jizz-mo
Goto Top

Kennwortrichtlinie GPO greift nicht ganz, was tun?

Hallo wieder mal an alle,

wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.

So, nun zum Problem:

Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.

Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:

Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage

Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.

Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.

Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.

Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.

Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.

Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.

Content-ID: 235749

Url: https://administrator.de/forum/kennwortrichtlinie-gpo-greift-nicht-ganz-was-tun-235749.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

TlBERlUS
Lösung TlBERlUS 16.04.2014, aktualisiert am 28.04.2014 um 11:47:59 Uhr
Goto Top
Hi,

1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.

Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?


Grüße,

Tiberius
Xaero1982
Xaero1982 16.04.2014 um 18:15:54 Uhr
Goto Top
Hi,

Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."

Was genau hat die GPO da zu suchen?

Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.

Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.

Gruß
Jizz-Mo
Jizz-Mo 17.04.2014 um 09:36:27 Uhr
Goto Top
Zitat von @Xaero1982:

Hi,

Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2
Domänencontroller (WIN2008ServerR2) aufgeführt sind."

Was genau hat die GPO da zu suchen?

Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich
unschön.

Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht
zeitgleich erfolgt.

Gruß

Hi, was die GPO da zu suchen hat, habe ich mir hier rausgelesen, vielleicht täusche ich mich ja (1. Antwort von DerWoWusste):

Kennwortrichtlinie für Bestimmte OU s

Das unsere User ihr eigenes Kennwort nicht ändern dürfen, ist nicht auf meinem Mist gewachsen :D, war eine Einstellung noch vor meiner Zeit. Das soll ja aber jetzt geändert werden.

Wenn ich das falsch verstanden haben sollte,...
Wo kommt die Richtlinienverknüpfung dann hin?

Grüße
Jizz-Mo
Jizz-Mo 17.04.2014 um 10:05:59 Uhr
Goto Top
Zitat von @TlBERlUS:

Hi,

1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.

Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?


Grüße,

Tiberius

auf 1. hätte ich gesagt, ja sie ist richtig verknüpft, aber nachdem ich 2. gelesen und ausgeführt habe, denke ich, nein sie ist nicht richtig verknüpft.

Ich hab mir das irgenwie einfacher vorgestellt, so naiv wie ich bin.
Gruppenrichtlinienobjekt erstellen --> mit OU verknüfen, wo die User drin sind --> GPO auf Client aktualisieren (Neustart bzw. gpupdate /force) --> Relaxen

Das mit der kontrollierten PW Änderung ist für mich so vorgeschrieben. Erst mal für uns in der EDV testen, ob die Richtlinie überhaupt funktioniert, dann eine Abteilung nach der anderen PW Änderungen veranlassen.

Ich habe im AD unter Benutzer mehrere OUs die nach den Abteilungen benannt sind (Fibu, Vertrieb, Einkauf usw.) und in denen sind die jeweiligen User drin. Ich hätte es ja am liebsten so, dass ich die Richtlinie mit der OU verknüpfe, bei der ich eine PW Änderung veranlassen möchte, aber irgendwie hat das letzte Woche nicht geklappt. Also habe ich die Lösungsansätze hier mal verwenden wollen.

Grüße
DerWoWusste
Lösung DerWoWusste 17.04.2014, aktualisiert am 28.04.2014 um 11:47:41 Uhr
Goto Top
Hi.

Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.

@88815:
führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden, Vorgehen somit sinnlos.
TlBERlUS
TlBERlUS 17.04.2014 aktualisiert um 11:53:50 Uhr
Goto Top
Zitat von @DerWoWusste:

@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.

Moin,

Tatsache, ich hab nochmal nachgesehen, bei uns habe ich die PW-GPO auch an die Default Domain Policy gehängt...
(hab vergessen, dass das eine Einstellung der Computer-Konfiguration, und net Benutzer-Konfig ist)
Mea Maxima Culpa

http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...

shame on me...

Grüße,

Tiberius
Jizz-Mo
Jizz-Mo 28.04.2014 aktualisiert um 11:55:25 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen,
so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU
"Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2)
muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.

@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.

Ich habe die Richtlinie auf den Domain Head verlinkt und siehe da, es funktioniert tatsächlich. Anfangs hat er nicht alle Richtlinieneinstellungen übernommen. Dann hab ich mir die Default Domain Policy, die ebenfalls an der selben Stelle verlinkt ist, angeschaut.

Es war schon mal was eingestellt, wurde aber nur halbherzig umgesetzt. Habe dann die DDP so abgeändert, dass meine Gruppenrichtlinie nicht mehr nötig war. Hätte es von Anfang an so machen sollen.

Das Problem ist damit gelöst. Vielen Dank an alle für die Unterstützung!!!
Xaero1982
Xaero1982 28.04.2014 um 12:35:28 Uhr
Goto Top
Gerne doch.
Wie ich ja schon sagte, hat die da wo du sie ursprünglich verlinkt hattest nichts zu suchen, oder nicht mehr.