Kennwortrichtlinien Windows 2012 R2
Hallo zusammen,
wir haben noch die klassische Kennwort Richtlinie in der ein User alle paar Wochen das Kennwort ändern muss.
Vom BSI würde dieses Jahr die Empfehlung abgeändert von Passwort regelmäßig wechseln in Komplexer dafür nur noch zu ändern bei Verdacht auf unerlaubten Zugriff.
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
MFG
wir haben noch die klassische Kennwort Richtlinie in der ein User alle paar Wochen das Kennwort ändern muss.
Vom BSI würde dieses Jahr die Empfehlung abgeändert von Passwort regelmäßig wechseln in Komplexer dafür nur noch zu ändern bei Verdacht auf unerlaubten Zugriff.
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
MFG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 612321
Url: https://administrator.de/contentid/612321
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
E.
Zitat von @Vanni28:
Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Wenn Du das Passwortablaufen abschaltest ohne eine einmalige Kennwortänderung zu erzwingen, dann wir die neue minimale Länge auch nicht erzwungen. Dann erst bei nächster "freiwilliger" Kennwortänderung.Hat hier schon jemand Erfahrung, was passiert, wenn man die minimale Kennwortlänge erhöht, dafür das Kennwort alter auf 0 setzt?
Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
- nur die min. Länge ändern
- die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
- den Passwortablauf abschalten
- alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen
Gibt es eine Möglichkeit dies an einem Testaccount zu testen?
Ja.E.
Ich habe einen Testaccount in einer eigenen OU eine eigene Passwortrichtlinie mit den gewünschten änderungen zugewisen. Leider wird die Passwort richtlinie immer von der Basisrichtlinie überschreiben.
Ja, ist logisch. Passwortrichtlinien per GPO kann man ausschließlich an der Domäne festnageln. Und nur genau eine.Wenn Du das per User oder Gruppe einstellen willst, dann musst Du das über PSO's machen.
Benutzt du für die Abfrage der Konten welche ihr Password noch nicht geändert haben ein Tool oder einen Powershell Befehl und wenn ja welches Tool ?
PowerShellGet-ADUser -Filter * -Properties PasswordLastSet | select sAMAccountName, passwordLastSet