3
Kennwortrichtlinien anpassen
Guten Morgen zusammen,
ich hätte ein paar Fragen zu Kennwortrichtlinien:
1. Wenn ich aktuell in meiner GPO als Kennwortrichtlinie 10 Zeichen mit einer unendlichen Lebensdauer vergeben habe und diese auf 14 Zeichen mit jährlichem Änderungsintervall abändere, haben dann alle die ein Kennwort kleiner 14 Zeichen haben bzw. deren Kennwort bereits älter als ein Jahr alt ist, direkt keinen Zugriff mehr auf die GPO oder werden diese bei der nächsten Anmeldung zu einem Kennwortwechsel aufgefordert?
2. Werden Kennwortrichtlinien immer noch Standardmäßig in der "Default Domain Policy" vergeben? Ist das immer noch empfohlen? Wie verhält sich die Einstellung "Kennwort läuft nie ab" bei Benutzern? Wenn ich in der Default Domain Policy das Änderungsintervall auf Jährlich setze? Laufen dann die Kennwörter trotzdem ab?
3. Vielleicht eine doofe frage, aber ich stelle Sie trotzdem: Warum werden Kennwortrichtlinien in der GPO unter "Computerkonfiguration" vergeben und nicht unter Benutzer?
Grüße
ich hätte ein paar Fragen zu Kennwortrichtlinien:
1. Wenn ich aktuell in meiner GPO als Kennwortrichtlinie 10 Zeichen mit einer unendlichen Lebensdauer vergeben habe und diese auf 14 Zeichen mit jährlichem Änderungsintervall abändere, haben dann alle die ein Kennwort kleiner 14 Zeichen haben bzw. deren Kennwort bereits älter als ein Jahr alt ist, direkt keinen Zugriff mehr auf die GPO oder werden diese bei der nächsten Anmeldung zu einem Kennwortwechsel aufgefordert?
2. Werden Kennwortrichtlinien immer noch Standardmäßig in der "Default Domain Policy" vergeben? Ist das immer noch empfohlen? Wie verhält sich die Einstellung "Kennwort läuft nie ab" bei Benutzern? Wenn ich in der Default Domain Policy das Änderungsintervall auf Jährlich setze? Laufen dann die Kennwörter trotzdem ab?
3. Vielleicht eine doofe frage, aber ich stelle Sie trotzdem: Warum werden Kennwortrichtlinien in der GPO unter "Computerkonfiguration" vergeben und nicht unter Benutzer?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6270500319
Url: https://administrator.de/contentid/6270500319
Printed on: April 27, 2024 at 20:04 o'clock
3 Comments
Latest comment
Moin.
1 die neue Mindestlänge beeinflusst bereits vergebene Kennwörter nicht
wenn älter als 1 Jahr und nun gilt "nach einem Jahr ändern", dann wird sofort zum Ändern aufgefordert, ja!
2 Empfohlen sind die klassischen PW-Richtlinien nicht mehr, denn sie sind unflexibel (eine Richtlinie für alle, OHNE Ausnahmen). Nimm PSO (auch bekannt als fine-grained password policy), siehe https://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
"Kennwort läuft nie ab" überstimmt immer alles, es gilt!
3 Die Frage stellt sich bei PSOs nicht mehr. Nimm unbedingt PSOs
(4) Warum noch Kennwörter und nicht SmartCards, virtuelle SmartCards oder Biometrie? Das hätte viele Vorteile.
1 die neue Mindestlänge beeinflusst bereits vergebene Kennwörter nicht
wenn älter als 1 Jahr und nun gilt "nach einem Jahr ändern", dann wird sofort zum Ändern aufgefordert, ja!
2 Empfohlen sind die klassischen PW-Richtlinien nicht mehr, denn sie sind unflexibel (eine Richtlinie für alle, OHNE Ausnahmen). Nimm PSO (auch bekannt als fine-grained password policy), siehe https://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
"Kennwort läuft nie ab" überstimmt immer alles, es gilt!
3 Die Frage stellt sich bei PSOs nicht mehr. Nimm unbedingt PSOs
(4) Warum noch Kennwörter und nicht SmartCards, virtuelle SmartCards oder Biometrie? Das hätte viele Vorteile.
2
Danke für die ausführliche Antwort!
Wie ist dass denn wenn in "Default Domain Policy" vorgaben getroffen wurden und ich nun zusätzlich PSO anwende? Werden dann die in der PSO definierten Gruppen nach der PSO behandelt und alles auf das keine PSO zutrifft wird nach der GPO behandelt? wird die PSO nach der GPO geschrieben?
Wie ist dass denn wenn in "Default Domain Policy" vorgaben getroffen wurden und ich nun zusätzlich PSO anwende? Werden dann die in der PSO definierten Gruppen nach der PSO behandelt und alles auf das keine PSO zutrifft wird nach der GPO behandelt? wird die PSO nach der GPO geschrieben?
PSO überstimmt GPO.
Am besten PSOs einführen und danach GPO abrüsten.
Achtung: die GPO wirkt auch auf lokale Konten der Clients, die PSO nicht!
Deshalb betreiben viele beides parallel, um zu verhindern, dass lokale Admins auf den Clients beispielsweise lokale Testkonten ohne Kennwort einrichten - dies könnte die PSO nicht verhindern! (Aber Nutzer anlegen können eh nur lokale Admins).
Am besten PSOs einführen und danach GPO abrüsten.
Achtung: die GPO wirkt auch auf lokale Konten der Clients, die PSO nicht!
Deshalb betreiben viele beides parallel, um zu verhindern, dass lokale Admins auf den Clients beispielsweise lokale Testkonten ohne Kennwort einrichten - dies könnte die PSO nicht verhindern! (Aber Nutzer anlegen können eh nur lokale Admins).
1