5
Option -Kennwortänderung nach erster Anmeldung- modifizieren
Hallo liebe Community,
Kurz zum System:
Windows Server 2003 R2 x64 (kein DC)
Ich suche nach einer Möglichkeit automatisiert dafür zu sorgen, dass lokale Benutzerkonten nach der ersten Anmeldung ihr Kennwort ändern müssen.
Wenn ich das richtig sehe, müsste bei einem manuellen Vorgehen dazu nach Erstellen eines Benutzerkontos folgende Option gesetzt werden:
Computerverwaltung\System\lokale Benutzer und Gruppen\
Nutzer wählen --> Eigenschaften --> Haken bei “Benutzer muss Kennwort bei der nächsten Anmeldung ändern”
Mein Gedanke ist nun, diese Option standardisiert durchsetzen zu lassen, sobald ein lokales Benutzerkonto angelegt wird.
Die Erstellung von Benutzerkonten per Skript muss ich leider ausschließen - bin ansonsten aber für jeden Rat dankbar.
Beste Grüße und vielen Dank,
Corvin
Edit: etwas vorschnell gepostet; Meine gesuchte Option ist per default vom System vorgegeben.
Das löst allerdings mein Kernproblem noch nicht.
Mein übergeordnetes Ziel ist es Compliance-Checks in OVAL zu schreiben. Ich muss u.a. prüfen, dass die oben genannte Einstellung nicht modifiziert wurde. Dazu muss ich wissen, wie diese modifiziert werden kann (also der vom System vorgegebene Standard zur Änderung des Kennworts bei der ersten Anmeldung).
Ich habe gerade per gpedit.msc mal in Richtung
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien
gespäht, konnte aber leider nichts finden.
Ich sehe mich selbst als Anfänger/Amateur, was die Administration von Win2k3 angeht - wenn also irgendwas von dem, was ich hier schreibe nicht so recht Sinn ergeben sollte: nur raus damit
Windows Server 2003 R2 x64 (kein DC)
Ich suche nach einer Möglichkeit automatisiert dafür zu sorgen, dass lokale Benutzerkonten nach der ersten Anmeldung ihr Kennwort ändern müssen.
Wenn ich das richtig sehe, müsste bei einem manuellen Vorgehen dazu nach Erstellen eines Benutzerkontos folgende Option gesetzt werden:
Computerverwaltung\System\lokale Benutzer und Gruppen\
Nutzer wählen --> Eigenschaften --> Haken bei “Benutzer muss Kennwort bei der nächsten Anmeldung ändern”
Mein Gedanke ist nun, diese Option standardisiert durchsetzen zu lassen, sobald ein lokales Benutzerkonto angelegt wird.
Die Erstellung von Benutzerkonten per Skript muss ich leider ausschließen - bin ansonsten aber für jeden Rat dankbar.
Beste Grüße und vielen Dank,
Corvin
Edit: etwas vorschnell gepostet; Meine gesuchte Option ist per default vom System vorgegeben.
Das löst allerdings mein Kernproblem noch nicht.
Mein übergeordnetes Ziel ist es Compliance-Checks in OVAL zu schreiben. Ich muss u.a. prüfen, dass die oben genannte Einstellung nicht modifiziert wurde. Dazu muss ich wissen, wie diese modifiziert werden kann (also der vom System vorgegebene Standard zur Änderung des Kennworts bei der ersten Anmeldung).
Ich habe gerade per gpedit.msc mal in Richtung
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien
gespäht, konnte aber leider nichts finden.
Ich sehe mich selbst als Anfänger/Amateur, was die Administration von Win2k3 angeht - wenn also irgendwas von dem, was ich hier schreibe nicht so recht Sinn ergeben sollte: nur raus damit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 178585
Url: https://administrator.de/contentid/178585
Printed on: April 16, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hi,
so ganz schlau werde ich daraus nicht, aber sei's drum:
Die von Dir erwähnte Richtlinie bedeutet, daß der User nach einer Änderung/Erstellung des Paßwortes durch die Systemadministration gleich bei der Anmeldung dazu aufgefordert wird dieses zu ändern. Dabei richtet sich die Güte des Paßwortes auch danach, was per Policy eingestellt wurde.
Eine Änderung des Paßwortes findet auf jeden Fall statt. Möchtest Du nun herausbekommen, ob/wann das geschehen ist, dann kannst Du beim User in den AD-Attributen nach PASSWORD_AGE prüfen (in Bezug auf Änderung/Erstellung des Users)
Karo
so ganz schlau werde ich daraus nicht, aber sei's drum:
Die von Dir erwähnte Richtlinie bedeutet, daß der User nach einer Änderung/Erstellung des Paßwortes durch die Systemadministration gleich bei der Anmeldung dazu aufgefordert wird dieses zu ändern. Dabei richtet sich die Güte des Paßwortes auch danach, was per Policy eingestellt wurde.
Eine Änderung des Paßwortes findet auf jeden Fall statt. Möchtest Du nun herausbekommen, ob/wann das geschehen ist, dann kannst Du beim User in den AD-Attributen nach PASSWORD_AGE prüfen (in Bezug auf Änderung/Erstellung des Users)
Karo
Hi,
danke für deine Antwort!
...ja ich hab ein Talent dafür mich unklar auszudrücken...
Ich versuch mich nochmal anders auszudrücken:
Ich muss sicherstellen, dass bei jedem neu angelegten Benutzerkonto die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" eingestellt ist.
Wenn ich derzeit ein neues Konto anlege, ist diese Option zwar ausgewählt, aber ich kann sie auch abwählen - das darf auf meinem System nicht möglich sein.
Ich suche also eine Einstellung, die es verhindert, dass Benutzerkonten angelegt werden können, ohne das nach dem ersten Login (in solch ein Konto) das Kennwort geändert werden muss.
Edit:
oder andersherum ausgedrückt:
Ich suche eine Einstellung, die sicherstellt, dass bei neu angelegten Benutzerkonten diese Option immer aktiviert ist.
Ich bin mir nicht sicher, ob es eine solche Einstellung überhaupt irgendwo gibt (evtl. per Policy?).
Ein AD liegt nicht vor - betrachtet werden nur lokale Benutzer.
Grüße,
Corvin
danke für deine Antwort!
...ja ich hab ein Talent dafür mich unklar auszudrücken...
Ich versuch mich nochmal anders auszudrücken:
Ich muss sicherstellen, dass bei jedem neu angelegten Benutzerkonto die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" eingestellt ist.
Wenn ich derzeit ein neues Konto anlege, ist diese Option zwar ausgewählt, aber ich kann sie auch abwählen - das darf auf meinem System nicht möglich sein.
Ich suche also eine Einstellung, die es verhindert, dass Benutzerkonten angelegt werden können, ohne das nach dem ersten Login (in solch ein Konto) das Kennwort geändert werden muss.
Edit:
oder andersherum ausgedrückt:
Ich suche eine Einstellung, die sicherstellt, dass bei neu angelegten Benutzerkonten diese Option immer aktiviert ist.
Ich bin mir nicht sicher, ob es eine solche Einstellung überhaupt irgendwo gibt (evtl. per Policy?).
Ein AD liegt nicht vor - betrachtet werden nur lokale Benutzer.
Grüße,
Corvin
Aber egal was du einstellst, egal ob Domäne oder lokal.
Sobald du administrative Rechte hast KÖNNTEST du dir die entzogenen Rechet wiedergeben.
Einzige Ausnahme (aus meiner Sicht).
Du machst eine Domäne, deine "echte" Firma in eine Subdomäne und delegierst das Recht zur Usererstellung..an dich.
Und das Kennwort der Hauptdomäne gibst du dem Chef....
Dann kann nur er dir diese Rechte wiedergeben....
Dennoch ist diese Lösung Lichtjahre von deiner Anforderung entfernt..
Gruß
Carsten
Sobald du administrative Rechte hast KÖNNTEST du dir die entzogenen Rechet wiedergeben.
Einzige Ausnahme (aus meiner Sicht).
Du machst eine Domäne, deine "echte" Firma in eine Subdomäne und delegierst das Recht zur Usererstellung..an dich.
Und das Kennwort der Hauptdomäne gibst du dem Chef....
Dann kann nur er dir diese Rechte wiedergeben....
Dennoch ist diese Lösung Lichtjahre von deiner Anforderung entfernt..
Gruß
Carsten
Hi Corvin,
was willst Du denn eigentlich? Auf einem lokalen System darf nur der Administrator neue Benutzer anlegen und diesen Haken setzen, bzw. User die der Gruppe Administratoren angehören. Wenn Du natürlich den neuen Benutzer ebenfalls zum lokalen Admin machst, kann er die Option natürlich auch wieder ändern. That's not a bug, it's a feature!
Abhilfe schafft hier nur eine Domäne mit Gruppenrichtlinie, wie von cardisch geschrieben.
Gruß D.
was willst Du denn eigentlich? Auf einem lokalen System darf nur der Administrator neue Benutzer anlegen und diesen Haken setzen, bzw. User die der Gruppe Administratoren angehören. Wenn Du natürlich den neuen Benutzer ebenfalls zum lokalen Admin machst, kann er die Option natürlich auch wieder ändern. That's not a bug, it's a feature!
Abhilfe schafft hier nur eine Domäne mit Gruppenrichtlinie, wie von cardisch geschrieben.
Gruß D.
Hi,
danke für die Antworten!
Hintergrund bei mir ist die Implementation von Teilen des BSI-Grundschutzes in OVAL und Nessus. Dazu muss zunächst geprüft werden, welche Teile des Katalogs geprüft werden könen. Dabei tauchen manchmal so komische Fragen in meinem Kopf auf, wie die oben.
Aus euren Antworten entnehme ich, dass es wie von mir gedacht nicht möglich ist.
Ich danke euch für eure Antworten - es hat mir sehr weiter geholfen!
Grüße,
Corvin
danke für die Antworten!
Hintergrund bei mir ist die Implementation von Teilen des BSI-Grundschutzes in OVAL und Nessus. Dazu muss zunächst geprüft werden, welche Teile des Katalogs geprüft werden könen. Dabei tauchen manchmal so komische Fragen in meinem Kopf auf, wie die oben.
Aus euren Antworten entnehme ich, dass es wie von mir gedacht nicht möglich ist.
Ich danke euch für eure Antworten - es hat mir sehr weiter geholfen!
Grüße,
Corvin