8
massenweise passwortänderung einmal jährlich
Hi zusammen,
ich stehe im moment vor einem mehr oder weniger großen problem...... mein vorstandsvorsitzender möchte das alle user im AD sobald er bescheid gibt ihre passwörter ändern müssen, an sich kein problem aber bei den nasen die hier arbeiten, sind damit unsere gesammelten kapazitäten darauf angesetzt denen zu erklären warum und wieso und überhaupt etc.pp.......
also wollen wir das folgendermaßen handhaben:
sobald der bescheid kommt sollen die user eine meldung bekommen "das passwort läuft in 3 tagen ab, bitte ändern" o.ä.
dann soll nach 3 tagen (möglichst automatisch) das passwort für sämtliche user mit ausnahme der administratoren und "leeren user" (platzhalter für öffentliche emailkonten etc.) das passwort auf change at next login gesetzt werden
von dem zeitpunkt an wo das passwort geändert wurde soll das ganze einmal jährlich stattfinden, am liebsten automatisch.
das problem was sich mir nun stellt, mit meiner 1/2jahre alten erfahrung als systemintegrator komm ich nicht allzuweit bei dem policiegedönse und meine kollegen haben die hände voll mit den alltagskatastrophen und domänenumstellungen bei tochterfirmen
freue mich auf antworten
Gruß Lennart
ich stehe im moment vor einem mehr oder weniger großen problem...... mein vorstandsvorsitzender möchte das alle user im AD sobald er bescheid gibt ihre passwörter ändern müssen, an sich kein problem aber bei den nasen die hier arbeiten, sind damit unsere gesammelten kapazitäten darauf angesetzt denen zu erklären warum und wieso und überhaupt etc.pp.......
also wollen wir das folgendermaßen handhaben:
sobald der bescheid kommt sollen die user eine meldung bekommen "das passwort läuft in 3 tagen ab, bitte ändern" o.ä.
dann soll nach 3 tagen (möglichst automatisch) das passwort für sämtliche user mit ausnahme der administratoren und "leeren user" (platzhalter für öffentliche emailkonten etc.) das passwort auf change at next login gesetzt werden
von dem zeitpunkt an wo das passwort geändert wurde soll das ganze einmal jährlich stattfinden, am liebsten automatisch.
das problem was sich mir nun stellt, mit meiner 1/2jahre alten erfahrung als systemintegrator komm ich nicht allzuweit bei dem policiegedönse und meine kollegen haben die hände voll mit den alltagskatastrophen und domänenumstellungen bei tochterfirmen
freue mich auf antworten
Gruß Lennart
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 64571
Url: https://administrator.de/contentid/64571
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
was soll denn das Passwort wechsel auf Kommando? Mach das mal lieber automatisch.
Schau mal im AD die Default Domain Policy an und nur die!
Dort findest du unter Computerkonfiguration - Sicherheitseinstellungen - Kennwortrichtlinien alles was für einen automatischen Kennwortwechsel in zyklen Erforderlich ist.
Kennwortalter; länge ; komplexitätsvoraussetzungen, Kennwortchronik etc.
Gruß
Jörg
Schau mal im AD die Default Domain Policy an und nur die!
Dort findest du unter Computerkonfiguration - Sicherheitseinstellungen - Kennwortrichtlinien alles was für einen automatischen Kennwortwechsel in zyklen Erforderlich ist.
Kennwortalter; länge ; komplexitätsvoraussetzungen, Kennwortchronik etc.
Gruß
Jörg
Ich kann euren Vorstand ansatzweise verstehen. Ich persönlich finde aber, dass eine Änderung des PW pro Jahr zu wenig ist. Überleg' mal, wie lange jemand Unfug treiben kann, wenn er im Besitz eines ihm nicht zustehenden Passwortes ist.
Warum geht ihr daher nicht einfach hin und gebt per Richtlinie vor, dass das Windows-Kennwort alle X Tage geändert werden muss? Die Vorwarnung erledigt das Betriebssystem dann X-14 Tage ganz von alleine. Wenn ihr dann nebenbei noch die Passworthistorie auf einen entsprechend hohen Wert einstellt sieht's schon ganz gut aus.
Eins muss die aber klar sein: Mit der regelmäßigen Änderung der PW machst du dich etwas unbeliebt bei den Usern. Die Dauer dieser Phase ist umgekehrt proportional zum Änderungsintervall
Nachdem meine User sich etwas abgeregt hatten bin ich ihnen dann entgegen gekommen und habe die komplexen Passwörter deaktiviert - damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich und zufrieden miteinander 
Manuel
Warum geht ihr daher nicht einfach hin und gebt per Richtlinie vor, dass das Windows-Kennwort alle X Tage geändert werden muss? Die Vorwarnung erledigt das Betriebssystem dann X-14 Tage ganz von alleine. Wenn ihr dann nebenbei noch die Passworthistorie auf einen entsprechend hohen Wert einstellt sieht's schon ganz gut aus.
Eins muss die aber klar sein: Mit der regelmäßigen Änderung der PW machst du dich etwas unbeliebt bei den Usern. Die Dauer dieser Phase ist umgekehrt proportional zum Änderungsintervall
Nachdem meine User sich etwas abgeregt hatten bin ich ihnen dann entgegen gekommen und habe die komplexen Passwörter deaktiviert - damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich und zufrieden miteinander Manuel
hm wenn ich mich richtig erinnere, solltest du da
a Nachschaun welche Dauer in der Domain GPL eingetragen ist. Standartwert is 42 Tage und ggf ändern. Dazu kann man auch den Net Accounts Befehl verwenden.
b Alle User Accounts dann umstellen das ihr Passwort abläuft ( Hacken bei Kennwort läuft nie ab rausnehmen. Sofer es sehr schnell gehen muß Hacken bei Benutzer muß Kennwort .... rein.
Dafür gab es auch eine CMD Anweisung die man in einer Batch laufen lassen kann.
Habe gerade nicht den Befehl und die Parameter griffbereit und ergänze es daher später.
War mit "net user"
ABER VORSICHT ! MIT BATCHDATEIN IN VERBINDUNG MIT ACCOUNTS IST SCHNELL DEIN LEBENSBERECHTIGUNGSSCHEIN IN DER FIRMA ABGELAUFEN, WENN DU DA KÄSE BAUST.
MFG Metzger
a Nachschaun welche Dauer in der Domain GPL eingetragen ist. Standartwert is 42 Tage und ggf ändern. Dazu kann man auch den Net Accounts Befehl verwenden.
b Alle User Accounts dann umstellen das ihr Passwort abläuft ( Hacken bei Kennwort läuft nie ab rausnehmen. Sofer es sehr schnell gehen muß Hacken bei Benutzer muß Kennwort .... rein.
Dafür gab es auch eine CMD Anweisung die man in einer Batch laufen lassen kann.
Habe gerade nicht den Befehl und die Parameter griffbereit und ergänze es daher später.
War mit "net user"
ABER VORSICHT ! MIT BATCHDATEIN IN VERBINDUNG MIT ACCOUNTS IST SCHNELL DEIN LEBENSBERECHTIGUNGSSCHEIN IN DER FIRMA ABGELAUFEN, WENN DU DA KÄSE BAUST.
MFG Metzger
entgegen gekommen und habe die komplexen Passwörter deaktiviert -
damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich
und zufrieden miteinander
damit hatten die nämlich ein erhebliches Problem. Und seitdem leben wir glücklich
und zufrieden miteinander
Ja das kennt man
die Passwörter werden wieder einfacher AUTO, MONITOR oder 0815Dieser Kommentar kann gefahrlos überlesen werden.
MFG Metzger
Die Passwortregeln werden NUR in der Default Domain Policy eingegeben.
Ihr könnt zwar überall anders was etwas eintragen, es ist aber völlig irrelevant.
Ihr könnt zwar überall anders was etwas eintragen, es ist aber völlig irrelevant.
Die Passwortregeln werden NUR in der Default
Domain Policy eingegeben.
Ihr könnt zwar überall anders was
etwas eintragen, es ist aber völlig
irrelevant.
Domain Policy eingegeben.
Ihr könnt zwar überall anders was
etwas eintragen, es ist aber völlig
irrelevant.
Bist du dir da sicher ? Habe keinen DC vor mir, um es zu testen, ... , hole ich aber nach
MFG Metzger
Eine Unternehmensrichtlinie wird immer auf der obersten Ebene erstellt.
Das ist die Default Domain Policy!
Man kann im AD als Admin immer noch ein gewisse ausnahmen erzwingen (z.B. Passwort läuft nicht ab oder vor Passwortmindestalter ändern) , das ist aber nicht der Zweck einer Passwortrichtlinie! Wenn mehrere Unterorganisationen vorhanden sind auf die ebenfalls eine Passwortrichtlinie vorgegeben wird so greift immer bei den Passwortrichtlinien die Default Domain Policy!
Da bin ich mir ganz sicher ....
Gruß Jörg
Das ist die Default Domain Policy!
Man kann im AD als Admin immer noch ein gewisse ausnahmen erzwingen (z.B. Passwort läuft nicht ab oder vor Passwortmindestalter ändern) , das ist aber nicht der Zweck einer Passwortrichtlinie! Wenn mehrere Unterorganisationen vorhanden sind auf die ebenfalls eine Passwortrichtlinie vorgegeben wird so greift immer bei den Passwortrichtlinien die Default Domain Policy!
Da bin ich mir ganz sicher ....
Gruß Jörg
soo hab nu mal rumgespielt mit den policies
erstmal danke für die antworten die ham mich echt gerettet :>
aaalso
1. die Domain Policy macht alles platt, hat man da password policies auf not defined kannst noch so viel grp policies basteln für passwörter die funzen nicht
2. alle admins und built-in accounts werden automatisch auf password never expires gesetzt was die arbeit sehr erleichtert
3. alle domänenuser sind von der policy betroffen ausnahmen s.o. wer also eine extrawurst will (vorstände etc) muss per hand nachgetragen werden (password never expires)
4. die passwortänderung kann man auf zweierlei art realisieren entweder man setzt eine maximale gültigkeit oder man trägt per hand den haken bei user must change password on next logon (soll angeblich auch per batch gehen mal schaun was da dran is)
um den kram zu testen (rausfinden is wohl nich das richtige wort :P ) hab ich zweimal mein AD abgeschossen (ich liebe diese testdomäne die ich hier gebaut hab :P ) und ebenso oft mein image wiederhergestellt also passt auf wenn ihr da rumfuhrwerkt mit n zettel und n stift hiflt enorm sonst komm man nach n paar stunden durchn tüddel mit den getesteten einstellungen :P
Gruß Lennart
erstmal danke für die antworten die ham mich echt gerettet :>
aaalso
1. die Domain Policy macht alles platt, hat man da password policies auf not defined kannst noch so viel grp policies basteln für passwörter die funzen nicht
2. alle admins und built-in accounts werden automatisch auf password never expires gesetzt was die arbeit sehr erleichtert
3. alle domänenuser sind von der policy betroffen ausnahmen s.o. wer also eine extrawurst will (vorstände etc) muss per hand nachgetragen werden (password never expires)
4. die passwortänderung kann man auf zweierlei art realisieren entweder man setzt eine maximale gültigkeit oder man trägt per hand den haken bei user must change password on next logon (soll angeblich auch per batch gehen mal schaun was da dran is)
um den kram zu testen (rausfinden is wohl nich das richtige wort :P ) hab ich zweimal mein AD abgeschossen (ich liebe diese testdomäne die ich hier gebaut hab :P ) und ebenso oft mein image wiederhergestellt also passt auf wenn ihr da rumfuhrwerkt mit n zettel und n stift hiflt enorm sonst komm man nach n paar stunden durchn tüddel mit den getesteten einstellungen :P
Gruß Lennart
