3
Kennwortrichtlinien Windows 2012 R2
Hallo zusammen,
wir haben noch die klassische Kennwort Richtlinie in der ein User alle paar Wochen das Kennwort ändern muss.
Vom BSI würde dieses Jahr die Empfehlung abgeändert von Passwort regelmäßig wechseln in Komplexer dafür nur noch zu ändern bei Verdacht auf unerlaubten Zugriff.
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
MFG
wir haben noch die klassische Kennwort Richtlinie in der ein User alle paar Wochen das Kennwort ändern muss.
Vom BSI würde dieses Jahr die Empfehlung abgeändert von Passwort regelmäßig wechseln in Komplexer dafür nur noch zu ändern bei Verdacht auf unerlaubten Zugriff.
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
MFG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 612321
Url: https://administrator.de/contentid/612321
Printed on: April 27, 2024 at 21:04 o'clock
3 Comments
Latest comment
Hi,
Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
E.
Zitat von @Vanni28:
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Wenn Du das Passwortablaufen abschaltest ohne eine einmalige Kennwortänderung zu erzwingen, dann wir die neue minimale Länge auch nicht erzwungen. Dann erst bei nächster "freiwilliger" Kennwortänderung.Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
- nur die min. Länge ändern
- die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
- den Passwortablauf abschalten
- alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
Ja.E.
Hallo Emeriks,
danke für deine schnelle Antwort
Ich habe einen Testaccount in einer eigenen OU eine eigene Passwortrichtlinie mit den gewünschten änderungen zugewisen. Leider wird die Passwort richtlinie immer von der Basisrichtlinie überschreiben. Wie würdest du das testen?
danke für deine schnelle Antwort
# alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen
Benutzt du für die Abfrage der Konten welche ihr Password noch nicht geändert haben ein Tool oder einen Powershell Befehl und wenn ja welches Tool ?Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
Ja.Ich habe einen Testaccount in einer eigenen OU eine eigene Passwortrichtlinie mit den gewünschten änderungen zugewisen. Leider wird die Passwort richtlinie immer von der Basisrichtlinie überschreiben.
Ja, ist logisch. Passwortrichtlinien per GPO kann man ausschließlich an der Domäne festnageln. Und nur genau eine.Wenn Du das per User oder Gruppe einstellen willst, dann musst Du das über PSO's machen.
Benutzt du für die Abfrage der Konten welche ihr Password noch nicht geändert haben ein Tool oder einen Powershell Befehl und wenn ja welches Tool ?
PowerShellGet-ADUser -Filter * -Properties PasswordLastSet | select sAMAccountName, passwordLastSet