Default Gruppenrichtlinie: Änderung der Password Policy im laufenden Betrieb

Mitglied: Lukas4580

Lukas4580 (Level 1) - Jetzt verbinden

11.02.2016, aktualisiert 12.02.2016, 2615 Aufrufe, 8 Kommentare

Hallo,

ich hab da mal eine Frage.

Wenn ich die Kennwortrichtlinien in der default domain policy ändere dann sind von jetzt auf nachher ALLE Passwörter abgelaufen?!
Auch von Service Accounts die das Passwort läuft nicht ab Flag haben?

Hintergrund ist der das wir an einer Domain Migration von 2 älteren in eine neue dran sind, momentan noch am Mailbox Sync.
Und eine von den 2 älteren hat eben keine Passwort Policy also wirklich 0! Also hat sich irgend ein schlauer Mensch gedacht och bevor das mit der Oberen Domain kracht beim Umzug setzen wir da auch einfach keine.

Jetzt war aber der Wirtschafts Prüfer da und dem hat das nicht so wirklich gefallen. Also ist mein Chef auf mich zu gekommen und hat gemeint "Änder mal die Passwort Policy für die OU Niederlande (obere Domain), das die eine haben." aber soviel ich weis kann ich das ja gar nicht so einfach Sprich alle oder keiner (Default Domain Policy).
Also mein Chef so: "Ja gut dann alle!" "Ähm Chef dann kriegt die Domain B, ohne Richtlinie, aber Probleme beim Zugriff auf die Mailboxen wenn die alle in der Domain C liegen."
"Dann änder da die Policy doch auch einfach, so das alle Domains die selbe haben. Plan das mal zum Monatsende"

Ja gut irgendwann muss es gemacht werden führt kein Weg drum rum.

Aber dann sind halt von dem Tag an an dem ich die Policy ändere alle Passwörter abgelaufen?
Sogar von den Service Accounts für Beispielsweise Gabelstapler oder Barcode Drucker PC´s die einen Service Account mit Passwort läuft nicht ab Hacken haben. Oder?

Ich mein heist ja nicht umsonst Default Domain Policy und der Gruppenrichtlinien Editor sagt ja auch nicht zum Spaß: "Pass auf was du machst das gilt auch für die Objekte drunter!"

Falls es relevant ist:
Domain A - 3 x Win2008R2 DC´s (Normale 6 Zeichen, Komplexität an und 90 Tage Ablauf Policy)
Domain B - 2 x Win2003R2 DC´s (Nichts Definiert)
Domain C ("neu") - 4 x Win2008R2 DC´s (Nichts Definiert)

Viele kleine Niederlassungen die im wesentlichen auf der Citrix Farm arbeiten.

Hat jemand schon mal so was gemacht und hat da Erfahrung?

Viele Grüße
Lukas
Mitglied: Chonta
11.02.2016 um 15:39 Uhr
Hallo,

6 Zeichen ist arg wenig vor Jahren sagte man schon mindestens 8 und jetzt eigentlich eher 12 Zeichen.
https://www.administrator.de/forum/zieht-passwort-group-policy-aktuelle- ...
Ich habs noch nicht getestet, aber meines Wissens wirkt sich die Änderung und die Regeln erst auf die Neuvergabe aus.
ABER wenn ein Passwort schon zu alt ist, dann gilt es natürlich als abgelaufen und muss geändert werden.
ServiceACCs sollten entweder fest gesetzt sein oder wenn die Domäne das her gibt sich automatisch ändern.

Gruß

Chonta
Bitte warten ..
Mitglied: Lukas4580
11.02.2016 um 15:59 Uhr
Hallo Chonta,

Ja ich weis das 8 oder mehr Zeichen besser wären aber geht ja erstmal drum alle Domains gleich zuziehen. Später wenn alles Oben ist kann ich ja immer noch mal ändern.

Die Service Ac´s sind ja alle mit einem password never expire gesetzt.

Ich bin da halt etwas ängstlich in der Live Umgebung rum zu basteln.

LG

Lukas
Bitte warten ..
Mitglied: emeriks
11.02.2016 um 16:01 Uhr
Hi,
ab Windows 2008 kann man mehrere Password Policies pro Domäne festlegen.
Alle Konten, welche "Passwort läuft nie ab" gesetzt haben, deren Passwort läuft auch dann nicht ab, wenn eine Policy dies vorgibt. Allerdings gilt auch für diese Konten bei der nächsten Passwortänderung die Vorgabe für die komplexität aus der geltenden Policy.


E.
Bitte warten ..
Mitglied: Chonta
11.02.2016 um 16:13 Uhr
Ich bin da halt etwas ängstlich in der Live Umgebung rum zu basteln.
Vorsicht ist beser als Nachsicht.
Gibt viele die sich mal eben aus dem System raus administrieren :-D face-big-smile ^^
Bitte warten ..
Mitglied: clSchak
11.02.2016 um 17:01 Uhr
Hi

du kannst die Policy im Betrieb ändern, die Anforderungen werden erst bei der nächsten Passwortänderung gezogen und nicht die laufenden als "ungültig" markiert / gesetzt.

Etwas anderes ist es natürlich wenn du die Änderungspolicy vom Zeitfenster kleiner stellst, dann sind natürlich alle Passwörter deren Attribut [ "pwdLastChange"+Zeitfenster<heute() ] = TRUE ist auch ungültig und der Benutzer wird bei der nächsten Anmeldung aufgefordert sein Passwort zu ändern.

Gruß
@clSchak
Bitte warten ..
Mitglied: Lukas4580
12.02.2016 um 08:13 Uhr
Zitat von @emeriks:

Hi,
ab Windows 2008 kann man mehrere Password Policies pro Domäne festlegen.

Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.

Alle Konten, welche "Passwort läuft nie ab" gesetzt haben, deren Passwort läuft auch dann nicht ab, wenn eine Policy dies vorgibt. Allerdings gilt auch für diese Konten bei der nächsten Passwortänderung die Vorgabe für die komplexität aus der geltenden Policy.


Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.


Zitat von @clSchak:
du kannst die Policy im Betrieb ändern, die Anforderungen werden erst bei der nächsten Passwortänderung gezogen und nicht die laufenden als "ungültig" markiert / gesetzt.

Etwas anderes ist es natürlich wenn du die Änderungspolicy vom Zeitfenster kleiner stellst, dann sind natürlich alle Passwörter deren Attribut [ "pwdLastChange"+Zeitfenster<heute() ] = TRUE ist auch ungültig und der Benutzer wird bei der nächsten Anmeldung aufgefordert sein Passwort zu ändern.


Das wird das Problem sein! Weil ich mir fast sicher bin das die meisten Passwörter länger wie 90 Tage nicht geändert worden sind, Windows hat sie ja noch nie dazu aufgefordert.
Maximun password age = 0 Days

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.


Gruß
Lukas
Bitte warten ..
Mitglied: emeriks
LÖSUNG 12.02.2016, aktualisiert um 10:44 Uhr
Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.
Wie "aber auch nur"? Wir sind hier froh, dass man mehrere pro Domäne vereinbaren kann.

Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.
Ja klar nur dann.

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.
Ja klar, das ist doch aber nachvollziehbar.

Was hälst Du davon:
  1. Ankündigung, dass eine solche Richtlinie zum Tag x eingeführt wird. Hinweis auf die dann fällige Passwortänderung.
  2. Abwarten, welche Proteste kommen. ggf. dafür Ausnahmen von der GF bestätigen/genehmigen lassen und diese Ausnahmen dann später einrichten
  3. Einrichten der Richtline(n) zum Tag X
Bitte warten ..
Mitglied: Lukas4580
12.02.2016 um 10:44 Uhr
Zitat von @emeriks:

Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.
Wie "aber auch nur"? Wir sind hier froh, dass man mehrere pro Domäne vereinbaren kann.


Ja ich hab auch von Fine Grained Policy gelesen was aber "nur" auf Gruppen anwendbar ist.

https://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx?f ...


Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.
Ja klar nur dann.

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.
Ja klar, das ist doch aber nachvollziehbar.

Joa sag ich ja! ;-) face-wink

Was hälst Du davon:
  1. Ankündigung, dass eine solche Richtlinie zum Tag x eingeführt wird. Hinweis auf die dann fällige Passwortänderung.
  2. Abwarten, welche Proteste kommen. ggf. dafür Ausnahmen von der GF bestätigen/genehmigen lassen und diese Ausnahmen dann später einrichten
  3. Einrichten der Richtline(n) zum Tag X

Darauf wirds raus laufen!
Wollte da halt gern ne zweite bzw. dritte Meinung hören.

Danke!

Gruß
Lukas
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 5 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 22 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 20 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 22 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...