Windows Server 2008 R2 Das leidige Thema Kennwortrichtlinien

Hallo zusammen,

so langsam komm ich mir echt blöd vor, dass ich grade an einer simplen Kennwortrichtlinie scheitere, aber gut...manchmal sieht man den Wald vor lauter Bäumen nicht.

Ich habe hier eine Domain mit 3 Servern (2008R2):
- DC
- Fileserver und Groupware
- Terminalserver

Domain und Forestlevel: 2008 R2

Bis vor kurzem waren in der Default Domain Policy recht lockere Kennwortrichtlinien hinterlegt:
- min 6 Zeichen
- min Alter 1 Tag, Max Alter 42 Tage
- keine Komplexität
- 24er Chronik

Nun habe aus der DDP diese Optionen entfernt und ein neues Gruppenrichtlinienobjekt "Kennwortrichtlinie" angelegt mit folgenden Einstellungen:
- min 8 Zeichen
- min Alter: 1 Tag
- Max Alter: 180 Tage (ist so Voraussetzung...)
- Komplexität aktiviert
- 15er Chronik

Dieses Objekt habe ich auf Domainebene verknüpft (sonst geht es ja nicht) und sogar erzwungen.

- Die Sicherheitsfilterung enthält die Gruppen "Domain\Domänen-Benutzer" und "Domain\Terminalserverbenutzer". Diese zweite Gruppe enhält separate Konten für den TS Zugriff der Mitarbeiter.
- Die Vererbung ist aktiviert
- Es ist kein WMI Filter hinterlegt
- Ein GPResult /H zeigt an, dass die Richtlinie übernommen wurde.
- Auf untergeordneten OUs existieren keine Richtlinien.
Auf Domainebene existiert weiterhin die DDP und eine Richtlinie für Desktophintergründe beim Adminlogon.

Ich kann leider nicht einfach die DDP ändern oder "Authentifizierte Benutzer" hinzufügen, da es mir dann sämtliche Dienst- und vor allem Adminkonten zerschießen würde. Eine Änderung hier ist zwar geplant, muss jedoch separat erfolgen.

Hat jemand eine Idee, wie ich die Richtlinie überreden kann, zu funktionieren? Falls jemand mehr Infos braucht bin ich gerne bereit, diese im Rahmen des Datenschutzes zur Verfügung zu stellen.

Danke schonmal!
Zensai

Passwort Einstellungen in einer Domäne werden nicht über andere Gruppenrichtlinien gesteuert ausser der Default Domain Policy. Willst du unterschiedliche Passworteinstellungen für besonderen Benutzergruppen, musst du mit sogenannten Password Setting Objects arbeiten. Such mal nach Fine-Grain-Password-Policy im Internet.

Nein, ich will schon eine zentrale Richtlinie, ich möchte nur nicht, dass das Adminkennwort jetzt abläuft, wenn ich die Settings in der DDP ändere, daher die separate Richtlinie.


Ja, Kennwortrichtlinien über eine zweite Richtlinie außer der DDP ist zwar nicht die feine englische Art, solange sie auf Domänenebene verknüpft wird sollte sie aber doch trotzdem ziehen, oder bin ich grad auf dem Holzweg und es muss zwangsweise über die PSOs laufen, wenn ich den Admin nicht abschießen will?

Bist du, alles außer der Default Domain Policy wird ignoriert was Passwörter betrifft, abgesehen von den lokalen Richtlinien, aber die willst du dafür sicher nicht einsetzen. Deine Lösung heißt Fine-Grain oder gar nichts.

Du kannst ein PSO erstellen und es mit mehreren Gruppen verknüpfen, dann kannst du dein Szenario mit 2 Einstellungen abdecken.

Hallo,

bearbeite mal die Reihenfolge der Abarbeitung der GPOs.

DDP muss HINTER der GPO stehen, die Du für die Kennwortrichtlinie erstellt hast.

Grund:
DDP wird, ob aktiviert oder nicht, abgearbeitet.

Ich danke euch schonmal!

Reihenfolge habe ich bereits geändert, aber noch keinen Test machen können.

Ich werde bezüglich beider Möglichkeiten berichten. Danke!

Trick 17 wäre, bei den Adminkonten "Kennwort läuft nicht ab" zu setzen. Dann wird die Richtlinie nicht angewendet.

mnachmal frage ich mich wer so alles Domains administrieren darf...
AdminKonto nicht ablaufend haut Dir jeder Revisor um die Ohren
und bei einer Laufzeit von 180 Tagen nur 8 Zeichen zu verwenden ist fahrlässig

Du magst es dir nicht vorstellen können, aber es gibt nicht nur Enterprise-Umgebungen. Ich habe nur Kunden aus dem KMU-Umfeld, da gibt es keine Revisoren, ganz im Gegenteil. Da herrscht meist eine absolute Susi-Sorglos-Mentalität. Ich bin oft schon froh, wenn ich die Passwortkomplexität erzwingen kann.

und bei einer Laufzeit von 180 Tagen nur 8 Zeichen zu verwenden ist fahrlässig

Zum Vergrößern anklicken....

Das ist mir durchaus bewusst.
Wenn der Kunde das aber unbedingt so möchte und wir ihn auf die Risiken hingewiesen haben, dann wird es so umgesetzt.

Eines der typischen Probleme mit Kunden auf diesem Sektor:

Es wird ein Berg an Geld für Beratung, Umsetzung und Pflege aufgebracht, weil man keine Ahnung hat bzw. niemanden anstellt, der diese haben könnte, aber darauf gehört, was so empfohlen wird, wird nicht, egal von wem!

Das hier nicht einmal auf den Dienstleister gehört wird, den man ja nun für teuer Geld eingekauft / beauftragt hat, wird mir ein immerwährendes Paradoxum bleiben!

EDIT:
Lass dir im Serviceschein diese Aussagen, Hinweise und "Tipps" unterschreiben! Nur ein gut gemeinter Rat! Hinterher kommt noch jemand auf die Idee, wegen "falscher Beratung" zur Kasse zu bitten!!

Findige arbeitslose Anwälte, beauftragt durch den Kunden, gehen nämlich gern mal dazu über, die Wörtchen "INKOMPETENZ" und "IGNORANZ" seitens des Kunden als "schlechte Beratung" des Dienstleisters dastehen zu lassen!!!! Und bei der unglaublichen Dämlichkeit gewisser Richter in dieser unserer studierten Bananen-Republik...KOMMEN DIE DAMIT AUCH NOCH DURCH (Wenn keine schriftlichen Gegenbeweise vorliegen!!!)!!

Haben wir alles Dokumentiert witzigerweise funktioniert das bei uns mit dem dokumentieren sogar ganz gut.. Das ist ja auch immer so ne Sache..

Dass das auch immer so eine Sache ist, ist einfach nur denen zuzuschieben, die mit ihrem Solarhirn ausschließlich von 12 bis mittag in Betrieb sind!

Ich als Arbeitgeber würde den Mitarbeitern dies im Arbeitsvertrag festlegen! Und bei Verstoß --> Abmahnung! 3 x = Kündigung und drei Monate Sperre beim AA / ARGE wegen grober Pflichtverletzung! Es kann mich als AG einen haufen Kohle kosten, wenn einer meiner MA da schlunzt und der Kunde Regressansprüche geltend macht!!

Aber so ist das leider in Zeiten, wo jeder Sonderschüler, der IT und PC buchstabieren kann, an die Consolen gelassen wird!!

hazrael schrieb:

Passwort Einstellungen in einer Domäne werden nicht über andere Gruppenrichtlinien gesteuert ausser der Default Domain Policy.

Zum Vergrößern anklicken....

Ansichtssache. Bin ich absolut kein Freund von. Die Default Policies fasse ich *nie* an, jede Richtlinie bekommt ihre eigene GPO. So auch die Kennwortrichtlinie.

Ist keine Ansichtssache, Passworteinstellungen gelten nur in der Default Domain Policy oder in Passwort Setting Objects.

Nope, definitiv nicht.

In Active Directory-Domänen unter Microsoft® Windows® 2000 und Windows Server 2003 konnte nur eine in der Standarddomänenrichtlinie angegebene Kennwort- und Kontosperrungsrichtlinie auf alle Benutzer in der Domäne angewendet werden.

Zum Vergrößern anklicken....

Du erkennst deinen Fehler? Wobei ich mir selbst da nicht ganz sicher bin, aber Win2k3 ist einfach schon zu lange her.

Kein Fehler, seitdem gibt es die PSOs und die aber nicht über den GruppenrichtlinienBereich erstellt und geregelt werden. Benutzt du die nicht, gilt das was da steht selbst bei Server 2012 noch.

Redest du jetzt von PSOs oder von einer normalen Kennwortrichtlinie? Letztere greift auch außerhalb der DDP, sie muss nur ganz oben in der Hierarchie stehen. Das ist fakt.