Kennwortrichtlinien anpassen
Guten Morgen zusammen,
ich hätte ein paar Fragen zu Kennwortrichtlinien:
1. Wenn ich aktuell in meiner GPO als Kennwortrichtlinie 10 Zeichen mit einer unendlichen Lebensdauer vergeben habe und diese auf 14 Zeichen mit jährlichem Änderungsintervall abändere, haben dann alle die ein Kennwort kleiner 14 Zeichen haben bzw. deren Kennwort bereits älter als ein Jahr alt ist, direkt keinen Zugriff mehr auf die GPO oder werden diese bei der nächsten Anmeldung zu einem Kennwortwechsel aufgefordert?
2. Werden Kennwortrichtlinien immer noch Standardmäßig in der "Default Domain Policy" vergeben? Ist das immer noch empfohlen? Wie verhält sich die Einstellung "Kennwort läuft nie ab" bei Benutzern? Wenn ich in der Default Domain Policy das Änderungsintervall auf Jährlich setze? Laufen dann die Kennwörter trotzdem ab?
3. Vielleicht eine doofe frage, aber ich stelle Sie trotzdem: Warum werden Kennwortrichtlinien in der GPO unter "Computerkonfiguration" vergeben und nicht unter Benutzer?
Grüße
ich hätte ein paar Fragen zu Kennwortrichtlinien:
1. Wenn ich aktuell in meiner GPO als Kennwortrichtlinie 10 Zeichen mit einer unendlichen Lebensdauer vergeben habe und diese auf 14 Zeichen mit jährlichem Änderungsintervall abändere, haben dann alle die ein Kennwort kleiner 14 Zeichen haben bzw. deren Kennwort bereits älter als ein Jahr alt ist, direkt keinen Zugriff mehr auf die GPO oder werden diese bei der nächsten Anmeldung zu einem Kennwortwechsel aufgefordert?
2. Werden Kennwortrichtlinien immer noch Standardmäßig in der "Default Domain Policy" vergeben? Ist das immer noch empfohlen? Wie verhält sich die Einstellung "Kennwort läuft nie ab" bei Benutzern? Wenn ich in der Default Domain Policy das Änderungsintervall auf Jährlich setze? Laufen dann die Kennwörter trotzdem ab?
3. Vielleicht eine doofe frage, aber ich stelle Sie trotzdem: Warum werden Kennwortrichtlinien in der GPO unter "Computerkonfiguration" vergeben und nicht unter Benutzer?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6270500319
Url: https://administrator.de/forum/kennwortrichtlinien-anpassen-6270500319.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
3 Kommentare
Neuester Kommentar
Moin.
1 die neue Mindestlänge beeinflusst bereits vergebene Kennwörter nicht
wenn älter als 1 Jahr und nun gilt "nach einem Jahr ändern", dann wird sofort zum Ändern aufgefordert, ja!
2 Empfohlen sind die klassischen PW-Richtlinien nicht mehr, denn sie sind unflexibel (eine Richtlinie für alle, OHNE Ausnahmen). Nimm PSO (auch bekannt als fine-grained password policy), siehe https://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
"Kennwort läuft nie ab" überstimmt immer alles, es gilt!
3 Die Frage stellt sich bei PSOs nicht mehr. Nimm unbedingt PSOs
(4) Warum noch Kennwörter und nicht SmartCards, virtuelle SmartCards oder Biometrie? Das hätte viele Vorteile.
1 die neue Mindestlänge beeinflusst bereits vergebene Kennwörter nicht
wenn älter als 1 Jahr und nun gilt "nach einem Jahr ändern", dann wird sofort zum Ändern aufgefordert, ja!
2 Empfohlen sind die klassischen PW-Richtlinien nicht mehr, denn sie sind unflexibel (eine Richtlinie für alle, OHNE Ausnahmen). Nimm PSO (auch bekannt als fine-grained password policy), siehe https://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
"Kennwort läuft nie ab" überstimmt immer alles, es gilt!
3 Die Frage stellt sich bei PSOs nicht mehr. Nimm unbedingt PSOs
(4) Warum noch Kennwörter und nicht SmartCards, virtuelle SmartCards oder Biometrie? Das hätte viele Vorteile.
PSO überstimmt GPO.
Am besten PSOs einführen und danach GPO abrüsten.
Achtung: die GPO wirkt auch auf lokale Konten der Clients, die PSO nicht!
Deshalb betreiben viele beides parallel, um zu verhindern, dass lokale Admins auf den Clients beispielsweise lokale Testkonten ohne Kennwort einrichten - dies könnte die PSO nicht verhindern! (Aber Nutzer anlegen können eh nur lokale Admins).
Am besten PSOs einführen und danach GPO abrüsten.
Achtung: die GPO wirkt auch auf lokale Konten der Clients, die PSO nicht!
Deshalb betreiben viele beides parallel, um zu verhindern, dass lokale Admins auf den Clients beispielsweise lokale Testkonten ohne Kennwort einrichten - dies könnte die PSO nicht verhindern! (Aber Nutzer anlegen können eh nur lokale Admins).