michmeie
Goto Top

PSO Kennwortrichtlinie greift nicht?

Hallo Zusammen

Ich versuche gerade bei uns eine sinnvolle Passwortrichtlinie für unsere Mitarbeiter durchzusetzen. Bin nach folgender Anleitung vorgegangen: http://www.gruppenrichtlinien.de/index.html?/Vista/Mehere_Kennwortricht ...

Jedoch weiss ich nicht ob diese Policy wirklich greift, bei Tests greift z.B. die Komplexitätsrichtlinie, wenn ich mir jedoch das maximale Kennwortalter anschaue, dann wird das auf 43 Tage gesetzt obwohl ich 180 Tage konfiguriert habe. Andere Passwortrichtlinien in der Domäne sind mir nicht bekannt. Da dies keine eigentliche GPO ist, kann ich mit gpresult nicht prüfen ob sie greift.

Kennt da jemand mehr darüber?

Freundliche Grüsse
Michael

Content-ID: 193720

Url: https://administrator.de/forum/pso-kennwortrichtlinie-greift-nicht-193720.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

DerWoWusste
DerWoWusste 05.11.2012 um 10:28:40 Uhr
Goto Top
MOin.

Zur Erleichterung der Arbeit nimm dies: http://www.parhelia-tools.com/products/ppm/Download.aspx?id=ppm.exe - seriöse Freeware dafür. Zeigt auch an, ob/welche PSO auf einem Nutzerobjekt greift. Als Dom-Admin auf dem DC oder Client auszuführen.
michmeie
michmeie 05.11.2012 um 10:54:12 Uhr
Goto Top
Hi

Danke für den Tipp.
Es zeigt an, dass die PSO von der Benutzergruppe angewendet wird, jedoch erklärt es die Ablaufzeit von 43d weiterhin nicht, es ist jedenfalls nichts ersichtlich, hmm?
michmeie
michmeie 05.11.2012 um 11:17:41 Uhr
Goto Top
hab das jetzt nochmals durchgetestet, die PSO scheint zu funktionieren. Änderungen an der Komplexität oder der Kennwortlänge werden sofort angenommen, nur die 180d wollen irgendwie nicht.
DerWoWusste
DerWoWusste 05.11.2012 um 12:37:57 Uhr
Goto Top
...ok...
wenn ich mir jedoch das maximale Kennwortalter anschaue, dann wird das auf 43 Tage gesetzt
Wo siehst Du das?
michmeie
michmeie 05.11.2012 um 12:39:23 Uhr
Goto Top
net user xy /Domain

zudem habe ich ein Skript, dass die User per Mail vor abgelaufenen Passwörtern warnt, auch das sieht es so
DerWoWusste
DerWoWusste 05.11.2012 um 12:56:13 Uhr
Goto Top
net user xy /Domain
Sagt leider nichts aus, denn net user kennt keine PSOs!
Und was macht Dein Skript für eine Prüfung? Vermutlich auch inkompatibel mit PSOs.
michmeie
michmeie 05.11.2012 um 13:06:46 Uhr
Goto Top
mmmh, das wird es wohl sein, da muss also doch noch irgendwo eine policy stören.
-> gefunden face-smile

dann werde ich das wohl anpassen müssen
DerWoWusste
DerWoWusste 05.11.2012 um 13:24:01 Uhr
Goto Top
Ich weiß jetzt nichts mit diesem leztten Kommentar anzufangen.
Was für eine Policy stört(e)?
Ich wollte ausdrücken, dass Du mit net user nicht prüfen kannst, denn die net.exe kennt keine PSOs, ist also dazu untauglich.
michmeie
michmeie 05.11.2012 um 13:28:08 Uhr
Goto Top
genau, aber da ich trotzdem irgendwo 42 tage als maximales Passwortalter hatte, habe ich mich auf die Suche danach gemacht. Es gab noch eine Policy für den DC, dort war das hinterlegt.

Im Moment habe ich leider keine Zeit das Skript anzupassen, darum werde ich jetzt das maximale Passwortalter per GPO Domänenweit setzen.
DerWoWusste
DerWoWusste 05.11.2012 aktualisiert um 13:51:16 Uhr
Goto Top
Ich verstehe das noch immer nicht. Die PSO zählt. Was Dir die unfähigen Skripte / net user anzeigt, zählt nicht. Warum also per GPO das Alter setzen, wo es über die PSO bereits definiert ist?
michmeie
michmeie 05.11.2012 um 13:57:16 Uhr
Goto Top
weil die gpo in diese Angelegenheit auch noch hinein spielt, oder täusche ich mich da?
DerWoWusste
DerWoWusste 05.11.2012 um 14:01:53 Uhr
Goto Top
Ja, Du täuscht Dich________.