4
Passwort Policy im Homeoffice
Hallo,
wir wollen demnächst eine Passwortrichtlinie für unsere Benutzer einführen. Da diese ja über die Default Domain Policy gesetzt werden muss, habe ich hier leider wenig Möglichkeiten das vorher zu testen, daher ein paar Fragen.
Hauptsächlich möchten wir die Mitarbeiter dazu bewegen, neue, komplexere Passwörter zu vergeben.
Viele unserer Mitarbeiter sind aktuell im Homeoffice und stellen eine Verbindung per VPN Client her. Was gibt es dabei zu beachten?
Wann wird die neue Gruppenrichtlinie gezogen und wann kommt die Aufforderung zum ändern des Passwortes?
Reicht es, wenn sich die Benutzer per VPN Verbinden? oder müssen diese ein GPUPDATE absetzen, damit die GPO greift, da es ja wegen dem VPN keinen Anmeldevorgang an der AD gibt.
Wann würde die Meldung zum ändern des Passwortes kommen?
Kann es passieren, dass die Benutzer "offline" die Meldung erhalten, sie sollen ihr Passwort ändern und dann lokal ein anderes Passwort haben als in der AD?
Auf welche "Probleme" müsste ich mich sonst noch einstellen?
Danke für Eure Rückmeldungen
Loki
wir wollen demnächst eine Passwortrichtlinie für unsere Benutzer einführen. Da diese ja über die Default Domain Policy gesetzt werden muss, habe ich hier leider wenig Möglichkeiten das vorher zu testen, daher ein paar Fragen.
Hauptsächlich möchten wir die Mitarbeiter dazu bewegen, neue, komplexere Passwörter zu vergeben.
Viele unserer Mitarbeiter sind aktuell im Homeoffice und stellen eine Verbindung per VPN Client her. Was gibt es dabei zu beachten?
Wann wird die neue Gruppenrichtlinie gezogen und wann kommt die Aufforderung zum ändern des Passwortes?
Reicht es, wenn sich die Benutzer per VPN Verbinden? oder müssen diese ein GPUPDATE absetzen, damit die GPO greift, da es ja wegen dem VPN keinen Anmeldevorgang an der AD gibt.
Wann würde die Meldung zum ändern des Passwortes kommen?
Kann es passieren, dass die Benutzer "offline" die Meldung erhalten, sie sollen ihr Passwort ändern und dann lokal ein anderes Passwort haben als in der AD?
Auf welche "Probleme" müsste ich mich sonst noch einstellen?
Danke für Eure Rückmeldungen
Loki
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3580422264
Url: https://administrator.de/contentid/3580422264
Printed on: April 16, 2024 at 09:04 o'clock
4 Comments
Latest comment
Hi
Lies das mal und dann kannst du es doch testen
.
https://www.msxfaq.de/windows/sicherheit/finegrained_password_policy.htm
Mit freundlichen Grüßen Nemesis
Lies das mal und dann kannst du es doch testen
.https://www.msxfaq.de/windows/sicherheit/finegrained_password_policy.htm
Mit freundlichen Grüßen Nemesis
1
Guten Morgen,
etwas mehr Infos wären nicht schlecht...
Insbesondere: Was ist das für ein VPN? Solange die Verbindung vor der Anmeldung aufgebaut werden kann, ist eigentlich immer alles im grünen Bereich. Wenn nicht, wirst Du wohl mit ablaufenden Kennwörtern ein problem bekommen.
Gruß
etwas mehr Infos wären nicht schlecht...
Insbesondere: Was ist das für ein VPN? Solange die Verbindung vor der Anmeldung aufgebaut werden kann, ist eigentlich immer alles im grünen Bereich. Wenn nicht, wirst Du wohl mit ablaufenden Kennwörtern ein problem bekommen.
Gruß
Danke Nemesis, das ist ein super Ansatz! Kannte ich in der Tat bisher nicht diesen Weg.
Hubert, wie bereits geschrieben ein VPN Client, der also vor der Anmeldung nicht aktiv ist.
Wieso genau bekomme ich dann Probleme mit ablaufenden Passwörtern? Ich muss das Passwort ja erst ändern, sobald die Gruppenrichtlinie greift. Insofern hätte ich dann auch Verbindung zur AD… oder?
Hubert, wie bereits geschrieben ein VPN Client, der also vor der Anmeldung nicht aktiv ist.
Wieso genau bekomme ich dann Probleme mit ablaufenden Passwörtern? Ich muss das Passwort ja erst ändern, sobald die Gruppenrichtlinie greift. Insofern hätte ich dann auch Verbindung zur AD… oder?
Guten Morgen,
mehrere Kennwortrichtlinien werden dein Problem aber nicht lösen. Der pragmatischste Ansatz wäre es, wenn sehr gute Kennwörter verwendet würden, die dann einfach nicht ablaufen. Das wäre auch BSI-konform.
Wenn Du das VPN nicht vor der Anmeldung öffnen kannst, wirst Du sonst definitiv Probleme bekommen. Und das hat nichts mit der Frage zu tun, in welchen Abständen Gruppenrichtlinien verarbeitet werden.
Konkret wird Dein Problem sein, dass lokal auf dem Rechner das Kennwort zwischengespeichert wird und darüber die Anmeldung am Rechner erfolgt. In der Domäne wird es dann aber ab und an so sein, dass das Kennwort des Benutzers abgelaufen ist. Da kommst Du aber so eben nicht mehr ran. Es sei denn, Du hast z.B. eine RDP-Umgebung und kannst über RDWeb auf die Kennwortänderung zugreifen.
Gruß
mehrere Kennwortrichtlinien werden dein Problem aber nicht lösen. Der pragmatischste Ansatz wäre es, wenn sehr gute Kennwörter verwendet würden, die dann einfach nicht ablaufen. Das wäre auch BSI-konform.
Wenn Du das VPN nicht vor der Anmeldung öffnen kannst, wirst Du sonst definitiv Probleme bekommen. Und das hat nichts mit der Frage zu tun, in welchen Abständen Gruppenrichtlinien verarbeitet werden.
Konkret wird Dein Problem sein, dass lokal auf dem Rechner das Kennwort zwischengespeichert wird und darüber die Anmeldung am Rechner erfolgt. In der Domäne wird es dann aber ab und an so sein, dass das Kennwort des Benutzers abgelaufen ist. Da kommst Du aber so eben nicht mehr ran. Es sei denn, Du hast z.B. eine RDP-Umgebung und kannst über RDWeb auf die Kennwortänderung zugreifen.
Gruß