itler7
Goto Top

AD Passwort Richtlinie ändern - best practice

Hallo zusammen,

ich habe eine Frage bzgl. der Änderung der Passwort Richtlinie in einer reinen Windows-Umgebung. Wir haben die Kennwort Richtlinie, wie vermutlich die meisten, in der Default Domain Policy global festgelegt. Aufgrund eines Artikels vom BSI, der auch von sämtlichen Magazinen wie heise.de zitiert wurde (müsste von 2019 sein), habe ich meine Kollegen und den DSB dazu befragt, ob wir die Richtlinie nicht ändern wollen. Ziel des ganzen soll es sein, die Komplexität auf das Maximum vom Windows Server 2012 R2 anzuheben und stattdessen die Änderung im 90-Tage-Zyklus zu beenden.
Nun stellen wir uns aktuell die Frage wie wir das ganze angehen, ohne dass alle Benutzer am Stichtag X ihr Kennwort ändern müssen.
Ein Kollege hat diese Anleitung dazu im Netz gefunden:

"Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
  • nur die min. Länge ändern
  • die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
  • den Passwortablauf abschalten
  • alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen"

Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise?

Kann ich diese Vorgehensweise - in der Live-Umgebung - mit einer kürzen Gültigkeit der Passwörter, mit ein paar Testusern simulieren und wenn ja wie? Eigene OU, Vererbung beenden und hier eine eigene Richtlinie erstellen?


Ich freue mich auf ein paar gute Tipps.

Content-ID: 629812

Url: https://administrator.de/contentid/629812

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

tech-flare
tech-flare 09.12.2020 um 21:20:31 Uhr
Goto Top
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise

Einfach die Umstellung zum Jahreswechsel planen / einstellen...ist ja eine Fingerübung für paar Minuten.....ggf für alle User die Änderung erzwingen....somit erscheint das für alle zum Jahresbeginn relativ logisch

Ausnahmen kann man ja immernoch geben mit...pro User, pro OU oder pro Gruppe
Xaero1982
Lösung Xaero1982 09.12.2020 um 21:21:00 Uhr
Goto Top
Nabend,

so richtig erschließt sich mir nicht was du vor hast. "die Komplexität auf das Maximum anheben"?
Was meinst du damit? Welche Komplexität? Die der Kennwörter? Dann ändere die und beim nächsten Wechsel muss man die Anforderungen erfüllen.
Kannst du dann ja bei einem testen. Und nach 91 Tagen machst du den Zyklus aus - da sollten alle einmal durch sein.

In der Live-Umgebung nur mit der sog. Fine Grained Password Policy. Änderungen an der Default Domain Policy greifen für alle. Du kannst keine zwei normalen Richtlinien für Passwortanpassungen nutzen. Das geht wie gesagt nur mit FGPP auf eine Test-OU.
http://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...

Grüße
MarioB
Lösung MarioB 09.12.2020 aktualisiert um 22:09:47 Uhr
Goto Top
Servus!

Zum testen kannst du eine Fine grained password policy verwenden. Siehe: Hier

Eine Fine grained password policy überschreibt für die Auswahl an Usern die Passwortrichtlinie.


Die Umstellung in diesen 2 Schritten wäre schon richtig. Ansonsten kannst du natürlich auch zu einer gewissen zeit (mit Vorlaufzeit für die User) alle Passwörter ablaufen lassen - diesen Weg würde ich dir jedoch nicht empfehlen.


Gruß
emeriks
Lösung emeriks 10.12.2020 aktualisiert um 08:29:06 Uhr
Goto Top
Hi,
Zitat von @ITler7:
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
Kennwortrichtlinien Windows 2012 R2
face-wink

E.
ITler7
ITler7 10.12.2020 aktualisiert um 17:08:35 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Zitat von @ITler7:
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
Kennwortrichtlinien Windows 2012 R2
face-wink

E.

Ok war ja klar, dass das von dir kommt. Bei der Frage im Post: "Gibt es eine Möglichkeit dies an einem Testaccount zu testen?" antwortest du nur mit "Ja." Dann stelle ich die erweiterte Frage: und wenn ja, wie? ;)

Vielen Dank für die restlichen Antworten, mittels FGPP hat das super schnell geklappt, habs jetzt schon mit ein paar Kollegen getestet, keiner wird durch die Richtlinie sofort dazu gezwungen sein PW zu ändern, sondern erst, wenn die dort eingestellten Tage in Differenz zur letzten Änderung durch sind. Bei allen anderen greift noch die Standard-Richtlinie und sobald dann alle mal ihr PW geändert haben, werden wir die Standard-Richtlinie ohne Ablaufdatum setzen und die Länge auf 14 (bei uns scheinbar das Maximum in der GPO) erhöhen und auch bei den FGPPs die Einstellung für das Maximale Kennwortalter entfernen.

@emeriks du darfst mich natürlich verbessern, solltest du einen besseren Vorschlag haben face-smile
Xaero1982
Xaero1982 10.12.2020 um 17:11:27 Uhr
Goto Top
Wie kann ich einen Beitrag als gelöst markieren?

Dann bitte noch face-smile und bestenfalls die Lösungen markieren.
emeriks
emeriks 11.12.2020 um 08:07:45 Uhr
Goto Top
Zitat von @ITler7:
@emeriks du darfst mich natürlich verbessern, solltest du einen besseren Vorschlag haben face-smile
Oh, danke!
Viele Wege führen nach Rumänien.
ITler7
ITler7 11.12.2020 um 12:25:54 Uhr
Goto Top
Ja sorry, wollte dann gestern Feierabend machen face-big-smile