11
GPO für Passwörter 16 Zeichen
Hallo,
wenn ich eine GPO setze im AD das User 16 Zeichen haben sollen.
Sind dann damit die Lokalen User der Server auch mit in dieser Policy ? Oder sind es nur die DomänUser ?
Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien/Kennwortrichtlinien
Gruss
Paul
wenn ich eine GPO setze im AD das User 16 Zeichen haben sollen.
Sind dann damit die Lokalen User der Server auch mit in dieser Policy ? Oder sind es nur die DomänUser ?
Computerconfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien/Kennwortrichtlinien
Gruss
Paul
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4148481471
Url: https://administrator.de/contentid/4148481471
Printed on: April 25, 2024 at 12:04 o'clock
11 Comments
Latest comment
Moin,
was passiert denn deiner Meinung nach mit den schon bestehenden Usern? Meinst du die werden ausgesperrt?
Die Regel greift bei neuen Usern und wird meist einem erzwungenen Ändern der Kennwörter ausgerollt.
Gruß
Spirit
was passiert denn deiner Meinung nach mit den schon bestehenden Usern? Meinst du die werden ausgesperrt?
Die Regel greift bei neuen Usern und wird meist einem erzwungenen Ändern der Kennwörter ausgerollt.
Gruß
Spirit
16? Bei meinen geht das nur bis 14 ...
Moin,
anstatt einer GPO würde ich auf Fine-Grained Password Policies (FGPP) setzen. Somit kannst du sehr granular definieren, für welche Benutzer bzw. Gruppen diese gelten soll.
Gruß,
Dani
anstatt einer GPO würde ich auf Fine-Grained Password Policies (FGPP) setzen. Somit kannst du sehr granular definieren, für welche Benutzer bzw. Gruppen diese gelten soll.
Gruß,
Dani
1
Benutz am besten das Active Directory Administrative Center (ADAC), darüber geht das ganze granularer und mit mehr Möglichkeiten als in der GPO. Musst dazu ne AD OU verknüpfen. Gibt aber einige Anleitungen dazu online.
1
Hallo,
meine 30 Cents dazu...
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".
Lieber etwas mit Biometrisch, Karten, Chips, etc.
Stefan
meine 30 Cents dazu...
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".
Lieber etwas mit Biometrisch, Karten, Chips, etc.
Stefan
Hi,
bin da bei Stefan, 16 Zeichen und evtl. noch Komplex? Da werden dir die User wsl. die Passwörter auf den Monitor kleben gleich neben der Diddlmaus von Ihrem Freund/in, geschweige denn dass die dir deine Türe eintreten werden bzw. euren Support "aufnudeln".
Hatte bei uns schon Probleme dass ich die Policy mit 8 Zeichen und PW-Speicher durchsetzen konnte... dürfen/sollen/wollen nun die MFA einführen damit der User ja nicht sein PW auf den Display klebt.
Würd da nochmal nachdenken ob 16 Zeichen wirklich die Sicherheit hebt oder nicht sogar senkt.
LG
bin da bei Stefan, 16 Zeichen und evtl. noch Komplex? Da werden dir die User wsl. die Passwörter auf den Monitor kleben gleich neben der Diddlmaus von Ihrem Freund/in, geschweige denn dass die dir deine Türe eintreten werden bzw. euren Support "aufnudeln".
Hatte bei uns schon Probleme dass ich die Policy mit 8 Zeichen und PW-Speicher durchsetzen konnte... dürfen/sollen/wollen nun die MFA einführen damit der User ja nicht sein PW auf den Display klebt.
Würd da nochmal nachdenken ob 16 Zeichen wirklich die Sicherheit hebt oder nicht sogar senkt.
LG
Zitat von @StefanKittel:
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".
Welcher normale Benutzer kann sich sowas merken?
Also wird es auf einen Zettel aufgeschrieben und am Schreibtisch versteckt.
Passwörter waren schon immer "doof".
Das kann ich so nicht bestätigen. Habe gerade einem Kunden eine neue AD mit AzureAD-Sync eingerichtet. Die freuen sich einen Ast ab, dass die jetzt nur noch ein Kennwort für viele Dienste haben. Ich empfehlen denen immer einen Satz zu bilden. Den kann man sich gut merken, 14 Zeichen sind zügig beisammen und die Zettel sind nicht notwendig.
Habe ich so bei vielen Kunden im Einsatz und habe keine Probleme, dass dort Zettel rumliegen oder die Leute regelmäßig ihre Kennwörter vergessen. Keine Ahnung mit was für Luftpumpen ihr da so arbeiten müsst 😅
1
1. Passwortrichtlinien im AD betreffen AD Passwoerter, also nihct lokale User.
2. Wer betroffen ist, haengt davon ab, wo im AD due es fuer wen setzt.
3. Wenn es fuer alle User gesetzt ist, betrifft es auch die alten und nach einem GPUPDATE sind sie betroffen.
2. Wer betroffen ist, haengt davon ab, wo im AD due es fuer wen setzt.
3. Wenn es fuer alle User gesetzt ist, betrifft es auch die alten und nach einem GPUPDATE sind sie betroffen.
Zitat von @anteNope:
Keine Ahnung mit was für Luftpumpen ihr da so arbeiten müsst 😅:D "Luftpumpen" den muss ich mir merken, noch besser als DAU-User
made my day :DD
Mahlzeit.
Eins vorweg: Bestehende Passwörter behalten ihre Gültigkeit, d.h. egal, was du dort einstellst, es wird kein User ausgesperrt. Die Richtlinie findet nur Anwendung, wenn ein Passwort geändert bzw. ein neues Passwort (bei Erstellung eines Useraccounts) gesetzt wird.
Auf Domain-joined Maschinen betrifft das natürlich auch die Erstellung/Passwortänderungen von lokalen Benutzern (wenn man das per Default Domain Policy regelt).
Ich würde mich heute nicht mehr mit "Fine Grained Password Policies" beschäftigen. Es gibt Tools, die Passwörter gegen eine lokale Kopie der HIBP-Datenbank abgleichen, "Normalization" betreiben usw. Die implementiert man per ADMX-Template in seine GPO-Struktur und hat dann noch viel mehr Möglichkeiten: Eigene "Banned Words", Punkte-Regel usw.
Dass Komplexität ein Passwort "sicher" macht, ist ein Mythos. Passwortlänge ist dagegen ein entscheidender Faktor, 16 Zeichen sind eigentlich das Minimum, bestenfalls natürlich kombiniert mit 2FA.
Beispiel: wInt3r$2o22#44 wäre lang und komplex. Steht aber leider in der HIPB-Datenbank. Somit wertlos und nicht mehr zu benutzen.
Cheers,
jsysde
Eins vorweg: Bestehende Passwörter behalten ihre Gültigkeit, d.h. egal, was du dort einstellst, es wird kein User ausgesperrt. Die Richtlinie findet nur Anwendung, wenn ein Passwort geändert bzw. ein neues Passwort (bei Erstellung eines Useraccounts) gesetzt wird.
Auf Domain-joined Maschinen betrifft das natürlich auch die Erstellung/Passwortänderungen von lokalen Benutzern (wenn man das per Default Domain Policy regelt).
Ich würde mich heute nicht mehr mit "Fine Grained Password Policies" beschäftigen. Es gibt Tools, die Passwörter gegen eine lokale Kopie der HIBP-Datenbank abgleichen, "Normalization" betreiben usw. Die implementiert man per ADMX-Template in seine GPO-Struktur und hat dann noch viel mehr Möglichkeiten: Eigene "Banned Words", Punkte-Regel usw.
Dass Komplexität ein Passwort "sicher" macht, ist ein Mythos. Passwortlänge ist dagegen ein entscheidender Faktor, 16 Zeichen sind eigentlich das Minimum, bestenfalls natürlich kombiniert mit 2FA.
Beispiel: wInt3r$2o22#44 wäre lang und komplex. Steht aber leider in der HIPB-Datenbank. Somit wertlos und nicht mehr zu benutzen.
Cheers,
jsysde
Moin,
erstmal: Was ist besser? Kurz und komplex oder lang und nur Buchstaben? Ganz einfach.
Über die Tastatur kann ich 100 Zeichen erreichen. Nutze ich alle aus und nehme acht Zeichen, dann habe ich 100^8 oder 10^16 mögliche Kombinationen.
Das Alphabet hat 26 Zeichen plus noch drei Sonderzeichen (ä,ö,ü), macht 58 Zeichen insgesamt (Groß/klein). Bilde ich daraus ein Passwort mit 16 Zeichen, dann habe ich 1,64*10^28 Zeichen. Huh!
Man sieht also, dass weniger Zeichen im Vorrat, dafür längere Phrasen deutlich sicherer sind als komplexe kurze Passwörter.
Dann: Was kann man sich besser merken? Klar, das Passwort, dass z. B. iB2b.hQ# lautet, kann sich sofort jeder User problemlos einprägen, während "Maus Fahrrad Jahrmarkt" echt schwer merkbar ist.
Kurz gesagt: Komplexe und zu kurze Passwörter sind obsolet. Schon vor einigen Jahren hat der Autor, der die ursprünglichen Regeln aufgestellt hat, geschrieben, dass das ein großer Irrtum war und dass lange Passphrasen sehr viel besser sind als kurze komplexe Passwörter.
Liebe Grüße
Erik
erstmal: Was ist besser? Kurz und komplex oder lang und nur Buchstaben? Ganz einfach.
Über die Tastatur kann ich 100 Zeichen erreichen. Nutze ich alle aus und nehme acht Zeichen, dann habe ich 100^8 oder 10^16 mögliche Kombinationen.
Das Alphabet hat 26 Zeichen plus noch drei Sonderzeichen (ä,ö,ü), macht 58 Zeichen insgesamt (Groß/klein). Bilde ich daraus ein Passwort mit 16 Zeichen, dann habe ich 1,64*10^28 Zeichen. Huh!
Man sieht also, dass weniger Zeichen im Vorrat, dafür längere Phrasen deutlich sicherer sind als komplexe kurze Passwörter.
Dann: Was kann man sich besser merken? Klar, das Passwort, dass z. B. iB2b.hQ# lautet, kann sich sofort jeder User problemlos einprägen, während "Maus Fahrrad Jahrmarkt" echt schwer merkbar ist.
Kurz gesagt: Komplexe und zu kurze Passwörter sind obsolet. Schon vor einigen Jahren hat der Autor, der die ursprünglichen Regeln aufgestellt hat, geschrieben, dass das ein großer Irrtum war und dass lange Passphrasen sehr viel besser sind als kurze komplexe Passwörter.
Liebe Grüße
Erik
