Microsoft SQL: Fix Error „CHECK_POLICY cannot be turned OFF“

Legt man einen neuen SQL-Benutzer über das Management Studio an, ist standardmäßig die Checkbox für das Aktivieren der Passwortrichtlinien angehakt. Das bedeutet auch, dass das Passwort einer höheren Komplexität entsprechen muss und nach einer bestimmten Zeit automatisch ausläuft. Ist das Passwort bereits abgelaufen und man möchte die Passwortrichtlinien entfernen, erscheint die Fehlermeldung „THE CHECK_POLICY AND CHECK_EXPIRATION OPTIONS CANNOT BE TURNED OFF WHEN MUST_CHANGE IS ON. (MICROSOFT SQL SERVER, ERROR: 15128)“

An dieser Stelle kann man Ruhe bewahren, der Fehler lässt sich einfach beheben: Zuerst muss das Passwort des Benutzers geändert werden, ohne den Haken aus der Checkbox zu entfernen. Sobald die Änderung gespeichert wurde, kann die Passwordpolicy deaktiviert werden. Jetzt stellt sich nur noch die Frage, wo definiert werdenkann, wie lange man das gleiche Passwort verwenden darf. Das kommt darauf an, ob die Maschine einer Active Directory Domäne beigetreten ist oder nicht.

SQL in AD-Domäne

Bei einer SQL-Installation welche einer Active Directory Domäne beigetreten ist, übernimmt der DomainController die Verwaltung der Passwortrichtlinien. Um direkt am SQL-Server zu überprüfen, wie lange ein Passwort gültig sein darf, kann man den Befehl „rsop.msc“ ausführen. Dabei wird eine MMC geöffnet, welche alle aktivierten Group Policy Objects anzeigt. Unter „Computer Configuration -> „Windows Settings -> Security Settings -> Account Policies -> Password Policy“ findet man alle nötigen Informationen.

SQL ohne AD-Domäne

Sollte sich der SQL-Server in keiner Domäne befinden, kann man natürlich ebenfalls die Policies überprüfen. In diesem Fall verteilt die Passwortrichtlinien kein zentraler Server (DomainController), sondern die Einstellung ist lokal am Server gesetzt. Dazu muss per Run oder CMD „secpol.msc“ geöffnet werden. Dort befinden sich die Einstellungsmöglichkeiten unter „Account Policies -> Password Policy“