Beste Praxis zur Passwortrichtlinien mit UCS als AD-Master

Hallo Forum,

bei mir herrscht leider immer noch Verwirrung in Bezug auf Passwortrichtlinien bei der Verwendung von UCS 4.0 mit Samba4 als AD-Master.

Mir sind bisher folgende Stellen bekannt, die etwas damit zu tun haben:
[ul]
[li]Feld “Konto-Ablaufdatum” in der UMC am Benutzerobjekt[/li]
[li]Richtlinie im Univention LDAP[/li]
[li]Einstellungen zum Passwort am Samba-Objekt im Univention-LDAP (Maximales Passwortalter usw.)[/li]
[li]Richtlinien die per AD-Gruppenrichtline erstellt werden.[/li]
[li]Samba Einstellungen die per samba-tool vergenommen werden.[/li][/ul]
Ich möchte gerne für die meisten User eine regelmäßige Passwortänderung bei der Anmeldung am Windows-PC erzwingen, für manche jedoch nicht.

Am liebsten wäre es mir, wenn ich alles per UMC, also per Univention-Richtlinie geregelt werden könnte.

Kann ich das erreichen?

Beste Grüße

Gerd Wilhelm

Soweit ich weiß, ist aufgrund von Bugs/noch nicht implementierten Features in Samba 4 eine Verwaltung dieser Einstellungen über UCS-Richtlinien momentan nicht möglich. Dazu gibt es bereits mehrere Bug-Einträge, u.a. 38748 und 38749.

Was jetzt genau alles geht und was nicht, das ist mir leider auch nicht so ganz klar. AD-Richtlinien sollten aber funktionieren.

Hi Moritz,

danke für Deine Hilfe. Hab schon an mir gezweifelt, aber ich scheine ja nicht allein mit dem Problem zu sein.

Bei mir klappt das nicht.

Ich habe folgendes gemacht:
[ol]
[li]In der Gruppenrichtlinenverwaltung für Domänen die “Default Domain Policy” bearbeitet[/li]
[li]Dort “Computerkonfiguration” -> “Windows-Einstellungen” -> “Sicherheitseinstellungen” -> “Kontorichtlinien” -> “Kennwortrichtlinien” -> “Maximales Kennwortalter” auf 3 Tage gesetzt[/li]
[li]am Client “gpupdate /Force /Wait:0” ausgeführt.[/li]
[li]am Client und am Server Software und Hardware Uhr 4 Tage vorgestellt (Ist natürlich in Testsystem ;-)[/li][/ol]

Ergebnis: Anmeldung ist weiterhin möglich, keine Aufforderung zur Kennwortänderung. Wenn ich in der lokalen Gruppenrichtlinie mit gpedit.msc nachschaue, dann ist die AD-Richtline korrekt übernommen worden.

Was mache ich da falsch?

Die Einstellung per Samba-Tool kann ich nicht verwenden, da sonst z.B. auch das Kennwort vom OPSI-User pcpatch regelmäßig abläuft und OPSI dann nicht mehr funktioniert (bis der Admin dass dann wieder repariert hat).

Beste Grüße

Gerd

Sorry, aber da kann ich nicht wirklich weiter helfen. Ich habe nur von Leuten gehört, die das angeblich nutzen, aber ich selber nutze keine AD-Passwort-Richtlinien.