[LØST] Kan ikke ha korte passord på Server Domene

35 innlegg i emnet

Skrevet (endret)

Hei.

Jeg fikk hjelp av brukeren Peik igår til å sette opp serveren min.

All creds til han:D

Men nå skal jeg opprette brukere i domene.

Jeg har endret Domain Policy Passwords, emn allikevell vil den ikke funke (har kjørt gpupdate /force også)

Men jeg få fortsatt denne feilmeldingen:

"Windows cannot complete the password change for "USER" because:

The password does not meet the password policy requirements. Check the minimum password lenght, password complexity and password history requirements"

Kjører server 2003

Et problem til:..

Hvordan kan jeg lage hjemme mappe på Server for den enkelte brukeren?

Har lagd en delt mappe.

Visst den heter Jonass

Så har jeg lagt den slik inn i brukerprofilen der man kan legge til nettverksstasjoner.:

\\DATAMASKINNAVN\Jonass

Men den dukker ikke opp, hvorfor???

Endret av Jonass
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

1. Opprett ny mappe som du kan kallle Home f.eks

2. Høyreklikk på den og velg properties.

3. Under fanen sharing, velger du at everyone har full control (hvis everyone ikke er der, legg den til)

4. Gå på security fanen for den mappen og legg til den globale gruppen som inneholder dine brukere, og klikk på advanced. Sørg for at

den globale gruppen har bare This folder only som rettighet til å se i den mappen. Det vil si at hver bruker kan se alle mappene som finnes på

hjemmeområdet for alle brukerne men bare gå inn i sin eget hjemmeområde.

5. Gå inn på Active Directory hvor du har dine brukere og høyreklikk på brukeren og velg properties, velg fanen Profile. Så ser du Home folder nede på det nye vinduet, velg connect og en stasjonsbokstav og skriv f.eks \\Servernavn\Home\%username%

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Skal jeg bare skrive %username% så fyller den seg selv ut?

Trenger ikke å skrive brukernavnet mitt?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Nei du trenger ikke skrive brukernavnet men du kan det.

%username% blir brukt på en bruker som blir opprettet som en mal der du definerer vanlige ting som hjemmefolder , profilfolder osv... derfor brukes den da i denne malen med %username% slik at brukernavnet blir automatisk fylt inn.

Jeg anbefaler at du lager en bruker mal som du konfigurer slik som med dette , der du setter hjemmeområdet der du bruker %username%.

Så neste gang du vil legge til en bruker så bare tar du og høyreklikker på den malen og velger copy... fyller ut brukernavn så får du opp automatisk hjemmeområde utfylt.

Du definerer også andre ting som rettigheter, profilfolder osv...

Endret av DeathAngel
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Så visst jeg opretter en bruker som heter jonas.sjoetun

Så kan jeg legge inn som home folder: \\SERVER\Hjemmemappe\%Username%

Så kan jeg bare kopiere denne brukeren å endre brukernavn å passord bare?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Så visst jeg opretter en bruker som heter jonas.sjoetun

Så kan jeg legge inn som home folder: \\SERVER\Hjemmemappe\%Username%

Så kan jeg bare kopiere denne brukeren å endre brukernavn å passord bare?

Ja, da får nye brukere samme egenskapene(rettigheter) som denne brukeren pluss eget hjemmeområde osv.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Så Windows skjønner selv at visst jeg endrer brukernavn, så må den også endre navn på mappa eller oprette en ny?

Men hvorfor er passordene fucka seg opp?

Enda jeg har modda policyenene

Endret av Jonass
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Har du GPMC (Group Policy Management Console) på serveren?

Selv om man føler at man har noe kontroll på hvilke settings man har gjort i GPO så skader det aldri å være sikker på hva som gjelder, og der kommer GPMC inn.

Den viser deg alle aktive settings, altså alle instillinger som faktisk er satt i GPO å utelukker resten - den er et mye mer ryddig alternativ for å gå igjennom instillinger.

Har vært borti lignende problemer med GPO tidligere, å har ofte sett meg blind på alle settings i GPO frem til jeg begynte å ta i bruk GPMC.

Dersom du ikke har det kan du lese om og laste den ned fra MS her - GPMC

PS - Dersom du velger å laste ned å installere GPMC og ikke finner noe som tilsier at passordet skal være "force long" eller andre, så sleng med en rapport fra GPMC i neste post så kan jeg se igjennom den.

Endret av Horrorr
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Skjønte ikke hvordan jeg sku brukke dette:D

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Den står som force.

Kan du ikke si noen andre løsninger

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Beklager seint svar, men har ingen løsninger tatt utav hodet da jeg ikke vet hvilket oppsett du har, men dersom du har mulighet til å eksportere GPO instillinger slik at jeg kan se over dem så skal vi alltids klare å finne en :)

Har ikke mulighet til å installere og lage oppskrift for GPMC akkurat nå, men skal se om jeg kan få opp en vmware server for å sette opp en (forhåpentligvis får jeg tid til det iløpet av helgen)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Policy Policy Setting

Enforce password history Not Defined

Maximum password age Not Defined

Minimum password age Not Defined

Minimum password length Not Defined

Password must meet complexity requirements Not Defined

Store passwords using reversible encryption Disabled

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Der SER riktig ut, og det var også derfor jeg gjerne skulle sett en eksport fra GPMC da den viser alle instillinger som faktisk er på

Skal som sagt se om jeg får satt opp en testserver iløpet av helgen, men skal ikke love noe.

Et spørsmål dog, er det snakk om brukerkontoer for serveren, eller brukerkontoer for tilkoblede maskiner?

Det kan være instillinger som går utenom GPO dersom det er f.eks. for en adminkonto på serveren. Skal sjekke om jeg finner tilbake til noe jeg leste ang. dette.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

er brukere koblet på klient maskinene

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ok - da faller den muligheten bort.

Da tror jeg vi kun står igjen med 2 muligheter ang GPO

1. Noe er feil konfigurert /oversett et eller annet sted

2. Klientmaskiner har ikke fått oppdatert nye GPO instillinger.

Du hadde kjørt gpudate /force og (?), så egentlig skal den ikke være med i listen, men det kan være noe galt med denne likevel.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

skal jeg kjøre det på klientene og?

brukte denne guiden, men det funket ikke.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ok. Lag en mappe et sted på serveren som heter hjemmekataloger .

Høyreklikk katalogen ”hjemmekataloger” og velg alternativet ”Properties” – vi skal sette

NTFS-rettighetene for denne katalogen slik at ingen andre brukere enn brukeren selv får

tilgang til sin egen hjemmekatalog. Velg skillearket ”Security” – du vil se at det allerede er

lagt til flere brukere på denne listen, og disse må vi fjerne ved å klikke på ”Advanced”-

knappen og fjerne avkryssningen for alternativet ”Allow inheritable permissions from the

parent to propagate to ...”. I den resulterende dialogen velger du å fjerne (”Remove”) de

rettighetene som tidligere ble arvet fra katalogen over.

Legg til følgende brukere med de angitte rettighetene:

Domain Users

Read & Execute

Administrators

Full Control

Neste steg er viktig da det hindrer at rettighetene en bruker har til å se plasseringen av sin

egen hjemmekatalog ikke arves oppover i filhierarkiet, og dermed forårsaker at alle har

tilgang til hverandres hjemmekataloger. For å fjerne denne ”bieffekten” trykker du på

knappen merket ”Advanced” for å se en mer detaljert liste over de rettigheter som gis – velg

rettigheten som er merket ”Domain Users”, og trykk på knappen merket ”Edit”.

Mot toppen

vil du se ett felt merket ”Apply onto” – her velger du valget ”This folder only”.

Skift til skillearket ”Sharing”, og skift radioknappen fra ”Do not share this folder” til ”Share

this folder” – aksepter det foreslåtte delingsnavnet og klikk på knappen merket

”Permissions”. Fjern ”Everyone” fra listen da denne innstillingen er altfor liberal for en

katalog som er ment å være privat.

Legg til følgende brukere med følgende angitte rettigheter:

Domain Users

Change

Administrators

Full Control

Så. Start opp verktøyet ”Active Directory Users

and Computers”, og finn frem til brukerobjektet du skal forandre på. Dobbeltklikk objektet

for å vise alle konfigurasjonsalternativer assosiert ved objektet – vi skal spesifisere

alternativer under skillearket ”Profile”. Fyll inn verdier for feltene ”Profile path” og ”Home

folder, connect”

For å slippe å skrive inn brukernavn for hver eneste bruker kan vi bruke en raskere

hurtigmetode ved å skrive teksten %username% istedenfor selve brukernavnet – da vil også

dette feltet oppdateres automatisk dersom brukeren kopieres.

Plasseringen av brukerprofilen på min konfigurasjon ble følgelig

”\\dc\profiler\%username%” - legg merke til at når du trykker ”Apply” eller lukker dette

vinduet og åpner det igjen vil du se at teksten %username% er blitt erstattet av brukerens

brukernavn.

Det skal være en forholsvis grei forklaring på problemet ditt. Hvertfall spørsmål nr2. Første spørsmålet ditt løses som vist på bildet:

Passordpolicy.JPG

Håper dette hjalp deg! :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Ja, som maggnus sitt bilde viser til - så er dine instillinger feil for passord policy.

Å da kommer vi tilbake til det jeg nevnte ang standard passord instillinger på 2k3 server.

Quote fra linken/oppskriften du linket til

By default Windows Server 2003 requires passwords to meet the following criteria for strong passwords.

Has at least 6 characters

Does not contain "Administrator" or "Admin"

Contains characters from three of the following categories:

Uppercase letters (A, B, C, and so on)

Lowercase letters (a, b, c, and so on)

Numbers (0, 1, 2, and so on)

Non-alphanumeric characters (#, &, ~, and so on)

Caution: Loosening password restrictions decreases security.

Dette vil i praksis si at dersom du velger å sette dem til "Not defined" så vil standard instillinger slå inn

Mitt råd nå vil være å faktisk følge oppskriften du linket til - fra start til slutt (endre evt. oppsett der til de regler du vil skal gjelde for passord)

Endret av Horrorr
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

får bare samme feilmeldingen

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvordan ser passord policy ut nå da?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

VBscriptet under forteller hvilke innstillinger som gjelder hos deg. Kopier og lim inn i Notepad.

Lagre som Domain Password Policy.vbs og kjør scriptet ved å dobbeltklikke på filen.

SET objRoot = GETOBJECT("LDAP://RootDSE")

SET objDomain = GETOBJECT("LDAP://" & objRoot.GET("defaultNamingContext"))


maximumPasswordAge = int(Int8ToSec(objDomain.GET("maxPwdAge")) / 86400) 'convert to days

minimumPasswordAge = Int8ToSec(objDomain.GET("minPwdAge")) / 86400  'convert to days

minimumPasswordLength = objDomain.GET("minPwdLength")

accountLockoutDuration = Int8ToSec(objDomain.GET("lockoutDuration")) / 60  'convert to minutes

lockoutThreshold = objDomain.GET("lockoutThreshold") 

lockoutObservationWindow = Int8ToSec(objDomain.GET("lockoutObservationWindow")) / 60 'convert to minutes

passwordHistory = objDomain.GET("pwdHistoryLength")


wscript.echo "Maximum Password Age: " & maximumPasswordAge & " days" & vbcrlf & _

		 "Minimum Password Age: " & minimumPasswordAge & " days" & vbcrlf & _

		 "Enforce Password History: " & passwordHistory & " passwords remembered" & vbcrlf & _

		 "Minimum Password Length: " & minimumPasswordLength & " characters" & vbcrlf & _

		 "Account Lockout Duration: " & accountLockoutDuration & " minutes" & vbcrlf & _

		 "Account Lockout Threshold: " & lockoutThreshold & " invalid logon attempts" & vbcrlf & _

		 "Reset account lockout counter after: " & lockoutObservationWindow & " minutes"



FUNCTION Int8ToSec(BYVAL objInt8)

		' Function to convert Integer8 attributes from

		' 64-bit numbers to seconds.

		DIM lngHigh, lngLow

		lngHigh = objInt8.HighPart

		' Account for error in IADsLargeInteger property methods.

		lngLow = objInt8.LowPart

		IF lngLow < 0 THEN

			lngHigh = lngHigh + 1

		END IF

		Int8ToSec = -(lngHigh * (2 ^ 32) + lngLow) / (10000000)

END FUNCTION

Kilde: http://www.wisesoft.co.uk/Scripts/vbscript...ord_policy.aspx

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

33665657cj1.png

w285.png

Den får jeg

Endret av Jonass
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Får du feilmelding når du oppretter brukere eller når du prøver å endre passordet til brukeren du nettopp har opprettet?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

får fortsatt den ja...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Joda, men når er det du får feilmelding? Kan du beskrive i detaljer hva du gjør?

Er passordet du bruker minimum 7 karakterer langt? Blanding av store og små bokstaver + tall?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive