Seltsames Verhalten: Kennwortänderung in Domäne
Guten Morgen Admins,
seit längerem Suche ich nach der Lösung, finde aber nichts passendes...
Wenn Kollegen (Domänenbenutzer) versuchen, ihr Kennwort zu ändern, erhalten sie die Meldung:
Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien [...]
Nun zu unseren Einstellungen der DDP bzgl. Kennwörter:
-Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
-Kennwortchronik erzwingen\ngespeicherte Kennwörter: 0 gespeicherte Kennwörter
-Kennwörter mit umkehrbarer Verschlüsselung speichern: deaktiviert
das war es auch schon... Seit ca. einem Jahr arbeiten wir noch mit PSOs, die jedoch nur bestimmte Gruppen zugeordnet werden. In diesem Beispiel können die PSOs nicht greifen.
Im Netz gibt es einige Leidensgenossen, jedoch ohne wirkliche Problembeseitigung...
Gruß
N
PS: Im Userobject ist der Haken "Benutzer kann Kennwort nicht ändern" NICHT selektiert.
EDIT
http://www.mcseboard.de/topic/193666-das-kennwort-kann-nicht-aktualisie ...
http://social.technet.microsoft.com/Forums/windowsserver/en-US/e67d2625 ...
seit längerem Suche ich nach der Lösung, finde aber nichts passendes...
Wenn Kollegen (Domänenbenutzer) versuchen, ihr Kennwort zu ändern, erhalten sie die Meldung:
Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien [...]
Nun zu unseren Einstellungen der DDP bzgl. Kennwörter:
-Kennwort muss Komplexitätsvoraussetzungen entsprechen: Aktiviert
-Kennwortchronik erzwingen\ngespeicherte Kennwörter: 0 gespeicherte Kennwörter
-Kennwörter mit umkehrbarer Verschlüsselung speichern: deaktiviert
das war es auch schon... Seit ca. einem Jahr arbeiten wir noch mit PSOs, die jedoch nur bestimmte Gruppen zugeordnet werden. In diesem Beispiel können die PSOs nicht greifen.
Im Netz gibt es einige Leidensgenossen, jedoch ohne wirkliche Problembeseitigung...
Gruß
N
PS: Im Userobject ist der Haken "Benutzer kann Kennwort nicht ändern" NICHT selektiert.
EDIT
http://www.mcseboard.de/topic/193666-das-kennwort-kann-nicht-aktualisie ...
http://social.technet.microsoft.com/Forums/windowsserver/en-US/e67d2625 ...
Please also mark the comments that contributed to the solution of the article
Content-ID: 227361
Url: https://administrator.de/contentid/227361
Printed on: December 2, 2024 at 16:12 o'clock
17 Comments
Latest comment
Guten Morgen @Belloci,
zusätzlich zum Tipp von @DerWoWusste,
versuchen die User evtl. Ihren Namen ins Kennwort einzubauen?
Wenn im Kennwort der Name des Users enthalten ist, kommt auch diese Fehlermeldung.
Was passiert wenn du mal das "MS Lehrbuch-Passwort" - C0mplex123 von Microsoft probierst?
Geht es mit diesem Kennwort, oder auch nicht?
Gruß
@kontext
zusätzlich zum Tipp von @DerWoWusste,
versuchen die User evtl. Ihren Namen ins Kennwort einzubauen?
Wenn im Kennwort der Name des Users enthalten ist, kommt auch diese Fehlermeldung.
Was passiert wenn du mal das "MS Lehrbuch-Passwort" - C0mplex123 von Microsoft probierst?
Geht es mit diesem Kennwort, oder auch nicht?
Gruß
@kontext
Ok, dann kann es eigentlich nur zwei Ursachen haben:
Entweder (sehr sehr unschön), auf dem DC ist etwas defekt (hatte ich auch schon exakt so, konnte nicht behoben werden! Ursache war rumexperimentieren mit einer Passwortfilter-dll - jedoch nur Testdomäne)
Oder (hoffentlich): Du hast Replikationsprobleme und bist mit einem DC verbunden, der andere Kennwortrichtlinien (veraltete) hält. Prüf also, welcher derzeit Dein Logonserver ist, melde Dich danach bei diesem Server an und führe am Server rsop.msc durch, um die Policy zu prüfen.
Entweder (sehr sehr unschön), auf dem DC ist etwas defekt (hatte ich auch schon exakt so, konnte nicht behoben werden! Ursache war rumexperimentieren mit einer Passwortfilter-dll - jedoch nur Testdomäne)
Oder (hoffentlich): Du hast Replikationsprobleme und bist mit einem DC verbunden, der andere Kennwortrichtlinien (veraltete) hält. Prüf also, welcher derzeit Dein Logonserver ist, melde Dich danach bei diesem Server an und führe am Server rsop.msc durch, um die Policy zu prüfen.
Moin.
Wenn ich Dich richtig verstehe, hat sich die Policy nicht korrekt repliziert - warum sonst sollte rsop auf den DCs verschiedene Ausgaben machen? Sag bitte nochmal genau, was "rsop mit dem User" bedeuten soll. Der User interessiert hier nicht die Bohne, da es eine Computerpolicy ist. Einfach als Admin rsop.msc starten und Usereinstellungen skippen.
Vergleiche bitte auf beiden DCs die Passworteinstellungen der DDP.
Wenn ich Dich richtig verstehe, hat sich die Policy nicht korrekt repliziert - warum sonst sollte rsop auf den DCs verschiedene Ausgaben machen? Sag bitte nochmal genau, was "rsop mit dem User" bedeuten soll. Der User interessiert hier nicht die Bohne, da es eine Computerpolicy ist. Einfach als Admin rsop.msc starten und Usereinstellungen skippen.
Vergleiche bitte auf beiden DCs die Passworteinstellungen der DDP.
Trotz Replikationsproblemen: Wenn der DC2 gar keine hält, dürfte an diesem auch keine Restriktion kommen (es sei denn auf DC2 spuckt er für den User plötzlich eine PSO aus! - teste dies)
Stell also mal sicher mit dem Kommando echo %logonserver%, dass Du an DC2 angemeldet bist und ändere das Kennwort. Wenn DC1 Dein Logonserver ist, melde Dich an anderen rechnern so lange an, bis Dc2 als Ausgabe kommt.
Stell also mal sicher mit dem Kommando echo %logonserver%, dass Du an DC2 angemeldet bist und ändere das Kennwort. Wenn DC1 Dein Logonserver ist, melde Dich an anderen rechnern so lange an, bis Dc2 als Ausgabe kommt.