Kennwortrichtlinie für Organisationseinheit greift nicht

Discussion:

(zu alt für eine Antwort)

Thomas Gorjup

2009-02-11 09:14:59 UTC

Hallo NG,

ich benötige für eine Organisationseinheit eine deaktivierte
Kennwortkomplexität in den Kennwortrichtlinien.
Ich habe die "Default Domain Policy" erst kopiert, danach deaktiviert und
das "erwingen" entfernt.
Danach habe ich die kopierte Policy mit dem ROOT der Domäne verknüpft. In
dieser ist die Komplexität aktiv.

Danach habe ich eine neue OU erstellt und auf dieser die
Richtlinienvererbung deaktiviert.
Darin habe ich eine neue GPO erstellt, welche die Kennwortkomplexität
deaktiviert hat.

Trotzdem kann ich auch nach "gpupdte /force" und rebooten des DC in dieser
OU keine User ohne Komplexität anlegen.
Kann mir jemend helfen und mir mitteilen ob ich etwas vergessen habe?

Danke!

Gruß
Thomas

Stefan Resch

2009-02-11 10:15:21 UTC

Permalink

Post by Thomas Gorjup
Hallo NG,
ich benötige für eine Organisationseinheit eine deaktivierte
Kennwortkomplexität in den Kennwortrichtlinien.
Ich habe die "Default Domain Policy" erst kopiert, danach deaktiviert
und das "erwingen" entfernt.
Danach habe ich die kopierte Policy mit dem ROOT der Domäne verknüpft.
In dieser ist die Komplexität aktiv.
Danach habe ich eine neue OU erstellt und auf dieser die
Richtlinienvererbung deaktiviert.
Darin habe ich eine neue GPO erstellt, welche die Kennwortkomplexität
deaktiviert hat.
Trotzdem kann ich auch nach "gpupdte /force" und rebooten des DC in
dieser OU keine User ohne Komplexität anlegen.
Kann mir jemend helfen und mir mitteilen ob ich etwas vergessen habe?
Danke!
Gruß
Thomas

Welche Windows Server-Version verwendest du?

Nur ab Version 2008 sind verschiedene Kennwortrichtlinien innerhalb
einer Domäne möglich.
Vorherige Versionen kennen nur eine Richtlinie für die gesamte Domäne.

http://technet.microsoft.com/de-de/magazine/2007.12.securitywatch.aspx

Gruß

Stefan

Thomas Gorjup

2009-02-11 12:53:03 UTC

Permalink

Hallo,

ich verwende Windows 2003 Standrad Edition als Domänencontroller im
Einheitlichen Windows 2003 Modus.
Ich war gerade letzte Woche in einer MCSE-Schulung zum Thema "Active
Directory", wobei ich dem Lehrer mitteilte, dass nur eine Kontorichtlinie
zieht, da ich es auch so kannte.

Daraufhin hatte er sich erkundigt und am nächten Tag mitgeteilt, dass dies
bei der Verwendung der "Default Domain Policy" tatsächlich so ist.
Würde man aber eine andere GPO verwenden und die "Default Domain Policy"
deaktivieren, würde es durchaus funktionieren.

Hat jemand nähere Infos dazu, oder ist diese Aussage wirklich schlicht und
ergreifend FALSCH?

Gruß
Thomas

Post by Stefan Resch

Post by Thomas Gorjup
Hallo NG,
ich benötige für eine Organisationseinheit eine deaktivierte
Kennwortkomplexität in den Kennwortrichtlinien.
Ich habe die "Default Domain Policy" erst kopiert, danach deaktiviert und
das "erwingen" entfernt.
Danach habe ich die kopierte Policy mit dem ROOT der Domäne verknüpft. In
dieser ist die Komplexität aktiv.
Danach habe ich eine neue OU erstellt und auf dieser die
Richtlinienvererbung deaktiviert.
Darin habe ich eine neue GPO erstellt, welche die Kennwortkomplexität
deaktiviert hat.
Trotzdem kann ich auch nach "gpupdte /force" und rebooten des DC in
dieser OU keine User ohne Komplexität anlegen.
Kann mir jemend helfen und mir mitteilen ob ich etwas vergessen habe?
Danke!
Gruß
Thomas

Welche Windows Server-Version verwendest du?
Nur ab Version 2008 sind verschiedene Kennwortrichtlinien innerhalb einer
Domäne möglich.
Vorherige Versionen kennen nur eine Richtlinie für die gesamte Domäne.
http://technet.microsoft.com/de-de/magazine/2007.12.securitywatch.aspx
Gruß
Stefan

Thorsten Kampe

2009-02-11 13:05:40 UTC

Permalink

* Thomas Gorjup (Wed, 11 Feb 2009 13:53:03 +0100)

Post by Thomas Gorjup
ich verwende Windows 2003 Standrad Edition als Domänencontroller im
Einheitlichen Windows 2003 Modus.
Ich war gerade letzte Woche in einer MCSE-Schulung zum Thema "Active
Directory", wobei ich dem Lehrer mitteilte, dass nur eine Kontorichtlinie
zieht, da ich es auch so kannte.
Daraufhin hatte er sich erkundigt und am nächten Tag mitgeteilt, dass dies
bei der Verwendung der "Default Domain Policy" tatsächlich so ist.
Würde man aber eine andere GPO verwenden und die "Default Domain Policy"
deaktivieren, würde es durchaus funktionieren.
Hat jemand nähere Infos dazu, oder ist diese Aussage wirklich schlicht und
ergreifend FALSCH?

Ja, sie ist falsch.

Thorsten

Thomas Gorjup

2009-02-11 14:03:08 UTC

Permalink

Schade, aber Danke euch!

Gruß
Thomas

Post by Thorsten Kampe
* Thomas Gorjup (Wed, 11 Feb 2009 13:53:03 +0100)

Ja, sie ist falsch.
Thorsten

Nils Kaczenski [MVP]

2009-02-11 13:22:12 UTC

Permalink

Moin,

Post by Thomas Gorjup
Hat jemand nähere Infos dazu, oder ist diese Aussage wirklich schlicht und
ergreifend FALSCH?

letzteres. Wäre es anders, hätte der Trainer das ja auch eben zeigen können.

Man kann zwar durchaus mehrere Kennwortrichtlinien auf verschiedenen OUs
definieren, aber die wirken sich dann nur auf die lokalen Konten der
Rechner aus, deren Computerkonten in diesen OUs sind. Also ein eher
praxisfernes Szenario.

Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski

Norbert Fehlauer [MVP]

2009-02-11 14:00:54 UTC

Permalink

"Thomas Gorjup" <***@sungard.com> schrieb
Hi,

Post by Thomas Gorjup
Daraufhin hatte er sich erkundigt und am nächten Tag mitgeteilt, dass dies
bei der Verwendung der "Default Domain Policy" tatsächlich so ist.
Würde man aber eine andere GPO verwenden und die "Default Domain Policy"
deaktivieren, würde es durchaus funktionieren.

Eigentlich schon schlimm, wenn sich ein Dozent zum Thema AD bei diesem Thema
überhaupt erkundigen muß...
Mal davon abgesehen, dass du ja schon feststellst, dass das nicht so
funktioniert wie du dir das vorstellst, hast du durch das deaktivieren der
Default Domain Policy auch eine potentielles Fehlerquelle, da bspw. Exchange
dort (und nur dort) verewigt.

Post by Thomas Gorjup
Hat jemand nähere Infos dazu, oder ist diese Aussage wirklich schlicht und
ergreifend FALSCH?

Eigentlich kannst du dir die Frage doch auch selbst beantworten, oder? ;)

Bye
Norbert

Frank Röder [MVP]

2009-02-11 14:32:36 UTC

Permalink

Hallo,

Post by Norbert Fehlauer [MVP]
Eigentlich schon schlimm, wenn sich ein Dozent zum Thema AD bei diesem
Thema überhaupt erkundigen muß...

Nö, ist es nicht. Das sind dann die "Trainer", die den guten die Preise
kaputt machen:-(.

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Andy Wendel

2009-02-11 18:50:34 UTC

Permalink

Hallo Frank,

Danke!

Der

Andy

Post by Thomas Gorjup
Hallo,

Post by Norbert Fehlauer [MVP]
Eigentlich schon schlimm, wenn sich ein Dozent zum Thema AD bei
diesem Thema überhaupt erkundigen muß...

Nö, ist es nicht. Das sind dann die "Trainer", die den guten die
Preise kaputt machen:-(.

Fragen - dann posten!

Es grüßt aus dem schönen Münsterland

Der

Andy

Anfragen bitte nur in den Newsgroups - Danke!
**************************************
Andy Wendel
Senior Trainer & Consultant TraiCen GmbH
***@traicen.com
Hear me speak @ MCT-Summit 2009 in Prag
http://www.mctsummit2009.com
*************************************

Yusuf Dikmenoglu [MVP]

2009-02-11 19:16:02 UTC

Permalink

Hi Andy,

Post by Thomas Gorjup
Danke!

Frank sprach von "guten". ;-P

SCNR!

--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Andy Wendel

2009-02-11 18:52:25 UTC

Permalink

Hallo Thomas,

suche Dir ein Schulungszentrum, wo die Leute ihr Handwerk beherschen.

Das ist Standard-Know-How. ( Absolute Basics... )

Fragen - dann posten!

Es grüßt aus dem schönen Münsterland

Der

Andy

Anfragen bitte nur in den Newsgroups - Danke!
**************************************
Andy Wendel
Senior Trainer & Consultant TraiCen GmbH
***@traicen.com
Hear me speak @ MCT-Summit 2009 in Prag
http://www.mctsummit2009.com
*************************************

Nils Kaczenski [MVP]

2009-02-11 11:37:03 UTC

Permalink

Moin,

Post by Thomas Gorjup
ich benötige für eine Organisationseinheit eine deaktivierte
Kennwortkomplexität in den Kennwortrichtlinien.

geht nicht.

[Kennwortrichtlinien]
http://www.gruppenrichtlinien.de/HowTo/Kennwortrichtlinien.htm

Post by Thomas Gorjup
Kann mir jemend helfen und mir mitteilen ob ich etwas vergessen habe?

Ja, das geht prinzipiell nicht. Siehe obiger Link.

Mit Windows Server 2008 werden "Fine-grained Password Policies" möglich,
aber erstens nicht auf OU-Ebene und zweitens alles andere als komfortabel.

[faq-o-matic.net » Mehrere Kennwortrichtlinien in einer Domäne]
http://www.faq-o-matic.net/2007/05/21/mehrere-kennwortrichtlinien-in-einer-domaene/

Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski

Andy Wendel

2009-02-11 12:09:35 UTC

Permalink

Hoi Nils

Post by Nils Kaczenski [MVP]
Mit Windows Server 2008 werden "Fine-grained Password Policies"
möglich, aber erstens nicht auf OU-Ebene und zweitens alles andere als
komfortabel.

Yo - stimmt - aber nun einfach dat nehmen: http://www.specopssoft.com/wiki/index.php/SpecopsPasswordPolicybasic/SpecopsPasswordPolicybasic/

Dann macht das Spaß - und ist kostenlos...

Andy

Anfragen bitte nur in den Newsgroups - Danke!
**************************************
Andy Wendel
Senior Trainer & Consultant TraiCen GmbH
***@traicen.com
Hear me speak @ MCT-Summit 2009 in Prag
http://www.mctsummit2009.com
*************************************