Es gibt wahrscheinlich tausende Einträge über Google bzgl. dieses Thema’s, aber ich hatte heute wieder einen Fall – daher dieser Niederschrieb 😉
In einem Active Directroy (AD) von Windows lassen sich ganz bequem Kennwortrichtlinien erfassen und einstellen.
Allerdings muss man hierbei zwingend unterscheiden zwischen „konfigurieren“ und „nicht definieren“.
In meinem Beispiel dreht es sich um einen Windows Server 2012 R2 als DC und einen Exchange 2013 (auf einem sep. Win2012R2).
Als die 2012er Domäne installiert wurde, hatte die Default-Domain-Policy die Grundeinstellung, das die AD-Passwörter nach 42 Tagen auslaufen und geändert werden müssen – das war mir zu kurz.
Leider habe ich dann darauf hin die beiden betroffenen Punkte auf „nicht definiert“ geändert und dachte, das dies korrekt sei – leider falsch.
Die Richtlinie sah nun wie folgt aus:
Die hatte leider zur Folge, das die Standardeinstellungen des AD’s von 42 Tagen griffen, da die Richtlinien ja nicht definiert wurden ;-(
Nach ca. 35 Tagen wurde ich wieder erneut aufgefordert, mein Kennwort erneut zu ändern – hä?
Nunja, nach genauerer Überlegung kam mir dann, das ich die Richtlinie falsch konfiguriert hatte.
Nach meiner Änderung sah die Richtlinie wie folgt aus:
Nun war die Einstellung korrekt, d.h. das Kennwort läuft nun nicht mehr ab.
Vielleicht hilft es ja dem ein oder anderen auch mal, wenn er über so etwas stolpert …
Viel Spass beim Testen …