aiden3301
Goto Top

Windows Domäne: Passwort entspricht nicht den Komplexitätsvoraussetzungen

Moin liebes Forum.

in meiner (mittlerweile) vorhandenen Verzweiflung wollte ich mein Problem einfach mal in die Runde schmeißen. (Achtung: Text relativ lang)

Zum Rahmen: Ich betreibe eine Domäne mit Windows Server 2019 und die Clients laufen unter Windows 10 Pro.

Ich habe derzeit das Problem, dass sämtliche User innerhalb einer Domäne Ihr Passwort nicht ändern können, da dieses Laut Windows nicht den Komplexitätsvoraussetzungen entsprechen würde. Selbst Passwörter (egal ob jetzt mit oder ohne Sonderzeichen) wie z.B. "V1nd1cation" oder "8WBtwak7#" werden als angeblich nicht den Richtlinien entsprechend bewertet.

Zu den GPOs: Es existieren derzeit 2 aktive Gruppenrichtlinien in der Domäne. Eine davon ist die Default Domain Policy, die andere die RoamingProfile Policy, über welche die Domänenbenutzer Ihre Einstellungen, u.a. dass es eben Remoteprofile sind, erhalten. Die Sicherheitsfilterung der Roaming Policy ist auch nur auf die Roaming Profile eingestellt, jedoch deligierend auf die authentifizierten Benutzer. Die Verknüpfungsreihenfolge sieht vor, dass die Default Policy zu erst, und danach die Roaming Policy verknüpft wird. Ich habe bereits testweise bei der betreffenden Richtlinie die Komplexitätsvoraussetzung auf "deaktiviert", das min. Kennwortalter auf "0" und die Kennwortchronik ebenfalls auf "0" gestzt. (So gut wie alle sinnvollen Varianten habe ich ebenfalls probiert) Ich habe es ebenfalls entgegen der Microsoft Empfehlungen an der Default Domain Policy alles auf "Nicht definiert", oder eben auf die oben genannten Werten gesetzt, leider ebenfalls ohne positives Ergebnis.

gpresult auf den Clients zeigt, dass die betreffende Sicherheitsgruppe angenommen worden sind und laut rsop.msc werden die GPOs ebenfalls (mit den eingetragenen Werten) korrekt übernommen.

Vielleicht hat ja jemand von Euch bereits diese Erfahrung machen müssen und weiß eventuell, wie man das lösen kann. Soweit: Vielen Dank für deine Mithilfe und danke, dass du bis hier hin gelesen hast. face-smile

Content-ID: 476924

Url: https://administrator.de/forum/windows-domaene-passwort-entspricht-nicht-den-komplexitaetsvoraussetzungen-476924.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

DerWoWusste
DerWoWusste 24.07.2019 um 11:33:29 Uhr
Goto Top
Moin.

Beschreibe doch bitte, seit wann das auftritt. Hast Du etwas geändert?
War jemals eine Länge von 12 oder höher gefordert?

Ich habe sowas erst einmal erlebt in einer Testdomäne, in der ich mit opensource-Lösungen zur erweiterten Komplexitätsanforderung getestet hatte, und diese alles zerstörten (irreversibel).
Spirit-of-Eli
Spirit-of-Eli 24.07.2019 um 11:48:25 Uhr
Goto Top
Moin,

ich hatte tatsächlich mal ein ähnliches Problem.
Dort konnten die User das Kennwort nur noch ändern, wenn die Kennwort Komplexität rausgenommen war.
Das spielte sich in einer 2016er Domäne ab.
Den Grund konnte ich damals nicht finden.

Gruß
Spirit
Aiden3301
Aiden3301 24.07.2019 aktualisiert um 12:27:26 Uhr
Goto Top
Moin DerWoWusste,

der "Fehler" tritt seit Erstellung der Nutzerkonten (bzw. der zu der Gruppe "RoamingProfile" zugehörigen Nutzer) auf. Ich habe auch bereits versucht, das Passwort bei einem Domänenbenutzer und -computer zu ändern, welche jeweils ausschließlich der Gruppe "Standard Domänencomputer / -benutzer" zugeordnet waren.

Geändert habe ich halt "nur" dass es eine neue GPO mit den entsprechenden Einstellungen für Remoteprofile gibt. (Einstellungen wurden bei den Computerrichtlinien vorgenommen) Des weiteren habe ich im AD einen dezidierten Container für die Remoteprofile erstellt. Ich habe diese auch testweise wieder in den Standard Container "Users" verschoben. Jedoch alles mit dem selben negativen Ergebnis.

Eine Länge von 12 oder größer dagegen habe ich bei meinen Versuchen nie gefordert. Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.

Ich danke dir schon jetzt für deine Mithilfe face-smile
DerWoWusste
DerWoWusste 24.07.2019 um 12:58:54 Uhr
Goto Top
Aber ich habe auch den Verdacht, dass irgendwo ne Datei in den Remote-Profilordnern oder wo anders im Eimer ist.
Das hat damit leider gar nichts zu tun. Diese Anforderungen prüft der DC - wenn, dann ist auf dem DC etwas zerschossen.

Prüfe zunächst mal bei allen DCs, per Befehl (auf dem elevated command prompt)
gpresult /h  %temp%\results.html & %temp%\results.html
welche Kompl.einstellungen dort gelten und von welcher GPO die kommen - nur diese zählen.
emeriks
Lösung emeriks 24.07.2019 aktualisiert um 13:30:36 Uhr
Goto Top
Hi,
wo hast Du die GPO mit dieser Einstellung zur Passwortrichtlinine verlinkt?
Falls an einer OU: --> geht nicht
Diese muss an der Domäne verlinkt sein. Und sie muss für "Authentifitzierte Benutzer" oder "Jeder" gelten.

Besser sind PSO-Objekte. (Password Settings Object)

E.
Aiden3301
Aiden3301 24.07.2019 aktualisiert um 15:24:18 Uhr
Goto Top
DerWoWusste, hab den Befehl mal durchlaufen lassen. Laut der Auswertung übernimmt der DC korrekterweise die Deaktivierte Komplexitätseinstellung. Die betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen. Weitere Einstellungen, die übernommen werden sind mir leider nicht ersichtlich.

Moin emeriks, ja die GPO habe ich mit der Domäne verlinkt. (Jedenfalls nach meinem Verständnis. Muss ich da eventuell noch was anderes machen?)
gpo

Vielen Dank für Eure Hilfe. face-smile LG
DerWoWusste
DerWoWusste 24.07.2019 um 15:34:35 Uhr
Goto Top
Die betreffende Einstellung jedoch wird (Korrekterweise?) von der Default Domain Policy bezogen
Das ist ok so.
Ist das der einzige DC? Wenn nicht der Einzige, was sagen die anderen DCs, das Selbe?
Aiden3301
Aiden3301 24.07.2019 aktualisiert um 16:26:32 Uhr
Goto Top
PROBLEMO FINITO!!!!!!

In der OU System > Password Settings Container einfach per Rechtsklick ne neue Kennworteinstellung erstellen, der Sicherheitsgruppe zuweisen und es läuft.

1000 Dank an dich emeriks und auch an dich DerWoWusste für Eure Unterstützung. Hab zwar immer noch keine Ahnung woran genau das liegt, aber es läuft! Danke Euch!

MfG
DerWoWusste
DerWoWusste 24.07.2019 um 15:36:44 Uhr
Goto Top
Das liegt daran, dass die PSOs, die Du so erstellst, immer Vorrang haben vor oldschool-Kennwortpolicies.
Kann man so "lösen". Ich würde dennoch versuchen aufzuklären, was das Problem ist.
Aiden3301
Aiden3301 24.07.2019 um 15:46:04 Uhr
Goto Top
Danke dir, gut zu wissen.

Da muss ich dir zustimmen. Jedoch kann ich das leider (mit meinem bisherigen Verständnis) nur mit guten Leuten wie dir oder dem Forum. Zu deiner vorangegangen Frage: Ja, dies ist der Einzige DC in der Domäne.
DerWoWusste
DerWoWusste 24.07.2019 um 15:54:01 Uhr
Goto Top
Dann ist das sehr rätselhaft. Ich würde den nächsten Neustart des DCs abwarten und dann sehen, was ob auch ohne PSOs wieder Kennwörter wie erwartet angenommen werden.
Aiden3301
Aiden3301 24.07.2019 um 17:08:36 Uhr
Goto Top
Hab das Ganze mal eben beschleunigt. (Weiß aber nicht ob das deine Intention war.) Hab die PSO rausgenommen, den DC neu gestartet und beim Client (um sicher zu gehen) ein gpupdate gemacht. Jedoch weigert sich Windows nun erneut das Passwort wegen Komplexität usw. zu ändern. Hab deinen gpresult Befehl mal auf einem Client durchlaufen lassen. Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
DerWoWusste
DerWoWusste 24.07.2019 um 18:23:35 Uhr
Goto Top
Interessanterweise zeigt der Bericht hier keinerlei adaptierte Passwort Einstellungen an.
[Ich schrieb ja schon, es geht NUR um die DCs. Was auf den Clients angewendet wird, hat auf Domänenkonten keinen Einfluss.]

Tja, ist schon komisch. Wenn weiterhin über den GPResult-Befehl auf dem DC keine andere als die erwarteten GPO mit den erwünschten Einstellungen für Kennwörter zieht, dann ist da etwas arg defekt. Du hast großes Glück, dass PSOs die GPOs überstimmen, sonst wäre Deine Domänen nun schrott.
Aiden3301
Aiden3301 25.07.2019 um 12:10:10 Uhr
Goto Top
Moin,

habe heute nochmal mit den GPOs (Roaming und Default Domain Policy) diverse Passwort-Einstellungen ausprobiert und nun werden diese ohne wenn und aber akzepiert. Scheinbar hat es nur einmalig einen Anstoß aus dem AD gebraucht.

Wieso das alles jetzt passiert ist ist mir nach wie vor unklar und das werde ich wahrscheinlich (und hoffentlich) nicht wieder so schnell replizieren können um weiter zu forschen, aber nun werden die PW Einstellungen in den GPOs akzeptiert.

Vielen Dank DerWoWusste für dein Fachwissen. face-smile

MfG
yoface
yoface 17.02.2022 um 15:11:15 Uhr
Goto Top
Hallo,

Ich habe selbiges Problem aufeinmal in der Domäne.

Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."

Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.

Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.

Was sollte ich überprüfen und einstellen damit es wieder funktioniert?
DerWoWusste
DerWoWusste 17.02.2022 aktualisiert um 15:24:26 Uhr
Goto Top
Stell bitte eine eigene Frage und beschreibe etwas ausführlicher (geht es bei anderen? Wirken bei denen, wo es geht, auch PSOs?). ich trage dann was dazu bei.
Spirit-of-Eli
Spirit-of-Eli 17.02.2022 um 15:23:52 Uhr
Goto Top
Zitat von @yoface:

Hallo,

Ich habe selbiges Problem aufeinmal in der Domäne.

Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."

Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.

Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.

Was sollte ich überprüfen und einstellen damit es wieder funktioniert?

Bitte neuen Thread erstellen.
yoface
yoface 17.02.2022 um 16:00:07 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @yoface:

Hallo,

Ich habe selbiges Problem aufeinmal in der Domäne.

Ich habe bei zwei Domänen Benutzer versucht das Passwort über Windows 10 Pro zu ändern. Und es kommt auch die Meldung "Kennwort muss Komplexitätsvoraussetzungen entsprechen entspricht nicht der domäne ...."

Wenn ich das Passwort direkt auf dem AD Server für die Benutzer ändere funktioniert es ohne Probleme.

Es ist auch eine PSO aktiv und die hatte bisher immer funktioniert.

Was sollte ich überprüfen und einstellen damit es wieder funktioniert?


Bitte neuen Thread erstellen.

Habe ich gemacht -> Passwort entspricht nicht den Komplexitätsvoraussetzungen - Windows 10 Domänenclients