14
Kennwortrichtlinie Server 2022
Moin!
Folgendes, ich stelle demnächst bei einem Kunden neue Server auf. Die bekommen einen Fileserver (auch DC und DNS) und einen WTS.
Ich habe mir gerade einen kleinen Testaufbau gebastelt und spiele das ganze einmal durch.
Ich komme soweit gut klar, aber es klemmt an einer ganz kleinen Sache: Ich kriege die Kennwortrichtlinie nicht nach meinen Wünschen bearbeitet.
Beim Kunden melden sich die Nutzer mit ihrem Namenskürzel an, auch das Kennwort ist das Namenskürzel (kommt mir jetzt nicht mit "Das Kennwort muss komplex sein! Das geht so nicht!11!!" Das weiß ich, aber der Kunde möchte es so. Der normale Nutzer kann ja auch nix weiter machen und die Anwendungen sind mit einer Smartcard verschlüsselt.).
Das komme ich jetzt an das Problem: Bei Anlegen des Nutzers kriege ich die Meldung, dass die Kennwortrichtlinien das verhindern.
OK, die Kennwortrichtlinie habe ich angepasst:
Ich bekomme die Meldung aber weiterhin...was habe ich übersehen?
Danke!
P.S.: Habe schon die ganze Struktur neu gestartet und auch gpupdate /force durchgeführt...nix verändert
Folgendes, ich stelle demnächst bei einem Kunden neue Server auf. Die bekommen einen Fileserver (auch DC und DNS) und einen WTS.
Ich habe mir gerade einen kleinen Testaufbau gebastelt und spiele das ganze einmal durch.
Ich komme soweit gut klar, aber es klemmt an einer ganz kleinen Sache: Ich kriege die Kennwortrichtlinie nicht nach meinen Wünschen bearbeitet.
Beim Kunden melden sich die Nutzer mit ihrem Namenskürzel an, auch das Kennwort ist das Namenskürzel (kommt mir jetzt nicht mit "Das Kennwort muss komplex sein! Das geht so nicht!11!!" Das weiß ich, aber der Kunde möchte es so. Der normale Nutzer kann ja auch nix weiter machen und die Anwendungen sind mit einer Smartcard verschlüsselt.).
Das komme ich jetzt an das Problem: Bei Anlegen des Nutzers kriege ich die Meldung, dass die Kennwortrichtlinien das verhindern.
OK, die Kennwortrichtlinie habe ich angepasst:
Ich bekomme die Meldung aber weiterhin...was habe ich übersehen?
Danke!
P.S.: Habe schon die ganze Struktur neu gestartet und auch gpupdate /force durchgeführt...nix verändert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4673818072
Url: https://administrator.de/forum/kennwortrichtlinie-server-2022-4673818072.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
14 Kommentare
Neuester Kommentar
Moin
das ist ganz einfach: "Nicht definiert" ist nicht die korrekte Konfiguration. Du musst es schon definieren. Wenn Du also ein Kennwort mit nur zwei Zeichen erlauben willst, dann definiere auch in der Richtlinie, dass Kennwörter mit zwei Zeichen erlaubt sind.
Gruß
das ist ganz einfach: "Nicht definiert" ist nicht die korrekte Konfiguration. Du musst es schon definieren. Wenn Du also ein Kennwort mit nur zwei Zeichen erlauben willst, dann definiere auch in der Richtlinie, dass Kennwörter mit zwei Zeichen erlaubt sind.
Gruß
1
Du musst die neue Policy auf allen DCs anwenden.
"Struktur neu gestartet" heißt was? Alle DCs?
Du solltest auf allen DCs per
prüfen, ob die neuen Einstellungen schon wirken.
"Struktur neu gestartet" heißt was? Alle DCs?
Du solltest auf allen DCs per
gpresult /h output.html && output.html
Wow! Danke für die schnelle Hilfe!
@Hubert.N:
Das wars! Danke! Ist ja auch logisch... wenn nix definiert ist, kann es nicht gehen...
@DerWoWusste:
Ich hab nur einen DC...Mit "Struktur neu gestartet" meinte ich, ich habe mein Testsetup neu gestartet. DC Server, WTS Server und Client PC.
Danke! Ist gelöst!
@Hubert.N:
Das wars! Danke! Ist ja auch logisch... wenn nix definiert ist, kann es nicht gehen...
@DerWoWusste:
Ich hab nur einen DC...Mit "Struktur neu gestartet" meinte ich, ich habe mein Testsetup neu gestartet. DC Server, WTS Server und Client PC.
Danke! Ist gelöst!
Moin,
alles was nicht definiert ist, ist standard.
Und die Mindestlänge macht Dir vermutlich einen Strich durch die Rechnung.
Mit muss man danach auch nicht warten oder sich abmelden.
Hinweise1: Nie eine Domäne mit .local verwenden.
Das war damals schon eine doofe Idee von Microsoft und ist es immer noch.
Auch wenn es nur ein Test ist.
Nimm ad.firma.de
Hinweise2: Ich würde das mit den Kennwörtern nicht machen.
Ich arbeite auch für Ärzte die da am liebsten nix, 0 oder zahn drin stehen haben wollen.
Ich konnte aber aller überreden zumindest ein Trivialkennwort zu verwenden. z.B. "bienE".
Ist kein Superkennwort, aber einen neugirigen Patienten hält das schon auf.
Stefan
Update: Ich bin zu alt und zu langsam...
alles was nicht definiert ist, ist standard.
Und die Mindestlänge macht Dir vermutlich einen Strich durch die Rechnung.
Mit
gpupdate /forceHinweise1: Nie eine Domäne mit .local verwenden.
Das war damals schon eine doofe Idee von Microsoft und ist es immer noch.
Auch wenn es nur ein Test ist.
Nimm ad.firma.de
Hinweise2: Ich würde das mit den Kennwörtern nicht machen.
Ich arbeite auch für Ärzte die da am liebsten nix, 0 oder zahn drin stehen haben wollen.
Ich konnte aber aller überreden zumindest ein Trivialkennwort zu verwenden. z.B. "bienE".
Ist kein Superkennwort, aber einen neugirigen Patienten hält das schon auf.
Stefan
Update: Ich bin zu alt und zu langsam...
Nochmal zur Verdeutlichung:
"Nicht definiert" ist nicht die korrekte Konfiguration. Du musst es schon definieren
Wenn in der DDP nichts definiert wird, nehmen die DCs, was in Ihrer lokalen Policy steht, und da sind Werte vordefiniert.
@StefanKittel:
Danke für den Hinweis. Der Domänenname ist ja eigentlich völlig frei wählbar, oder gibt es irgendwann mal ein Problem, wenn der Kunde die Domain "im Haus" auch als Internetdomain hat? Ich meine jetzt, Kunde hat intern wie vorgeschlagen firma.de hat aber im Internet www.firma.de und vielleicht auch noch als Exchange bzw. Microsoft 365...
Mit den Kennwörtern werde ich mal versuchen, aber, manche Leute sind halt stur...
Danke für den Hinweis. Der Domänenname ist ja eigentlich völlig frei wählbar, oder gibt es irgendwann mal ein Problem, wenn der Kunde die Domain "im Haus" auch als Internetdomain hat? Ich meine jetzt, Kunde hat intern wie vorgeschlagen firma.de hat aber im Internet www.firma.de und vielleicht auch noch als Exchange bzw. Microsoft 365...
Mit den Kennwörtern werde ich mal versuchen, aber, manche Leute sind halt stur...
Bei .local gibt es durchaus praktische Probleme mit Geräten von Apple.
Siehe https://support.apple.com/de-de/HT207511
Wenn Du firma.de für das AD verwendest kannst Du Deine Homepage von intern nicht mehr aufrufen.
Zumindest nicht ohne manuelle DNS-Einträge.
Stefan
Siehe https://support.apple.com/de-de/HT207511
Wenn Du firma.de für das AD verwendest kannst Du Deine Homepage von intern nicht mehr aufrufen.
Zumindest nicht ohne manuelle DNS-Einträge.
Stefan
Abhilfe schafft, einfach .ad.firma.de zu verwenden, wie der Kollege oben schon gesagt hat, also eine beliebige Subdomain deiner Firmenhomepage, so machen wir es derzeit bei allen Kunden. Firma.de würde gehen, aber dann musst du auch alles, was von intern erreichbar sein soll, im DNS als Host anlegen, als www muss z.B. auf die IP des Providers verweisen. Problematisch wirds dann bei http://firma.de ohne Host Prefix.
Bezüglich Kennwörtern kannst du die sturen Personen ja mal Fragen ob sie es toll finden würden, wenn ein Virus, den ein unachtsamer Kollege anklickt, sämtliche Dateien verschlüsselt, die nicht mit einem Kennwort geschützt sind, und die Daten nur gegen eine Gebühr von 5000 Euro in Bitcoin oder mehr wieder rausgerückt werden. Das ist ein sehr wahrscheinliches Szenario, das schon mehrere Firmen zerlegt hat.
Kein Kennwort ist einfach keine Option mehr im Jahr 2022, so dermaßen leichtsinnig sollte keiner mehr sein, schon gar nicht, wenn es sich um Daten handelt, die unter das BDSG fallen.
Bezüglich Kennwörtern kannst du die sturen Personen ja mal Fragen ob sie es toll finden würden, wenn ein Virus, den ein unachtsamer Kollege anklickt, sämtliche Dateien verschlüsselt, die nicht mit einem Kennwort geschützt sind, und die Daten nur gegen eine Gebühr von 5000 Euro in Bitcoin oder mehr wieder rausgerückt werden. Das ist ein sehr wahrscheinliches Szenario, das schon mehrere Firmen zerlegt hat.
Kein Kennwort ist einfach keine Option mehr im Jahr 2022, so dermaßen leichtsinnig sollte keiner mehr sein, schon gar nicht, wenn es sich um Daten handelt, die unter das BDSG fallen.
Moin,
also, da mein Kunde seine Homepage als www.firmaA-firmaB.de betreibt, würde es gehen, wenn ich die Domain intern einfach als firmaA.de betreibe? Bisher läuft die Domain als firmaA.local.
Dann sollten wir ja an sich gar kein Problem haben, oder?
Mit den Kennwörtern spreche ich an, danke @rzlbrnft
also, da mein Kunde seine Homepage als www.firmaA-firmaB.de betreibt, würde es gehen, wenn ich die Domain intern einfach als firmaA.de betreibe? Bisher läuft die Domain als firmaA.local.
Dann sollten wir ja an sich gar kein Problem haben, oder?
Mit den Kennwörtern spreche ich an, danke @rzlbrnft
firmaA.de kann zu Problemen führen. (Vor allem, wenn dein Kunde nicht Besitzer der Domain firmaA.de ist)
Besser ist in diesem Fall z.b.
Besser ist in diesem Fall z.b.
ad.firmaA-firmaB.de
Ich glaube, ich gehe einfach auf firmaA.zz... das sollte an sich alle Probleme beseitigen, oder?
Moin
nein... Wenn Du die Domain neu aufsetzt, dann gilt, dass Du eine Subdomain zur TLD nimmst.
Also bei Dir dann eben ad.firma1-firmaB.de oder auch local.firma1-firmaB.de
Den Teil vorne kannst Du Dir aussuchen. Die TLD-Domäne an sich sollte aber schon stimmen.
Das so zu tun, dafür gibt es zahlreiche Gründe. MDNS, Zertifikate, AD_Connect (...).
Solltest Du die Domäne aber nur migrieren wollen, so würde ich - solange Du keines dieser Probleme hast - einfach bei
der .local-Domain bleiben. In 99% aller Fälle wird das Thema "keine .local-Domain" einfach zu heiß gekocht.
aber
Gruß
nein... Wenn Du die Domain neu aufsetzt, dann gilt, dass Du eine Subdomain zur TLD nimmst.
Also bei Dir dann eben ad.firma1-firmaB.de oder auch local.firma1-firmaB.de
Den Teil vorne kannst Du Dir aussuchen. Die TLD-Domäne an sich sollte aber schon stimmen.
Das so zu tun, dafür gibt es zahlreiche Gründe. MDNS, Zertifikate, AD_Connect (...).
Solltest Du die Domäne aber nur migrieren wollen, so würde ich - solange Du keines dieser Probleme hast - einfach bei
der .local-Domain bleiben. In 99% aller Fälle wird das Thema "keine .local-Domain" einfach zu heiß gekocht.
Wenn Du firma.de für das AD verwendest kannst Du Deine Homepage von intern nicht mehr aufrufen.
Ja... das stimmt...aber
Zumindest nicht ohne manuelle DNS-Einträge.
Wie oft zieht man seine Webpräsenz um??Gruß
Moin,
das Problem ist eher, dass besonders die ganz großen Anbieter hin und wieder mal die öffentlichen IPs ändern und Dir nicht Bescheid sagen.
Ich sehe das aber auch so wie Ihr.
Wenn es eine bestehende Domäne wie firma.local gibt und alles funktioniert muss man das jetzt nicht ändern.
Wenn man aber eh was neues macht sollte man ad.firma.de verwenden. sind ja sogar 3 Buchstaben weniger.
Stefan
das Problem ist eher, dass besonders die ganz großen Anbieter hin und wieder mal die öffentlichen IPs ändern und Dir nicht Bescheid sagen.
Ich sehe das aber auch so wie Ihr.
Wenn es eine bestehende Domäne wie firma.local gibt und alles funktioniert muss man das jetzt nicht ändern.
Wenn man aber eh was neues macht sollte man ad.firma.de verwenden. sind ja sogar 3 Buchstaben weniger.
Stefan
Ich kann zumindest sagen, das wir seit 15 Jahren .local verwenden und damit bisher auch keine Probleme hatten. Wir binden aber auch keine Apple Geräte ins Domänennetzwerk ein.
Maximal befinden sich mal Apple Handys im Netz, die per Radius mit dem Windows User authentifiziert werden.
Maximal befinden sich mal Apple Handys im Netz, die per Radius mit dem Windows User authentifiziert werden.
