[2000] Maximale wachtwoordduur policy* - Windows clients

vrijdag 25 juni 2004 10:58

Acties:

Verwijderd

Topicstarter

We hebben hier een windows 2000 server met active directory. De gebruikers krijgen nu om de 30 dagen een melding dat het wachtwoord verlopen is en dat ze die moeten aanpassen. Dit zou 90 dagen moeten zijn en dat hebben we ook in zowel de default domain policy als beveilingsbeleid voor domeinen en beveiligingsbeleid voor domeincontrollers aangepast naar 90 dagen. Maar hij blijft die 30 dagen gebruiken. Ook na het herstarten van de server en de clients.
Er is verder geen aparte policy voor OU (organisational units).

vrijdag 25 juni 2004 11:49

Acties:

mutsje

Certified Prutser

Als je Windows XP+SP1 clients hebt kun je op 1 van de clients de Group Policy Management Console installeren. Dan krijg je gelijk een duidelijk overzicht welke policies je allemaal hebt en welke instellingen er actief zijn. zie ook de [rml][ windows 2003]Howto: policies en tools[/rml] deze is dan wel voor 2003 geschreven door Luckyme_ en mij maar slaat ook grotendeels op 2000.

vrijdag 25 juni 2004 12:34

Acties:

elevator

Officieel moto fan :)

Kleine titel edit zodat het OS in je topic titel staat

zaterdag 26 juni 2004 04:33

Acties:

Verwijderd

Controleer ook even m.b.v. de event viewer of alle policies wel succesvol geapplied kunnen worden. Wat betreft eventuele OU policies : dit maakt geen snars uit, voor account gerelateerde zaken gaat de Domain GPO altijd voor. Je Default Domain Controller GPO heeft hier dus ZEKER ook geen invloed op (als de setting tenminste gezet is in je Default Domain GPO).

edit : misschien een domme vraag, maar loggen de gebruikers wel aan op het domein waarvan je de GPO hebt aangepast?

[ Voor 15% gewijzigd door Verwijderd op 26-06-2004 04:34 ]

dinsdag 10 augustus 2004 14:37

Acties:

Verwijderd

Topicstarter

Hoi,

alvast bedankt voor de reacties.

Ik ga beginnen met het installeren van de managementconsole kijken of de policies wel actief zijn.

En ja... de clients loggen wel aan op het goede domein

Misschien is dit een beetje domme vraag maar als ik de wachtwoord expiration time van 30 dagen wil aanpassen naar 90 waar zouden jullie dat dan doen?
In de policy (via AD)?
In de domaincontroller policy?
In de domain policy?

Je hebt namelijk zoveel opties...

dinsdag 10 augustus 2004 14:52

Acties:

mutsje

Certified Prutser

is een domain policy in ieder geval.

Het is namelijk je Default Domain Policy.

dinsdag 10 augustus 2004 14:57

Acties:

Hoover

Heb je GPupdate.exe al geprobeerd?

Deze kun je via start - run uitvoeren.
Run dit dan ook op de werkstations

dinsdag 10 augustus 2004 15:54

Acties:

Verwijderd

Heel belangrijk bij WIndows XP, de volgende policy setting:

Computer Configuration
+---Administrative Templates\System\Logon\Always wait for the network

Dit wordt vaak vergeten, maar is zoals gezegd belangrijk voor het correct laten doorkomen van je policy settings. Indien je deze setting niet hebt, dan kan het meerdere keren opstarten duren (wat een zin...) voordat je GPO settings doorkomen.

Ohja, deze link kan handig zijn:

http://support.microsoft.com/default.aspx?kbid=305293

[ Voor 31% gewijzigd door Verwijderd op 10-08-2004 15:57 ]

dinsdag 10 augustus 2004 15:54

Acties:

mutsje

Certified Prutser

Hoover schreef op 10 augustus 2004 @ 14:57:
Heb je GPupdate.exe al geprobeerd?

Deze kun je via start - run uitvoeren.
Run dit dan ook op de werkstations

Wat topic starter dan moet doen is gpupdate /force runnen. Anders heeft het niet veel zin om gpupdate te runnen. met de /force forceer je namelijk een harde refresh van de policies. Als er dan policies veranderd zijn die uitloggen verplicht maken krijg je die optie ook te zien middels Y/N optie.

dinsdag 10 augustus 2004 16:10

Acties:

Verwijderd

Topicstarter

mutsje schreef op 25 juni 2004 @ 11:49:
Als je Windows XP+SP1 clients hebt kun je op 1 van de clients de Group Policy Management Console installeren. Dan krijg je gelijk een duidelijk overzicht welke policies je allemaal hebt en welke instellingen er actief zijn. zie ook de [rml][ windows 2003]Howto: policies en tools[/rml] deze is dan wel voor 2003 geschreven door Luckyme_ en mij maar slaat ook grotendeels op 2000.

We hebben deze tool ook geprobeerd. Hiermee is te zien dat hij wel de policy van de server goed ontvangt. Alles staat namelijk op 90 dagen. Wat ook klopt.

Alleen lijkt dit dus niet goed te werken want de gebruikers krijgen veel eerder dan 90 dagen een bericht dat ze hun wachtwoord moeten vernieuwen.

We zullen nu nog ff proberen om die policy in windows xp aan te passen met die fast logon optie.

dinsdag 10 augustus 2004 19:34

Acties:

mutsje

Certified Prutser

Gebruikers worden X tijd van te voren gewaarschuwd dat hun password in X dagen expired(vervalt). Dit kun je volgens mij tunen alleen gpo geil mutsje weet even niet waar. Dus zoek even in de help van je policy door F1 in te drukken en dan vind je het vast. Als policies laden lang duurd kun je ze synchroon met inloggen laten meelopen of asynchroon. Moet je mee expirimenteren.

woensdag 11 augustus 2004 11:05

Acties:

Jikra

Voor 2000 heeft alleen de Default Domain Policy effect vwb de passwordpolicies. Je kunt ze wel op andere plekken (gpo's) instellen, maar die worden niet toegepast.

De local policy settings op de clients kunnen wél "overriden", imho staat daar dan ook de 30 dagen waar je vanaf wilt.
Dat betekent dat je DDP op "no override" moet zetten én het advies van TheJerk hierboven moet toepassen. Pas dan is het zeker dat de DDP wordt toegepast.

@ Hoover: of bedoel je gpresult.exe

Jikra

woensdag 11 augustus 2004 14:51

Acties:

mutsje

Certified Prutser

gpresult.exe gebruik je alleen maar om te kijken welke policies (non friendly names windows 2000 domain, friendly names windows 2003 domain) je krijgt. Verder van welke groepen je lid bent. Je kunt er echter geen policies mee refreshen.

woensdag 11 augustus 2004 14:56

Acties:

Verwijderd

Topicstarter

Het aanpassen van die fast logon hebben we niet geprobeerd aangezien de policy volgens microsoft altijd wordt opgehaald/ververst wanneer de computer 2x opnieuw is opgestart.

We zullen nog eens verder onderzoeken wat er gedaan wordt met de local policy. Normaal gesproken zou deze toch override moeten worden door de DDP ?

Verder ter informatie: het probleem is gaan spelen toen we 1 keer de maximale wachtwoord duur hebben aangepast. Dit is dus wel goed doorgevoerd, maar we krijgen hem nu met geen mogelijkheid weer terug naar de oude setting.

[ Voor 73% gewijzigd door Verwijderd op 11-08-2004 15:05 ]

donderdag 12 augustus 2004 11:47

Acties:

Jikra

@ mutsje: gpresult om uit te vinden welke gpo's worden toegepast en waarvandaan. Idd niet om ze te enforcen, maar dat is toch ook niet nodig? PW-policies worden toch default enforced

vanuit de GC dacht ik.

't Is alweer lang geleden dat ik zo diep met gpo's bezig ben geweest, maar ik herinner me iets dat voor iedere AD-wijziging (dus ook voor een gpo) er een volgnummer is aangemaakt ten behoeve van de synchronisatie. Kan het dan niet zo zijn dat er misschien een (rogue) dc niet goed gesynchroniseerd is, en dus met een te lage set volgnummers werkt, waardoor bij replicatie iedere keer de nieuwe settings weer terugzet?

Jikra

donderdag 12 augustus 2004 11:53

Acties:

mutsje

Certified Prutser

als je een nieuwe user policy aanmaakt wordt deze pas na de default refresh period van AD (90 minuten default) refreshed. Doe je gpupdate /force (XP) of secedit user_policy blabla (2000) dan refresh je hard. Computer policies dien je computer opnieuw op te starten omdat deze bij het opstarten worden toegekend.

lees ook de howto over policies(2003 stuk).