chp879
Goto Top

GPO - Maximales Kennwortalter

Bei uns soll per GPO das "maximale Kennwortalter" eingestellt werden (z.B. auf 90 Tage). Domänencontroller und Funktionsebene ist 2008R2, meine Frage da diese Einstellung bisher nicht aktiviert war: Werden ab Aktivierung die User dazu aufgefordert ihr Kennwort sofort zu ändern da es seit mehr als 90 Tagen nicht geändert wurde oder zählen die angegeben Tage ab dem Zeitpunkt der Aktivierung und die User werden erst in 90 Tagen dazu aufgefordert?

Content-ID: 451136

Url: https://administrator.de/forum/gpo-maximales-kennwortalter-451136.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 13.05.2019 aktualisiert um 21:21:21 Uhr
Goto Top
Soweit ich weiß wird die Regel erst ab Aktivierung für danach geänderte Paßwörter aktiv.
Die GPO stammt noch aus den NT bzw. Win2000-Zeiten, es ist eher als nur unwahrscheinlich daß sie in 2008R2 nicht geht, aber aufgrund der vorher nicht definierten Regel kriegen die User davon auch nix mit ... wenn du sicher gehen willst, probiers mal mit 3 Tagen aus, das schadet nicht wirklich... um das zu erwzingen muß man alle AD Konten auf "Benutzer muß Kennwort bei Anmeldung ändern" setzen.
chp879
chp879 13.05.2019 um 21:59:30 Uhr
Goto Top
Ich denke auch das es so ist und die Tage ab der Aktivierung der Regel zählen, aber wissen tue ich es eben nicht genau. Deine Aussage ist auch eher eine Vermutung. Ausprobieren bei ca. 400 aktiven Usern auch nicht so ohne. Hat da jemand schon Erfahrungen in der Praxis oder mit einer Testumgebung?
Mikrofonpartner
Mikrofonpartner 13.05.2019 um 23:32:02 Uhr
Goto Top
Zitat von @chp879:

Ausprobieren bei ca. 400 aktiven Usern auch nicht so ohne.

Guten Abend

Wer sagt, dass du die GPO gleich auf alle ausrollen musst? Kleine Gruppe von Testern ist schnell angelegt. Und wenn es 1-2 Testaccounts sind.

Gruß Mikro
SlainteMhath
Lösung SlainteMhath 14.05.2019 aktualisiert um 08:20:00 Uhr
Goto Top
Moin,

Windows "zählt" immer die Tage von der Letzten PW-Änderung bis heute. Ist dieser Wert größer als in der GPO angegeben, werden die User sofort aufgefordert ihr PW zu ändern.

Abhilfe schafft ggfs. eine Rundmail mit der Aufforderung das PW zu ändern, und dann die GPO 1 Woche später zu aktivieren.

lg,
Slainte

/EDIT: Warum der Doppelpost? GPO - Maximales Kennwortalter - Benutzerhinweis oder Warnung