Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Domäne: Passwort entspricht nicht den Komplexitätsvoraussetzungen

Mitglied: Aiden3301

Aiden3301 (Level 1) - Jetzt verbinden

24.07.2019 um 10:46 Uhr, 495 Aufrufe, 14 Kommentare, 2 Danke

Moin liebes Forum.

in meiner (mittlerweile) vorhandenen Verzweiflung wollte ich mein Problem einfach mal in die Runde schmeißen. (Achtung: Text relativ lang)

Zum Rahmen: Ich betreibe eine Domäne mit Windows Server 2019 und die Clients laufen unter Windows 10 Pro.

Ich habe derzeit das Problem, dass sämtliche User innerhalb einer Domäne Ihr Passwort nicht ändern können, da dieses Laut Windows nicht den Komplexitätsvoraussetzungen entsprechen würde. Selbst Passwörter (egal ob jetzt mit oder ohne Sonderzeichen) wie z.B. "V1nd1cation" oder "8WBtwak7#" werden als angeblich nicht den Richtlinien entsprechend bewertet.

Zu den GPOs: Es existieren derzeit 2 aktive Gruppenrichtlinien in der Domäne. Eine davon ist die Default Domain Policy, die andere die RoamingProfile Policy, über welche die Domänenbenutzer Ihre Einstellungen, u.a. dass es eben Remoteprofile sind, erhalten. Die Sicherheitsfilterung der Roaming Policy ist auch nur auf die Roaming Profile eingestellt, jedoch deligierend auf die authentifizierten Benutzer. Die Verknüpfungsreihenfolge sieht vor, dass die Default Policy zu erst, und danach die Roaming Policy verknüpft wird. Ich habe bereits testweise bei der betreffenden Richtlinie die Komplexitätsvoraussetzung auf "deaktiviert", das min. Kennwortalter auf "0" und die Kennwortchronik ebenfalls auf "0" gestzt. (So gut wie alle sinnvollen Varianten habe ich ebenfalls probiert) Ich habe es ebenfalls entgegen der Microsoft Empfehlungen an der Default Domain Policy alles auf "Nicht definiert", oder eben auf die oben genannten Werten gesetzt, leider ebenfalls ohne positives Ergebnis.

gpresult auf den Clients zeigt, dass die betreffende Sicherheitsgruppe angenommen worden sind und laut rsop.msc werden die GPOs ebenfalls (mit den eingetragenen Werten) korrekt übernommen.

Vielleicht hat ja jemand von Euch bereits diese Erfahrung machen müssen und weiß eventuell, wie man das lösen kann. Soweit: Vielen Dank für deine Mithilfe und danke, dass du bis hier hin gelesen hast.
Mitglied: DerWoWusste
24.07.2019 um 11:33 Uhr
Moin.

Beschreibe doch bitte, seit wann das auftritt. Hast Du etwas geändert?
War jemals eine Länge von 12 oder höher gefordert?

Ich habe sowas erst einmal erlebt in einer Testdomäne, in der ich mit opensource-Lösungen zur erweiterten Komplexitätsanforderung getestet hatte, und diese alles zerstörten (irreversibel).
Bitte warten ..
Mitglied: Spirit-of-Eli
24.07.2019 um 11:48 Uhr
Moin,

ich hatte tatsächlich mal ein ähnliches Problem.
Dort konnten die User das Kennwort nur noch ändern, wenn die Kennwort Komplexität rausgenommen war.
Das spielte sich in einer 2016er Domäne ab.
Den Grund konnte ich damals nicht finden.

Gruß
Spirit
Bitte warten ..
Mitglied: Aiden3301
24.07.2019, aktualisiert um 12:27 Uhr
Moin DerWoWusste,

der "Fehler" tritt seit Erstellung der Nutzerkonten (bzw. der zu der Gruppe "RoamingProfile" zugehörigen Nutzer) auf. Ich habe auch bereits versucht, das Passwort bei einem Domänenbenutzer und -computer zu ändern, welche jeweils ausschließlich der Gruppe "Standard Domänencomputer / -benutzer" zugeordnet waren.

Geändert habe ich halt "nur" dass es eine neue GPO mit den entsprechenden Einstellungen für Remoteprofile gibt. (Einstellungen wurden bei den Computerrichtlinien vorgenommen) Des weiteren habe ich im AD einen dezidierten Container für die Remoteprofile erstellt. Ich habe diese auch testweise wieder in den Standard Container "Users" verschoben. Jedoch alles mit dem selben negativen Ergebnis.

Eine Länge von 12 oder größer dagegen habe ich bei meinen Versuchen nie gefordert. Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.

Ich danke dir schon jetzt für deine Mithilfe
Bitte warten ..
Mitglied: DerWoWusste
24.07.2019 um 12:58 Uhr
Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.
Das hat damit leider gar nichts zu tun. Diese Anforderungen prüft der DC - wenn, dann ist auf dem DC etwas zerschossen.

Prüfe zunächst mal bei allen DCs, per Befehl (auf dem elevated command prompt)
01.
gpresult /h  %temp%\results.html & %temp%\results.html
welche Kompl.einstellungen dort gelten und von welcher GPO die kommen - nur diese zählen.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 24.07.2019, aktualisiert um 13:30 Uhr
Hi,
wo hast Du die GPO mit dieser Einstellung zur Passwortrichtlinine verlinkt?
Falls an einer OU: --> geht nicht
Diese muss an der Domäne verlinkt sein. Und sie muss für "Authentifitzierte Benutzer" oder "Jeder" gelten.

Besser sind PSO-Objekte. (Password Settings Object)

E.
Bitte warten ..
Mitglied: Aiden3301
24.07.2019, aktualisiert um 15:24 Uhr
DerWoWusste, hab den Befehl mal durchlaufen lassen. Laut der Auswertung übernimmt der DC korrekterweise die Deaktivierte Komplexitätseinstellung. Die betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen. Weitere Einstellungen, die übernommen werden sind mir leider nicht ersichtlich.

Moin emeriks, ja die GPO habe ich mit der Domäne verlinkt. (Jedenfalls nach meinem Verständnis. Muss ich da eventuell noch was anderes machen?)
gpo - Klicke auf das Bild, um es zu vergrößern

Vielen Dank für Eure Hilfe. LG
Bitte warten ..
Mitglied: DerWoWusste
24.07.2019 um 15:34 Uhr
Die betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen
Das ist ok so.
Ist das der einzige DC? Wenn nicht der Einzige, was sagen die anderen DCs, das Selbe?
Bitte warten ..
Mitglied: Aiden3301
24.07.2019, aktualisiert um 16:26 Uhr
PROBLEMO FINITO!!!!!!

In der OU System > Password Settings Container einfach per Rechtsklick ne neue Kennworteinstellung erstellen, der Sicherheitsgruppe zuweisen und es läuft.

1000 Dank an dich emeriks und auch an dich DerWoWusste für Eure Unterstützung. Hab zwar immer noch keine Ahnung woran genau das liegt, aber es läuft! Danke Euch!

MfG
Bitte warten ..
Mitglied: DerWoWusste
24.07.2019 um 15:36 Uhr
Das liegt daran, dass die PSOs, die Du so erstellst, immer Vorrang haben vor oldschool-Kennwortpolicies.
Kann man so "lösen". Ich würde dennoch versuchen aufzuklären, was das Problem ist.
Bitte warten ..
Mitglied: Aiden3301
24.07.2019 um 15:46 Uhr
Danke dir, gut zu wissen.

Da muss ich dir zustimmen. Jedoch kann ich das leider (mit meinem bisherigen Verständnis) nur mit guten Leuten wie dir oder dem Forum. Zu deiner vorangegangen Frage: Ja, dies ist der Einzige DC in der Domäne.
Bitte warten ..
Mitglied: DerWoWusste
24.07.2019 um 15:54 Uhr
Dann ist das sehr rätselhaft. Ich würde den nächsten Neustart des DCs abwarten und dann sehen, was ob auch ohne PSOs wieder Kennwörter wie erwartet angenommen werden.
Bitte warten ..
Mitglied: Aiden3301
24.07.2019 um 17:08 Uhr
Hab das Ganze mal eben beschleunigt. (Weiß aber nicht ob das deine Intention war.) Hab die PSO rausgenommen, den DC neu gestartet und beim Client (um sicher zu gehen) ein gpupdate gemacht. Jedoch weigert sich Windows nun erneut das Passwort wegen Komplexität usw. zu ändern. Hab deinen gpresult Befehl mal auf einem Client durchlaufen lassen. Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
Bitte warten ..
Mitglied: DerWoWusste
24.07.2019 um 18:23 Uhr
Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
[Ich schrieb ja schon, es geht NUR um die DCs. Was auf den Clients angewendet wird, hat auf Domänenkonten keinen Einfluss.]

Tja, ist schon komisch. Wenn weiterhin über den GPResult-Befehl auf dem DC keine andere als die erwarteten GPO mit den erwünschten Einstellungen für Kennwörter zieht, dann ist da etwas arg defekt. Du hast großes Glück, dass PSOs die GPOs überstimmen, sonst wäre Deine Domänen nun schrott.
Bitte warten ..
Mitglied: Aiden3301
25.07.2019 um 12:10 Uhr
Moin,

habe heute nochmal mit den GPOs (Roaming und Default Domain Policy) diverse Passwort-Einstellungen ausprobiert und nun werden diese ohne wenn und aber akzepiert. Scheinbar hat es nur einmalig einen Anstoß aus dem AD gebraucht.

Wieso das alles jetzt passiert ist ist mir nach wie vor unklar und das werde ich wahrscheinlich (und hoffentlich) nicht wieder so schnell replizieren können um weiter zu forschen, aber nun werden die PW Einstellungen in den GPOs akzeptiert.

Vielen Dank DerWoWusste für dein Fachwissen.

MfG
Bitte warten ..
Ähnliche Inhalte
Windows Server

Passwort vergeben, welches nicht den Richtlinen entspricht

gelöst Frage von Ghost108Windows Server4 Kommentare

Hallo zusammen, habe auf meinem Server einen lokalen Benutzer, welcher von mir ein Passwort gesetzt bekommen muss, welches NICHT ...

DNS

DynDNS-Ip entspricht nicht der des Routers

Frage von FischFussDNS3 Kommentare

Hallo zusammen, ich habe einen Linksys Smart WIFI Router. Da dieser nur kostenpflichtige DDNS-Dienste unterstützt habe ich den DynDNS ...

Windows Server

Windows Server 2012 - Passwort ändern

Frage von BirdyBWindows Server6 Kommentare

Hallo zusammen, ich habe da mal eine (zumindest gefühlt) richtig blöde Frage: Gegeben ist folgende Situation: Eine Mitarbeiterin arbeitet ...

Windows 7

Admin Passwort vergessen unter Windows 7

Frage von StewieWindows 76 Kommentare

Hallo Admins Gibt es eine Möglichkeit das Adminpasswort unter Windows 7 Pro zurück zusetzten ohne Windows neu zu installieren? ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1014 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Windows Server
Nachfolger von Windows Home Server?
gelöst Frage von SnowbirdWindows Server13 Kommentare

Hallo, gibt es eigentlich ein Nachfolger von Windows Home Server oder etwas vergleichbares? Snowbird