Hallo zusammen,
so langsam komm ich mir echt blöd vor, dass ich grade an einer simplen Kennwortrichtlinie scheitere, aber gut...manchmal sieht man den Wald vor lauter Bäumen nicht.
Ich habe hier eine Domain mit 3 Servern (2008R2):
- DC
- Fileserver und Groupware
- Terminalserver
Domain und Forestlevel: 2008 R2
Bis vor kurzem waren in der Default Domain Policy recht lockere Kennwortrichtlinien hinterlegt:
- min 6 Zeichen
- min Alter 1 Tag, Max Alter 42 Tage
- keine Komplexität
- 24er Chronik
Nun habe aus der DDP diese Optionen entfernt und ein neues Gruppenrichtlinienobjekt "Kennwortrichtlinie" angelegt mit folgenden Einstellungen:
- min 8 Zeichen
- min Alter: 1 Tag
- Max Alter: 180 Tage (ist so Voraussetzung...)
- Komplexität aktiviert
- 15er Chronik
Dieses Objekt habe ich auf Domainebene verknüpft (sonst geht es ja nicht) und sogar erzwungen.
- Die Sicherheitsfilterung enthält die Gruppen "Domain\Domänen-Benutzer" und "Domain\Terminalserverbenutzer". Diese zweite Gruppe enhält separate Konten für den TS Zugriff der Mitarbeiter.
- Die Vererbung ist aktiviert
- Es ist kein WMI Filter hinterlegt
- Ein GPResult /H zeigt an, dass die Richtlinie übernommen wurde.
- Auf untergeordneten OUs existieren keine Richtlinien.
Auf Domainebene existiert weiterhin die DDP und eine Richtlinie für Desktophintergründe beim Adminlogon.
Ich kann leider nicht einfach die DDP ändern oder "Authentifizierte Benutzer" hinzufügen, da es mir dann sämtliche Dienst- und vor allem Adminkonten zerschießen würde. Eine Änderung hier ist zwar geplant, muss jedoch separat erfolgen.
Hat jemand eine Idee, wie ich die Richtlinie überreden kann, zu funktionieren? Falls jemand mehr Infos braucht bin ich gerne bereit, diese im Rahmen des Datenschutzes zur Verfügung zu stellen.
Danke schonmal!
Zensai
so langsam komm ich mir echt blöd vor, dass ich grade an einer simplen Kennwortrichtlinie scheitere, aber gut...manchmal sieht man den Wald vor lauter Bäumen nicht.
Ich habe hier eine Domain mit 3 Servern (2008R2):
- DC
- Fileserver und Groupware
- Terminalserver
Domain und Forestlevel: 2008 R2
Bis vor kurzem waren in der Default Domain Policy recht lockere Kennwortrichtlinien hinterlegt:
- min 6 Zeichen
- min Alter 1 Tag, Max Alter 42 Tage
- keine Komplexität
- 24er Chronik
Nun habe aus der DDP diese Optionen entfernt und ein neues Gruppenrichtlinienobjekt "Kennwortrichtlinie" angelegt mit folgenden Einstellungen:
- min 8 Zeichen
- min Alter: 1 Tag
- Max Alter: 180 Tage (ist so Voraussetzung...)
- Komplexität aktiviert
- 15er Chronik
Dieses Objekt habe ich auf Domainebene verknüpft (sonst geht es ja nicht) und sogar erzwungen.
- Die Sicherheitsfilterung enthält die Gruppen "Domain\Domänen-Benutzer" und "Domain\Terminalserverbenutzer". Diese zweite Gruppe enhält separate Konten für den TS Zugriff der Mitarbeiter.
- Die Vererbung ist aktiviert
- Es ist kein WMI Filter hinterlegt
- Ein GPResult /H zeigt an, dass die Richtlinie übernommen wurde.
- Auf untergeordneten OUs existieren keine Richtlinien.
Auf Domainebene existiert weiterhin die DDP und eine Richtlinie für Desktophintergründe beim Adminlogon.
Ich kann leider nicht einfach die DDP ändern oder "Authentifizierte Benutzer" hinzufügen, da es mir dann sämtliche Dienst- und vor allem Adminkonten zerschießen würde. Eine Änderung hier ist zwar geplant, muss jedoch separat erfolgen.
Hat jemand eine Idee, wie ich die Richtlinie überreden kann, zu funktionieren? Falls jemand mehr Infos braucht bin ich gerne bereit, diese im Rahmen des Datenschutzes zur Verfügung zu stellen.
Danke schonmal!
Zensai
Zuletzt bearbeitet:
(Rechtschreibkorrektur / Ergänzung)
witzigerweise funktioniert das bei uns mit dem dokumentieren sogar ganz gut.. Das ist ja auch immer so ne Sache..
