4
Kennwortrichtlinien in der Default Domain Pol
Hallo zusammen,
ich habe hier eine Organisation, die hat de facto keine Passwort Richtlinie. Also Kennwörter laufen grundsätzlich nie ab und können auch nur 2 Zeichen lang sein. Entsprechend alt sind die Kennwörter. Größtenteils älter als 3 Jahre.
Nun würde ich gerne bessere Richtlinien einführen, kenne aber keine Organisation, die das bisher so handhabt wie hier. Daher meine Frage: Wenn ich das jetzt scharf schalte laufen dann doch mit einem Mal alle Kennwörter ab - korrekt?
Wie könnte ich es machen, daß das Passwortalter alternativ ab erstmaligem Einschalten der Richtlinie von neu anfängt zu zählen; also die User ab dann 30 oder 90 Tage Zeit haben, je nachdem, was ich konfiguriere. Die sind das ja nicht gewohnt
Grüße und im Voraus schonmal danke
Thomas
ich habe hier eine Organisation, die hat de facto keine Passwort Richtlinie. Also Kennwörter laufen grundsätzlich nie ab und können auch nur 2 Zeichen lang sein. Entsprechend alt sind die Kennwörter. Größtenteils älter als 3 Jahre.
Nun würde ich gerne bessere Richtlinien einführen, kenne aber keine Organisation, die das bisher so handhabt wie hier. Daher meine Frage: Wenn ich das jetzt scharf schalte laufen dann doch mit einem Mal alle Kennwörter ab - korrekt?
Wie könnte ich es machen, daß das Passwortalter alternativ ab erstmaligem Einschalten der Richtlinie von neu anfängt zu zählen; also die User ab dann 30 oder 90 Tage Zeit haben, je nachdem, was ich konfiguriere. Die sind das ja nicht gewohnt
Grüße und im Voraus schonmal danke
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393950
Url: https://administrator.de/contentid/393950
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Moin,
Domäne oder nicht?
Nö, Du musst die User aktiv zur Passwortänderung auffordern. Achtung, harte Nüsse: Manche sind noch so schlau und speichern ihre Passwörter lokal. Da nützt dann die Aufforderung zur Passwortänderung nix, da die sich ja nicht neu anmelden müssen.
Und andere sind das Lesen nicht gewohnt.
https://www.tecchannel.de/a/active-directory-verwaltete-dienstkonten-in- ...
https://docs.microsoft.com/de-de/windows/security/threat-protection/secu ...
Gruß
Domäne oder nicht?
Nun würde ich gerne bessere Richtlinien einführen, kenne aber keine Organisation, die das bisher so handhabt wie hier. Daher meine Frage: Wenn >> ich das jetzt scharf schalte laufen dann doch mit einem Mal alle Kennwörter ab - korrekt?
Wie könnte ich es machen, daß das Passwortalter alternativ ab erstmaligem Einschalten der Richtlinie von neu anfängt zu zählen; also die User ab >> dann 30 oder 90 Tage Zeit haben, je nachdem, was ich konfiguriere. Die sind das ja nicht gewohnt
https://www.tecchannel.de/a/active-directory-verwaltete-dienstkonten-in- ...
https://docs.microsoft.com/de-de/windows/security/threat-protection/secu ...
Gruß
Guten Morgen 
Ohne mich wirklich damit jemals beschäfigt zu haben - ist das nicht ziemlich egal??
Wenn Du an der Kennwortrichtlinie eine solche Anpassung vornimmst, dann kannst Du es ohnehin nicht "mal eben so nebenbei" machen. Bedeutet: Das muss mit der Geschäftsführung geklärt sein und insbesondere müssen die Benutzer vorab schon mal über die Änderung am System eine konstruktive Information bekommen. Sie sollten also genau unterrichtet sein, wie Kennwörter im Unternehmen zukünftig auszusehen haben. Sonst wirst Du ohnehin derbe einen "auf den Sack" bekommen.
Gruß
Hubert
Wenn ich das jetzt scharf schalte laufen dann doch mit einem Mal alle Kennwörter ab - korrekt?
Ohne mich wirklich damit jemals beschäfigt zu haben - ist das nicht ziemlich egal??
Wenn Du an der Kennwortrichtlinie eine solche Anpassung vornimmst, dann kannst Du es ohnehin nicht "mal eben so nebenbei" machen. Bedeutet: Das muss mit der Geschäftsführung geklärt sein und insbesondere müssen die Benutzer vorab schon mal über die Änderung am System eine konstruktive Information bekommen. Sie sollten also genau unterrichtet sein, wie Kennwörter im Unternehmen zukünftig auszusehen haben. Sonst wirst Du ohnehin derbe einen "auf den Sack" bekommen.
Gruß
Hubert
Hallo Hubert,
es ist insofern nicht egal, als daß wir bei sowas ja meistens 2 Ebenen haben. Die technische und die organisatorische. Letztere ist ja auch von ersterer Abhängig. Also bevor ich zur GL marschiere und wir organisatorische Maßnahmen beschließen, muß ich genau die technischen Auswirkungen wissen.
Im aktuellen Fall ist es jedoch insofern nicht dramatisch, da bei jedem User (hier) per Default im Benutzerobjekt "Kennwort läuft nie ab" gesetzt ist. Das topt erstmal die Einstellung in der GPO. Ich kann sie also setzen und "vorschlagen", daß wir das Büroweise, Standortabhängig, Abteilungsabhängig, wie auch immer dann einschalten.
Ja, die Benutzer sollten natürlich informiert sein, was passiert - ist aber auch der eher organisatorische Teil.
Grüße, Thomas
es ist insofern nicht egal, als daß wir bei sowas ja meistens 2 Ebenen haben. Die technische und die organisatorische. Letztere ist ja auch von ersterer Abhängig. Also bevor ich zur GL marschiere und wir organisatorische Maßnahmen beschließen, muß ich genau die technischen Auswirkungen wissen.
Im aktuellen Fall ist es jedoch insofern nicht dramatisch, da bei jedem User (hier) per Default im Benutzerobjekt "Kennwort läuft nie ab" gesetzt ist. Das topt erstmal die Einstellung in der GPO. Ich kann sie also setzen und "vorschlagen", daß wir das Büroweise, Standortabhängig, Abteilungsabhängig, wie auch immer dann einschalten.
Ja, die Benutzer sollten natürlich informiert sein, was passiert - ist aber auch der eher organisatorische Teil.
Grüße, Thomas
ja Coreknabe interessant, daß Du den Dunning Kruger-Effekt erwähnst. Dabei ist es ja ein bekanntes Phänomen, dass Leute, die anderen etwas vorwerfen und an ihnen diagnostizieren, häufig selbst diese Eigenschaft aufweisen.
Thomas
Thomas
