chp879
Goto Top

GPO - Maximales Kennwortalter - Benutzerhinweis oder Warnung

Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden. Jetzt habe ich verschiedene Infos zu den Benutzerhinweisen/Warnungen vor dem Kennwortablauf gelesen. Unsere Server 2008R2 mit gleicher Funktionsebene.

Kann mich jemand aufklären wie diese Hinweise ab Win7-Clients aussehen? Kommt da noch eine Extra-Fenster beim Anmeldebildschirm welches man bestätigen muss (z.B. Ihr Kennwort läuft in X Tagen ab, möchten sie es jetzt ändern?) oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop? Kommt eine solche Meldung als Standard bei Aktivierung der Richtlinie max. Kennwortalter oder muss dies noch konfiguriert werden (Interaktive Anmeldung vor Ablauf des Kennworts warnen). Weiß da jemand konkret über den Standard und die Möglichkeiten mit Win-Bordmitteln Bescheid?

Content-ID: 451137

Url: https://administrator.de/forum/gpo-maximales-kennwortalter-benutzerhinweis-oder-warnung-451137.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Dani
Lösung Dani 13.05.2019 um 21:34:20 Uhr
Goto Top
Moin,
oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop?
So ist es. Ansonsten einfach mal im Lab ausprobieren. face-smile

Kommt eine solche Meldung als Standard bei Aktivierung der Richtlinie max. Kennwortalter oder muss dies noch konfiguriert werden
Kommt ouf-of-the-Box.


Gruß,
Dani
em-pie
Lösung em-pie 13.05.2019 um 21:42:10 Uhr
Goto Top
Moin
Zitat von @Dani:
Moin,
oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop?
So ist es. Ansonsten einfach mal im Lab ausprobieren. face-smile

Jopp, stimme hier zu. Wir haben nach Umstellung auf Win7 per vbs (Powershell waren wir noch nicht Form genug) nen Script geschrieben, welches bei Anmeldung das Alter des Kennwortes prüft und dann ab t-14 Tage die User mit jeder Anmeldung behelligt.

Man könnte per PowerShell auch des Nachts ein Script laufen lassen und die Leute per Mail informieren. Musst hier mal Inn Forum suchen, das gab es schon einige Male hier.

Gruß
em-pie
chp879
chp879 13.05.2019 um 22:03:45 Uhr
Goto Top
D.h. dann es kommt keine "Login-Meldung" wie unter XP und eben diese Ballon-Meldungen und wenn das Kennwort dann komplett abgelaufen ist kommt beim Starbildschirm sofort das Kennwort muss geändert werden oder?
aqui
aqui 14.05.2019 um 08:33:21 Uhr
Goto Top
Nerviger Doppelpost ! face-sad
GPO - Maximales Kennwortalter
Bem0815
Bem0815 14.05.2019 um 08:55:19 Uhr
Goto Top
Zitat von @chp879:

D.h. dann es kommt keine "Login-Meldung" wie unter XP und eben diese Ballon-Meldungen und wenn das Kennwort dann komplett abgelaufen ist kommt beim Starbildschirm sofort das Kennwort muss geändert werden oder?

Kommt ganz darauf an. Da musst du die Frage vielleicht etwas genauer definieren. Denn die Antwort kann hier unterschiedlich ausfallen.
Wenn man sich direkt an einem PC der sich in der Domäne befindet mit seinem Domänenaccount anmelden möchte wird man aufgefordert das Passwort zu ändern wenn es abgelaufen ist.

Wenn man aber sich stattdessen mit dem Domänenkonto mit dem abgelaufenen Passwort an einem Terminalserver per RDP anmelden möchte dann wird nur die Verbindung verweigert. Eine Eingabemaske mit Aufforderung das Passwort zu ändern ist hier dann nicht möglich.

Daher wird gerade bei Verwendung eines Terminalservers in Verbindung mit ablaufenden Kennwörtern von Admins gerne irgendein Script eingesetzt dass die Nutzer vorher warnt, dass sie gefälligst ihr Passwort zu ändern haben bevor es abläuft.
chgorges
chgorges 14.05.2019 aktualisiert um 09:45:32 Uhr
Goto Top
Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden.

Hi,

sorry, der Gedanke hat mindestens den gleichen Vollbart, wie eure Server...

In den letzten 10 Jahren hat sich viel getan, sogar haben das BSI und MS selber zwischenzeitlich zugegeben, dass der Schalter die Sicherheit um exakt 0% erhöht und damit komplett outdated und überflüssig ist. Dementsprechend gibt es keine Empfehlung und auch keinen Baustein diesbezüglich mehr.

Heißt -> Spart es euch.
Bem0815
Bem0815 14.05.2019 aktualisiert um 10:22:46 Uhr
Goto Top
Zitat von @chgorges:

Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden.

Hi,

sorry, der Gedanke hat mindestens den gleichen Vollbart, wie eure Server...

In den letzten 10 Jahren hat sich viel getan, sogar haben das BSI und MS selber zwischenzeitlich zugegeben, dass der Schalter die Sicherheit um exakt 0% erhöht und damit komplett outdated und überflüssig ist. Dementsprechend gibt es keine Empfehlung und auch keinen Baustein diesbezüglich mehr.

Heißt -> Spart es euch.


Richtig, falls die Geschäftsleitung diese Änderung unbedingt will, dann bitte mal auf folgende Fallstricke ansprechen.
Wenn die Geschäftsleitung es danach dennoch will dann bleibt halt keine andere Möglichkeit als das umzusetzen.

Gründe warum das BSI (schon eine Weile) und MS (ganz frisch) das vorgehen nicht empfiehlt:
Mitarbeiter legen häufig komplett unsichere Verhaltensweisen an den Tag wenn sie ihr Passwort öfters ändern müssen.

Variante 1, der Mitarbeiter macht es sich einfach und zählt beim Passwort immer nur um eine Zahl hoch.
Erstes Passwort: blibablubb1
Zweites Passwort: bliblablubb2
Drittes Passwort: bliblablubb3
usw.

Variante 2, der Mitarbeiter kann sich sein Passwort und die häufigen Änderungen nicht merken und schreibt es sich auf einen Zettel auf.
Meist benutzte Orte zum verstecken des Passwortes:
1. Unter der Tastatur
2. Offen am Monitor (besonders gutes Versteck)
3. Erste Schreibtischschublade

Im Zweifelsfall wird dadurch die Sicherheit sogar verringert.