[W2K3] AD password policy - Serversoftware en clouddiensten

maandag 21 januari 2008 14:01

Acties:

Verwijderd

Topicstarter

Er zijn al een hoop vragen over password policy op GoT gesteld maar ik mijn probleem daar niet bij zien staan.

Het gaat om het volgende:
Ik heb de Default Domain Policy aangepast zodat deze ook de policy voor wachtwoorden bevat.
Hierin heb ik het volgende in gedefinieerd:

code:

Policy Setting 
Enforce password history 6 passwords remembered 
Maximum password age 90 days 
Minimum password age 0 days 
Minimum password length 6 characters 
Password must meet complexity requirements Enabled 
Store passwords using reversible encryption Disabled

Het vreemde is echter dat de wachtwoordlengte en de complexiteits eis prima afgedwongen worden, alleen de maximum password age niet. Deze blijkt effectief op 30 dagen te staan ipv 90 dagen.

Een GPresult geeft aan dat Default Domain Policy actief is.
Bij een RSoP geeft hij WEL aan dat de max password age op 90 dagen staat.

Als ik in het register ga kijken van mijn pc dan vind ik een sleutel bij:
HKLM/System/CurrentControlset/Services/Netlogon/Parameters de volgende key:
maximumpasswordage Regdword 0x0000001e (30)
ofwel: 30 dagen

Kan iemand mij een hint geven waarom hier niet de 90 dagen uit de policy staat?

Er is al meerdere malen een GPUpdate gedaan. Ook is het wachtwoord al gereset.

maandag 21 januari 2008 14:19

Acties:

_H_G_

Ook gpupdate /force op je client gedaan?

En als je al die draadjes had gelezen, dan heb je vast ook wat hints gezien betreffende het gebruik van de default domain policy

maandag 21 januari 2008 14:24

Acties:

Verwijderd

Topicstarter

Ook GPUpdate /force is uitgevoerd en ja de DDP staat gelinkt aan het domein.

Het rare is dat de complexiteit, unieke wachtwoorden en minimum wachtwoord lengte die ook in deze policy staan WEL uitgevoerd worden.

maandag 21 januari 2008 14:31

Acties:

_H_G_

In je verhaal staat trouwens niet of je bij de results gezien hebt of er niet toevallig een tweede policy actief is (zal wel niet, maar ik zou het anders niet meer weten. Misschien ben je op je dc bezig en is er nog een dc policy voor de duur ingesteld)

maandag 21 januari 2008 15:31

Acties:

alt-92

ye olde farte

Les 1 in GPO troubleshooten:
draai altijd een gpresult /v vóór je een topic gaat openen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 21 januari 2008 15:33

Acties:

ajhaverkamp

gewoon Arjan

alt-92 schreef op maandag 21 januari 2008 @ 15:31:
Les 1 in GPO troubleshooten:
draai altijd een gpresult vóór je een topic gaat openen.

Quote uit de topicstart:
Een GPresult geeft aan dat Default Domain Policy actief is.

This footer is intentionally left blank

maandag 21 januari 2008 15:52

Acties:

alt-92

ye olde farte

Daar mist nog een letter in - mijn fout

Ik wil de output van gpresult /V wel graag zien hier

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 21 januari 2008 16:53

Acties:

Verwijderd

Topicstarter

Hier de output van gpresult /v
Ik heb hierin de verwijzingen naar het bedrijf uit verwijderd.

--------------------
n.v.t.

Beleid voor openbare sleutels
-----------------------------
n.v.t.

Beheersjablonen
---------------
Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\Services\RemoteDesktop
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\GloballyOpenPorts
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\Services\FileAndPrint
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\RemoteAdminSettings
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\Standard
Profile\GloballyOpenPorts\List
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\Services\FileAndPrint
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\Standard
Profile\GloballyOpenPorts
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\RemoteAdminSettings
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\Services\RemoteDesktop
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\WindowsFirewall\DomainPr
ofile\GloballyOpenPorts\List
Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

Groepsbeleidsobjecten: Automatic update TPW
Instelling: Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Status: Ingeschakeld

GEBRUIKERSINSTELLINGEN
-----------------------
CN=,OU=,OU=,DC=,DC=
Laatste maal dat het groepsbeleid is toegepast: 21-1-2008 at 14:53:37
Het groepsbeleid is toegepast vanuit:
Drempelwaarde van groepsbeleid voor langzame verbindingen: 500 kbps

Toegepaste groepsbeleidsobjecten
---------------------------------
Default Domain Policy
Proxy (altijd aan)

De volgende groepsbeleidsobejecten worden niet toegepast omdat ze zijn
gefilterd.
----------------------------------------------------------------------------
----------
Proxy (tabblad verbinding blijft bestaan)
Filteren: Geweigerd (beveiliging)

Lokaal groepsbeleid
Filteren: Niet toegepast (leeg)

De gebruiker is deel van de volgende beveiligingsgroepen:
---------------------------------------------------------

Resulterende verzmeling beleidsinstellingen voor gebruiker:
------------------------------------------------------------

Software-installaties
---------------------
n.v.t.

Beleid voor openbare sleutels
-----------------------------
n.v.t.

Beheersjablonen
---------------
Groepsbeleidsobjecten: Proxy (altijd aan)
Instelling: Software\Policies\Microsoft\Windows\CurrentVersion\I
nternet Settings\ZoneMap
Status: Ingeschakeld

Groepsbeleidsobjecten: Default Domain Policy
Instelling: Software\Policies\Microsoft\Internet Explorer\Contro
l Panel
Status: Uitgeschakeld

Groepsbeleidsobjecten: Proxy (altijd aan)
Instelling: Software\Policies\Microsoft\Internet Explorer\Contro
l Panel
Status: Ingeschakeld

Mapomleiding
------------
n.v.t.

Gebruikersinterface van de Internet Explorer-browser
----------------------------------------------------
Groepsbeleidsobjecten: Default Domain Policy
Naam van grote bitmapanimatie: n.v.t.
Naam van grote aangepaste bitmap met logo: n.v.t.
Tekst in titelbalk:
Tekst van gebruikersagent: n.v.t.
Bestaande knoppen op de werkbalk verwijderen: Nee

Verbinding van Internet Explorer
--------------------------------
HTTP-proxyserver:
Beveiligde proxyserver:
FTP-proxyserver:
FTP-proxyserver:
Socks-proxyserver:
Autom. configuratie: Nee
Proxy inschakelen:Ja
Zelfde proxy gebruiken:Ja

HTTP-proxyserver:
Beveiligde proxyserver:
FTP-proxyserver:
FTP-proxyserver:
Socks-proxyserver:
Autom. configuratie: Nee
Proxy inschakelen:Nee
Zelfde proxy gebruiken:Ja

URL's van Internet Explorer
---------------------------
Groepsbeleidsobjecten: Default Domain Policy
URL van startpagina: n.v.t.
URL van zoekpagina: n.v.t.
URL van de webpagina voor ondersteuning: n.v.t.

Beveiliging van Internet Explorer
---------------------------------
Altijd beschikbare websites: n.v.t.
Wachtwoord negeren inschakelen: Onwaar

Altijd beschikbare websites: n.v.t.
Wachtwoord negeren inschakelen: Onwaar

Groepsbeleidsobjecten: Default Domain Policy
Huidige instellingen van inhoudsrestricties importeren: Nee

Huidige instellingen van beveiligingszones importeren:
Nee
Huidige beveiligingsgegevens van Authenticode importeren: Nee
Vertrouwde uitgevers blokkeren inschakelen: Nee

Programma's van Internet Explorer
---------------------------------
Groepsbeleidsobjecten: Default Domain Policy
De huidige programmainstellingen importeren: Nee

maandag 21 januari 2008 19:50

Acties:

alt-92

ye olde farte

Ik mis gewoon een stuk bij je post.

Hier staat (na het Assigned Software policies deel) waar je Passwordsettings uit te lezen zijn (voorbeeld uit een VMware testdomain) :

code:

       Account Policies
        ----------------
            GPO: Default Domain Policy
                Policy:            MinimumPasswordAge
                Computer Setting:  1

            GPO: Default Domain Policy
                Policy:            PasswordHistorySize
                Computer Setting:  4

            GPO: Default Domain Policy
                Policy:            MinimumPasswordLength
                Computer Setting:  8

            GPO: Default Domain Policy
                Policy:            LockoutBadCount
                Computer Setting:  N/A

            GPO: Default Domain Policy
                Policy:            MaximumPasswordAge
                Computer Setting:  31

[ Voor 8% gewijzigd door alt-92 op 21-01-2008 19:52 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 januari 2008 08:50

Acties:

Verwijderd

Topicstarter

Ik had blijkbaar niet eraan gedacht dat de weergave zover doorscrollt dat dit uit de cache van de command window loopt. Via een piped weergave heb ik de volgende instellingen uit gpresult /v gehaald:

Het maakt denk ik mijn verwarring wel duidelijk. De policy geeft aan dat de maxpasswordage op 90 dagen staat maar in het register vind ik een key terug die verwijst naar 30 dagen. Deze 30 dagen blijkt ook de daadwerkelijke maxpassworage te zijn en ik krijg dan ook (begrijpelijk) klachten van medewerkers dat ze zo vaak hun wachtwoord moeten wijzigen.

code:

        Accountbeleid
        -------------
                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            MinimumPasswordAge
                Computerinstelling:  n.v.t.

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            PasswordHistorySize
                Computerinstelling:  6

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            LockoutDuration
                Computerinstelling:  60

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            ResetLockoutCount
                Computerinstelling:  30

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            MinimumPasswordLength
                Computerinstelling:  6

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            LockoutBadCount
                Computerinstelling:  5

                Groepsbeleidsobjecten: Default Domain Policy
                Beleid:            MaximumPasswordAge
                Computerinstelling:  90

dinsdag 22 januari 2008 09:43

Acties:

_H_G_

Maar dat is nog niet de complete gpresult /V.

Is het uitgevoerd met de gebruiker en machine in kwestie?

dinsdag 22 januari 2008 10:58

Acties:

alt-92

ye olde farte

Als je de complete output wil hebben:

gpresult /v > output.txt

op de betreffende machine draaien.

Hebben jullie een security template gebruikt bij het uitrollen van de werkstations?
Hoe ziet het eruit als je op de desbetreffende machine gpedit.msc raadpleegt?

Als een domain policy settings merged met lokaal geconfigureerde policies dan is dat herkenbaar aan het icon

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 januari 2008 13:59

Acties:

Verwijderd

Topicstarter

Er zijn geen security templates gebruikt bij installatie en lokaal zijn er geen policies geconfigureerd.
printscreen van gpedit lokaal:
http://s275.photobucket.c...n=view&current=gpedit.jpg

printscreen van regedit key waarin 30 dagen staat:
http://s275.photobucket.c...=view&current=regedit.jpg

[ Voor 23% gewijzigd door Verwijderd op 22-01-2008 14:03 ]

woensdag 6 februari 2008 09:18

Acties:

Verwijderd

Topicstarter

Omdat ik dit probleem nog steeds niet heb kunnen oplossen, wil ik het nogmaals onder de aandacht brengen.
Iemand die een helder moment heeft waar ik overheen kijk?

alvast bedankt

woensdag 6 februari 2008 15:03

Acties:

mutsje

Certified Prutser

doe eens gphealth check downloaden vanaf deze site http://www.sdmsoftware.com/products.php Dan kun je beginnen met controlleren of je policies nog in orde zijn. Het is een freeware tool.

donderdag 7 februari 2008 23:02

Acties:

DarkHelmet

Probeer anders eens een tweede policy te maken op domain level om te kijken wat daar het effect van is.
BTW, het wordt sowieso niet aangeraden default domain policy aan te passen...

"A study in the Washington Post says that women have better verbal skills than men. I just want to say to the authors of that study: Duh."