Passwortkomplexität wird erwartet, obwohl GPO auf Deaktiviert steht

[Blubmann1337]

Tag zusammen,

gleich mal vorneweg.... Die Passwortkomplexität nicht zu benutzen ist nicht meine Idee. Allerdings gibt es da eine echt merkwürdige Sache. Die Komplexität ist deaktiviert. Der DC ist ein 2019, Funktionsebene ist 2008R2, weil noch sehr alte Clients im AD liegen (ebenfalls nicht meine Idee). Nun werden die Benutzer aufgefordert das Passwort alle 180 Tage zu ändern. Mindestpasswortlänge ist 10 Zeichen und die letzten 3 Passwörter nicht. Allerdings werden den Benutzern immer gemeldet, dass die Komplexität nicht gegeben ist, obwohl diese deaktiviert ist und die Passwörter ausreichen lang und keines der vorangegangen ist. An einem anderen PC funktioniert das ändern ebenfalls nicht. Hab schon mit net accounts und net accounts /domain geprüft -> Die Einstellungen passen. Ich bin etwas ratlos. Meine Vermutung, der DC 2019 forciert die Passwortkomplexität. Hatte jemand schon mal so ein Phänomen?

 

[derlorenz]

Moin, was sagt denn gpresult am Client?

 

[puri]

Hast Du die Domäne alleine unter Verwaltung oder ist diese Teil eines Forest ? Bestimmte Passwordregeln, die von "weiter oben" vorgegeben werden kann man nämlich weiter unten nicht außer Kraft setezn.

 

[konkretor]

sonst mal mir rsop schauen was da wirklich ankommt

https://docs.microsoft.com/en-us/tr...up-policy/use-resultant-set-of-policy-logging

 

[Thaddelino]

Wo genau (welche GPO) ist die Komplexität denn deaktiviert?

 

[Blubmann1337]

Hi ihr vier,

@derlorenz habe zunächst geprüft, ob noch eine andere GPO irgendetwas mit Passwörter macht. @Thaddelino Es ist aber nur die Default Domain Policy. Diese wird vom Client auch benutzt.
@puri ist alleine unter der Verwaltung, also kommt nix mehr drüber
@konkretor das werde ich gleich mal prüfen

 

[Blubmann1337]

@konkretor habs geprüft, kommt an
Interessant ist, dass dann bei Änderung jedes Passwort angemeckert wird. Ganz egal wie lang oder Komplex.

 

[RalphS]

Stichwort fine grained password policies. Die sind ggfs. auch noch implementiert.

Prüf das mal gegen, nicht daß Du den falschen Baum anbellst.

 

[morcego]

gleich mal vorneweg.... Die Passwortkomplexität nicht zu benutzen ist nicht meine Idee.

https://blog.codinghorror.com/your-password-is-too-damn-short/
https://blog.codinghorror.com/password-rules-are-bullshit/
Man könnte mal Wetten drauf abschließen, ob dieser Blödsinn aufhört, Intel seine dedizierte Grafikkarte im Markt hat oder Quantencomputer massentauglich werden. Ich würde fast auf den Quantencomputer setzen.

Selbst das NIST, von dem wohl diese Empfehlung stammt, und die von jedem übernommen wurde, hat 2018 2016 umgesattelt und empfiehlt weder Komplexität noch ständiges ändern. Sondern als wichtigstes die Länge.
Aber da selbst im Azure AD Komplexität in gewünschter Kombination mit MFA gefordert wird, ist da wohl jegliche Hoffnung vergebens.

 

[RalphS]

Es ist und bleibt nicht ganz simpel. Momentan gibts Trends, weg vom proof-of-knowledge hin zum proof-of-ownership zu gehen... aber das fordert halt extra Hardware vom Benutzer (und sei es nur ein Smartphone) und, nicht viel besser, der für die Absicherung betriebene Aufwand wird noch weiter verdeckt als bisher schon.

Aber solange (bspw) SMB shares oder RDP keine Hardware Tokens, PINs oä unterstützen, solange brauchen wir halt Passwörter.

Und 10x "123456" hintereinander oder 128 "A"s als Paßwort sind auch nicht sicher. Egal wie oft man das wiederholt.

 

[Blubmann1337]

@RalphS fine grained password policies ist nicht implementiert. Ich habe die Vermutung, dass es ein Bug ist. Gab ja auch im März Update den Bug, dass Benutzer ihre Kennwörter nicht ändern konnten, wenn der Haken gesetzt war, dass sie es bei der nächsten Anmeldung ändern sollen.

 

[RalphS]

Jetzt seh ich den functional level erst….

Dringender Hinweis, die Funktionsebene von Forest oder Domain haben nich das geringste mit Clients zu tun. Da geht es um die Domain selbst, bzw deren DCs. Auch Win2000 Workstations können in ein AD mit 2019er Level aufgenommen werden. Nur halt keine DCs unterhalb des funktionslevels.
… IIRC würden dann FGP eh nicht funktionieren, da Schema zu alt.


Ich war ja implizit davon ausgegangen, daß da schon geschaut wurde, aber was sagt denn das rsop? Da sollte ja was drinstehen.

 

[Blubmann1337]

@RalphS Das mit der Funktionsebene ist tatsächlich ein erleuchtender Fakt. Danke dafür. Um die Frage zu beantworten. RSOP liefert mir das Ergebnis, dass die GPO übernommen wurde, also eigentlich keine Komplexität.