19
Kennwort läuft ab - Benutzer sperrt PC und Kennwort ist falsch bzw. abgelaufen
Hallo,
ich wusste nicht wie genau ich danach im Internet suchen kann, deshalb poste ich mein Problem mal schnell.
Umgebung:
Windows Server Netzwerk
Active Directory - 80 Benutzer
Server 2008 R2
Clients XP und Windows 7
Problemstelllung:
Wir haben eine Maximale Kennwortdauer von 14 Tagen. Eine Minimale Kennwortdauer von 9 Tagen. Sprich, die Benutzer werden nach X Tagen aufgefordert ihr Passwort zu ändern da dieses abgelaufen ist.
Beim Anmelden kein Problem - Neues Passwort wird eingetragen, alles super!
Jedoch scheint es so zu sein, dass es möglich ist das der Benutzer sich morgens anmeldet und das Kennwort noch funktioniert - sprich, er wird nicht aufgefordert es zu ändern.
Über den Tag schein die Kennwortdauer ihr Maximum erreicht zu haben und das Kennwort läuft ab.
Alle Rechner sperren sich (Windows-Taste + L) automatisch nach 10 Minuten Inaktivität.
Passiert das während das Kennwort ablief als der Benutzer angemeldet war, kommt er zu seinem PC und kann sich nicht anmelden.
Dann muss er entweder zwangs abgemeldet werden und sich komplett neu anmelden (Dann kann er das PW ändern)
Oder es muss ihm im Active Directory ein neues Passwort zugewiesen werden - Dann kann der Benutzer sich anmelden.
Ist dieses Problem jemandem bekannt? Wie umgeht man dieses Problem?
Vielen Dank für Eure Bemühungen.
Freundliche Grüße
ich wusste nicht wie genau ich danach im Internet suchen kann, deshalb poste ich mein Problem mal schnell.
Umgebung:
Windows Server Netzwerk
Active Directory - 80 Benutzer
Server 2008 R2
Clients XP und Windows 7
Problemstelllung:
Wir haben eine Maximale Kennwortdauer von 14 Tagen. Eine Minimale Kennwortdauer von 9 Tagen. Sprich, die Benutzer werden nach X Tagen aufgefordert ihr Passwort zu ändern da dieses abgelaufen ist.
Beim Anmelden kein Problem - Neues Passwort wird eingetragen, alles super!
Jedoch scheint es so zu sein, dass es möglich ist das der Benutzer sich morgens anmeldet und das Kennwort noch funktioniert - sprich, er wird nicht aufgefordert es zu ändern.
Über den Tag schein die Kennwortdauer ihr Maximum erreicht zu haben und das Kennwort läuft ab.
Alle Rechner sperren sich (Windows-Taste + L) automatisch nach 10 Minuten Inaktivität.
Passiert das während das Kennwort ablief als der Benutzer angemeldet war, kommt er zu seinem PC und kann sich nicht anmelden.
Dann muss er entweder zwangs abgemeldet werden und sich komplett neu anmelden (Dann kann er das PW ändern)
Oder es muss ihm im Active Directory ein neues Passwort zugewiesen werden - Dann kann der Benutzer sich anmelden.
Ist dieses Problem jemandem bekannt? Wie umgeht man dieses Problem?
Vielen Dank für Eure Bemühungen.
Freundliche Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185309
Url: https://administrator.de/contentid/185309
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo bgro360,
das Problem ist bekannt.
Haben wir bei uns im Unternehmen auch. Du solltest deine User darauf hinweisen,
dass das Passwort in X-Tagen abläuft. Die meisten ändern dann das PW, da es nervt,
jedesmal die Abfrage zu bekommen.
Wir haben eine PW - LeaseTime von 3 Monaten und Kündigen 10 Tage vorher an, dass das PW bald abläuft.
Lg Pago
das Problem ist bekannt.
Haben wir bei uns im Unternehmen auch. Du solltest deine User darauf hinweisen,
dass das Passwort in X-Tagen abläuft. Die meisten ändern dann das PW, da es nervt,
jedesmal die Abfrage zu bekommen.
Wir haben eine PW - LeaseTime von 3 Monaten und Kündigen 10 Tage vorher an, dass das PW bald abläuft.
Lg Pago
Moin,
Ja! Es liegt an der unterschiedlichen Definition der Länge eines Tages. Für das BS ist ein Tag nach dem Ablauf von 24 Stunden beendet, unabhängig davon, wann die 24 Stunden begonnen haben, zu laufen: Eine Änderung heute um 12:45 Uhr verfällt nach einem Tag, also morgen um 12:44 Uhr.
Indem man die Benutzer darauf hinweist, das in x Tagen das Paßwort verfällt und sie sich darauf vorbereiten können. Entsprechende Meldungen lassen sich im User-Kontext erstellen.
Gruß J
chem
Ist dieses Problem jemandem bekannt?
Ja! Es liegt an der unterschiedlichen Definition der Länge eines Tages. Für das BS ist ein Tag nach dem Ablauf von 24 Stunden beendet, unabhängig davon, wann die 24 Stunden begonnen haben, zu laufen: Eine Änderung heute um 12:45 Uhr verfällt nach einem Tag, also morgen um 12:44 Uhr.
Wie umgeht man dieses Problem?
Indem man die Benutzer darauf hinweist, das in x Tagen das Paßwort verfällt und sie sich darauf vorbereiten können. Entsprechende Meldungen lassen sich im User-Kontext erstellen.
Gruß J
chem
Moin.
Ihr scheint streng mit Kennwörtern umzugehen, Euch aber doch noch nicht eingehend damit befasst zu haben
Wenn Du 14 Tage als Höchstalter festlegst und Nutzer A ändert sein Kennwort am
12. Mai, 08:30,
dann läuft es genau 14 Tage später am
26. Mai, 08:30 ab.
Kommt der Nutzer aber am 26. Mai schon um 8 und meldet sich an, erhält er per Ballontippmeldung erstmal eine Meldung: "Ihr Kennwort läuft heute ab!". Wenn er die übersieht oder ignoriert, läuft das Kennwort ab und Netzwerkressourcen sind unter Umständen nicht mehr zu erreichen.
Sperrt er dann seine Workstation und meldet sich wieder an, meldet Windows, dass sein Kennwort abgelaufen ist und jetzt sofort geändert werden muss*. Ebenso kommt die Aufforderung sofort zu ändern, wenn er sich erst nach dem Ablaufdatum anmeldet.
Es sollte kein Problem entstehen. Was Du erlebst, ist also entweder nicht korrekt wiedergegeben, oder da ist etwas buggy. Da ich mich mit Kennwortpolicies usw. auskenne, kann ich Dir jedoch versichern, dass es genau so laufen müsste.
*genauer Ablauf eben im Test: Bildschirm gesperrt, dann im AD Nutzerkennwort ablaufen lassen, kurz gewartet (länger als ein Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos die alte Sitzung, welche getrennt worden war, fortgesetzt.
Ihr scheint streng mit Kennwörtern umzugehen, Euch aber doch noch nicht eingehend damit befasst zu haben
Wenn Du 14 Tage als Höchstalter festlegst und Nutzer A ändert sein Kennwort am
12. Mai, 08:30,
dann läuft es genau 14 Tage später am
26. Mai, 08:30 ab.
Kommt der Nutzer aber am 26. Mai schon um 8 und meldet sich an, erhält er per Ballontippmeldung erstmal eine Meldung: "Ihr Kennwort läuft heute ab!". Wenn er die übersieht oder ignoriert, läuft das Kennwort ab und Netzwerkressourcen sind unter Umständen nicht mehr zu erreichen.
Sperrt er dann seine Workstation und meldet sich wieder an, meldet Windows, dass sein Kennwort abgelaufen ist und jetzt sofort geändert werden muss*. Ebenso kommt die Aufforderung sofort zu ändern, wenn er sich erst nach dem Ablaufdatum anmeldet.
Es sollte kein Problem entstehen. Was Du erlebst, ist also entweder nicht korrekt wiedergegeben, oder da ist etwas buggy. Da ich mich mit Kennwortpolicies usw. auskenne, kann ich Dir jedoch versichern, dass es genau so laufen müsste.
*genauer Ablauf eben im Test: Bildschirm gesperrt, dann im AD Nutzerkennwort ablaufen lassen, kurz gewartet (länger als ein Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos die alte Sitzung, welche getrennt worden war, fortgesetzt.
Hallo,
danke für die schnellen Antworten.
Schade, hatte mir erhofft das vielleicht doch etwas falsch eingestellt ist oder so.
Die Erkennung, dass das Kennwort abgelaufen ist und ein neues erstellt werden muss wäre bei der Entsperrung des Computers echt super, naja.
Danke für die Tipps.. wahrscheinlich werden wir die Dauer dann doch ein wenig höher setzen und die Benutzer informieren ihr Kennwort frühzeitig zu ändern.
Freundliche Grüße
danke für die schnellen Antworten.
Schade, hatte mir erhofft das vielleicht doch etwas falsch eingestellt ist oder so.
Die Erkennung, dass das Kennwort abgelaufen ist und ein neues erstellt werden muss wäre bei der Entsperrung des Computers echt super, naja.
Danke für die Tipps.. wahrscheinlich werden wir die Dauer dann doch ein wenig höher setzen und die Benutzer informieren ihr Kennwort frühzeitig zu ändern.
Freundliche Grüße
Die Erkennung, dass das Kennwort abgelaufen ist und ein neues erstellt werden muss wäre bei der Entsperrung des Computers echt super, naja
Es funktioniert doch wie erwünscht. Dass es bei mir erst beim zweiten Mal (und bei Euch evtl. erst noch später) Entsperren geht, liegt vermutlich daran, dass Ihr Kennwortcaching zulasst [Default: 10Mal, bei uns (passend zum beobachteten Verhalten): 1x]. Schalte das mal aus und teste.Man braucht das Caching jedoch, um sich anmelden zu können, wenn kein DC erreichbar ist.
Dein genauer Test im vorherigen Kommentar trifft aber leider nicht bei uns ein!
Das entsperren mit dem alten Kennwort funktioniert nicht.. Ich konnte das schon bei mehreren Rechnern beobachten. Bei uns werden auch die letzten 10 Kennwörter "gespeichert".
Das entsperren mit dem alten Kennwort funktioniert nicht.. Ich konnte das schon bei mehreren Rechnern beobachten. Bei uns werden auch die letzten 10 Kennwörter "gespeichert".
Moin,
Ihr scheint auch restriktiv mit Urlaub und anderer Abwesenheit umzugehen - bei 30 Tagen Urlaub sind es mind. 6 Wochen - dh. eine Kenntwortdauer sollte schon bei mind. 60 Tagen liegen mit einem Reminder 15 Tage eher...
Gruß
24
Ihr scheint auch restriktiv mit Urlaub und anderer Abwesenheit umzugehen - bei 30 Tagen Urlaub sind es mind. 6 Wochen - dh. eine Kenntwortdauer sollte schon bei mind. 60 Tagen liegen mit einem Reminder 15 Tage eher...
Gruß
24
...6 Wochen am Stück Urlaub nehmen (und bekommen)? Respekt.
nicht ungewöhnlich ...
aber es gibt auch Bildungsurlaub, Weiterbildung, Erziehungsurlaub, längere Krankschreibung etc.
24
Guten Morgen,
auch wenn das Thema "solved" und etwas älter ist, blieb eine Frage ungeklärt:
da der TE oben erwähnt hat das sein Unternehmen Clients XP und Windows 7 einsetzt, wäre für mich jetzt noch interessant wie das Verhalten unter WindowsXP war / ist?
1. User logged sich in Windows XP ein (wir gehen jetzt mal von Professional aus)
2. User sperrt seinen Rechner
3. Useraccount Passwort läuft ab
4. User kehrt zum Arbeitsplatz zurück und entsperrt seinen Rechner
Was passiert nun?
Gruß
Martin
auch wenn das Thema "solved" und etwas älter ist, blieb eine Frage ungeklärt:
da der TE oben erwähnt hat das sein Unternehmen Clients XP und Windows 7 einsetzt, wäre für mich jetzt noch interessant wie das Verhalten unter WindowsXP war / ist?
1. User logged sich in Windows XP ein (wir gehen jetzt mal von Professional aus)
2. User sperrt seinen Rechner
3. Useraccount Passwort läuft ab
4. User kehrt zum Arbeitsplatz zurück und entsperrt seinen Rechner
Was passiert nun?
Gruß
Martin
Moin MSchauer!
Probier es bitte aus. Setze einfach das Kennwort auf "Nutzer muss das Kennwort bei der nächsten Anmeldung ändern", das kommt einem Ablauf gleich.
Probier es bitte aus. Setze einfach das Kennwort auf "Nutzer muss das Kennwort bei der nächsten Anmeldung ändern", das kommt einem Ablauf gleich.
Hallo MSchauer,
wenn ich mich genau erinnere, hatte es bei XP funktioniert.
Also:
5.Windows erkennt, dass das Passwort abgelaufen ist und fordert auf ein neues einzugeben.
Bei Windows 7 gab es diesen Schritt meines Wissens nach nicht.
(Korrigiert mich wenn ich falsch liege)
---
Wir haben übrigens die Dauer ein wenig erhöht und die Mitarbeiter darauf hingewiesen, das Kennwort rechtzeitig zu ändern. Das Problem blieb also weitgehend aus.
Freundliche Grüße
bgro
wenn ich mich genau erinnere, hatte es bei XP funktioniert.
Also:
5.Windows erkennt, dass das Passwort abgelaufen ist und fordert auf ein neues einzugeben.
Bei Windows 7 gab es diesen Schritt meines Wissens nach nicht.
(Korrigiert mich wenn ich falsch liege)
---
Wir haben übrigens die Dauer ein wenig erhöht und die Mitarbeiter darauf hingewiesen, das Kennwort rechtzeitig zu ändern. Das Problem blieb also weitgehend aus.
Freundliche Grüße
bgro
Das ist bei win7 genau so.
Guten Morgen zusammen,
und genau da hak ich nun ein. Wenn ich das richtig verstehe war XP in der Lage zu sagen: "Hey User, Dein Passwort ist abgelaufen, bitte ändere dies."
Ab WinVista erscheint nun aber die Meldung das man doch bitte einen anderen User nehmen soll. Das es dann funktioniert wenn man denselben User nimmt steht ausser Frage, aber ist für den Endanwender nicht leicht missverständlich?
Viele Grüße
*genauer Ablauf eben im Test: Bildschirm gesperrt, dann im AD Nutzerkennwort ablaufen lassen, kurz gewartet (länger als ein
Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das
Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den
SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos
die alte Sitzung, welche getrennt worden war, fortgesetzt.
Replikationszyklus von 15 s), entsperrt mit altem Kennwort - geht. Erneut gesperrt, wieder angemeldet: Win Vista meldet, dass das
Kennwort abgelaufen ist und man einen anderen Nutzer zur Anmeldung nehmen möge - gesagt getan, Anmeldung abgebrochen, den
SELBEN Nutzer erneut angemeldet und nun die Aufforderung bekommen, das Kennwort sofort zu ändern ->gemacht und problemlos
die alte Sitzung, welche getrennt worden war, fortgesetzt.
und genau da hak ich nun ein. Wenn ich das richtig verstehe war XP in der Lage zu sagen: "Hey User, Dein Passwort ist abgelaufen, bitte ändere dies."
Ab WinVista erscheint nun aber die Meldung das man doch bitte einen anderen User nehmen soll. Das es dann funktioniert wenn man denselben User nimmt steht ausser Frage, aber ist für den Endanwender nicht leicht missverständlich?
Viele Grüße
Bitte beim nächsten Mal früher antworten, damit sich Helfende nicht nach 3 Wochen wieder reindenken müssen.
Du stellst eine rhetorische Frage. Aber das ist nicht zu ändern, u wirst damit leben müssen.
Du stellst eine rhetorische Frage. Aber das ist nicht zu ändern, u wirst damit leben müssen.
Guten Morgen allerseits,
vielen Dank an alle für die freundlichen Antworten. Meine Frage hat sich damit nun geklärt.
OT:
@DerWoWusste
über eine Namensänderung nachgedacht? "DerWoEsBesserWusste" ?
Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.
Hochachtungsvoll
MSchauer
vielen Dank an alle für die freundlichen Antworten. Meine Frage hat sich damit nun geklärt.
OT:
@DerWoWusste
über eine Namensänderung nachgedacht? "DerWoEsBesserWusste" ?
Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.
Hochachtungsvoll
MSchauer
Zitat von @MSchauer:
Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu
antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die
noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es
nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.
Hochachtungsvoll
MSchauer
Sie sind nicht der alleinige Herrscher über Adminstrator.de, geschweige denn in der Lage mir vorzuschreiben wann ich zu
antworten habe. Sie mögen vielleicht sekündlich auf die F5 Taste drücken, es soll aber auch Menschen geben, die
noch anderen Tätigkeiten nachgehen müssen. Die Antwortzeit meinerseits sollten Sie schon mir überlassen und wenn es
nicht mit Ihrem Gemüt es übereinstimmt, steht es Ihnen frei Ihre Meinung für sich zu behalten.
Hochachtungsvoll
MSchauer
Moin,
der Sinn dieses Forums ist es, jemanden zu helfen, da Probleme meist akut auftreten, wird der Threadopener meist über eine schnelle Beantwortung erfreut sein. Da es bei Ihnen wahrscheinlich nicht so ist, möchte ich Sie bitten, entsprechende Threads von Ihnen zu kennzeichnen, wir werden uns dann die Zeit nehmen, so im Monatstakt einen hilfreichen Gedanken auf dem Dienstweg zu äußern.
Vielen Dank!
24
/edit: Ich hab mir Ihre Antwort für den 08.03.2013 gegen 9 Uhr vorgemerkt.
Du weißt es besser, nicht ich. Ich stelle für mich als Helfenden fest, dass es unangenehm ist, sich nach 3 Wochen wieder reinzudenken, mehr nicht. Nimm den Hinweis an, oder werde unhöflich, wie Du magst.
Sorry für den späten Kommentar.
Bei uns funktioniert diese o.a. Automatik nicht.
Unser Kennwort läuft nach 90 Tagen ab, die User werden 10 Tage vorher informiert, lt. Policy ist nur EINE Password-Änderung/Tag zugelassen.
Ich hatte hier gerade den dritten User, bei dem die Anmeldung am gesperrten System nach Ablauf des Kennwortes nicht funktioniert.
Hast du Tipps zum Einstellen der Policy?
Danke schon mal..
Bei uns funktioniert diese o.a. Automatik nicht.
Unser Kennwort läuft nach 90 Tagen ab, die User werden 10 Tage vorher informiert, lt. Policy ist nur EINE Password-Änderung/Tag zugelassen.
Ich hatte hier gerade den dritten User, bei dem die Anmeldung am gesperrten System nach Ablauf des Kennwortes nicht funktioniert.
Hast du Tipps zum Einstellen der Policy?
Danke schon mal..
