Win2k3 Server Kennwortrichtlinien

[Moepi]1

Lt. Commander
Dabei seit
Jan. 2002
Beiträge
1.233
Greenhorn sucht Hilfe:

Ich hab zu Testzwecken eine kleine Win2k3 Domäne mit einer XPPro Workstation eingerichtet. Läuft alles bestens, nur mit den verschiedenen Gruppenrichtlinien komm ich bis dato noch so garnicht zurecht.

Gestern hätte mich beinahe die Komplexitätsanforderung der Kennwortrichtlinie zur Verzweiflung gebracht. Kennwörter müssen in einer Win2k3-Domäne offensichtlich aus mind. 6 Zeichen, alphanumerisch mit Sonderzeichen bestehen - krank sag ich nur :D. Also ab in die Default Domain Group Policy, Sicherheit... ...Kennwortrichtlinie und die Komplexitätsanforderung deaktiviert. Freudig des vermeintlichen Erfolgs bin ich wieder in die Benutzerverwaltung von Active Directory und wollte nen neuen User ohne Passwort erstellen (oder wenigstens mit nem simplen Passwort) und "...kann nicht erstellt werden, da das Passwort nicht aktualisiert werden kann, weil es der Kennwortrichtlinie nicht entspricht". Leider blieben auch meine Drohungen dem DC gegenüber ohne Erfolg, die Kiste beharrt auf der Kennwortrichtlinie, obwohl sie eigentlich längst geändert ist.

Was mach ich falsch?
 
E

Eagle_B5

Gast
Im prinzip machst du nichts falsch! :)

Ich habe seit längerem eine w2k3 domäne zu hause und auch alle kennwortrichtlinien deaktiviert... Ohne erfolg!

Auch alle anderen informatiker die ich kenne und w2k3 einsetzen, haben bis anhin immernoch diese sch*** richtlinien drin.

Ich suche weiter! :)
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Dann hatte mein Freund gestern vielleicht doch recht als er sagte, man könne es nicht effektiv deaktivieren... - ich habs ihm nur nicht geglaubt, so bin ich nunmal :D

Ich seh es aber schon richtig, dass die "Domain Group Policy" alle lokalen Richtlinien, Sowohl auf dem DC als auch auf den Clients "überschreibt", also außer Kraft setzt oder?
Ich steh noch ganz am Anfang was Domänen angeht aber es macht einfach Spaß ;)
 
Zuletzt bearbeitet:

n0va

Ensign
Dabei seit
Sep. 2002
Beiträge
250
Das selbe Problem hatte ich vor einigen Wochen auch, habe es aber nach 2 Stunden arbeit geschafft...

Kann nun User in der w2k3 Domain anlegen und das Passwort auf ein Simples zurück setzen.. weis aber nicht mehr Auswendig welche Optionen das waren...

Schaue heute Abend nochmal daheim nach
 

der2of6

Lieutenant
Dabei seit
Apr. 2003
Beiträge
542
Wenn man Sowohl in der Sicherheitsrichtlinie für Domänen als auch in der für domäncontroler die Kennwortrichtlinien deaktiviert, dann geht es.
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Werd ich heut Abend testen...
 

ALCx

Commander
Dabei seit
Okt. 2001
Beiträge
2.922
Wenn es bei 2003 dasselbe wie bei 2000 ist, was ich mal stark annehme, wird die Sicherheitsrichtlinie für Kennwörter usw. auf der obersten Ebene(also bei der Domäne selbst) festgelegt. Dieses macht man mit einer Gruppenrichtlinie(dort sollte es schon eine voreingestellte geben). Es kann für eine Domäne nur eine Sicherheitsrichtlinie(Passwörter) festgelegt werden. Bei den Domänencontrollern war auch noch irgendwas mit den Sicherheitsrichtlinien, hab jetzt keine Zeit um nachzuschauen.
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Leider scheint es bei 2003 nicht genauso zu sein wie beim 2000er - sonst hätten nicht soviele Leute (mich eingeschlossen) Probleme damit. In der Schule lernen wir an den 2000ern und da lässt sich das ohne Probs einstellen...
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Zitat von der2of6:
Wenn man Sowohl in der Sicherheitsrichtlinie für Domänen als auch in der für domäncontroler die Kennwortrichtlinien deaktiviert, dann geht es.
Die Kennwortrichtlinie für den Domänencontroller ist nicht veränderbar, da deaktiviert. Der Domänencontroller ist Teil der Domäne. Alle lokalen Einstellungen, auch die Gruppenrichtlinien für den DC selbst, sind deaktiviert. Nix geht... :(
 

ALCx

Commander
Dabei seit
Okt. 2001
Beiträge
2.922
Ich schaue mir das morgen mal an, Testumgebungaufbau, bei solchen Themen kitzelts bei mir in den Fingern :D . Morgen Abend haste deine Antwort, hoffe ich doch :) .
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Das wär zu schön um war zu sein, diese Kennwortrichtlinie macht mich noch krank. Ich kratz ja nur an der Oberfläche bislang... - aber ich werd immer besser :D

Interessant ist, dass ich die Kennwörter dann auf der WS ändern kann, und dort müssen sie nicht mehr der Richtlinie entsprechen.
Und am DC kann ich auch das Passwort vom Adminkonot zum Beispiel ändern. Da muss das Kennwort nur mind. 7 Zeichen lang sein, aber keine Zahlen oder Sonderzeichen enthalten. Nur bei nem neu erstellten Konto in AD zickt er rum. Ich steig da einfach nicht durch.... *bücherbeiamazonbestell* *vorhermamianbettel* *wartbismamiausurlaubdaheimist*
 

ALCx

Commander
Dabei seit
Okt. 2001
Beiträge
2.922
Ich hab 2-3 Minuten gebraucht, um das Problem zu lösen *stolzsei* :D .

Die Gruppenrichtlinie muss auf oberster Ebene eingerichtet werden, also bei der Domäne selber. Das Problem dabei ist, dass kein Account die entsprechenden Berechtigungen für die Gruppenrichtlinie hat. Ist zwar sehr merkwürdig, aber es ist anscheinend bei Win2003 so. Jedenfalls habe ich die Gruppenrichtlinie entsprechend angepasst(minimal Passwortlänge 1 Zeichen).

Danach muss man bei den Sicherheitseinstellungen der Gruppenrichtlinie einen Account angeben, der die Rechte zum Gruppenrichtlinie lesen/schreiben und übernehmen haben muss. Habe aber dem Administrator Account(mit dem ich angemeldet war) Vollzugriff gegeben und siehe da...keine Passwortbeschränkung mehr. Kann nun ganz einfach Benutzer mit einem Buchstaben als Passwort anlegen :D . Ich habe es auch ohne Passwort versucht, funktioniert nicht.







Und nun kann sich der Benutzer1, mit einem Buchstaben als Passwort, anmelden :D .
 
Zuletzt bearbeitet:

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
Also den ersten Schritt hab ich auch geschafft. Das mit den Adminrechten muss ich heut Abend testen....
Sollte es funzen, bist Du mein HELD, sollte es nicht gehn, sag ich nur WINDOWS (die Mutter aller Probleme :D).

Aber da heut schon wieder alles schief geht, hab ich wenig Hoffnung. Zu spät aufgestanden, Zahnpaste auf die firsche Hose, Auto vereist, keinen Parkplatz gefunden und nur 91% im Cisco Online Exam geschafft *kotz* - live just sucks

Musste ich an dieser Stelle einfach loswerden.
 

Collapsar

Newbie
Dabei seit
Juni 2003
Beiträge
4
Also in einer Testumgebung habe ich keine Passwörter vergeben bei bestimmten Test-Administratoren/User. Das kann man grundsätzlich aussschalten. Man sollte nur nicht vergessen die Richtlinien auch durchzusetzten, sonst wartet man sich nen Wolf. War glaub ich "GPUPDATE /Force" oder so.

C.
 

[Moepi]1

Lt. Commander
Ersteller dieses Themas
Dabei seit
Jan. 2002
Beiträge
1.233
@ALCx: :bussi:
@Collapsar: :bussi:

Das mit den Benutzerrechten fürn Domainadmin war notwendig, aber das allein hats noch nicht gebracht - erst in Verbindung mit gpupdate /force war das miststück von kennwortrichtlinie bezwungen!

Danke nochmal ;)
 
Top