Guten Morgen,
wir haben eine Fine Grained Passwort Policy im Einsatz um die Passwortpolicy gesteuert umzusetzen, über Gruppen, satt per GPO.
In der Default Domain Policy (DDP) ist somit nichts hinterlegt zum Thema Passwort. Soweit so gut, das Problem haben wir mit Client/Usern die von Remote arbeiten.
In der Passwortpolicy ist momentan als Maximales Alter des Kennwortes 9999 Tage hinterlegt.
Eine Kollegin arbeitet per VPN Client mit Ihrem Geschäftslaptop von zu Hause. (bei Ihrem User ist im AD das Attribut "Kennwort läuft nie ab" aktiv.) Sie meldet sich alle 4-6 Wochen das ihr User gesperrt ist, und sie aufgefordert wurde das Kennwort zu ändern. (ohne aktive VPN Verbindung)
Verbindet sie sich dann per VPN stimmen natürlich das AD Kennwort und ihr geändertes nicht mehr überein.
Ich denke das hier die lokalen Sicherheitseinstellungen greifen (Secpol), der Standardwert hier ist 42. Ich verstehe aber nicht wieso diese überhaupt aktiv werden.
Nun die Frage: Liege ich mit der Vermutung richtig? Wenn ja, wie kann ich die lokalen Sicherheitseinstellungen ändern, nicht manuell sondern per GPO?
Ist dies eine Folge da die Passworteinstellungen nicht in der DDP eingestellt sind und daher irgendwann die lokalen Sicherheitseinstellungen aktiv werden, wenn der Client X-Tage nicht mehr in der Domain war/ist.
Das Problem tritt aktuell bei 4 Mitarbeitern auf, die alle auf diesem Weg arbeiten: Geschäftslaptop zu Hause, per VPN in die Firma.
Danke und Gruß
Sven