bgro360
Goto Top

Kennwort läuft ab - Benutzer sperrt PC und Kennwort ist falsch bzw. abgelaufen

Hallo,

ich wusste nicht wie genau ich danach im Internet suchen kann, deshalb poste ich mein Problem mal schnell.

Umgebung:
Windows Server Netzwerk
Active Directory - 80 Benutzer
Server 2008 R2
Clients XP und Windows 7

Problemstelllung:
Wir haben eine Maximale Kennwortdauer von 14 Tagen. Eine Minimale Kennwortdauer von 9 Tagen. Sprich, die Benutzer werden nach X Tagen aufgefordert ihr Passwort zu ändern da dieses abgelaufen ist.
Beim Anmelden kein Problem - Neues Passwort wird eingetragen, alles super!

Jedoch scheint es so zu sein, dass es möglich ist das der Benutzer sich morgens anmeldet und das Kennwort noch funktioniert - sprich, er wird nicht aufgefordert es zu ändern.
Über den Tag schein die Kennwortdauer ihr Maximum erreicht zu haben und das Kennwort läuft ab.

Alle Rechner sperren sich (Windows-Taste + L) automatisch nach 10 Minuten Inaktivität.
Passiert das während das Kennwort ablief als der Benutzer angemeldet war, kommt er zu seinem PC und kann sich nicht anmelden.
Dann muss er entweder zwangs abgemeldet werden und sich komplett neu anmelden (Dann kann er das PW ändern)
Oder es muss ihm im Active Directory ein neues Passwort zugewiesen werden - Dann kann der Benutzer sich anmelden.


Ist dieses Problem jemandem bekannt? Wie umgeht man dieses Problem?

Vielen Dank für Eure Bemühungen.

Freundliche Grüße

Content-ID: 185309

Url: https://administrator.de/forum/kennwort-laeuft-ab-benutzer-sperrt-pc-und-kennwort-ist-falsch-bzw-abgelaufen-185309.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Pago159
Pago159 22.05.2012 um 14:18:01 Uhr
Goto Top
Hallo bgro360,

das Problem ist bekannt.
Haben wir bei uns im Unternehmen auch. Du solltest deine User darauf hinweisen,
dass das Passwort in X-Tagen abläuft. Die meisten ändern dann das PW, da es nervt,
jedesmal die Abfrage zu bekommen.
Wir haben eine PW - LeaseTime von 3 Monaten und Kündigen 10 Tage vorher an, dass das PW bald abläuft.

Lg Pago
Jochem
Jochem 22.05.2012 um 14:20:30 Uhr
Goto Top
Moin,

Ist dieses Problem jemandem bekannt?

Ja! Es liegt an der unterschiedlichen Definition der Länge eines Tages. Für das BS ist ein Tag nach dem Ablauf von 24 Stunden beendet, unabhängig davon, wann die 24 Stunden begonnen haben, zu laufen: Eine Änderung heute um 12:45 Uhr verfällt nach einem Tag, also morgen um 12:44 Uhr.

Wie umgeht man dieses Problem?

Indem man die Benutzer darauf hinweist, das in x Tagen das Paßwort verfällt und sie sich darauf vorbereiten können. Entsprechende Meldungen lassen sich im User-Kontext erstellen.

Gruß J face-smile chem
DerWoWusste
DerWoWusste 22.05.2012 aktualisiert um 14:27:41 Uhr
Goto Top
Moin.

Ihr scheint streng mit Kennwörtern umzugehen, Euch aber doch noch nicht eingehend damit befasst zu haben face-smile

Wenn Du 14 Tage als Höchstalter festlegst und Nutzer A ändert sein Kennwort am
12. Mai, 08:30,
dann läuft es genau 14 Tage später am
26. Mai, 08:30 ab.

Kommt der Nutzer aber am 26. Mai schon um 8 und meldet sich an, erhält er per Ballontippmeldung erstmal eine Meldung: "Ihr Kennwort läuft heute ab!". Wenn er die übersieht oder ignoriert, läuft das Kennwort ab und Netzwerkressourcen sind unter Umständen nicht mehr zu erreichen.
Sperrt er dann seine Workstation und meldet sich wieder an, meldet Windows, dass sein Kennwort abgelaufen ist und jetzt sofort geändert werden muss*. Ebenso kommt die Aufforderung sofort zu ändern, wenn er sich erst nach dem Ablaufdatum anmeldet.

Es sollte kein Problem entstehen. Was Du erlebst, ist also entweder nicht korrekt wiedergegeben, oder da ist etwas buggy. Da ich mich mit Kennwortpolicies usw. auskenne, kann ich Dir jedoch versichern, dass es genau so laufen müsste.

*genauer Ablauf eben im Test: Bildschirm gesperrt, dann im AD Nutzerkennwort ablaufen lassen, kurz gewartet (länger als ein Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos die alte Sitzung, welche getrennt worden war, fortgesetzt.
bgro360
bgro360 22.05.2012 um 15:38:36 Uhr
Goto Top
Hallo,

danke für die schnellen Antworten.

Schade, hatte mir erhofft das vielleicht doch etwas falsch eingestellt ist oder so.
Die Erkennung, dass das Kennwort abgelaufen ist und ein neues erstellt werden muss wäre bei der Entsperrung des Computers echt super, naja.

Danke für die Tipps.. wahrscheinlich werden wir die Dauer dann doch ein wenig höher setzen und die Benutzer informieren ihr Kennwort frühzeitig zu ändern.

Freundliche Grüße
DerWoWusste
DerWoWusste 22.05.2012 aktualisiert um 16:10:48 Uhr
Goto Top
Die Erkennung, dass das Kennwort abgelaufen ist und ein neues erstellt werden muss wäre bei der Entsperrung des Computers echt super, naja
Es funktioniert doch wie erwünscht. Dass es bei mir erst beim zweiten Mal (und bei Euch evtl. erst noch später) Entsperren geht, liegt vermutlich daran, dass Ihr Kennwortcaching zulasst [Default: 10Mal, bei uns (passend zum beobachteten Verhalten): 1x]. Schalte das mal aus und teste.

Man braucht das Caching jedoch, um sich anmelden zu können, wenn kein DC erreichbar ist.
bgro360
bgro360 22.05.2012 um 16:15:44 Uhr
Goto Top
Dein genauer Test im vorherigen Kommentar trifft aber leider nicht bei uns ein!
Das entsperren mit dem alten Kennwort funktioniert nicht.. Ich konnte das schon bei mehreren Rechnern beobachten. Bei uns werden auch die letzten 10 Kennwörter "gespeichert".
2hard4you
2hard4you 22.05.2012 um 18:46:50 Uhr
Goto Top
Moin,

Ihr scheint auch restriktiv mit Urlaub und anderer Abwesenheit umzugehen - bei 30 Tagen Urlaub sind es mind. 6 Wochen - dh. eine Kenntwortdauer sollte schon bei mind. 60 Tagen liegen mit einem Reminder 15 Tage eher...

Gruß

24
DerWoWusste
DerWoWusste 22.05.2012 um 19:34:14 Uhr
Goto Top
...6 Wochen am Stück Urlaub nehmen (und bekommen)? Respekt.
2hard4you
2hard4you 23.05.2012 um 12:00:23 Uhr
Goto Top
Zitat von @DerWoWusste:
...6 Wochen am Stück Urlaub nehmen (und bekommen)? Respekt.

nicht ungewöhnlich ...

aber es gibt auch Bildungsurlaub, Weiterbildung, Erziehungsurlaub, längere Krankschreibung etc.

24
MSchauer
MSchauer 05.02.2013 um 10:50:17 Uhr
Goto Top
Guten Morgen,

auch wenn das Thema "solved" und etwas älter ist, blieb eine Frage ungeklärt:

da der TE oben erwähnt hat das sein Unternehmen Clients XP und Windows 7 einsetzt, wäre für mich jetzt noch interessant wie das Verhalten unter WindowsXP war / ist?

1. User logged sich in Windows XP ein (wir gehen jetzt mal von Professional aus)
2. User sperrt seinen Rechner
3. Useraccount Passwort läuft ab
4. User kehrt zum Arbeitsplatz zurück und entsperrt seinen Rechner

Was passiert nun?

Gruß
Martin
DerWoWusste
DerWoWusste 05.02.2013 aktualisiert um 11:02:26 Uhr
Goto Top
Moin MSchauer!

Probier es bitte aus. Setze einfach das Kennwort auf "Nutzer muss das Kennwort bei der nächsten Anmeldung ändern", das kommt einem Ablauf gleich.
bgro360
bgro360 05.02.2013 um 11:08:42 Uhr
Goto Top
Hallo MSchauer,

wenn ich mich genau erinnere, hatte es bei XP funktioniert.

Also:

5.Windows erkennt, dass das Passwort abgelaufen ist und fordert auf ein neues einzugeben.

Bei Windows 7 gab es diesen Schritt meines Wissens nach nicht.
(Korrigiert mich wenn ich falsch liege)
---
Wir haben übrigens die Dauer ein wenig erhöht und die Mitarbeiter darauf hingewiesen, das Kennwort rechtzeitig zu ändern. Das Problem blieb also weitgehend aus.

Freundliche Grüße
bgro
DerWoWusste
DerWoWusste 05.02.2013 um 13:04:15 Uhr
Goto Top
Das ist bei win7 genau so.
MSchauer
MSchauer 27.02.2013 um 08:01:11 Uhr
Goto Top
Guten Morgen zusammen,

*genauer Ablauf eben im Test: Bildschirm gesperrt, dann im AD Nutzerkennwort ablaufen lassen, kurz gewartet (länger als ein
Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das
Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den
SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos
die alte Sitzung, welche getrennt worden war, fortgesetzt.


und genau da hak ich nun ein. Wenn ich das richtig verstehe war XP in der Lage zu sagen: "Hey User, Dein Passwort ist abgelaufen, bitte ändere dies."

Ab WinVista erscheint nun aber die Meldung das man doch bitte einen anderen User nehmen soll. Das es dann funktioniert wenn man denselben User nimmt steht ausser Frage, aber ist für den Endanwender nicht leicht missverständlich?

Viele Grüße
DerWoWusste
DerWoWusste 27.02.2013 um 18:21:59 Uhr
Goto Top
Bitte beim nächsten Mal früher antworten, damit sich Helfende nicht nach 3 Wochen wieder reindenken müssen.
Du stellst eine rhetorische Frage. Aber das ist nicht zu ändern, u wirst damit leben müssen.
MSchauer
MSchauer 28.02.2013 um 10:48:44 Uhr
Goto Top
Guten Morgen allerseits,

vielen Dank an alle für die freundlichen Antworten. Meine Frage hat sich damit nun geklärt.

OT:
@DerWoWusste

über eine Namensänderung nachgedacht? "DerWoEsBesserWusste" ?

Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.

Hochachtungsvoll
MSchauer
2hard4you
2hard4you 28.02.2013 aktualisiert um 11:54:47 Uhr
Goto Top
Zitat von @MSchauer:

Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu
antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die
noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es
nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.

Hochachtungsvoll
MSchauer

Moin,

der Sinn dieses Forums ist es, jemanden zu helfen, da Probleme meist akut auftreten, wird der Threadopener meist über eine schnelle Beantwortung erfreut sein. Da es bei Ihnen wahrscheinlich nicht so ist, möchte ich Sie bitten, entsprechende Threads von Ihnen zu kennzeichnen, wir werden uns dann die Zeit nehmen, so im Monatstakt einen hilfreichen Gedanken auf dem Dienstweg zu äußern.

Vielen Dank!

24

/edit: Ich hab mir Ihre Antwort für den 08.03.2013 gegen 9 Uhr vorgemerkt.
DerWoWusste
DerWoWusste 28.02.2013 um 18:01:11 Uhr
Goto Top
Du weißt es besser, nicht ich. Ich stelle für mich als Helfenden fest, dass es unangenehm ist, sich nach 3 Wochen wieder reinzudenken, mehr nicht. Nimm den Hinweis an, oder werde unhöflich, wie Du magst.
baldur
baldur 20.01.2015 um 11:34:50 Uhr
Goto Top
Sorry für den späten Kommentar.

Bei uns funktioniert diese o.a. Automatik nicht.
Unser Kennwort läuft nach 90 Tagen ab, die User werden 10 Tage vorher informiert, lt. Policy ist nur EINE Password-Änderung/Tag zugelassen.

Ich hatte hier gerade den dritten User, bei dem die Anmeldung am gesperrten System nach Ablauf des Kennwortes nicht funktioniert.

Hast du Tipps zum Einstellen der Policy?

Danke schon mal..