7
Kennwortrichtlinie hängt fest?
Hallo Admin Freunde,
ich glaube ich werde verrückt.
Ich hab für Probezwecken in der Gruppenrichtlinie (Server2016) Kennwort Richtlinien erstellt. Hat sich nicht so gut durch gesetzt und ich hab es wieder entfernt.
IRGENDWO sind diese Einstellungen noch drin und ich weiß nicht, wo ich noch suchen soll. Nach wie vor bekommen Benutzer diese Richtlinie zugwiesen.
Ich hab die Gruppenrichtlinie 100 mal durch gesucht und die lokalen vom Server auch - alles entfernt.
Ich hab mit dem Jose Auslese-Tool den Server ausgelesen und weiter unten stehen diese Werte noch
Domaene.local
Objekt erzeugt am
Objekt geändert am 04.09.2019 09:19:00
Zuletzt gesichert 07.11.2015 01:45:51 von (kein Wert)
Abgefragter DC server2016.Domaene.local
Root-Domäne (Forest) Domaene.local
Schema-Master (Forest) SERVER2016
DNS-Master (Forest) SERVER2016
PDC-Emulator (Domäne) SERVER2016
RID-Master (Domäne) SERVER2016
Infrastruktur-Master (Domäne) SERVER2016
Forest-Betriebsmodus Windows Server 2016 (DCs: 2016 oder neuer)
Domänen-Betriebsmodus Windows Server 2016
Schema-Version 87 (Windows Server 2016)
NetBIOS-Domänenname Domaene
Domänen-SID S-1-5-21-2212637870-3322036207-1670858416
Standard-Container für Benutzerkonten CN=Users,DC=Domaene,DC=local
Standard-Container für Computerkonten CN=Computers,DC=Domaene,DC=local
Tombstone Lifetime 180 Tage
Deleted Objects Lifetime (nicht definiert; gleich Tombstone Lifetime)
AD-Papierkorb nicht aktiviert
Privileged Access Management nicht aktiviert
DCs der Domäne (2) server2016.Domaene.local (CN=SERVER2016,OU=Domain Controllers,DC=Domaene,DC=local)
server2018.Domaene.local (CN=SERVER2018,OU=Domain Controllers,DC=Domaene,DC=local)
Kontensperrdauer 30 Minuten
Kontensperrung nach 0 falschen Kennwörtern (keine Sperrungen)
Sperrungszähler gelöscht nach 30 Minuten
Minimale Kennwortlänge 4 Zeichen
Maximales Kennwortalter 365 Tage
Minimales Kennwortalter 355 Tage
Kennwortchronik 1 alte Kennwörter
Kennwort-Eigenschaften keine Vorgaben
Weiß jemand, wo ich das noch finden kann oder hängt das irgendwie noch fest?
ich glaube ich werde verrückt.
Ich hab für Probezwecken in der Gruppenrichtlinie (Server2016) Kennwort Richtlinien erstellt. Hat sich nicht so gut durch gesetzt und ich hab es wieder entfernt.
IRGENDWO sind diese Einstellungen noch drin und ich weiß nicht, wo ich noch suchen soll. Nach wie vor bekommen Benutzer diese Richtlinie zugwiesen.
Ich hab die Gruppenrichtlinie 100 mal durch gesucht und die lokalen vom Server auch - alles entfernt.
Ich hab mit dem Jose Auslese-Tool den Server ausgelesen und weiter unten stehen diese Werte noch
Domaene.local
Objekt erzeugt am
Objekt geändert am 04.09.2019 09:19:00
Zuletzt gesichert 07.11.2015 01:45:51 von (kein Wert)
Abgefragter DC server2016.Domaene.local
Root-Domäne (Forest) Domaene.local
Schema-Master (Forest) SERVER2016
DNS-Master (Forest) SERVER2016
PDC-Emulator (Domäne) SERVER2016
RID-Master (Domäne) SERVER2016
Infrastruktur-Master (Domäne) SERVER2016
Forest-Betriebsmodus Windows Server 2016 (DCs: 2016 oder neuer)
Domänen-Betriebsmodus Windows Server 2016
Schema-Version 87 (Windows Server 2016)
NetBIOS-Domänenname Domaene
Domänen-SID S-1-5-21-2212637870-3322036207-1670858416
Standard-Container für Benutzerkonten CN=Users,DC=Domaene,DC=local
Standard-Container für Computerkonten CN=Computers,DC=Domaene,DC=local
Tombstone Lifetime 180 Tage
Deleted Objects Lifetime (nicht definiert; gleich Tombstone Lifetime)
AD-Papierkorb nicht aktiviert
Privileged Access Management nicht aktiviert
DCs der Domäne (2) server2016.Domaene.local (CN=SERVER2016,OU=Domain Controllers,DC=Domaene,DC=local)
server2018.Domaene.local (CN=SERVER2018,OU=Domain Controllers,DC=Domaene,DC=local)
Kontensperrdauer 30 Minuten
Kontensperrung nach 0 falschen Kennwörtern (keine Sperrungen)
Sperrungszähler gelöscht nach 30 Minuten
Minimale Kennwortlänge 4 Zeichen
Maximales Kennwortalter 365 Tage
Minimales Kennwortalter 355 Tage
Kennwortchronik 1 alte Kennwörter
Kennwort-Eigenschaften keine Vorgaben
Weiß jemand, wo ich das noch finden kann oder hängt das irgendwie noch fest?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 519514
Url: https://administrator.de/contentid/519514
Printed on: April 25, 2024 at 05:04 o'clock
7 Comments
Latest comment
Moin ,
was hast denn wo eingrichtet und wie zugewiesen und was meinst du genau mit nicht durchgesetzt.
In der Default Domain Policy hast du auch Kennwortrichtlinen per default. Hab die Werte aber gerade nicht im Kopf.
Gruss
was hast denn wo eingrichtet und wie zugewiesen und was meinst du genau mit nicht durchgesetzt.
In der Default Domain Policy hast du auch Kennwortrichtlinen per default. Hab die Werte aber gerade nicht im Kopf.
Gruss
Ich hab in der GPO (default domain policy oder/und eine extra Objekt erstellt) die Kennwortrichtlienie erstellt (Computerkonfiguartion-> indows Einstllungen->....)
Nach Einstellung der Richtlinie habe ich das der Gruppe Mitarbeiter zugewiesen
Nach dem Testlauf habe ich in der GPO die ganzen Einstellung entfernt, aber trotzdem greifen die Einstellungen noch.
(gpupdate force habe ich nicht vergessen)
*Mit durch gesetzt meinte ich das nicht technisch, sondern die Anwender wollten das nicht mit Kennwortrichtlinie
Nach Einstellung der Richtlinie habe ich das der Gruppe Mitarbeiter zugewiesen
Nach dem Testlauf habe ich in der GPO die ganzen Einstellung entfernt, aber trotzdem greifen die Einstellungen noch.
(gpupdate force habe ich nicht vergessen)
*Mit durch gesetzt meinte ich das nicht technisch, sondern die Anwender wollten das nicht mit Kennwortrichtlinie
An den DCs selbst (alle DCs!) einfach auf einem elevated command prompt folgenden Befehl laufen lassen:
Im HTML-Bericht siehst Du dann, welche GPO dafür verantwortlich ist.
Wichtig: es geht NUR um die DCs, die Clients interessieren nicht, da die Domänenkennwörter nur dem unterliegen, was an den DCs selbst gilt.
gpresult /h %temp%\resultat.html & %temp%\resultat.htmlWichtig: es geht NUR um die DCs, die Clients interessieren nicht, da die Domänenkennwörter nur dem unterliegen, was an den DCs selbst gilt.
Hi,
also "in der GPO" kann man nichts nur einer Gruppe zuweisen.
Entweder änderst Du die Kennwortrichtlinien in der Default Domain Policy. Dann gilt das für die ganze Domäne (deren Benutzerkonten).
Oder Du erstellst Password Setting Objects (PSO). Diese kannst Du einzelnen Benutzern oder Gruppen zuweisen. Wenn man eine PSO löscht oder eine PSO nicht mehr für einen Benutzer gilt, dann gilt für diesen Benutzer wieder die Kennwortrichtlinie der Domäne.
Die Kennwortrichtlinien der Domain Member kann man in ganz "normalen" GPO's an die Member verteilen. Sie gelten dann für alle lokalen Benutzerkonten dieser Member. Wenn man eine solche GPO einfach wieder löscht, ohne die Einstellungen der Kennwortrichtlinie wieder auf Standard zurückzusetzen, dann gilt die in der GPO eingestellte Kennwortrichtlinie weiterhin für lokale Konten. Solange, bis man wieder etwas anderes einstellt.
also "in der GPO" kann man nichts nur einer Gruppe zuweisen.
Entweder änderst Du die Kennwortrichtlinien in der Default Domain Policy. Dann gilt das für die ganze Domäne (deren Benutzerkonten).
Oder Du erstellst Password Setting Objects (PSO). Diese kannst Du einzelnen Benutzern oder Gruppen zuweisen. Wenn man eine PSO löscht oder eine PSO nicht mehr für einen Benutzer gilt, dann gilt für diesen Benutzer wieder die Kennwortrichtlinie der Domäne.
Die Kennwortrichtlinien der Domain Member kann man in ganz "normalen" GPO's an die Member verteilen. Sie gelten dann für alle lokalen Benutzerkonten dieser Member. Wenn man eine solche GPO einfach wieder löscht, ohne die Einstellungen der Kennwortrichtlinie wieder auf Standard zurückzusetzen, dann gilt die in der GPO eingestellte Kennwortrichtlinie weiterhin für lokale Konten. Solange, bis man wieder etwas anderes einstellt.
Zitat von @Xerone:
Ich hab in der GPO (default domain policy oder/und eine extra Objekt erstellt) die Kennwortrichtlienie erstellt (Computerkonfiguartion-> indows Einstllungen->....)
Ich hab in der GPO (default domain policy oder/und eine extra Objekt erstellt) die Kennwortrichtlienie erstellt (Computerkonfiguartion-> indows Einstllungen->....)
Ja was denn nun ? Und was genau ! Ich frage nicht ohne Grund
Nach Einstellung der Richtlinie habe ich das der Gruppe Mitarbeiter zugewiesen
Ist Quatsch.
Nach dem Testlauf habe ich in der GPO die ganzen Einstellung entfernt, aber trotzdem greifen die Einstellungen noch.
siehe mein Beitrag oben mit der Default Domain Policy
(gpupdate force habe ich nicht vergessen)
Wo ? Am Server ? Wäre nicht nötig gewesen . Am Client auch nicht . Der zieht die sich spätestens beim Neustart des Clients.
*Mit durch gesetzt meinte ich das nicht technisch, sondern die Anwender wollten das nicht mit Kennwortrichtlinie
Seit wann haben die Anwender darüber zu entscheiden !!
Hier steht mehr dazu.
https://www.windowspro.de/andreas-kroschel/starke-passwoerter-erzwingen
Bist du IT Admin , oder warum fummelst du da dran rum ?
Gruss
Moin,
jetzt mal von deinem GPO/PSO Problem abgesehen...
Das
Wahnsinn O:o
lg,
Slainte
jetzt mal von deinem GPO/PSO Problem abgesehen...
Das
Minimale Kennwortlänge 4 Zeichen
Maximales Kennwortalter 365 Tage
Kennwortchronik 1 alte Kennwörter
hat sich bei den Anwendern "nicht durchgesetzt"?!?! Einmal im Jahr 4 neue Zeichen merken? ECHT JETZT??Maximales Kennwortalter 365 Tage
Kennwortchronik 1 alte Kennwörter
Wahnsinn O:o
lg,
Slainte
Moin,
Wohl eher das hier:
Da würden bei uns permanent die Telefone klingeln: "Ich kann mein Passwort nicht ändern!".
Liebe Grüße
Erik
Zitat von @SlainteMhath:
jetzt mal von deinem GPO/PSO Problem abgesehen...
Das
jetzt mal von deinem GPO/PSO Problem abgesehen...
Das
Minimale Kennwortlänge 4 Zeichen
Maximales Kennwortalter 365 Tage
Kennwortchronik 1 alte Kennwörter
hat sich bei den Anwendern "nicht durchgesetzt"?!?! Einmal im Jahr 4 neue Zeichen merken? ECHT JETZT??Maximales Kennwortalter 365 Tage
Kennwortchronik 1 alte Kennwörter
Wohl eher das hier:
Minimales Kennwortalter 355 Tage
Da würden bei uns permanent die Telefone klingeln: "Ich kann mein Passwort nicht ändern!".
Liebe Grüße
Erik
