vanni28
Goto Top

Kennwortrichtlinien Windows 2012 R2

Hallo zusammen,
wir haben noch die klassische Kennwort Richtlinie in der ein User alle paar Wochen das Kennwort ändern muss.
Vom BSI würde dieses Jahr die Empfehlung abgeändert von Passwort regelmäßig wechseln in Komplexer dafür nur noch zu ändern bei Verdacht auf unerlaubten Zugriff.

Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?


MFG

Content-ID: 612321

Url: https://administrator.de/contentid/612321

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

emeriks
emeriks 12.10.2020 aktualisiert um 14:59:11 Uhr
Goto Top
Hi,
Zitat von @Vanni28:
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Wenn Du das Passwortablaufen abschaltest ohne eine einmalige Kennwortänderung zu erzwingen, dann wir die neue minimale Länge auch nicht erzwungen. Dann erst bei nächster "freiwilliger" Kennwortänderung.

Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
  1. nur die min. Länge ändern
  2. die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
  3. den Passwortablauf abschalten
  4. alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen

Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
Ja.

E.
Vanni28
Vanni28 14.10.2020 um 12:44:01 Uhr
Goto Top
Hallo Emeriks,
danke für deine schnelle Antwort

# alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen
Benutzt du für die Abfrage der Konten welche ihr Password noch nicht geändert haben ein Tool oder einen Powershell Befehl und wenn ja welches Tool ?


Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
Ja.
Ich habe einen Testaccount in einer eigenen OU eine eigene Passwortrichtlinie mit den gewünschten änderungen zugewisen. Leider wird die Passwort richtlinie immer von der Basisrichtlinie überschreiben. Wie würdest du das testen?
emeriks
emeriks 14.10.2020 aktualisiert um 13:02:08 Uhr
Goto Top
Zitat von @Vanni28:

Ich habe einen Testaccount in einer eigenen OU eine eigene Passwortrichtlinie mit den gewünschten änderungen zugewisen. Leider wird die Passwort richtlinie immer von der Basisrichtlinie überschreiben.
Ja, ist logisch. Passwortrichtlinien per GPO kann man ausschließlich an der Domäne festnageln. Und nur genau eine.
Wenn Du das per User oder Gruppe einstellen willst, dann musst Du das über PSO's machen.

Benutzt du für die Abfrage der Konten welche ihr Password noch nicht geändert haben ein Tool oder einen Powershell Befehl und wenn ja welches Tool ?
PowerShell
Get-ADUser -Filter * -Properties PasswordLastSet | select sAMAccountName, passwordLastSet