beta-way-of-life
Goto Top

Server 2003 - Kennwortrichtlinien für eine OU deaktivieren

Hallo Leute,

ich brauche wieder mal eure Hilfe. ;)

Ich sitz gerade bei unserem DC und versuche verzweifelt die Kennwortrichtlinien für eine einzelne OU zum deaktivieren. (Default is AN)
Ich hab für diese OU die Vererbung deaktiviert und eine neue GPO ohne Kennwortrichtlinien erstellt.

Leider greift das ganze aber nicht, hat jemand eine Idee warum?

Danke.

mfg

Content-ID: 183961

Url: https://administrator.de/forum/server-2003-kennwortrichtlinien-fuer-eine-ou-deaktivieren-183961.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

d4shoerncheN
d4shoerncheN 23.04.2012 um 13:10:11 Uhr
Goto Top
Hallo,

hat er - wie du es beschreibst -die Richtlinie nicht gezogen, oder funktioniert sie nur nicht?
beta-way-of-life
beta-way-of-life 23.04.2012 um 13:20:20 Uhr
Goto Top
Hi,

also soweit ich das jetzt sehe (gpresult) zieht er die entsprechende Policy nicht......
gpupdate hab ich gemacht.

Er bekommt die beiden anderen Policys und die Default Domain Policy. Aber meine nicht.

mfg
d4shoerncheN
d4shoerncheN 23.04.2012 um 13:34:40 Uhr
Goto Top
Hey,

hmm okay. Kannst ja einmal Stichwortartig erklären, was genau du bereits gemacht hast - evtl. lässt sich so ein kleiner Konfigurationsfehler feststellen.
beta-way-of-life
beta-way-of-life 23.04.2012 um 13:39:17 Uhr
Goto Top
  • OU erstellt: OU=MDE OU=Firma Intern
  • User in die OU "MDE" verschoben
  • Neue Policy für diese OU angelegt (Keine Passwortrichtlinien) -> "Kennwort muss Komplexitätsvoraussetzungen entsprechen: Deaktiviert
  • Haken bei "Erzwungen" gesetzt
  • Vererbung für "MDE" deaktiviert
  • Am Client neu angemeldet und zusätzlich noch ein gpupdate gemacht

Leider bekommt der Client immer noch die Default.......
d4shoerncheN
d4shoerncheN 23.04.2012 um 13:50:06 Uhr
Goto Top
Hmmm, auch mal mit "gpupdate /force" versucht? Sind die Objekte richtig verknüpft?

NACHTRAG
Gerade gelesen, dass es sich um einen Windows Server 2003 handelt. Meiner Meinung nach ist es bei der Version nur möglich, EINE gültige Kennwort-Policy zu verwenden. Erst ab Version 2008 hat MS dies geändert, dass man Kennwortrichtlinien auch für Gruppen, Benutzer etc. über GPO steuer kann.

NACHTRAG 2
Habe gerade nach meiner Vermutung im Netz gesucht und bin auf Folgendes gestoßen: Hier ein Zitat von gruppenrichtlinien.de
Active Directory hat bis einschließlich Windows Server 2003 die Einschränkung, nur eine einzige für die ganze Domäne gültige Passwortrichtlinie definieren zu können. Eine Passwortrichtlinie wirkte somit für alle Benutzer in der Domäne verbindlich – Ausnahmen, um für weitere Benutzer andere Einstellungen definieren zu können gab es nicht. Das war ziemlich einschränkend, zumal man sicherlich für einige Benutzergruppen andere Richtlinien vergeben möchte als für den Rest des Unternehmens. Ausweg waren bisher nur 3rd-Party-Tools die dieses "Feature" nachrüsten können oder die Aufsplittung eines Unternehmenszweiges in eine zusätzliche Domäne.
beta-way-of-life
beta-way-of-life 23.04.2012 um 14:11:20 Uhr
Goto Top
Ja, hab ich versucht.
Ja, sollte alles passen. Ist gleich wie die anderen......
d4shoerncheN
d4shoerncheN 23.04.2012 um 14:27:15 Uhr
Goto Top
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.
beta-way-of-life
beta-way-of-life 23.04.2012 um 14:39:37 Uhr
Goto Top
Zitat von @d4shoerncheN:
Wie in meinen beiden Nachträgen beschrieben, funktioniert dein Vorhaben unter Windows Server 2003 nicht.

Ah OK, danke für die Info!
Aber warum ich die Policy nicht ziehe verstehe ich trotzdem nicht......

Das is doch noch ein anderes Problem oder?
d4shoerncheN
d4shoerncheN 23.04.2012 um 14:42:24 Uhr
Goto Top
Vielleicht ignoriert er diese, Aufgrund der Inkompatibilität. Versuch doch mal, irgendeine andere Einstellung dort zu hinterlegen und mit "gpupdate /force" auf dem Client abzurufen.
SirAnimus
SirAnimus 23.04.2012 um 16:33:27 Uhr
Goto Top
Also über GPO kannst du so was nicht einstellen.

Da alle User über den DC laufen muss auch dort alles geändert werden.

Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen.

Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen.
Diesen findest du auf dem DC.

Habe das mal eben bei Google gefunden:
http://blog.iteach-online.de/index.php/2009/11/mehrere-kennwortrichtlin ...

Aber aufgepasst mit dem ADSI Editor gehst du direkt in die Konfiguration des Active Directory rein und kannst so schnell was kaputt machen.


Hoffe mal das hilft dir so

MFG


Edit:

Noch ein wichtiger Hinweis:

Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen.

Also nicht mit einer OU.
DerWoWusste
DerWoWusste 23.04.2012 um 21:19:59 Uhr
Goto Top
Hi SirAnimus.

Du streust leider einen guten Mix aus Wissen und Halbwissen garniert mit Fehlinfos. Ich schätze nicht, dass Du Dir mit Deinen Auskünften sicher warst - und das sollte man dann zumindest dazu schreiben.
Also...
Da alle User über den DC laufen muss auch dort alles geändert werden
Korrekt. Bis 2003 Server konnte man die Kennwortrichtlinie für Domänenkonten nur auf die OU mit den DCs anwenden.
Wenn du die GPO so zuweist sagst du nur das lokale Accounts für PCs in der OU "MDE" keine Komplexität haben müssen
Auch korrekt. Weitere Richtlinien sind möglich, sofern man auch definiert, dass sie nicht von der anderen Policy überschrieben werden. Für lokale Konten gehen demnach also jederzeit mehrere Richtlinien, auch bei 2003 schon.
Aber nun kommt's:
Da Microsoft aber kein einfaches Tool eingebaut hat dies zu ändern musst du das über den ADSI Editor machen
Du fängst hier an, PSOs zu beschreiben - diese gibt es jedoch erst seit 2008 Server.
Die Kennwortrichtlinien lassen sich nur mit Benutzerobjekten, InetOrgPerson-Objekten und globalen Sicherheitsgruppen verknüpfen. Also nicht mit einer OU.
Wenn man weiter von 2003 bei ihm ausgeht, ist auch der Satz sogar komplett falsch.