wg-edv
Goto Top

Windows Server 2012 R2 Standard Client Passwort muss monatlich geändert werden

Hallo zusammen,

ich bin versierter Google-Nutzer aber zum o.g. Thema komme ich trotzdem nicht ans Ziel, evtl. hat sonst niemand das Problem.

In der Firma nutzen wir Windows Server 2012 R2 Standard und nur einer unserer 50 Clients hat das Problem in ca. monatlichen Abständen das Passwort ändern zu müssen.
Habe bereits diverse Einstellungen mit Hilfe von Google überprüft, bin mir aber nicht sicher ob ich die richtige Einstellung gefunden habe.

Denn das was ich überprüft habe ist auch bei funktionierenden Clients so eingestellt die das Passwort nicht ändern müssen.

Ist die Lösung so simpel dass Sie mir im Prinzip vor der Nase hängt ich nur dran vorbei schaue?

Mit freundlichen Grüßen
ein sich Schulungen wünschender EDVler ;(

Content-ID: 302995

Url: https://administrator.de/contentid/302995

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

MettGurke
MettGurke 27.04.2016 um 09:55:39 Uhr
Goto Top
Inm AD mal den Reiter "Kennwort läuft nie ab" gesetzt?
xX-3PO-Xx
xX-3PO-Xx 27.04.2016 um 10:05:08 Uhr
Goto Top
Entweder im AD mal geschaut und hart setzen oder schau mal in die Group Policies ob der Nutzer die richtige Policie bekommt und nicht die Standard-Pol außer du machst alles über diese..

Kann man ja so nicht beurteilen bei den knappen Informationen.
WG-EDV
WG-EDV 27.04.2016 um 10:20:59 Uhr
Goto Top
@potatoerob

selbstverständlich ist der Haken gesetzt face-wink

@xX-3PO-Xx

Was meinst du mit hart setzen im AD?
In den Gruppenrichtlinien finde ich keine User, nur Administratoren/System/Domänen-Admins/Organisations-Admins

Pardon für die knappen Informationen, ich war mir nicht sicher welche Informationen diesbzgl. relevant sein könnten da ich ehrlich gesagt nicht so versiert im Umgang mit Servern bin.

Was für Informationen wären denn hilfreich die ich geben kann?

Gruß
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 um 10:21:01 Uhr
Goto Top
Moin,

wie die Kollegen schon sagten, einfach Häkchen setzen im AD bei dem betrofenen User oder die GPOs überprüfen.

lks

PS. Mußte ich heute gerade wieder einem Kunden sagen, daß vermutlich das Häkchen nch tgesetzt hat, wenn das Paßwort geändert werden nicht ableufen soll.
DerWoWusste
DerWoWusste 27.04.2016 um 10:26:42 Uhr
Goto Top
Hi.

Es ist sehr einfach. Wenn es um Domänenkonten gehen sollte, gilt der Grundsatz: eine Passwortpolicy pro Domäne und die gilt ausnahmslos für alle. Da dies bei Dir nicht zutrifft, muss es mehr sein, als eine Policy, also ein Passwort Settings Objects (PSO). Um das auszulesen, führst Du mal auf der Powershell aus: Get-ADUserResultantPasswordPolicy
Diese dann ändern.
xX-3PO-Xx
xX-3PO-Xx 27.04.2016 um 10:31:33 Uhr
Goto Top
Einfachste Methode:

1.) Hacken rausnehmen

2.) Lass den User sein Kennwort ändern und dann gehst du ins AD und setzt den Hacken neu

sollte so gehen wenn du an den Grupppolicies nichts gemacht hast!!!!

Spezieller:

1.) GPO öffnen

2.) Kontorichtlinien und dort den Punkt Kennwortalter (oder so ähnlich heißt es) und stelle dann die Ablauffrist ein oder besser gesagt das zulässige Alter des Kennwortes

Gruß
xX-3PO-Xx
xX-3PO-Xx 27.04.2016 um 10:32:32 Uhr
Goto Top
Geht natürlich auch...
WG-EDV
WG-EDV 27.04.2016 um 11:41:50 Uhr
Goto Top
@DerWoWusste

Hier die "Antwort" in der PowerShell
PS: Ich habe 0 Erfahrung damit und war schon panisch bei der Eingabe...

@xX-3PO-Xx

Ich finde den Punkt "Kennwortalter" nicht

Habe auch noch die Einstellung des Benutzers im AD mit angehangen, da ist der Haken fürs Kennwort seit Anfang an gesetzt.
server2012_1
powershell
server2012
xX-3PO-Xx
xX-3PO-Xx 27.04.2016 um 12:00:04 Uhr
Goto Top
Du schaust in die

Default Domain Policy -->


und dort kannst du es ändern.
002
DerWoWusste
DerWoWusste 27.04.2016 um 13:18:40 Uhr
Goto Top
Powershell-Befehl: am Simpelsten: direkt am Domänencontroller als Domänenadmin
get-ADUserResultantPasswordPolicy Nutzername
ausführen.
WG-EDV
WG-EDV 27.04.2016 um 17:32:50 Uhr
Goto Top
@xX-3PO-Xx

Aber diese Einstellungen gilt doch für alle Clients, warum will dann nur einer diese Passwortänderung?
Diese Einstellung hatte ich zwischenzeitlich gefunden aber ich möchte ja speziell den einen Client "anpassen" bzw. überprüfen der da aus der Reihe tanzt.

@DerWoWusste

Leider ergibt sich das nach der Eingabe nichts, er springt auf den ursprünglichen Pfad zurück, siehe Screenshot.

Gruß
server2012_2
DerWoWusste
DerWoWusste 27.04.2016 um 17:46:42 Uhr
Goto Top
Und das Konto, um das es geht, heißt administrator?
xX-3PO-Xx
xX-3PO-Xx 28.04.2016 um 10:22:45 Uhr
Goto Top
Es ist nicht wirklich der Admin oder doch?
Biber
Biber 28.04.2016 um 13:45:34 Uhr
Goto Top
Zitat von @129034:

Einfach mal bei dem TBCS IT Systemhaus reinschauen unter www.tbcs-it.de - da wird Ihnen geholfen!
Hier wird dir auch gleich geholfen.

Biber
WG-EDV
WG-EDV 02.05.2016 um 10:50:49 Uhr
Goto Top
@DerWoWusste

Nein, aber die Reaktion der PowerShell ist dieselbe, egal welcher Benutzernamen ich eingebe

@xX-3PO-Xx

Gott sei dank nicht der Admin, sonst hätte ich ein Riesenproblem face-wink

@Biber

Danke fürs Entfernen dieser doch recht dreisten Werbung. Wird dieses Portal hier öfters so zweckentfremdet?

Viele Grüße
DerWoWusste
Lösung DerWoWusste 02.05.2016 um 15:34:58 Uhr
Goto Top
Ok, damit hast Du sichergestellt, dass es keine PSO ist.
Teste auf allen DCs einzeln mittels rsop.msc, ob die Kennwortpolicy so angewendet wird, wie Du es erwartest. Stelle sicher, dass Dein Nutzer ein Domänennutzer ist. Mehr kannst Du nicht tun.
WG-EDV
WG-EDV 03.05.2016 um 11:25:20 Uhr
Goto Top
@DerWoWusste

Das sieht sehr stark nach der Lösung aus, anbei die Vergleichsbilder zwischen den beiden PCs (einer funktioniert bzgl. des Passworts einwandfrei, der andere ist das Problemkind)

Und hier einmal der Auszug der Fehlermeldung:

Dienstag, 3. Mai 2016 09:15:29

Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Unerwarteter Netzwerkfehler.

Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Zusätzliche Informationen:
Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Desweiteren habe ich gerade in Erfahrung gebracht, dass sich die beiden PCs immer noch in der "alten" Domäne befinden (obwohl sich die Benutzer bereits im AD des 2012er Servers befinden) und nicht alle PCs von Windows Server 2003 migriert wurden. Das erklärt auch warum ich am Server 2012 nicht fündig geworden bin.

Muss mich jetzt mal zum alten Server in die Katakomben durchschlagen und dort die Einstellungen überprüfen.
Gebe hier dann im Anschluß eine Rückmeldung.
berlin2
berlin1
Lochkartenstanzer
Lochkartenstanzer 03.05.2016 um 11:39:14 Uhr
Goto Top
Zitat von @WG-EDV:


Desweiteren habe ich gerade in Erfahrung gebracht, dass sich die beiden PCs immer noch in der "alten" Domäne befinden (obwohl sich die Benutzer bereits im AD des 2012er Servers befinden) und nicht alle PCs von Windows Server 2003 migriert wurden. Das erklärt auch warum ich am Server 2012 nicht fündig geworden bin.

Muss mich jetzt mal zum alten Server in die Katakomben durchschlagen und dort die Einstellungen überprüfen.
Gebe hier dann im Anschluß eine Rückmeldung.

Nimm eine 45er Magnum mit - für die finale Lösung. face-smile

lks
xX-3PO-Xx
xX-3PO-Xx 05.05.2016 um 09:58:10 Uhr
Goto Top
Na dann viel Glück..