Hallo zusammen,
leider stehe ich mal wieder vor einem sehr merkwürdigen Policy Problem.
Was ich vor habe ist relativ einfach, ich möchte eine Kennwort Policy einführen.
Nix wildes, mindestens 8 Zeichen, Kennwort Chronik auf 4 und fertig.
Was habe ich gemacht:
- GPO Verwaltung
- Policy erstellt unter
- Computerkonfiguration
- Windows Einstellungen
- Sicherheitseinstellungen
- Kontorichtlinie/Kennwortrichtlinien
- Dann meine Einstellungen
- Zusätzlich habe ich unter Administrative Vorlagen den Loopbackmodus auf Ersetzen (und schon mal Zusammenführen) gesetzt.
3. Die Policy habe ich auf einen OU verknüpft mit diversen PCs
4. Sicherheitsfilterung: Domänen Benutzer
5. Unter Deligierung habe ich eingestellt, dass Domänen Admins die Policy verweigern sollen
Soweit so gut auf dem Client sehe ich auch das die Policy gezogen wird wenn ich aber nun auf einem AD Server net user und den DomänenUser eingebe sehe ich, dass das Passwort nicht abläuft.
Da habe ich in der Gruppenrichtlineienverwaltung Erzwungen auf JA gesetzt damit die Checkbox im AD Objekt überschrieben wird (Konto läuft Nie ab).
Nun sehe ich, dass mein Konto in 30 Tagen abläuft obwohl ich zu testzwecken das Max Kennwortalter auf 2 und das Min Kennwortalter auf 1 gesetzt habe.
Dann habe ich gesehen, dass die lokale Sicherheitsrichtlinie vom AD Server dazwischen funkt. Diese hat nämlich die 30 Tage konfiguriert.
Was ich eigentlich nur will, alle Domänen User sollen Ihr Passwort einmal ändern und dann immer alle 90 Tage.
Habt Ihr eine Idee / Ratschlag oder die Lösung für mich.
Danke und Gruß