Kennwortrichtlinien für Domänenbenutzer (Windows Server 2016)

[megabyte]

Hallo,

ich komme aktuell nicht weiter.
Folgendes möchte ich machen:

Ich möchte bei den Kennwörtern, die meine User verwenden, die Komplexitätsvorraussetzungen deaktivieren.
So sieht aktuell die Gruppenrichtlinie, die ich erstellt habe, aus:

Die Richtlinie sollte bei den [Computerkonten -> Computer] wirken. In Computerkonten befinden sich ausschliesslich Computer.
Ich hätte da noch die OU "Benutzerkonten". Hier sind die Benutzer drin.
Die ist da schon richtig platziert, oder? Ich muss die nicht bei den Benutzern rein legen, weil die ja nicht auf Benutzer wirkt. Weil ist ja schließlich eine Computerkonfiguration. Sehe ich das richtig?
Die "Default Domain Controllers Policy" dürfte nicht wirken, da ich hier die Kennwortrichtlinie komplett deaktiviert habe.

Was mach ich denn falsch?
Ich setze am Server in CMD "gpupdate /force /wait:5" ab und auf dem Client mach ich auch ein "gpupdate". Auch ein Neustart beider hat mir nichts gebracht.

Ich bedanke mich recht Herzlich!

Bearbeitet 9. Februar 2021 von megabyte
Korrektur

[mlwhoami]

Ich schlage vor, du prüfst mal per "gpresult" oder per "rsop.msc" welche Richtlinien nach der Anmeldung eines Benutzers greifen.

Nach meinem Verständnis scheint da noch eine höherwertigere Richtlinie zu greifen, die deiner widerspricht.

[megabyte]

vor 49 Minuten schrieb mlwhoami:

Ich schlage vor, du prüfst mal per "gpresult" oder per "rsop.msc"

Ich habe letzteres benutzt und es sieht aktuell so aus, als würde meine GPO garnicht greifen. 😕

Meine GPOs erstelle ich alle nach Aufgaben. Also für jede Aufgabe ein Objekt.

Die Computerkonten haben nur diese hier bekommen. 
Die Lokalen (auf dem Server die lokalen Richtlinien) muss ich nicht bearbeiten, richtig? Das würde ja voll entgegen der Domänen GPOs gehen, wenn ich diese lokal einstellen müsste.

Die User haben kaum Richtlinien erhalten.

Bearbeitet 9. Februar 2021 von megabyte

[Maniska]

Ist die GPO denn auf dem DC verknüpft?

Da die Userkonten (nur) auf dem DC liegen, ist auch nur der dafür "verantwortlich". Der normale Client verwaltet ja keine Benutzerkonten.

Zumindest war das mal so. Daher hat man gerne die DefaultDomainPolicy dafür hergenommen, da die ganz oben verknüpft ist, übernimmt sie auch der DC (ab da so "schön" ist mal dahingestellt).

Also entweder DDP verbiegen, oder eigene GPO auf der OU "Domänencontroller" verknüpfen und gucken was passiert.

[megabyte]

Ich dachte eigentlich, dass die GPO auf dem DC verknüpft ist. Das scheint sie aber nicht zu sein. Ich werde es noch mal versuchen und mich dann zurück melden. Danke!