass auch die MMC Verwaltungskonsole beim Bearbeiten von GPO die GPEDIT-MMC öffnet und nicht etwa nur einen Dialog in der Verwaltungskonsole.

Und wenn Du jetzt von gpEDIT.msc sprichst, dann meinst Du, aus der Verwaltungskonsole heraus gestartet oder einfach so direkt auf dem DC?
Falls erstes, dann wäre das in der Tat komisch.
Falls zweites: GPUPDATE oder booten.
Linuxguru
Linuxguru 07.10.2019 um 11:39:49 Uhr
Goto Top
So, danke für die Hilfe. Ich musste den Server neu starten und dann gpupdate /force ausgeführt. Nun klappt es wieder. Aber er hat dennoch eine Macke denke ich. Eventuell habe ich ihn zu selten benutzt (zuletzt vor etwa 10 Monaten). Daher läuft einiges nicht mehr rund.
emeriks
emeriks 07.10.2019 um 11:57:27 Uhr
Goto Top
Zitat von @Linuxguru:
Eventuell habe ich ihn zu selten benutzt (zuletzt vor etwa 10 Monaten). Daher läuft einiges nicht mehr rund.
Sowas mag beim Auto zutreffen, aber nicht bei einem DC.
141320
141320 07.10.2019 aktualisiert um 12:07:28 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Linuxguru:
Eventuell habe ich ihn zu selten benutzt (zuletzt vor etwa 10 Monaten). Daher läuft einiges nicht mehr rund.
Sowas mag beim Auto zutreffen, aber nicht bei einem DC.
Ich schätze mal er hat ein verschimmeltes und verhunztes virtuelles Testlab wieder aus der Vertiefung geholt, ... face-big-smile