Kennwörter über Gruppenrichtlinie ändern WS2K Server
Hallo zusammen,
bei uns in der Firma wurde bisher das Ändern der Kennwörter ziemlich Stiefmütterlich behandelt.
Ich habe in der Gruppenrichtlinie des Servers das Kennwortalter auf 999 Tage gesetzt.
Da ich aber in zukunft eine änderung der Passwörter erzeingen will, muss ich diese Gruppenrichtlinie abändern.
Jetzt meine Frage:
Wenn ich das Kennwortalter bsp. auf 60 tage stelle, müssen dann ALLE Netzwerkuser am nächsten Tag ihr Kennwort ändern, da das alte ja wesentlich älter war, oder läuft die Zeit bis zur nächsten Änderung ab Erstellung der Richtlinie?
Danke für alle kommenden Tips )
bei uns in der Firma wurde bisher das Ändern der Kennwörter ziemlich Stiefmütterlich behandelt.
Ich habe in der Gruppenrichtlinie des Servers das Kennwortalter auf 999 Tage gesetzt.
Da ich aber in zukunft eine änderung der Passwörter erzeingen will, muss ich diese Gruppenrichtlinie abändern.
Jetzt meine Frage:
Wenn ich das Kennwortalter bsp. auf 60 tage stelle, müssen dann ALLE Netzwerkuser am nächsten Tag ihr Kennwort ändern, da das alte ja wesentlich älter war, oder läuft die Zeit bis zur nächsten Änderung ab Erstellung der Richtlinie?
Danke für alle kommenden Tips )
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 40257
Url: https://administrator.de/forum/kennwoerter-ueber-gruppenrichtlinie-aendern-ws2k-server-40257.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
3 Kommentare
Neuester Kommentar
Servus
da dies eine neue Richtline tritt diese auch erst mit dem "secedit/refresh " oder " gpupdate" in Kraft und verhält sich folgendermaßen :
Ab dem Zeitpunkt der Anmeldung des Users X läuft der Zähler von 60 runter ...
Danach ist ein KW-Wechsel erforderlich.
D.h. : du kannst nicht definieren das am jeden 1. eines Monats das KW geändert wird.
(Ausser du erstellst / verwendest eine ADM Vorlage die dir dies ermöglich - habe ich aber selbst noch nie gemacht/benötigt )
Gruß,
Andy
da dies eine neue Richtline tritt diese auch erst mit dem "secedit/refresh " oder " gpupdate" in Kraft und verhält sich folgendermaßen :
Ab dem Zeitpunkt der Anmeldung des Users X läuft der Zähler von 60 runter ...
Danach ist ein KW-Wechsel erforderlich.
D.h. : du kannst nicht definieren das am jeden 1. eines Monats das KW geändert wird.
(Ausser du erstellst / verwendest eine ADM Vorlage die dir dies ermöglich - habe ich aber selbst noch nie gemacht/benötigt )
Gruß,
Andy
Hola,
bist Du Dir da sicher? IMO rechnet Windows den Wert (Today - PWLastChange) > MaxPWDAge aus und "bittet" den Benutzer, falls obige Annahme wahr ist, den Benutzer um den Passwortwechsel (also vermutlich bei der nächsten Anmeldung - da wird ja auch die GPO für den Benutzer auf jeden Fall ausgewertet).
BTW: Die Gruppenrichtlinie auf dem Server hilft Dir da nicht viel - da kann man das zwar einstellen, gilt aber dann nur für lokale Benutzer. Willst Du das Domäneweit ändern, so musst Du das in den Domain Ploicy einstellen - es gilt NUR DORT!
Tip: Schreib' Deinen lieben Benutzern eine eMail, dass sie bei der nächsten Anmeldung Ihr Passwort manuell ändern sollen bzw. das innerhalb einer Woche erledigen sollen. Prinzipiell hast Du ja kein Problem damit, so lange sich die User interaktiv anmelden. Wollen Benutzer z.B. über FTP rein, dann haben die dort gar keine Chance, das Passwort zu ändern und können sich auch nicht anmelden.
cu,
Alex
bist Du Dir da sicher? IMO rechnet Windows den Wert (Today - PWLastChange) > MaxPWDAge aus und "bittet" den Benutzer, falls obige Annahme wahr ist, den Benutzer um den Passwortwechsel (also vermutlich bei der nächsten Anmeldung - da wird ja auch die GPO für den Benutzer auf jeden Fall ausgewertet).
BTW: Die Gruppenrichtlinie auf dem Server hilft Dir da nicht viel - da kann man das zwar einstellen, gilt aber dann nur für lokale Benutzer. Willst Du das Domäneweit ändern, so musst Du das in den Domain Ploicy einstellen - es gilt NUR DORT!
Tip: Schreib' Deinen lieben Benutzern eine eMail, dass sie bei der nächsten Anmeldung Ihr Passwort manuell ändern sollen bzw. das innerhalb einer Woche erledigen sollen. Prinzipiell hast Du ja kein Problem damit, so lange sich die User interaktiv anmelden. Wollen Benutzer z.B. über FTP rein, dann haben die dort gar keine Chance, das Passwort zu ändern und können sich auch nicht anmelden.
cu,
Alex