AD Passwort Richtlinie ändern - best practice
Hallo zusammen,
ich habe eine Frage bzgl. der Änderung der Passwort Richtlinie in einer reinen Windows-Umgebung. Wir haben die Kennwort Richtlinie, wie vermutlich die meisten, in der Default Domain Policy global festgelegt. Aufgrund eines Artikels vom BSI, der auch von sämtlichen Magazinen wie heise.de zitiert wurde (müsste von 2019 sein), habe ich meine Kollegen und den DSB dazu befragt, ob wir die Richtlinie nicht ändern wollen. Ziel des ganzen soll es sein, die Komplexität auf das Maximum vom Windows Server 2012 R2 anzuheben und stattdessen die Änderung im 90-Tage-Zyklus zu beenden.
Nun stellen wir uns aktuell die Frage wie wir das ganze angehen, ohne dass alle Benutzer am Stichtag X ihr Kennwort ändern müssen.
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
"Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise?
Kann ich diese Vorgehensweise - in der Live-Umgebung - mit einer kürzen Gültigkeit der Passwörter, mit ein paar Testusern simulieren und wenn ja wie? Eigene OU, Vererbung beenden und hier eine eigene Richtlinie erstellen?
Ich freue mich auf ein paar gute Tipps.
ich habe eine Frage bzgl. der Änderung der Passwort Richtlinie in einer reinen Windows-Umgebung. Wir haben die Kennwort Richtlinie, wie vermutlich die meisten, in der Default Domain Policy global festgelegt. Aufgrund eines Artikels vom BSI, der auch von sämtlichen Magazinen wie heise.de zitiert wurde (müsste von 2019 sein), habe ich meine Kollegen und den DSB dazu befragt, ob wir die Richtlinie nicht ändern wollen. Ziel des ganzen soll es sein, die Komplexität auf das Maximum vom Windows Server 2012 R2 anzuheben und stattdessen die Änderung im 90-Tage-Zyklus zu beenden.
Nun stellen wir uns aktuell die Frage wie wir das ganze angehen, ohne dass alle Benutzer am Stichtag X ihr Kennwort ändern müssen.
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
"Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
- nur die min. Länge ändern
- die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
- den Passwortablauf abschalten
- alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen"
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise?
Kann ich diese Vorgehensweise - in der Live-Umgebung - mit einer kürzen Gültigkeit der Passwörter, mit ein paar Testusern simulieren und wenn ja wie? Eigene OU, Vererbung beenden und hier eine eigene Richtlinie erstellen?
Ich freue mich auf ein paar gute Tipps.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 629812
Url: https://administrator.de/contentid/629812
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise
Einfach die Umstellung zum Jahreswechsel planen / einstellen...ist ja eine Fingerübung für paar Minuten.....ggf für alle User die Änderung erzwingen....somit erscheint das für alle zum Jahresbeginn relativ logisch
Ausnahmen kann man ja immernoch geben mit...pro User, pro OU oder pro Gruppe
Nabend,
so richtig erschließt sich mir nicht was du vor hast. "die Komplexität auf das Maximum anheben"?
Was meinst du damit? Welche Komplexität? Die der Kennwörter? Dann ändere die und beim nächsten Wechsel muss man die Anforderungen erfüllen.
Kannst du dann ja bei einem testen. Und nach 91 Tagen machst du den Zyklus aus - da sollten alle einmal durch sein.
In der Live-Umgebung nur mit der sog. Fine Grained Password Policy. Änderungen an der Default Domain Policy greifen für alle. Du kannst keine zwei normalen Richtlinien für Passwortanpassungen nutzen. Das geht wie gesagt nur mit FGPP auf eine Test-OU.
http://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
Grüße
so richtig erschließt sich mir nicht was du vor hast. "die Komplexität auf das Maximum anheben"?
Was meinst du damit? Welche Komplexität? Die der Kennwörter? Dann ändere die und beim nächsten Wechsel muss man die Anforderungen erfüllen.
Kannst du dann ja bei einem testen. Und nach 91 Tagen machst du den Zyklus aus - da sollten alle einmal durch sein.
In der Live-Umgebung nur mit der sog. Fine Grained Password Policy. Änderungen an der Default Domain Policy greifen für alle. Du kannst keine zwei normalen Richtlinien für Passwortanpassungen nutzen. Das geht wie gesagt nur mit FGPP auf eine Test-OU.
http://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
Grüße
Servus!
Zum testen kannst du eine Fine grained password policy verwenden. Siehe: Hier
Eine Fine grained password policy überschreibt für die Auswahl an Usern die Passwortrichtlinie.
Die Umstellung in diesen 2 Schritten wäre schon richtig. Ansonsten kannst du natürlich auch zu einer gewissen zeit (mit Vorlaufzeit für die User) alle Passwörter ablaufen lassen - diesen Weg würde ich dir jedoch nicht empfehlen.
Gruß
Zum testen kannst du eine Fine grained password policy verwenden. Siehe: Hier
Eine Fine grained password policy überschreibt für die Auswahl an Usern die Passwortrichtlinie.
Die Umstellung in diesen 2 Schritten wäre schon richtig. Ansonsten kannst du natürlich auch zu einer gewissen zeit (mit Vorlaufzeit für die User) alle Passwörter ablaufen lassen - diesen Weg würde ich dir jedoch nicht empfehlen.
Gruß
Wie kann ich einen Beitrag als gelöst markieren?
Dann bitte noch und bestenfalls die Lösungen markieren.
Dann bitte noch und bestenfalls die Lösungen markieren.