ComputerBase Menü
Aktuelles

Windows Server 2019: Kennwortkomplexität kann nicht deaktiviert werden

H

HuBaer

Ensign
Registriert
Aug. 2006
Beiträge
177
Hallo zusammen,

ich weiß, das Netz ist übersäht von Einträgen zur Kennwortkomplexität. Wir bringens trotzdem nicht hin, deswegen wende ich mich nun an euch. Zuletzt haben wir in allen drei GPOs (Default, Default Domain Controller, Feuerwehr (unsere eigene)) die Kennwortkomplexität deaktiviert. Trotzdem können User, welche beim ersten Start ihr Kennwort aussuchen müssen, kein beliebiges Kennwort eingeben, da es laut Meldung dann nicht den Komplexitätsvoraussetzungen entspricht. Die GPOs Default und Feuerwehr greifen prinzipiell für diese User, was zum einen gpresult ergibt und zum anderen die sichtbare Anwendung anderer Richtlinien im selben GPO. Im Netz habe ich auch noch gelesen, dass man die Einstellungen zur Kennwortkomplexität in der Default Domain Controllers Policy vornehmen muss. Dies hat jedoch dann auch keine Besserung gebracht. Was machen wir falsch?

Danke und Grüße
 

Anhänge

  • 1.JPG
    1.JPG
    31,5 KB · Aufrufe: 1.534
  • 2.JPG
    2.JPG
    60,3 KB · Aufrufe: 1.524
  • 3.JPG
    3.JPG
    69,6 KB · Aufrufe: 1.239
  • 4.JPG
    4.JPG
    65 KB · Aufrufe: 1.272
HuBaer schrieb:
Was machen wir falsch?
Zum Vergrößern anklicken....
Also abgesehen von suboptimalen Kennwörtern? ;)

Werden die GPOs auch den passenden OUs zugeordnet? Klappt die Kennwortänderung nach einem "gpupdate /force" auf dem Zielsystem?

Eine Änderung an der "Default Domain Controllers Policy" bringt deinen Clients wenig, da die (hoffentlich!) nicht in der OU "Domain Controllers" stecken.
 
Zuletzt bearbeitet:
Das müsste man mal in der Dokumentation nachlesen.
Bestimmte Sachen kann man zwar einstellen haben aber eine Grundfunktion die man nicht ändern kann.

Ich glaube nicht das man das komplett ausschalten kann. Also 6 Zeichen 2 Merkmale wird das minimum sein das man erreichen kann. Aber sicher bin ich mir da nicht.

Und ja aus den Bildern geht nicht hervor welche GPO auf die User wirkt. Wenn es da noch mehr GPO's gibt könnte da ja was restriktivers drin stehen. Nur weils in der Default Domain Policy abgeschalten ist die so wie es dargestellt ist gezogen werden muss heisst das ja noch gar nix.

Generell halte ich es aber für sehr fragwürdig dieses Ziel zu erreichen ein standrad 8 stelliges Passwort mit 3 Merkmalen sollte nicht so schwer sein. ein Gro0buchstabe und eine Zahl lässt viele einfache Passwörter zu die einfach merkbar sind.
 
iSource schrieb:
Also abgesehen von suboptimalen Kennwörtern? ;)

Werden die GPOs auch den passenden OUs zugeordnet? Klappt die Kennwortänderung nach einem "gpupdate /force" auf dem Zielsystem?

Eine Änderung an der "Default Domain Controllers Policy" bringt deinen Clients wenig, da die (hoffentlich!) nicht in der OU "Domain Controllers" stecken.
Zum Vergrößern anklicken....

Das mit den suboptimalen Kennwörtern ist richtig. Wir wollen das mittelfristig auch ändern, jedoch jetzt erstmal den Zustand vor der Umstellung auf Server 2019 wiederherstellen. Und zweitens verstehen, warum die Richtlinie hier nicht greift zugunsten des allgemeinen Verständnisses ;-)
gpupdate /force auf dem Client hat keine Besserung gebracht.


QShambler schrieb:
Das müsste man mal in der Dokumentation nachlesen.
Bestimmte Sachen kann man zwar einstellen haben aber eine Grundfunktion die man nicht ändern kann.

Ich glaube nicht das man das komplett ausschalten kann. Also 6 Zeichen 2 Merkmale wird das minimum sein das man erreichen kann. Aber sicher bin ich mir da nicht.

Und ja aus den Bildern geht nicht hervor welche GPO auf die User wirkt. Wenn es da noch mehr GPO's gibt könnte da ja was restriktivers drin stehen. Nur weils in der Default Domain Policy abgeschalten ist die so wie es dargestellt ist gezogen werden muss heisst das ja noch gar nix.

Generell halte ich es aber für sehr fragwürdig dieses Ziel zu erreichen ein standrad 8 stelliges Passwort mit 3 Merkmalen sollte nicht so schwer sein. ein Gro0buchstabe und eine Zahl lässt viele einfache Passwörter zu die einfach merkbar sind.
Zum Vergrößern anklicken....

Bei unserem Vorgänger Windows Small Business Server 2011 war das komplette Abschalten noch möglich.
Die GPOs wirken auf alle User und alle Computer. Im AD sind entsprechende OU angelegt. Habs auch grad nochmal kontrolliert und wird durch gpresult /r bestätigt.

Grüße
 

Anhänge

  • 5.JPG
    5.JPG
    54,9 KB · Aufrufe: 893
  • 6.JPG
    6.JPG
    68,8 KB · Aufrufe: 913
Hi,

HuBaer schrieb:
Trotzdem können User, welche beim ersten Start ihr Kennwort aussuchen müssen, kein beliebiges Kennwort eingeben, da es laut Meldung dann nicht den Komplexitätsvoraussetzungen entspricht.
Zum Vergrößern anklicken....

Minimale Kennwortlaenge 0?
Und lass die Defalt Domain Controller Policy in Ruhe, wenn Du nicht wirklich weisst was Du tust. ;)

Abgesehen davon schau mal auf den PC, was an Richtlinien dort ankommt.

BFF
 
HuBaer schrieb:
Trotzdem können User, welche beim ersten Start ihr Kennwort aussuchen müssen, kein beliebiges Kennwort eingeben, da es laut Meldung dann nicht den Komplexitätsvoraussetzungen entspricht.
Zum Vergrößern anklicken....

Kannst du ein simples Passwort im ActiveDirctory für einen User setzen?
Wenn ja, dann könnte es im Benutzerprofil noch ne Option bezüglich Passwortkomplexität geben. Hab das jetzt aber nicht vor Augen.
 
Default Domain Policy > Gpmc.msc (Standard Kennwortrichtlinie/alle Benutzer) Warum die Kontosperrungs- /kennwortrichtlinien bei euch nicht greifen, @iSource hat ja bereits einige geistreiche Bemerkungen dazu gepostet -Domain Admin Rechte vorhanden?

So die betroffenen Anwender keiner OU angehören mal testweise ein PSO unter dem AD Administrative Center erstellen ==> Dsac.exe. MIt ADAC/PS kannst du die geänderte Konfig anschließend überprüfen.

IT_Nerd
 
BFF schrieb:
Hi,



Minimale Kennwortlaenge 0?
Und lass die Defalt Domain Controller Policy in Ruhe, wenn Du nicht wirklich weisst was Du tust. ;)

Abgesehen davon schau mal auf den PC, was an Richtlinien dort ankommt.

BFF
Zum Vergrößern anklicken....

Ok dann ich die Default Domain Controller Policy wieder in Ruhe ;-)
Ja minimale Kennwortlänge 0, nur zu Testzwecken
gpresult auf den PCs schreibt, dass die Richtlinien ankommen.

DocWindows schrieb:
Kannst du ein simples Passwort im ActiveDirctory für einen User setzen?
Wenn ja, dann könnte es im Benutzerprofil noch ne Option bezüglich Passwortkomplexität geben. Hab das jetzt aber nicht vor Augen.
Zum Vergrößern anklicken....

Im AD kann man auch ganz einfache Passwörter setzen. Im Beutzerprofil habe ich keine Option bezüglich Passwortkomplexität gefunden.


Nun haben wir alle in den GPO vorgenommenen Einstellungen zu den Kennwörtern rausgenommen, also auf nicht konfiguriert gesetzt. Es ist jetzt so, dass bereits angelegte User leichte Einschränkungen bei den Passwörtern haben, z.B. darf das Passwort nicht einem alten gleich sein oder ähneln, oder evtl. Teile des Namens enthalten. Neu angelegte User dürfen auch z.B. das Passwort "123" wählen oder eines, das Teile des Namens enthält.

Wir haben uns inzwischen darauf verständigt, gleich sichere Passwörter zu verwenden. Trotzdem wäre es interessant, was denn nun die derzeitig gültigen Mindeststandards sind oder warum neu angelegte User keine Einschränkungen mehr beim Passwort haben, obwohl ja nun eigentlich die Domänen-Mindeststandards, die in der Gruppenrichtlinie beschrieben sind, gelten (min. 7 Zeichen, Groß-Kleinbuchstaben, Sonderzeichen, Zahlen).

Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.667
ibm9001
ibm9001
G
Windows 10 Kennwürtgeschütztes freigeben von Ordnern kann nicht deaktiviert werden
Antworten
3
Aufrufe
1.471
yxcv
Y
TocradotNet
Windows Server 2012 AD&GPO nicht alle GPO's werden Übernommen.
Antworten
13
Aufrufe
4.616
Frightener
F
C
Windows 7 o2 Router und Speedport W700V als Accesspoint=Nicht identifiziertes Netzwer
Antworten
1
Aufrufe
2.457
miac
M
D
User-Notebook kann nach BandbreitenUpgrade nicht mehr in Domäne eingebunden werden
Antworten
0
Aufrufe
1.169
Deathdrep_KO
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz