lennartv
Goto Top

massenweise passwortänderung einmal jährlich

Hi zusammen,
ich stehe im moment vor einem mehr oder weniger großen problem...... mein vorstandsvorsitzender möchte das alle user im AD sobald er bescheid gibt ihre passwörter ändern müssen, an sich kein problem aber bei den nasen die hier arbeiten, sind damit unsere gesammelten kapazitäten darauf angesetzt denen zu erklären warum und wieso und überhaupt etc.pp.......
also wollen wir das folgendermaßen handhaben:
sobald der bescheid kommt sollen die user eine meldung bekommen "das passwort läuft in 3 tagen ab, bitte ändern" o.ä.
dann soll nach 3 tagen (möglichst automatisch) das passwort für sämtliche user mit ausnahme der administratoren und "leeren user" (platzhalter für öffentliche emailkonten etc.) das passwort auf change at next login gesetzt werden
von dem zeitpunkt an wo das passwort geändert wurde soll das ganze einmal jährlich stattfinden, am liebsten automatisch.

das problem was sich mir nun stellt, mit meiner 1/2jahre alten erfahrung als systemintegrator komm ich nicht allzuweit bei dem policiegedönse und meine kollegen haben die hände voll mit den alltagskatastrophen und domänenumstellungen bei tochterfirmen

freue mich auf antworten
Gruß Lennart

Content-ID: 64571

Url: https://administrator.de/forum/massenweise-passwortaenderung-einmal-jaehrlich-64571.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

coxsrcrub
coxsrcrub 24.07.2007 um 15:22:25 Uhr
Goto Top
was soll denn das Passwort wechsel auf Kommando? Mach das mal lieber automatisch.

Schau mal im AD die Default Domain Policy an und nur die!

Dort findest du unter Computerkonfiguration - Sicherheitseinstellungen - Kennwortrichtlinien alles was für einen automatischen Kennwortwechsel in zyklen Erforderlich ist.

Kennwortalter; länge ; komplexitätsvoraussetzungen, Kennwortchronik etc.

Gruß

Jörg
manuel-r
manuel-r 24.07.2007 um 15:24:48 Uhr
Goto Top
Ich kann euren Vorstand ansatzweise verstehen. Ich persönlich finde aber, dass eine Änderung des PW pro Jahr zu wenig ist. Überleg' mal, wie lange jemand Unfug treiben kann, wenn er im Besitz eines ihm nicht zustehenden Passwortes ist.
Warum geht ihr daher nicht einfach hin und gebt per Richtlinie vor, dass das Windows-Kennwort alle X Tage geändert werden muss? Die Vorwarnung erledigt das Betriebssystem dann X-14 Tage ganz von alleine. Wenn ihr dann nebenbei noch die Passworthistorie auf einen entsprechend hohen Wert einstellt sieht's schon ganz gut aus.
Eins muss die aber klar sein: Mit der regelmäßigen Änderung der PW machst du dich etwas unbeliebt bei den Usern. Die Dauer dieser Phase ist umgekehrt proportional zum Änderungsintervall face-wink Nachdem meine User sich etwas abgeregt hatten bin ich ihnen dann entgegen gekommen und habe die komplexen Passwörter deaktiviert - damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich und zufrieden miteinander face-smile

Manuel
Metzger-MCP
Metzger-MCP 24.07.2007 um 15:26:28 Uhr
Goto Top
hm wenn ich mich richtig erinnere, solltest du da

a Nachschaun welche Dauer in der Domain GPL eingetragen ist. Standartwert is 42 Tage und ggf ändern. Dazu kann man auch den Net Accounts Befehl verwenden.

b Alle User Accounts dann umstellen das ihr Passwort abläuft ( Hacken bei Kennwort läuft nie ab rausnehmen. Sofer es sehr schnell gehen muß Hacken bei Benutzer muß Kennwort .... rein.

Dafür gab es auch eine CMD Anweisung die man in einer Batch laufen lassen kann.
Habe gerade nicht den Befehl und die Parameter griffbereit und ergänze es daher später.
War mit "net user"


ABER VORSICHT ! MIT BATCHDATEIN IN VERBINDUNG MIT ACCOUNTS IST SCHNELL DEIN LEBENSBERECHTIGUNGSSCHEIN IN DER FIRMA ABGELAUFEN, WENN DU DA KÄSE BAUST.

MFG Metzger
Metzger-MCP
Metzger-MCP 24.07.2007 um 15:31:25 Uhr
Goto Top
entgegen gekommen und habe die komplexen Passwörter deaktiviert -
damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich
und zufrieden miteinander face-smile

Ja das kennt man face-smile die Passwörter werden wieder einfacher face-smile AUTO, MONITOR oder 0815

Dieser Kommentar kann gefahrlos überlesen werden.
MFG Metzger
coxsrcrub
coxsrcrub 24.07.2007 um 15:38:08 Uhr
Goto Top
Die Passwortregeln werden NUR in der Default Domain Policy eingegeben.

Ihr könnt zwar überall anders was etwas eintragen, es ist aber völlig irrelevant.
Metzger-MCP
Metzger-MCP 24.07.2007 um 15:45:13 Uhr
Goto Top
Die Passwortregeln werden NUR in der Default
Domain Policy eingegeben.

Ihr könnt zwar überall anders was
etwas eintragen, es ist aber völlig
irrelevant.

Bist du dir da sicher ? Habe keinen DC vor mir, um es zu testen, ... , hole ich aber nach

MFG Metzger
coxsrcrub
coxsrcrub 25.07.2007 um 08:22:44 Uhr
Goto Top
Eine Unternehmensrichtlinie wird immer auf der obersten Ebene erstellt.
Das ist die Default Domain Policy!

Man kann im AD als Admin immer noch ein gewisse ausnahmen erzwingen (z.B. Passwort läuft nicht ab oder vor Passwortmindestalter ändern) , das ist aber nicht der Zweck einer Passwortrichtlinie! Wenn mehrere Unterorganisationen vorhanden sind auf die ebenfalls eine Passwortrichtlinie vorgegeben wird so greift immer bei den Passwortrichtlinien die Default Domain Policy!

Da bin ich mir ganz sicher ....

Gruß Jörg
LennartV
LennartV 25.07.2007 um 17:16:24 Uhr
Goto Top
soo hab nu mal rumgespielt mit den policies
erstmal danke für die antworten die ham mich echt gerettet :>

aaalso
1. die Domain Policy macht alles platt, hat man da password policies auf not defined kannst noch so viel grp policies basteln für passwörter die funzen nicht
2. alle admins und built-in accounts werden automatisch auf password never expires gesetzt was die arbeit sehr erleichtert
3. alle domänenuser sind von der policy betroffen ausnahmen s.o. wer also eine extrawurst will (vorstände etc) muss per hand nachgetragen werden (password never expires)
4. die passwortänderung kann man auf zweierlei art realisieren entweder man setzt eine maximale gültigkeit oder man trägt per hand den haken bei user must change password on next logon (soll angeblich auch per batch gehen mal schaun was da dran is)

um den kram zu testen (rausfinden is wohl nich das richtige wort :P ) hab ich zweimal mein AD abgeschossen (ich liebe diese testdomäne die ich hier gebaut hab :P ) und ebenso oft mein image wiederhergestellt also passt auf wenn ihr da rumfuhrwerkt mit n zettel und n stift hiflt enorm sonst komm man nach n paar stunden durchn tüddel mit den getesteten einstellungen :P
Gruß Lennart