bender999
Goto Top

Kennwortrichtlinien anpassen

Guten Morgen zusammen,
ich hätte ein paar Fragen zu Kennwortrichtlinien:

1. Wenn ich aktuell in meiner GPO als Kennwortrichtlinie 10 Zeichen mit einer unendlichen Lebensdauer vergeben habe und diese auf 14 Zeichen mit jährlichem Änderungsintervall abändere, haben dann alle die ein Kennwort kleiner 14 Zeichen haben bzw. deren Kennwort bereits älter als ein Jahr alt ist, direkt keinen Zugriff mehr auf die GPO oder werden diese bei der nächsten Anmeldung zu einem Kennwortwechsel aufgefordert?

2. Werden Kennwortrichtlinien immer noch Standardmäßig in der "Default Domain Policy" vergeben? Ist das immer noch empfohlen? Wie verhält sich die Einstellung "Kennwort läuft nie ab" bei Benutzern? Wenn ich in der Default Domain Policy das Änderungsintervall auf Jährlich setze? Laufen dann die Kennwörter trotzdem ab?

3. Vielleicht eine doofe frage, aber ich stelle Sie trotzdem: Warum werden Kennwortrichtlinien in der GPO unter "Computerkonfiguration" vergeben und nicht unter Benutzer?

Grüße

Content-ID: 6270500319

Url: https://administrator.de/forum/kennwortrichtlinien-anpassen-6270500319.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

DerWoWusste
Lösung DerWoWusste 08.03.2023 um 10:12:42 Uhr
Goto Top
Moin.

1 die neue Mindestlänge beeinflusst bereits vergebene Kennwörter nicht
wenn älter als 1 Jahr und nun gilt "nach einem Jahr ändern", dann wird sofort zum Ändern aufgefordert, ja!

2 Empfohlen sind die klassischen PW-Richtlinien nicht mehr, denn sie sind unflexibel (eine Richtlinie für alle, OHNE Ausnahmen). Nimm PSO (auch bekannt als fine-grained password policy), siehe https://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
"Kennwort läuft nie ab" überstimmt immer alles, es gilt!

3 Die Frage stellt sich bei PSOs nicht mehr. Nimm unbedingt PSOs

(4) Warum noch Kennwörter und nicht SmartCards, virtuelle SmartCards oder Biometrie? Das hätte viele Vorteile.
Bender999
Bender999 08.03.2023 um 10:57:11 Uhr
Goto Top
Danke für die ausführliche Antwort!
Wie ist dass denn wenn in "Default Domain Policy" vorgaben getroffen wurden und ich nun zusätzlich PSO anwende? Werden dann die in der PSO definierten Gruppen nach der PSO behandelt und alles auf das keine PSO zutrifft wird nach der GPO behandelt? wird die PSO nach der GPO geschrieben?
DerWoWusste
DerWoWusste 08.03.2023 um 11:08:58 Uhr
Goto Top
PSO überstimmt GPO.
Am besten PSOs einführen und danach GPO abrüsten.
Achtung: die GPO wirkt auch auf lokale Konten der Clients, die PSO nicht!
Deshalb betreiben viele beides parallel, um zu verhindern, dass lokale Admins auf den Clients beispielsweise lokale Testkonten ohne Kennwort einrichten - dies könnte die PSO nicht verhindern! (Aber Nutzer anlegen können eh nur lokale Admins).