massenweise passwortänderung einmal jährlich
Hi zusammen,
ich stehe im moment vor einem mehr oder weniger großen problem...... mein vorstandsvorsitzender möchte das alle user im AD sobald er bescheid gibt ihre passwörter ändern müssen, an sich kein problem aber bei den nasen die hier arbeiten, sind damit unsere gesammelten kapazitäten darauf angesetzt denen zu erklären warum und wieso und überhaupt etc.pp.......
also wollen wir das folgendermaßen handhaben:
sobald der bescheid kommt sollen die user eine meldung bekommen "das passwort läuft in 3 tagen ab, bitte ändern" o.ä.
dann soll nach 3 tagen (möglichst automatisch) das passwort für sämtliche user mit ausnahme der administratoren und "leeren user" (platzhalter für öffentliche emailkonten etc.) das passwort auf change at next login gesetzt werden
von dem zeitpunkt an wo das passwort geändert wurde soll das ganze einmal jährlich stattfinden, am liebsten automatisch.
das problem was sich mir nun stellt, mit meiner 1/2jahre alten erfahrung als systemintegrator komm ich nicht allzuweit bei dem policiegedönse und meine kollegen haben die hände voll mit den alltagskatastrophen und domänenumstellungen bei tochterfirmen
freue mich auf antworten
Gruß Lennart
ich stehe im moment vor einem mehr oder weniger großen problem...... mein vorstandsvorsitzender möchte das alle user im AD sobald er bescheid gibt ihre passwörter ändern müssen, an sich kein problem aber bei den nasen die hier arbeiten, sind damit unsere gesammelten kapazitäten darauf angesetzt denen zu erklären warum und wieso und überhaupt etc.pp.......
also wollen wir das folgendermaßen handhaben:
sobald der bescheid kommt sollen die user eine meldung bekommen "das passwort läuft in 3 tagen ab, bitte ändern" o.ä.
dann soll nach 3 tagen (möglichst automatisch) das passwort für sämtliche user mit ausnahme der administratoren und "leeren user" (platzhalter für öffentliche emailkonten etc.) das passwort auf change at next login gesetzt werden
von dem zeitpunkt an wo das passwort geändert wurde soll das ganze einmal jährlich stattfinden, am liebsten automatisch.
das problem was sich mir nun stellt, mit meiner 1/2jahre alten erfahrung als systemintegrator komm ich nicht allzuweit bei dem policiegedönse und meine kollegen haben die hände voll mit den alltagskatastrophen und domänenumstellungen bei tochterfirmen
freue mich auf antworten
Gruß Lennart
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 64571
Url: https://administrator.de/forum/massenweise-passwortaenderung-einmal-jaehrlich-64571.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
was soll denn das Passwort wechsel auf Kommando? Mach das mal lieber automatisch.
Schau mal im AD die Default Domain Policy an und nur die!
Dort findest du unter Computerkonfiguration - Sicherheitseinstellungen - Kennwortrichtlinien alles was für einen automatischen Kennwortwechsel in zyklen Erforderlich ist.
Kennwortalter; länge ; komplexitätsvoraussetzungen, Kennwortchronik etc.
Gruß
Jörg
Schau mal im AD die Default Domain Policy an und nur die!
Dort findest du unter Computerkonfiguration - Sicherheitseinstellungen - Kennwortrichtlinien alles was für einen automatischen Kennwortwechsel in zyklen Erforderlich ist.
Kennwortalter; länge ; komplexitätsvoraussetzungen, Kennwortchronik etc.
Gruß
Jörg
Ich kann euren Vorstand ansatzweise verstehen. Ich persönlich finde aber, dass eine Änderung des PW pro Jahr zu wenig ist. Überleg' mal, wie lange jemand Unfug treiben kann, wenn er im Besitz eines ihm nicht zustehenden Passwortes ist.
Warum geht ihr daher nicht einfach hin und gebt per Richtlinie vor, dass das Windows-Kennwort alle X Tage geändert werden muss? Die Vorwarnung erledigt das Betriebssystem dann X-14 Tage ganz von alleine. Wenn ihr dann nebenbei noch die Passworthistorie auf einen entsprechend hohen Wert einstellt sieht's schon ganz gut aus.
Eins muss die aber klar sein: Mit der regelmäßigen Änderung der PW machst du dich etwas unbeliebt bei den Usern. Die Dauer dieser Phase ist umgekehrt proportional zum Änderungsintervall Nachdem meine User sich etwas abgeregt hatten bin ich ihnen dann entgegen gekommen und habe die komplexen Passwörter deaktiviert - damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich und zufrieden miteinander
Manuel
Warum geht ihr daher nicht einfach hin und gebt per Richtlinie vor, dass das Windows-Kennwort alle X Tage geändert werden muss? Die Vorwarnung erledigt das Betriebssystem dann X-14 Tage ganz von alleine. Wenn ihr dann nebenbei noch die Passworthistorie auf einen entsprechend hohen Wert einstellt sieht's schon ganz gut aus.
Eins muss die aber klar sein: Mit der regelmäßigen Änderung der PW machst du dich etwas unbeliebt bei den Usern. Die Dauer dieser Phase ist umgekehrt proportional zum Änderungsintervall Nachdem meine User sich etwas abgeregt hatten bin ich ihnen dann entgegen gekommen und habe die komplexen Passwörter deaktiviert - damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich und zufrieden miteinander
Manuel
hm wenn ich mich richtig erinnere, solltest du da
a Nachschaun welche Dauer in der Domain GPL eingetragen ist. Standartwert is 42 Tage und ggf ändern. Dazu kann man auch den Net Accounts Befehl verwenden.
b Alle User Accounts dann umstellen das ihr Passwort abläuft ( Hacken bei Kennwort läuft nie ab rausnehmen. Sofer es sehr schnell gehen muß Hacken bei Benutzer muß Kennwort .... rein.
Dafür gab es auch eine CMD Anweisung die man in einer Batch laufen lassen kann.
Habe gerade nicht den Befehl und die Parameter griffbereit und ergänze es daher später.
War mit "net user"
ABER VORSICHT ! MIT BATCHDATEIN IN VERBINDUNG MIT ACCOUNTS IST SCHNELL DEIN LEBENSBERECHTIGUNGSSCHEIN IN DER FIRMA ABGELAUFEN, WENN DU DA KÄSE BAUST.
MFG Metzger
a Nachschaun welche Dauer in der Domain GPL eingetragen ist. Standartwert is 42 Tage und ggf ändern. Dazu kann man auch den Net Accounts Befehl verwenden.
b Alle User Accounts dann umstellen das ihr Passwort abläuft ( Hacken bei Kennwort läuft nie ab rausnehmen. Sofer es sehr schnell gehen muß Hacken bei Benutzer muß Kennwort .... rein.
Dafür gab es auch eine CMD Anweisung die man in einer Batch laufen lassen kann.
Habe gerade nicht den Befehl und die Parameter griffbereit und ergänze es daher später.
War mit "net user"
ABER VORSICHT ! MIT BATCHDATEIN IN VERBINDUNG MIT ACCOUNTS IST SCHNELL DEIN LEBENSBERECHTIGUNGSSCHEIN IN DER FIRMA ABGELAUFEN, WENN DU DA KÄSE BAUST.
MFG Metzger
entgegen gekommen und habe die komplexen Passwörter deaktiviert -
damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich
und zufrieden miteinander
damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich
und zufrieden miteinander
Ja das kennt man die Passwörter werden wieder einfacher AUTO, MONITOR oder 0815
Dieser Kommentar kann gefahrlos überlesen werden.
MFG Metzger
Eine Unternehmensrichtlinie wird immer auf der obersten Ebene erstellt.
Das ist die Default Domain Policy!
Man kann im AD als Admin immer noch ein gewisse ausnahmen erzwingen (z.B. Passwort läuft nicht ab oder vor Passwortmindestalter ändern) , das ist aber nicht der Zweck einer Passwortrichtlinie! Wenn mehrere Unterorganisationen vorhanden sind auf die ebenfalls eine Passwortrichtlinie vorgegeben wird so greift immer bei den Passwortrichtlinien die Default Domain Policy!
Da bin ich mir ganz sicher ....
Gruß Jörg
Das ist die Default Domain Policy!
Man kann im AD als Admin immer noch ein gewisse ausnahmen erzwingen (z.B. Passwort läuft nicht ab oder vor Passwortmindestalter ändern) , das ist aber nicht der Zweck einer Passwortrichtlinie! Wenn mehrere Unterorganisationen vorhanden sind auf die ebenfalls eine Passwortrichtlinie vorgegeben wird so greift immer bei den Passwortrichtlinien die Default Domain Policy!
Da bin ich mir ganz sicher ....
Gruß Jörg