18
Windows Domäne: Passwort entspricht nicht den Komplexitätsvoraussetzungen
Moin liebes Forum.
in meiner (mittlerweile) vorhandenen Verzweiflung wollte ich mein Problem einfach mal in die Runde schmeißen. (Achtung: Text relativ lang)
Zum Rahmen: Ich betreibe eine Domäne mit Windows Server 2019 und die Clients laufen unter Windows 10 Pro.
Ich habe derzeit das Problem, dass sämtliche User innerhalb einer Domäne Ihr Passwort nicht ändern können, da dieses Laut Windows nicht den Komplexitätsvoraussetzungen entsprechen würde. Selbst Passwörter (egal ob jetzt mit oder ohne Sonderzeichen) wie z.B. "V1nd1cation" oder "8WBtwak7#" werden als angeblich nicht den Richtlinien entsprechend bewertet.
Zu den GPOs: Es existieren derzeit 2 aktive Gruppenrichtlinien in der Domäne. Eine davon ist die Default Domain Policy, die andere die RoamingProfile Policy, über welche die Domänenbenutzer Ihre Einstellungen, u.a. dass es eben Remoteprofile sind, erhalten. Die Sicherheitsfilterung der Roaming Policy ist auch nur auf die Roaming Profile eingestellt, jedoch deligierend auf die authentifizierten Benutzer. Die Verknüpfungsreihenfolge sieht vor, dass die Default Policy zu erst, und danach die Roaming Policy verknüpft wird. Ich habe bereits testweise bei der betreffenden Richtlinie die Komplexitätsvoraussetzung auf "deaktiviert", das min. Kennwortalter auf "0" und die Kennwortchronik ebenfalls auf "0" gestzt. (So gut wie alle sinnvollen Varianten habe ich ebenfalls probiert) Ich habe es ebenfalls entgegen der Microsoft Empfehlungen an der Default Domain Policy alles auf "Nicht definiert", oder eben auf die oben genannten Werten gesetzt, leider ebenfalls ohne positives Ergebnis.
gpresult auf den Clients zeigt, dass die betreffende Sicherheitsgruppe angenommen worden sind und laut rsop.msc werden die GPOs ebenfalls (mit den eingetragenen Werten) korrekt übernommen.
Vielleicht hat ja jemand von Euch bereits diese Erfahrung machen müssen und weiß eventuell, wie man das lösen kann. Soweit: Vielen Dank für deine Mithilfe und danke, dass du bis hier hin gelesen hast.
in meiner (mittlerweile) vorhandenen Verzweiflung wollte ich mein Problem einfach mal in die Runde schmeißen. (Achtung: Text relativ lang)
Zum Rahmen: Ich betreibe eine Domäne mit Windows Server 2019 und die Clients laufen unter Windows 10 Pro.
Ich habe derzeit das Problem, dass sämtliche User innerhalb einer Domäne Ihr Passwort nicht ändern können, da dieses Laut Windows nicht den Komplexitätsvoraussetzungen entsprechen würde. Selbst Passwörter (egal ob jetzt mit oder ohne Sonderzeichen) wie z.B. "V1nd1cation" oder "8WBtwak7#" werden als angeblich nicht den Richtlinien entsprechend bewertet.
Zu den GPOs: Es existieren derzeit 2 aktive Gruppenrichtlinien in der Domäne. Eine davon ist die Default Domain Policy, die andere die RoamingProfile Policy, über welche die Domänenbenutzer Ihre Einstellungen, u.a. dass es eben Remoteprofile sind, erhalten. Die Sicherheitsfilterung der Roaming Policy ist auch nur auf die Roaming Profile eingestellt, jedoch deligierend auf die authentifizierten Benutzer. Die Verknüpfungsreihenfolge sieht vor, dass die Default Policy zu erst, und danach die Roaming Policy verknüpft wird. Ich habe bereits testweise bei der betreffenden Richtlinie die Komplexitätsvoraussetzung auf "deaktiviert", das min. Kennwortalter auf "0" und die Kennwortchronik ebenfalls auf "0" gestzt. (So gut wie alle sinnvollen Varianten habe ich ebenfalls probiert) Ich habe es ebenfalls entgegen der Microsoft Empfehlungen an der Default Domain Policy alles auf "Nicht definiert", oder eben auf die oben genannten Werten gesetzt, leider ebenfalls ohne positives Ergebnis.
gpresult auf den Clients zeigt, dass die betreffende Sicherheitsgruppe angenommen worden sind und laut rsop.msc werden die GPOs ebenfalls (mit den eingetragenen Werten) korrekt übernommen.
Vielleicht hat ja jemand von Euch bereits diese Erfahrung machen müssen und weiß eventuell, wie man das lösen kann. Soweit: Vielen Dank für deine Mithilfe und danke, dass du bis hier hin gelesen hast.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 476924
Url: https://administrator.de/contentid/476924
Printed on: April 23, 2024 at 07:04 o'clock
18 Comments
Latest comment
Moin.
Beschreibe doch bitte, seit wann das auftritt. Hast Du etwas geändert?
War jemals eine Länge von 12 oder höher gefordert?
Ich habe sowas erst einmal erlebt in einer Testdomäne, in der ich mit opensource-Lösungen zur erweiterten Komplexitätsanforderung getestet hatte, und diese alles zerstörten (irreversibel).
Beschreibe doch bitte, seit wann das auftritt. Hast Du etwas geändert?
War jemals eine Länge von 12 oder höher gefordert?
Ich habe sowas erst einmal erlebt in einer Testdomäne, in der ich mit opensource-Lösungen zur erweiterten Komplexitätsanforderung getestet hatte, und diese alles zerstörten (irreversibel).
Moin,
ich hatte tatsächlich mal ein ähnliches Problem.
Dort konnten die User das Kennwort nur noch ändern, wenn die Kennwort Komplexität rausgenommen war.
Das spielte sich in einer 2016er Domäne ab.
Den Grund konnte ich damals nicht finden.
Gruß
Spirit
ich hatte tatsächlich mal ein ähnliches Problem.
Dort konnten die User das Kennwort nur noch ändern, wenn die Kennwort Komplexität rausgenommen war.
Das spielte sich in einer 2016er Domäne ab.
Den Grund konnte ich damals nicht finden.
Gruß
Spirit
Moin DerWoWusste,
der "Fehler" tritt seit Erstellung der Nutzerkonten (bzw. der zu der Gruppe "RoamingProfile" zugehörigen Nutzer) auf. Ich habe auch bereits versucht, das Passwort bei einem Domänenbenutzer und -computer zu ändern, welche jeweils ausschließlich der Gruppe "Standard Domänencomputer / -benutzer" zugeordnet waren.
Geändert habe ich halt "nur" dass es eine neue GPO mit den entsprechenden Einstellungen für Remoteprofile gibt. (Einstellungen wurden bei den Computerrichtlinien vorgenommen) Des weiteren habe ich im AD einen dezidierten Container für die Remoteprofile erstellt. Ich habe diese auch testweise wieder in den Standard Container "Users" verschoben. Jedoch alles mit dem selben negativen Ergebnis.
Eine Länge von 12 oder größer dagegen habe ich bei meinen Versuchen nie gefordert. Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.
Ich danke dir schon jetzt für deine Mithilfe
der "Fehler" tritt seit Erstellung der Nutzerkonten (bzw. der zu der Gruppe "RoamingProfile" zugehörigen Nutzer) auf. Ich habe auch bereits versucht, das Passwort bei einem Domänenbenutzer und -computer zu ändern, welche jeweils ausschließlich der Gruppe "Standard Domänencomputer / -benutzer" zugeordnet waren.
Geändert habe ich halt "nur" dass es eine neue GPO mit den entsprechenden Einstellungen für Remoteprofile gibt. (Einstellungen wurden bei den Computerrichtlinien vorgenommen) Des weiteren habe ich im AD einen dezidierten Container für die Remoteprofile erstellt. Ich habe diese auch testweise wieder in den Standard Container "Users" verschoben. Jedoch alles mit dem selben negativen Ergebnis.
Eine Länge von 12 oder größer dagegen habe ich bei meinen Versuchen nie gefordert. Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.
Ich danke dir schon jetzt für deine Mithilfe
Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.
Das hat damit leider gar nichts zu tun. Diese Anforderungen prüft der DC - wenn, dann ist auf dem DC etwas zerschossen.Prüfe zunächst mal bei allen DCs, per Befehl (auf dem elevated command prompt)
gpresult /h %temp%\results.html & %temp%\results.html
Hi,
wo hast Du die GPO mit dieser Einstellung zur Passwortrichtlinine verlinkt?
Falls an einer OU: --> geht nicht
Diese muss an der Domäne verlinkt sein. Und sie muss für "Authentifitzierte Benutzer" oder "Jeder" gelten.
Besser sind PSO-Objekte. (Password Settings Object)
E.
wo hast Du die GPO mit dieser Einstellung zur Passwortrichtlinine verlinkt?
Falls an einer OU: --> geht nicht
Diese muss an der Domäne verlinkt sein. Und sie muss für "Authentifitzierte Benutzer" oder "Jeder" gelten.
Besser sind PSO-Objekte. (Password Settings Object)
E.
1
DerWoWusste, hab den Befehl mal durchlaufen lassen. Laut der Auswertung übernimmt der DC korrekterweise die Deaktivierte Komplexitätseinstellung. Die betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen. Weitere Einstellungen, die übernommen werden sind mir leider nicht ersichtlich.
Moin emeriks, ja die GPO habe ich mit der Domäne verlinkt. (Jedenfalls nach meinem Verständnis. Muss ich da eventuell noch was anderes machen?)
Vielen Dank für Eure Hilfe. LG
Moin emeriks, ja die GPO habe ich mit der Domäne verlinkt. (Jedenfalls nach meinem Verständnis. Muss ich da eventuell noch was anderes machen?)
Vielen Dank für Eure Hilfe.
LGDie betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen
Das ist ok so.Ist das der einzige DC? Wenn nicht der Einzige, was sagen die anderen DCs, das Selbe?
PROBLEMO FINITO!!!!!!
In der OU System > Password Settings Container einfach per Rechtsklick ne neue Kennworteinstellung erstellen, der Sicherheitsgruppe zuweisen und es läuft.
1000 Dank an dich emeriks und auch an dich DerWoWusste für Eure Unterstützung. Hab zwar immer noch keine Ahnung woran genau das liegt, aber es läuft! Danke Euch!
MfG
In der OU System > Password Settings Container einfach per Rechtsklick ne neue Kennworteinstellung erstellen, der Sicherheitsgruppe zuweisen und es läuft.
1000 Dank an dich emeriks und auch an dich DerWoWusste für Eure Unterstützung. Hab zwar immer noch keine Ahnung woran genau das liegt, aber es läuft! Danke Euch!
MfG
Das liegt daran, dass die PSOs, die Du so erstellst, immer Vorrang haben vor oldschool-Kennwortpolicies.
Kann man so "lösen". Ich würde dennoch versuchen aufzuklären, was das Problem ist.
Kann man so "lösen". Ich würde dennoch versuchen aufzuklären, was das Problem ist.
1
Danke dir, gut zu wissen.
Da muss ich dir zustimmen. Jedoch kann ich das leider (mit meinem bisherigen Verständnis) nur mit guten Leuten wie dir oder dem Forum. Zu deiner vorangegangen Frage: Ja, dies ist der Einzige DC in der Domäne.
Da muss ich dir zustimmen. Jedoch kann ich das leider (mit meinem bisherigen Verständnis) nur mit guten Leuten wie dir oder dem Forum. Zu deiner vorangegangen Frage: Ja, dies ist der Einzige DC in der Domäne.
Dann ist das sehr rätselhaft. Ich würde den nächsten Neustart des DCs abwarten und dann sehen, was ob auch ohne PSOs wieder Kennwörter wie erwartet angenommen werden.
Hab das Ganze mal eben beschleunigt. (Weiß aber nicht ob das deine Intention war.) Hab die PSO rausgenommen, den DC neu gestartet und beim Client (um sicher zu gehen) ein gpupdate gemacht. Jedoch weigert sich Windows nun erneut das Passwort wegen Komplexität usw. zu ändern. Hab deinen gpresult Befehl mal auf einem Client durchlaufen lassen. Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
[Ich schrieb ja schon, es geht NUR um die DCs. Was auf den Clients angewendet wird, hat auf Domänenkonten keinen Einfluss.]Tja, ist schon komisch. Wenn weiterhin über den GPResult-Befehl auf dem DC keine andere als die erwarteten GPO mit den erwünschten Einstellungen für Kennwörter zieht, dann ist da etwas arg defekt. Du hast großes Glück, dass PSOs die GPOs überstimmen, sonst wäre Deine Domänen nun schrott.
Moin,
habe heute nochmal mit den GPOs (Roaming und Default Domain Policy) diverse Passwort-Einstellungen ausprobiert und nun werden diese ohne wenn und aber akzepiert. Scheinbar hat es nur einmalig einen Anstoß aus dem AD gebraucht.
Wieso das alles jetzt passiert ist ist mir nach wie vor unklar und das werde ich wahrscheinlich (und hoffentlich) nicht wieder so schnell replizieren können um weiter zu forschen, aber nun werden die PW Einstellungen in den GPOs akzeptiert.
Vielen Dank DerWoWusste für dein Fachwissen.
MfG
habe heute nochmal mit den GPOs (Roaming und Default Domain Policy) diverse Passwort-Einstellungen ausprobiert und nun werden diese ohne wenn und aber akzepiert. Scheinbar hat es nur einmalig einen Anstoß aus dem AD gebraucht.
Wieso das alles jetzt passiert ist ist mir nach wie vor unklar und das werde ich wahrscheinlich (und hoffentlich) nicht wieder so schnell replizieren können um weiter zu forschen, aber nun werden die PW Einstellungen in den GPOs akzeptiert.
Vielen Dank DerWoWusste für dein Fachwissen.
MfG
Hallo,
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Stell bitte eine eigene Frage und beschreibe etwas ausführlicher (geht es bei anderen? Wirken bei denen, wo es geht, auch PSOs?). ich trage dann was dazu bei.
Zitat von @yoface:
Hallo,
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Hallo,
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Bitte neuen Thread erstellen.
Zitat von @Spirit-of-Eli:
Zitat von @yoface:
Hallo,
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Hallo,
Ich habe selbiges Problem aufeinmal in der Domäne.
Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."
Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.
Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.
Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
Bitte neuen Thread erstellen.
Habe ich gemacht -> Passwort entspricht nicht den Komplexitätsvoraussetzungen - Windows 10 Domänenclients
