Kennwortrichtlinie GPO greift nicht ganz, was tun?
Hallo wieder mal an alle,
wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.
So, nun zum Problem:
Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.
Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:
Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage
Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.
Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.
Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.
Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.
Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.
Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.
wir sind momentan ein bisschen am Verzweifeln an einer Kennwortrichtlinie, die wir erstellt haben.
Habe zwar ein bisschen gegoogelt, habe auch ähnliche Fälle gefunden (unter anderem auch hier), aber irgendwie mag das bei mir nicht klappen.
So, nun zum Problem:
Nachdem unsere User schon ziemlich lange ihre Passwörter haben, sollen Sie aus Sicherheitsgründen regelmäßig ihre Passwörter ändern.
Wir haben eine Kennwortrichtlinie für uns in der EDV zum Testen erstellt:
Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
Kennwortchronik erzwingen\ngespeicherte Kennwörter: 12 gespeicherte Kennwörter
Maximales Kennwortalter: 1 Tage
Minimale Kennwortlänge: 8 Zeichen
Minimales Kennwortalter: 0 Tage
Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind.
Das maximale Kennwortalter haben wir deshalb so kurz eingestellt, weil wir in der EDV testen wolle, ob die Richtlinie überhaupt greift. Bei uns sind bei allen Usern im AD der Haken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab" gesetzt, damit nicht alle auf einmal ihr Kennwort ändern müssen, sondern alles kontrolliert abläuft.
Soweit so gut:
Ich habe nun bei den Usern in der EDV Abteilung die beiden Haken weggemacht und darauf gehofft, dass beim nächsten Neustart bzw. bei den nächsten Neustarts oder spätestens nach einem Tag eine Kennwortänderung verlangt wird.
Obwohl 2 Tage vergangen sind, hat er aber immer noch nicht nach einem neuen Passwort gefragt.
Also habe ich bei mir den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" gesetzt. Bei der nächsten Anmeldung hat er mich dann natürlich nach einem neuen Passwort gefragt. Passwortlänge hat er wie in der Richtlinie verlangt, berücksichtigt. Auch meine 2 alten Passwörter hat er nicht akzeptiert, also passt das auch.
Jetzt habe ich weitere 2 Tage gewartet, ob er denn in der Zeit nach einem neuen Passwort fragt, aber vergebens.
Was kann ich tun, damit das jetzt doch klappt mit der Richtlinie? Ziel ist es, nach dem erfolgreichen Test das max. Kennwortalter zu erhöhen und dann Schritt für Schritt bei allen Anwendern freizugeben.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235749
Url: https://administrator.de/forum/kennwortrichtlinie-gpo-greift-nicht-ganz-was-tun-235749.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
1. ist die GPO richtig verknüpft(Standard-Frage^^)
2. für mal gpresult /r aus bei einem User und stelle fest, ob diese auf ihn angewendet werden.
3. neue GPO mit neuer OU erstellen, Testuser basteln und probieren obs klappt.
Abgesehen davon, dass ich die Maßnahmen/Intention zum kontollierten PW ändern nicht unbedingt nachvollziehen kann...
Wieviele User habt ihr, dass das kontrolliert ablaufen muss?
Grüße,
Tiberius
Hi,
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.
Gruß
Zitat: "Nachdem die Richtlinie erstellt ist habe ich die Richtlinie mit der OU verknüpft, wo unsere 2 Domänencontroller (WIN2008ServerR2) aufgeführt sind."
Was genau hat die GPO da zu suchen?
Und die Tatsache, dass deine Benutzer ihr eigenes Kennwort nicht ändern dürfen finde ich irgendwie ziemlich unschön.
Zumal es den Server herzlich wenig interessiert, wenn da 50 User oder so ihr Kennwort ändern, was in der Regel auch nicht zeitgleich erfolgt.
Gruß
Hi.
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
Ich möchte etwas richtigstellen. Es verhält sich so: früher bei win2k-Domänen konnte man jede Policy nehmen, so lange sie auf die Domaincontroller verlinkt war und nicht overridden wurde, konnte sie somit auch mit der OU "Domänencontroller" verlinken. Ab 2003 Server (so wurde mir gesagt, nachprüfen konnte ich es auf 2012R2) muss man auf den Domain Head verlinken. Praktischerweise kann man also die dortig verlinkte Default Domain Policy nehmen.
@88815:
führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden, Vorgehen somit sinnlos.Zitat von @DerWoWusste:
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
@88815:
> führ mal gpresult /r aus bei einem User
Passwortrichtlinien für Domännekonten werden einzig und allein auf dem DC aktiv. Sie sind nicht an User gebunden,
Vorgehen somit sinnlos.
Moin,
Tatsache, ich hab nochmal nachgesehen, bei uns habe ich die PW-GPO auch an die Default Domain Policy gehängt...
(hab vergessen, dass das eine Einstellung der Computer-Konfiguration, und net Benutzer-Konfig ist)
Mea Maxima Culpa
http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortric ...
shame on me...
Grüße,
Tiberius