departure69
Goto Top

Benutzerin muss AD-Kennwort zu häufig ändern

Hallo.

- Microsoft Windows Active Directory Domäne
- Domänenfunktionsebene Windows Server 2016
- Exchange 2016
- 2 DCs, beide Server 2016
- Clients ausnahmslos Windows 10 Pro x64 1903
- MS Office 2016 Std.
- DDP: maximales Kennwortalter = 42 Tage

Problem:

Eine Benutzerin meldet und versichert glaubhaft, daß sie ihr Kennwort in den vergangenen 14 Tagen schon 3 mal ändern mußte. Die Aufforderung dazu kam vom System (nicht von mir als Admin/Betreuer), wurde von ihr durchgeführt und hat auch funktioniert. Auch alle Zugriffe funktionierten und funktionieren (Mail, Fileserver, Druckserver, Applikationsserver). Sie hat eigentlich keine Probleme, wundert sich aber über die häufige Systemaufforderung, ihr Kennwort zu ändern. Und ich wundere mich auch, normalerweise, hab' extra in der DDP nachgesehen, sind unsere Kennwörter 42 Tage lang gültig.

Wie wahrscheinlich ist, daß sich Schadsoftware eingenistet hat, die die Kerberos-Ticket-Hashes abgreift? Und wie könnte ich das überhaupt feststellen? Es gibt ansonsten null komma kein Anzeichen für einen Schadsoftwarebefall, auch ansonsten, auf anderen Rechnern und den Servern, diesbezüglich nichts festzustellen. Die Trendmicro-Konsole meldet Langeweile und hat außer den üblichen Spam-Mengen nichts zu berichten.

Die betroffene Kollegin hat auch kein dienstliches Smartphone, nutzt also auch kein OMA oder OWA, auch gibt es keine Single-Sign-Ons zu anderen. nachgelagerten Verfahren oder ähnliches, das zu Kennwortproblemen führen oder beitragen kann.

Also, weiß jemand zufällig, wo die häufige Kennwortänderungsaufforderung bei der Kollegin herrühren könnte?

Vielen Dank.

Viele Grüße

von

departure69

Content-Key: 468834

Url: https://administrator.de/contentid/468834

Printed on: May 21, 2024 at 20:05 o'clock

Member: Looser27
Looser27 Jul 03, 2019 at 06:46:29 (UTC)
Goto Top
Moin,

hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?
Habt ihr ein System, bei dem die User ihre PWs selber zurücksetzen können, wenn sie sich vom System ausgesperrt haben?

Gruß

Looser
Member: DerWoWusste
DerWoWusste Jul 03, 2019 at 06:57:13 (UTC)
Goto Top
Moin.

Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.
Member: Penny.Cilin
Penny.Cilin Jul 03, 2019 at 07:07:29 (UTC)
Goto Top
Moin,

bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.
@Looser27 und @dww haben Dir in Bezug Passwortänderung schon Lösungsmöglichkeiten geschrieben.

Gruss Penny.
Member: NordicMike
NordicMike Jul 03, 2019 at 07:08:52 (UTC)
Goto Top
Auch soll sie Dich rufen, wenn das System das nächste mal die Änderung verlangt, dann kannst Du genauer anschauen...
Member: departure69
departure69 Jul 03, 2019 updated at 07:47:34 (UTC)
Goto Top
Zitat von @Looser27:

Moin,

hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?

Mittels Get-ADUser ‚username‘ -properties PasswordLastSet | Format-List konnte ich feststellen, daß sie ihr PWD heute früh um 07.21 Uhr zum letzten mal geändert hat, so hat sie mir es auch erzählt, scheint also zu stimmen.

Habt ihr ein System, bei dem die User ihre PWs selber zurücksetzen können, wenn sie sich vom System ausgesperrt haben?

Nein, kein Self-Service dafür vorhanden. Wenn, dann muß ich das (manuell) machen.


Gruß

Looser


Viele Grüße

von

departure69
Member: departure69
departure69 Jul 03, 2019 at 07:46:56 (UTC)
Goto Top
Zitat von @DerWoWusste:

Moin.

Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.


Nein, ist nicht der Fall. Keine tieferliegenden PWD-Regeln für bestimmte Gruppen, für alle Domänenbenutzer gilt ausschließlich die DDP. Trotzdem danke, hätte ja sein können.


Viele Grüße

von

departure69
Member: Looser27
Looser27 Jul 03, 2019 at 07:50:01 (UTC)
Goto Top
Am Besten wird es sein, die Kollegin meldet sich bei Dir, wenn das nächste Mal das PW geändert werden soll, wie von @NordicMike vorgeschlagen. Vielleicht ist es einfach nur ein Layer8 Problem face-wink
Member: departure69
departure69 Jul 03, 2019 at 07:52:09 (UTC)
Goto Top
Zitat von @Penny.Cilin:

Moin,

bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.

Ist kostenpflichtig und kann ich auf die Schnelle nicht beschaffen, hab' stattdessen die aktuelle Kaspersky-Rescue-Disk (Version 18) verwendet - keine Funde.

@Looser27 und @dww haben Dir in Bezug Passwortänderung schon Lösungsmöglichkeiten geschrieben.

Gruss Penny.


Viele Grüße

von

departure69
Member: departure69
departure69 Jul 03, 2019 at 07:57:59 (UTC)
Goto Top
Zitat von @NordicMike:

Auch soll sie Dich rufen, wenn das System das nächste mal die Änderung verlangt, dann kannst Du genauer anschauen...


Nachdem bisher nichts von Euren guten und gutgemeinten Tipps irgendwas gebracht hat (kein Vorwurf!), ist das wohl das Beste, was ich vorerst tun kann. Die Kollegin kommt zwar eine halbe Stunde früher als ich zur Arbeit (zumeist sind die von ihr verlangten PWD-Änderungen sogleich frühmorgens bei der ersten Anmeldung - was mich ebenfalls wundert, normalerweise werden die 42 Tage lt. DDP in Minuten, evtl. sogar in Sekunden gezählt, das merkt man, wenn mitten unter tags plötzlich Outlook das PWD verlangt), aber dann muß sie halt mal etwas warten, bis ich die Meldung mal persönlich gesehen habe.

Ich werde die Kollegin bitten, mir die nächste Aufforderung mal persönlich an ihrem Rechner zu zeigen.

Wenn ich etwas neues dazu weiß, schreibe ich es hier hinein.


Viele Grüße

von

departure69
Member: Penny.Cilin
Penny.Cilin Jul 03, 2019 at 08:01:51 (UTC)
Goto Top
@departure:

wie wäre mit einem Screenshot?

Gruss Penny.
Member: departure69
departure69 Jul 03, 2019 at 08:14:21 (UTC)
Goto Top
Zitat von @Penny.Cilin:

@departure:

wie wäre mit einem Screenshot?

Hhmmm, wüßte jetzt nicht, wie die Kollegin mitten im NT-Sicherheitsdialog das Snipping-Tool aufrufen könnte. Obwohl, "Alt-Druck" und dann den ganzen Bildschirm in ein leeres Word-Dokument einfügen sollte trotzdem gehen. Ich sag' es ihr.

Danke.


Gruss Penny.

Viele Grüße

von

departure69
Member: Looser27
Looser27 Jul 03, 2019 at 08:16:01 (UTC)
Goto Top
...oder ein Bild mit dem Smartphone machen....sowas machen unsere User(innen), wenn ihnen nichts mehr einfällt... face-smile
Member: em-pie
em-pie Jul 03, 2019 at 17:24:34 (UTC)
Goto Top
Moin,

Schalte aber noch das Auditing für das AD/ ihr Userobject ein. Sonst bekommst du ja nicht mit, ob, was und wann sich etwas geändert hat, insbesondere an den PWD-Attributen....

Denn ein Foto hilft ja dann auch nicht, nur dass du weißt, dass sie jetzt ihr Kennwort ändern soll...

https://support.microsoft.com/en-nz/help/814595/how-to-audit-active-dire ...

Gruß
em-pie