Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Passwortwechsel Zeitpunkt festlegen

Mitglied: Looser27

Looser27 (Level 3) - Jetzt verbinden

22.10.2018 um 09:24 Uhr, 1765 Aufrufe, 32 Kommentare, 1 Danke

Guten Morgen liebe Kolleginnen und Kollegen,

da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig auszusperren, weil sie die Erinnerung zum Passwortwechsel ignoriert hat, möchte ich das als Gelegenheit nutzen die Passwortrichtlinie zu überarbeiten.
Im Standard läuft das Passwort nach 42 Tagen ab, beginnend mit Datum und Uhrzeit des letzten Wechsels. Immer häufiger laufen die Passwörter aber mitten während der Arbeit ab, so dass die SSO-Anwendungen den Dienst quittieren.
Ich suche mir schon ne ganze Weile nen Wolf, aber ich finde den Hinweis nicht mehr, wie man das Ändern des Passwortes morgens bei Anmeldung erzwingen kann.
Das ganze sollte für eine Windows 2016 / Windows 10 Umgebung funktionieren.

Wer kann mir hier weiterhelfen?

Gruß

Looser
32 Antworten
Mitglied: SlainteMhath
22.10.2018 um 09:29 Uhr
Moin,

so ein Tool ist mir nicht bekannt, aber sollten die User nicht einge Tage des Password eine entsprechende Mitteilung im Windows bekommen? "Ihr Kennwort läuft in kürze ab..."

Nebenbei gibt's noch Tools die die Anwender per Email informieren, wenn das Kennwort in X Tagen abläuft.

sich vom AD vollständig auszusperren, weil sie die Erinnerung zum Passwortwechsel ignoriert hat,
Neustarten und PW (erzwungenermaßen) beim Anmelden ändern wäre für die Kollegin keine Option gewesen.

lg,
Slainte
Bitte warten ..
Mitglied: wellknown
22.10.2018 um 09:31 Uhr
Hatte exakt das gleiche Problem. Habe es derzeit manuell gelöst. Setze nach Outlook-Erinnerung an mich "Passwort muß bei der nächsten Anmeldung geändert werden Häckchen" für die User für die es erforderlich ist. Nicht komfortabel aber funktioniert.

WN
Bitte warten ..
Mitglied: StefanKittel
22.10.2018 um 09:34 Uhr
Hallo,

Du könntest ein Skript schreiben.
Dieses läuft nachts und liest von allen AD-Postfächern aus wann diese Ablaufen.
Wenn die Zeit <24h ist, wird der Haken "Passwort muß bei der nächsten Anmeldung geändert werden" gesetzt.
Also die automatische Variante von "wellknown".

Stefan
Bitte warten ..
Mitglied: Looser27
22.10.2018 um 09:49 Uhr
Da ich jetzt nicht so der Held im Schreiben von Skripten bin, hatte ich gehofft, das irgendwie anders lösen zu können.
Bitte warten ..
Mitglied: sabines
22.10.2018 um 09:56 Uhr
Moin,

mein Rat hier lautet: Erziehen
Du kannst per GPO einstellen wie lange vor Ablauf des PWs eine Erinnerung im Systray erscheint.
Wer das ignoriert hat Pech gehabt, fertig.

Hier kannst Du eine Erinnungsmail verschicken:
https://www.administrator.de/wissen/user-email-baldigen-passwortablauf-e ...

Gruss
Bitte warten ..
Mitglied: Looser27
22.10.2018 um 10:11 Uhr
mein Rat hier lautet: Erziehen

Das funktioniert auch meistens....doch seltsamerweise immer dann, wenn ich im Urlaub bin, auf einmal nicht mehr.
Daher der Wunsch nach Automatisierung.
Bitte warten ..
Mitglied: certifiedit.net
22.10.2018 um 10:41 Uhr
Mach die Emailbenachrichtigung und wer das nicht hinbekommt sollte vom Chef was zu hören bekommen -> Deine Zeit: Kosten.
Bitte warten ..
Mitglied: Looser27
22.10.2018 um 11:03 Uhr
Ich habe aus o.g. E-Mail-Benachrichtigung folgendes extrahiert und statt einer E-Mail-Benachrichtigung den Passwortwechsel eingefügt.
Kann das so funktionieren oder habe ich was übersehen?

01.
Import-Module ActiveDirectory 
02.
$maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge 
03.
$today = get-date 
04.
 
05.
get-aduser -Filter * -Properties PasswordLastSet,GivenName,Surname -SearchBase “DC=domain,DC=local” -SearchScope Subtree | ?{$_.PasswordLastset -is [datetime]} | %{ 
06.

07.
    $diff = (($_.PasswordLastSet + $maxSpan)-$today).Days 
08.
    if($diff <1)
09.
	{ 
10.
    Set-ADUser -ChangePasswordAtLogon:$True
11.
    } 
12.
}
Gruß

Looser
Bitte warten ..
Mitglied: clSchak
22.10.2018 um 11:15 Uhr
Hi

mit vbs, funktioniert seit Jahren bei uns, das haut eine Meldung 15T vorher raus und das jeden Morgen um 06:00 Uhr bis es geändert wurde - habe das irgendwann mal im Web gefunden, wo weis ich allerdings nicht mehr, der Author steht noch mit im Script.

01.
'
02.
' exch-pwd-expires.vbs
03.
'
04.
' Michael B. Smith
05.
' March 21, 2005
06.
'
07.
' This program scans all users in the Users container and all organizational units
08.
' beneath the HOSTING_OU organizational unit, for users whose passwords have either
09.
' already expired or will expire within DAYS_FOR_EMAIL days.
10.
'
11.
' An email is sent, using CDO, via the SMTP server specified as SMTP_SERVER to the
12.
' user to tell them to change their password. You should change strFrom to match
13.
' the email address of the administrator responsible for password changes.
14.
'
15.
' You will, at a minimum, need to change the SMTP_SERVER, the HOSTING_OU, and the
16.
' STRFROM constants. If you run this on an Exchange server, then SMTP_SERVER can 
17.
' be "127.0.0.1" - and it may be either an ip address or a resolvable name.
18.
'
19.
' If you don't have an OU containing sub-OU's to scan, then set HOSTING_OU to the
20.
' empty string ("").
21.
'
22.

23.
 Option Explicit
24.

25.
 ' Per environment constants - you should change these!
26.
 Const HOSTING_OU  = "LDAP Pfad der Benutzer"
27.
 Const SMTP_SERVER  = "mailserver adresse"
28.
 Const STRFROM   = "absenderadresse"
29.
 Const DAYS_FOR_EMAIL  = 15 'Tage bevor das Passwort abläuft an dem Mails gesandt werden sollen
30.

31.
 ' System Constants - do not change
32.
 Const ONE_HUNDRED_NANOSECOND    = .000000100   ' .000000100 is equal to 10^-7
33.
 Const SECONDS_IN_DAY            = 86400
34.
 Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
35.
 Const E_ADS_PROPERTY_NOT_FOUND  = &h8000500D
36.

37.
 ' Change to "True" for extensive debugging output
38.
 Const bDebug   = true
39.

40.
 Dim objRoot
41.
 Dim numDays, iResult
42.
 Dim strDomainDN
43.
 Dim objContainer, objSub
44.

45.
 Set objRoot = GetObject ("LDAP://RootDSE")
46.
 strDomainDN = objRoot.Get ("defaultNamingContext")
47.
 Set objRoot = Nothing
48.

49.
 numdays = GetMaximumPasswordAge (strDomainDN)
50.
 dp "Maximum Password Age: " & numDays
51.

52.
 If numDays > 0 Then
53.

54.
  Set objContainer = GetObject ("LDAP://CN=Users," & strDomainDN)
55.
  Call ProcessFolder (objContainer, numDays)
56.
  Set objContainer = Nothing
57.

58.
  If Len (HOSTING_OU) > 0 Then
59.
   Set objContainer = GetObject ("LDAP://OU=" & HOSTING_OU & "," & strDomainDN)
60.

61.
   For each objSub in objContainer
62.
    Call ProcessFolder (objSub, numDays)
63.
   Next
64.

65.
   Set objContainer = Nothing
66.
  End If
67.

68.
  '========================================
69.
  ' Add the number of days to the last time
70.
  ' the password was set.
71.
  '========================================
72.
  'whenPasswordExpires = DateAdd ("d", numDays, oUser.PasswordLastChanged)
73.

74.
  'WScript.Echo "Password Last Changed: " & oUser.PasswordLastChanged
75.
  'WScript.Echo "Password Expires On: " & whenPasswordExpires
76.
 End If
77.

78.
 WScript.Echo "Done"
79.

80.
Function GetMaximumPasswordAge (ByVal strDomainDN)
81.
 Dim objDomain, objMaxPwdAge
82.
 Dim dblMaxPwdNano, dblMaxPwdSecs, dblMaxPwdDays
83.

84.
 Set objDomain = GetObject("LDAP://" & strDomainDN)
85.
 Set objMaxPWdAge = objDomain.maxPwdAge
86.

87.
 If objMaxPwdAge.LowPart = 0 And objMaxPwdAge.Highpart = 0 Then
88.
  ' Maximum password age is set to 0 in the domain
89.
  ' Therefore, passwords do not expire
90.
  GetMaximumPasswordAge = 0
91.
 Else
92.
  dblMaxPwdNano = Abs (objMaxPwdAge.HighPart * 2^32 + objMaxPwdAge.LowPart)
93.
  dblMaxPwdSecs = dblMaxPwdNano * ONE_HUNDRED_NANOSECOND
94.
  dblMaxPwdDays = Int (dblMaxPwdSecs / SECONDS_IN_DAY)
95.
  GetMaximumPasswordAge = dblMaxPwdDays
96.
 End If
97.
End Function
98.

99.
Function UserIsExpired (objUser, iMaxAge, iDaysForEmail, iRes)
100.
 Dim intUserAccountControl, dtmValue, intTimeInterval
101.
 Dim strName
102.

103.
 On Error Resume Next
104.
 Err.Clear
105.

106.
 strName = Mid (objUser.Name, 4)
107.
 intUserAccountControl = objUser.Get ("userAccountControl")
108.

109.
 If intUserAccountControl And ADS_UF_DONT_EXPIRE_PASSWD Then
110.
  dp "The password for " & strName & " does not expire."
111.
  UserIsExpired = False
112.
 Else
113.
  iRes = 0
114.
  dtmValue = objUser.PasswordLastChanged
115.
  If Err.Number = E_ADS_PROPERTY_NOT_FOUND Then
116.
   UserIsExpired = True
117.
   dp "The password for " & strName & " has never been set."
118.
  Else
119.
   intTimeInterval = Int (Now - dtmValue)
120.
   dp "The password for " & strName & " was last set on " & _
121.
    DateValue(dtmValue) & " at " & TimeValue(dtmValue) & _
122.
    " (" & intTimeInterval & " days ago)"
123.

124.
   If intTimeInterval >= iMaxAge Then
125.
    dp "The password for " & strName & " has expired."
126.
    UserIsExpired = True
127.
   Else
128.
    iRes = Int ((dtmValue + iMaxAge) - Now)
129.
    dp "The password for " & strName & " will expire on " & _
130.
     DateValue(dtmValue + iMaxAge) & " (" & _
131.
     iRes & " days from today)."
132.

133.
    If iRes <= iDaysForEmail Then
134.
     dp strName & " needs an email for password change"
135.
     UserIsExpired = True
136.
    Else
137.
     dp strName & " does not need an email for password change"
138.
     UserIsExpired = False
139.
    End If
140.
   End If
141.

142.
  End If
143.
 End If
144.
End Function
145.

146.
Sub ProcessFolder (objContainer, iMaxPwdAge)
147.
 Dim objUser, iResult
148.

149.
 objContainer.Filter = Array ("User")
150.

151.
 Wscript.Echo "Checking company = " & Mid (objContainer.Name, 4)
152.

153.
 For each objUser in objContainer
154.
  If Right (objUser.Name, 1) <> "$" Then
155.
   If IsEmpty (objUser.Mail) or IsNull  (objUser.Mail) Then
156.
    dp Mid (objUser.Name, 4) & " has no mailbox"
157.
   Else
158.
    If UserIsExpired (objUser, iMaxPwdAge, DAYS_FOR_EMAIL, iResult) Then
159.
     wscript.Echo "...sending an email for " & objUser.Mail
160.
     Call SendEmail (objUser, iResult)
161.
    Else
162.
     dp "...don't send an email"
163.
    End If
164.
   End If
165.
  End If
166.
 Next
167.
End Sub
168.

169.
Sub SendEmail (objUser, iResult)
170.
 Dim objMail
171.

172.
 Set objMail = CreateObject ("CDO.Message")
173.

174.
 objMail.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/sendusing")      = 2
175.
 objMail.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserver")     = SMTP_SERVER
176.
 objMail.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
177.
 objMail.Configuration.Fields.Update
178.

179.
 objMail.From     = STRFROM
180.
 objMail.To       = objUser.Mail
181.

182.
 objMail.Subject  = "Password needs to be set for " & Mid (objUser.Name, 4)
183.
 objMail.Textbody = "The active directory password for user " & objUser.userPrincipalName & _
184.
    " (" & objUser.sAMAccountName & ")" & vbCRLF & _
185.
    "will expire in " & iResult & " days. " & vbCRLF & _
186.
    "Please change it as soon as possible." & vbCRLF & vbCRLF & _
187.
    "Thank you," & vbCRLF & _
188.
    "Absendername"
189.

190.
 objMail.Send
191.

192.
 Set objMail = Nothing
193.
End Sub
194.

195.
Sub dp (str)
196.
 If bDebug Then
197.
  WScript.Echo str
198.
 End If
199.
End Sub
200.
Gruß
@clSchak
Bitte warten ..
Mitglied: Bem0815
22.10.2018 um 11:18 Uhr
Das hilft jetzt zwar nicht bei deinem Problem. Aber mal die grundlegende Frage, wozu überhaupt regelmäßig Kennwortänderungen erzwingen?

Experten raten von diesem Vorgehen schon länger ab, da es anders als vermutet die Sicherheit nicht erhöht sondern eher schwächt.

Es gab auch schon 2010 von der University of North Carolina eine Studie dazu, dass erzwungene Kennwortänderungen kontraproduktiv sind.
Die Carleton University in Otta hat sich 2016 ähnlich geäußert.

Unter anderem sorgt das nämlich dafür das die User möglicherweise eine oder mehrere der folgenden Verhaltensweisen an den Tag legen:
- User benutzt weniger komplexe Passwörter (bei ständigem Wechsel sind komplexere Passwörter zu schwierig zu merken)
- User ändert am Passwort nur ein einziges Zeichen (womöglich sogar eine Nummer die er fortlaufend erhöht, das bringt keine erhöhte Sicherheit)
- User kann sich sein aktuelles Passwort nicht mehr merken und schreibt es auf einen Zettel (oft versteckt unter der Tastatur oder ähnlichem).
- User neigt eher dazu zu viele Details in den Kennworthinweis zu schreiben.
Bitte warten ..
Mitglied: Penny.Cilin
22.10.2018 um 11:43 Uhr
@Bem0815
Im Grundprinzip hast Du recht. Aber wir wissen nicht welche Vorgaben von der Geschäftsführung / Datenschutzbeauftragten / Revision kommen.
Oftmals werden solche Vorgabe von Leuten gemacht, welche meinen dies wäre sicher.

Ich erinnere mich nur an meine Tätigkeit im Rechenzentrum, wo die SysAdmin im Mainframebereich gefordert hatten, Passwortlänge mind. 25 Zeichen, Groß-/Kleinschreibung, mind. 25 Versionen, keine Datums- / Namensinhalte, keine Initialen, usw.

Da im Rechenzentrum nicht nur die Mainframes davon betroffen, waren, sondern auch andere Betriebssysteme und Technologien gab es eine riesen Grundsatzdiskussion. Und dann kam noch der Admin, welcher meine, als Passwort für das Monitoringsystem einen ganzen Satz zu hinterlegen. - Korrekte Rechtschreibung vorausgesetzt.

Die Operatoren haben sich ganz schön darüber aufgeregt.

Gruss Penny.
Bitte warten ..
Mitglied: ichbindernikolaus
22.10.2018 um 11:50 Uhr
Moin.

Die "Alternative" dazu sind dann aber evtl. jahrelang nicht geänderte Kennwörter.
Und das kann/darf keine Alternative sein, da das ganz andere Risiken mit sich bringt.

Wie handhabt ihr das denn?
Nie ändern, über Richtlinien erzwungen ändern, über Arbeitsanweisung regelmäßig ändern lassen oder noch etwas anderes?

Gruß aus HH
Bitte warten ..
Mitglied: certifiedit.net
22.10.2018 um 11:52 Uhr
Grundsätzlich muss ein Mittelweg gefunden werden. Passwörter à la #Al7höid2"$ sind weder merkbar, noch sinnvoll (Blattpasswörter). Passwortwechsel alle 2-3 Wochen sind es ebenfalls nicht. Eine Grundsätzliche Sicherheitsstufe und eine absehbare Änderungszeit sind kombiniert am besten. Denn zu viel Komfortverlust führt zu Unsicherem Passworthandling.

VG
Bitte warten ..
Mitglied: it-frosch
22.10.2018 um 12:03 Uhr
@Penny,

und deshalb sollte man eine Password Safe benutzen.
Dann kann man beides miteinander verbindung ohne dass sich jemand aufregt.

grüße vom it-frosch
Bitte warten ..
Mitglied: Looser27
22.10.2018 um 12:06 Uhr
Back2Topic bitte.....
Bitte warten ..
Mitglied: Bem0815
22.10.2018 um 12:14 Uhr
Zitat von Penny.Cilin:

@Bem0815
Im Grundprinzip hast Du recht. Aber wir wissen nicht welche Vorgaben von der Geschäftsführung / Datenschutzbeauftragten / Revision kommen.
Oftmals werden solche Vorgabe von Leuten gemacht, welche meinen dies wäre sicher.

Genau dann sollte man diese Leute aber auch darauf aufmerksam machen, dass dem nicht so ist und es Studien gibt die das belegen. Häufig ist es ja auch so, dass die Geschäftsleitung oder der Datenschutzbeauftragte das Thema vor drölfzehn Jahren mal besprochen hatten und das damals der Stand der Dinge war. Es ist ja auch nicht die Aufgabe der Geschäftsleitung in solchen Themen Up-to-date zu sein. Dafür hat man ja ITler die das Thema dann wie gesagt ansprechen können/sollen.

Wenn die Geschäftsleitung dann natürlich weiterhin auf ihre alte Regelung beharrt dann kann man natürlich nichts machen.


Ich erinnere mich nur an meine Tätigkeit im Rechenzentrum, wo die SysAdmin im Mainframebereich gefordert hatten, Passwortlänge mind. 25 Zeichen, Groß-/Kleinschreibung, mind. 25 Versionen, keine Datums- / Namensinhalte, keine Initialen, usw.

Da im Rechenzentrum nicht nur die Mainframes davon betroffen, waren, sondern auch andere Betriebssysteme und Technologien gab es eine riesen Grundsatzdiskussion. Und dann kam noch der Admin, welcher meine, als Passwort für das Monitoringsystem einen ganzen Satz zu hinterlegen. - Korrekte Rechtschreibung vorausgesetzt.

Hier würde ich sowieso auf Passwortmanager setzen, dann sind auch so lange Passwörter kein Problem.
Ein Windows Loginpasswort ist jedoch hiervon eine Ausnahme, da häufig ohne das Loginpasswort man ja auch keinen Zugriff auf den Passwortmanager hat welcher auf dem System installiert ist. Mag Ausnahmen geben mit cloudbasierten Passwortmanagern mit Smartphone App. Aber praktikabel ist das auch nicht unbedingt.
Bitte warten ..
Mitglied: Bem0815
22.10.2018 um 12:17 Uhr
Zitat von ichbindernikolaus:

Moin.

Die "Alternative" dazu sind dann aber evtl. jahrelang nicht geänderte Kennwörter.
Und das kann/darf keine Alternative sein, da das ganz andere Risiken mit sich bringt.

Und diese wären bitte?

Solange Passwortlänge und Komplexität ausreichend sind und somit eine Bruteforce Attacke relativ unwahrscheinlich wird (oder noch besser der Account nach x falschen Passworteingaben gleich gesperrt wird) sehe ich hier keinen Grund warum auch ein Passwort dass mehrere Jahre alt ist nicht mehr sicher sein sollte.
Bitte warten ..
Mitglied: wellknown
22.10.2018 um 12:20 Uhr
… vierteljährlich, daher mache ich es bei 26 Usern noch von Hand.

WN
Bitte warten ..
Mitglied: ArnoNymous
22.10.2018 um 12:32 Uhr
Zitat von Bem0815:

Zitat von ichbindernikolaus:

Moin.

Die "Alternative" dazu sind dann aber evtl. jahrelang nicht geänderte Kennwörter.
Und das kann/darf keine Alternative sein, da das ganz andere Risiken mit sich bringt.

Und diese wären bitte?

Solange Passwortlänge und Komplexität ausreichend sind und somit eine Bruteforce Attacke relativ unwahrscheinlich wird (oder noch besser der Account nach x falschen Passworteingaben gleich gesperrt wird) sehe ich hier keinen Grund warum auch ein Passwort dass mehrere Jahre alt ist nicht mehr sicher sein sollte.

Ganz einfach, einen Punkt hast du in deiner obrigen Aufzählung nämlich vergessen: Passwörter werden auch gerne an Kollegen weitergegeben.
Beispiel:
Frau Müller ist nächste Woche nicht da und gibt Frau Schmidt für "Notfälle" (was auch immer das sein soll) ihr Kennwort. Frau Schmidt verlässt nun das Unternehmen, kennt aber noch immer das Kennwort von Frau Müller. Da Frau Schmidt neugierig ist, benutzt sie gerne mal OWA um zu schauen, was bei ihrem alten AG so abgeht.
Bitte warten ..
Mitglied: Penny.Cilin
22.10.2018 um 12:49 Uhr
Zitat von Looser27:

mein Rat hier lautet: Erziehen

Das funktioniert auch meistens....doch seltsamerweise immer dann, wenn ich im Urlaub bin, auf einmal nicht mehr.
Daher der Wunsch nach Automatisierung.
Wie schon geschrieben, gibt es eine GPO, wo man erinnert wird, wie lange das Passwort noch gültig ist. Wenn ein Anwender diesen Hinweis ignoriert, oder einfach wegklickt ohne zu lesen was angezeigt wird, dann hat er Pech gehabt.

Alternative wäre noch ein Stellvertreteradmin, welcher zumindest Passwörter zurücksetzen kann.

Gruss Penny.
Bitte warten ..
Mitglied: Bem0815
22.10.2018 um 12:56 Uhr
Zitat von ArnoNymous:

Zitat von Bem0815:

Zitat von ichbindernikolaus:

Moin.

Die "Alternative" dazu sind dann aber evtl. jahrelang nicht geänderte Kennwörter.
Und das kann/darf keine Alternative sein, da das ganz andere Risiken mit sich bringt.

Und diese wären bitte?

Solange Passwortlänge und Komplexität ausreichend sind und somit eine Bruteforce Attacke relativ unwahrscheinlich wird (oder noch besser der Account nach x falschen Passworteingaben gleich gesperrt wird) sehe ich hier keinen Grund warum auch ein Passwort dass mehrere Jahre alt ist nicht mehr sicher sein sollte.

Ganz einfach, einen Punkt hast du in deiner obrigen Aufzählung nämlich vergessen: Passwörter werden auch gerne an Kollegen weitergegeben.
Beispiel:
Frau Müller ist nächste Woche nicht da und gibt Frau Schmidt für "Notfälle" (was auch immer das sein soll) ihr Kennwort. Frau Schmidt verlässt nun das Unternehmen, kennt aber noch immer das Kennwort von Frau Müller. Da Frau Schmidt neugierig ist, benutzt sie gerne mal OWA um zu schauen, was bei ihrem alten AG so abgeht.

Naja das halte ich nicht für ein sehr praktikables Beispiel. Denn hier ist von vorneherein schon an einigen Stellen versagt worden.
Und zwar an Punkten die nicht hätten passieren dürfen.

1. Ist vertraglich zu regeln, das keine Passwörter weitergegeben werden. Keine Ausnahmen.
2. Sollten Mitarbeiter wissen, dass ein Administrator im Notfall auch diesen Zugriff geben kann.
3. Ist in IT Schulungen und Datenschutz Schulungen darauf aufmerksam zu machen, dass dieses vorhaben weder einen sinn hat (wg. Punkt 2) noch Konform mit dem gültigen Datenschutz ist (und es auch schon vor der DSGVO war).

Da halte ich es doch für wahrscheinlicher das Frau Müller und Frau Schmidt Zettel mit ihren Passwörtern unter der Tastatur kleben haben weil die sich sonst durch die häufigen Passwortwechsel das eh nicht mehr merken können.

Und ja das habe ich auch schon mehrfach erlebt und hab dann beim Kunden den Mitarbeitern erst mal den Kopf gewaschen.
Bitte warten ..
Mitglied: Bem0815
22.10.2018 um 13:00 Uhr
Zitat von Looser27:

Ich habe aus o.g. E-Mail-Benachrichtigung folgendes extrahiert und statt einer E-Mail-Benachrichtigung den Passwortwechsel eingefügt.
Kann das so funktionieren oder habe ich was übersehen?

01.
> Import-Module ActiveDirectory 
02.
> $maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge 
03.
> $today = get-date 
04.
>  
05.
> get-aduser -Filter * -Properties PasswordLastSet,GivenName,Surname -SearchBase “DC=domain,DC=local” -SearchScope Subtree | ?{$_.PasswordLastset -is [datetime]} | %{ 
06.
> 
07.
>     $diff = (($_.PasswordLastSet + $maxSpan)-$today).Days 
08.
>     if($diff <1)
09.
> 	{ 
10.
>     Set-ADUser -ChangePasswordAtLogon:$True
11.
>     } 
12.
> }
13.
> 
Gruß

Looser


Um mal zum Thema zurück zu kommen.

Wirklich praktikabel wird sich so eine Lösung nicht implementieren lassen.
Da kann man noch so tolle Scripte schreiben.

Was ist wenn das auslaufen des PW auf ein Wochenende fällt?
Gut diesen Fall könnten man noch im Script mit einberechnen.

Aber was wenn der Mitarbeiter an dem Tag gar nicht im Unternehmen ist?
Krank, Urlaub...

Dann ist der Account auch wieder gesperrt.

AFAIK ist die einzige wirklich praktikable Lösung das Script mit der Erinnerung, dass das Passwort bald ausläuft.

Das hatten wir auch bei einem Kunden im Einsatz, der unbedingt auf seine auslaufenden Passwörter beharren wollte.
Bitte warten ..
Mitglied: certifiedit.net
22.10.2018 um 13:05 Uhr
Was ist wenn das auslaufen des PW auf ein Wochenende fällt?

Schon eine Vorwarnung 4 Tage davor.

Aber was wenn der Mitarbeiter an dem Tag gar nicht im Unternehmen ist?

Dann muss er das Passwort morgens beim Einloggen ändern...

Dann ist der Account auch wieder gesperrt.

Nein...sagmal, das hört sich gerade so an, als hättest du keine Ahnung, wie das Prozedere ist, wenn ein PW ausläuft...
Bitte warten ..
Mitglied: Looser27
22.10.2018, aktualisiert um 13:42 Uhr
Was ist wenn das auslaufen des PW auf ein Wochenende fällt?

Spielt keine Rolle, denn beim nächsten Einloggen muss ein neues PW vergeben werden.

Aber was wenn der Mitarbeiter an dem Tag gar nicht im Unternehmen ist?
Krank, Urlaub...

s.o.

Der Account wird erst gesperrt, wenn versucht wird sich mit dem falschen Passwort x-mal anzumelden, also nicht, wenn das Kennwort am WE ausläuft.

Nein...sagmal, das hört sich gerade so an, als hättest du keine Ahnung, wie das Prozedere ist, wenn ein PW ausläuft...

Der Gedanke kam mir auch gerade.....
Bitte warten ..
Mitglied: Bem0815
22.10.2018, aktualisiert um 13:52 Uhr
Zitat von certifiedit.net:

Was ist wenn das auslaufen des PW auf ein Wochenende fällt?

Schon eine Vorwarnung 4 Tage davor.

Erfüllt ja das Script das clSchak gepostet hat.
Wollte der TE aber wohl nicht so haben sondern, dass automatisch sich die Maske zum Passwortwechsel öffnet.

Aber was wenn der Mitarbeiter an dem Tag gar nicht im Unternehmen ist?

Dann muss er das Passwort morgens beim Einloggen ändern...

Dann ist der Account auch wieder gesperrt.

Nein...sagmal, das hört sich gerade so an, als hättest du keine Ahnung, wie das Prozedere ist, wenn ein PW ausläuft...

Nö, mir ist sehr wohl bewusst, dass beim auslaufen des Passworts beim nächsten Anmelden die Aufforderung zum Passwortwechsel erscheint und danach alles wieder gut ist. Ich bezog meine Antwort aber auf das Szenario vom TE. Daher bitte nicht gleich vorverurteilen.

Da der TE davon gesprochen hat, dass sich eine Mitarbeiterin vom AD ausgesperrt hat ging im speziell von dem Szenario aus wo das passieren kann.

Und das ist wenn man sich an die Domäne nicht direkt an einem Rechner anmeldet, sondern wenn man nur per RDP einen Domänenaccount benutzt.

Wenn man hier nämlich das Passwort auslaufen lässt ist ein Verbinden nicht mehr möglich und man hat auch keinerlei Möglichkeit das Passwort zu ändern ohne Verbunden zu sein. Dann hat man sich tatsächlich ausgesperrt.

Gut Account gesperrt mag hier wohl die falsche Wortwahl gewesen sein, technisch gesehen ist das nicht der Fall.
Bitte warten ..
Mitglied: Penny.Cilin
22.10.2018 um 14:26 Uhr
@Looser27 um auf Deinen Satz
Ich suche mir schon ne ganze Weile nen Wolf, aber ich finde den Hinweis nicht mehr, wie man das Ändern des Passwortes morgens bei Anmeldung erzwingen kann.
zurückzukommen.

Da fällt mir jetz nur folgende Option ein:
01.
net user <username> /Domain /LOGONPASSWORDCHG:YES
ein.
Die variable <unsername> musst Du sinngemäß anpassen.

Das wäre jetzt allerdings die Brutalomethode. Alternativ könntest Du eine geplante Task erstellen, welche 1 Tag vor Ablauf die Option setzt.
Die elegantere Methode wäre:

Auslesen wann das Passwort aller Anwender abläuft, diese Information mit der Benutzerkennung in eine Datei speichern.
Dann mittels Geplante Task 1 Tag vor Ablauf des Passwortes die oben genannte Option setzen.

Ich muss mal schauen, soweit ich weiß hatte ich zu meinem Rechenzentrumzeiten mittels REXX so etwas geschrieben.

Das ist jetzt mal so ein Gedankengang als Inspiration.

P.S. Du kannst das Ablaufdatum eines Passwortes zu Beispiel mittels
01.
net user <username> /domain | find /i "Kennwort läuft ab"
bei einem deutschen Windows ermitteln.

Ich denke mal, mittels PowerShell kann man dies gut handeln

Gruss Penny.
Bitte warten ..
Mitglied: Bem0815
22.10.2018, aktualisiert um 14:43 Uhr
Zitat von Penny.Cilin:

@Looser27 um auf Deinen Satz
Ich suche mir schon ne ganze Weile nen Wolf, aber ich finde den Hinweis nicht mehr, wie man das Ändern des Passwortes morgens bei Anmeldung erzwingen kann.
zurückzukommen.

Da fällt mir jetz nur folgende Option ein:
01.
net user <username> /Domain /LOGONPASSWORDCHG:YES
ein.
Die variable <unsername> musst Du sinngemäß anpassen.

Das wäre jetzt allerdings die Brutalomethode. Alternativ könntest Du eine geplante Task erstellen, welche 1 Tag vor Ablauf die Option setzt.
Die elegantere Methode wäre:

Auslesen wann das Passwort aller Anwender abläuft, diese Information mit der Benutzerkennung in eine Datei speichern.
Dann mittels Geplante Task 1 Tag vor Ablauf des Passwortes die oben genannte Option setzen.

Ich muss mal schauen, soweit ich weiß hatte ich zu meinem Rechenzentrumzeiten mittels REXX so etwas geschrieben.

Das ist jetzt mal so ein Gedankengang als Inspiration.

P.S. Du kannst das Ablaufdatum eines Passwortes zu Beispiel mittels
01.
net user <username> /domain | find /i "Kennwort läuft ab"
bei einem deutschen Windows ermitteln.

Ich denke mal, mittels PowerShell kann man dies gut handeln

Gruss Penny.


Wenn es nur darum geht, dass nicht im laufenden Betrieb das PW abläuft könnte er sich auch ein Script schreiben, dass ihm von den AD Account das Attribut "pwdLastSet" von jedem Benutzer ausliest und in einen Wert ändert das dem gleichen Tag aber 0:01 Uhr entspricht.

Dann läuft das Passwort um 0:01 Uhr aus, was bedeutet, sobald die Mitarbeiter morgens ins Büro kommen ist direkt PW wechsel angesagt. Nicht tagsüber im laufenden Betrieb.

Das einzige was ein wenig knifflig wäre, ist dass er 2x eine Konvertierung durchführen müssten. Einmal vom FILETIME Wert zu etwas für Menschen lesbarem, dann die Uhrzeit von dem Datum auf 0:01 Uhr stellen, Tag, Monat und Jahr unberührt lassen und zurück Konvertieren zu FILETIME und den neuen Wert in pwdLastSet zurück schreiben.
Bitte warten ..
Mitglied: Looser27
23.10.2018 um 13:53 Uhr
So werte Kollegen. Nach Stunden des Studierens von diversen PowerShell-Skripten ist folgendes entstanden, nachzulesen in dieser Anleitung.
Das Skript läuft in dieser Form bei uns jetzt in der Aufgabenplanung.
Bitte warten ..
Mitglied: Bem0815
23.10.2018 um 14:30 Uhr
Ich bin jetzt nicht so wahnsinnig fit im Scripting. Deshalb mal mit Vorbehalt.

Aber fehlt da nicht noch etwas?

Wenn ich das richtig sehe sucht das Script doch nur nach dem ersten Hit eines Users bei dem das Passwort am gleichen Tab abläuft.
Was aber wenn an dem Tag die Passwörter von mehreren Usern ablaufen?

Da müsste man dann noch eine Schleife drum rum basteln die den Vorgang solange wiederholt bis kein Treffer mehr gefunden wird.

Und würde ein Set-ADUser -identity$_.Surname) nicht dazu führen, dass hier alle User mit dem gleichen Nachnamen wie bei dem gefundenen Treffer das ChangePasswordAtLogon gesetzt wird?

Hier müsste das Set-ADUser eindeutiger werden damit es nicht passieren kann, dass hier das Kriterium auf mehrere User zutreffen kann.
Bitte warten ..
Mitglied: Looser27
23.10.2018 um 15:16 Uhr
Mehrere User werden mit dem Skript erfasst.
Gleicher Nachname kommt nur vor, wenn bei beiden das Passwort im selben Zeitraum abläuft, denn das wird als erstes abgefragt.
Bitte warten ..
Mitglied: Bem0815
23.10.2018 um 15:38 Uhr
Zitat von Looser27:

Mehrere User werden mit dem Skript erfasst.
Gleicher Nachname kommt nur vor, wenn bei beiden das Passwort im selben Zeitraum abläuft, denn das wird als erstes abgefragt.

Stimmt mit dem ersten Punkt hast du recht. Hab mir das gerade nochmal angeschaut.
Da gibt PS direkt mehrere User aus. Dachte zuerst das wäre jeweils nur einer und müsste deshalb in eine Schleife gesetzt werden.

Was das Set-ADUser betrifft bin ich mir aber immer noch nicht sicher.
Es scheint mir vom Code so als würde das Set-ADUser unabhängig von der vorhergehenden Abfrage laufen.

Microsoft gibt hier als Beispiel für "Set properties for multiple users" folgendes an:

01.
PS C:\> Get-ADUser -Filter 'Name -like "*"' -SearchBase 'OU=HumanResources,OU=UserAccounts,DC=FABRIKAM,DC=COM' -Properties DisplayName | % {Set-ADUser $_ -DisplayName ($_.Surname + ' ' + $_.GivenName)}
Zwischen dem Get-ADUser und dem -Set-ADUser befindet sich noch ein % (Foreach) was darauf verweist, das dieses Set-ADUser nur auf die im Get-ADUser gefundenen User angewendet wird.

In deinem Code vermisse ich allerdings dieses Foreach. Daher gehe ich davon aus, dass er das Set-ADUser auf alle User mit dem Nachnamen anwendet, nicht nur auf die vorher gefundenen Usern bei denen das Passwort bald ausläuft.
Bitte warten ..
Mitglied: Looser27
23.10.2018 um 16:17 Uhr
Um das Problem mit dem Nachnamen zu umgehen, habe ich das Skript auf den SAMAccountname statt des Nachnamens geändert.
Das Problem mit dem Nachnamen taucht bei uns in der Firma mehrfach auf, doch da die Passwortgültigkeit zuerst abgefragt wird, müssen alle User mit dem selben Nachnamen in den selben Zeitraum fallen. Dann gibt es eine Fehlermeldung im Skript. Mit Änderung auf den SAMAccountname ist das nicht mehr der Fall.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Passwortwechsel per ldaps auf einer AD
Frage von Rheno-GermaniaVerschlüsselung & Zertifikate2 Kommentare

Hallo, folgendes Problem: wir haben eine Domain (Server 2008r2, Intanet) sowie eine Homepage (Joomla, Webspace bei der Telekom). Zur ...

Sicherheitsgrundlagen

Passwortwechsel in Unternehmen, erzwungen oder nicht?

Frage von ichbindernikolausSicherheitsgrundlagen6 Kommentare

Moin. Looser27 hat Recht, das ist in seinem Thread einfach offtopic, daher würde ich das hier gerne weiterführen. Es ...

Windows Server

Projekt: Automatisierter Passwortwechsel aller administrativen Benutzerkonten

gelöst Frage von PenetratorWindows Server10 Kommentare

Hallo zusammen, nach längerer Zeit melde ich mich mal wieder mit einen Problem, bzw. würde gerne meine geplante Vorgehensweise ...

Exchange Server

Exchange 2010 Handy synchronisiert weiter, trotz Passwortwechsel

gelöst Frage von Leo-leExchange Server3 Kommentare

Hallo zusammen, uns ist heute aufgefallen, dass bei manchen Handys die Synchronisation weiter funktioniert, trotz eines Passwortwechsels. Hat das ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 3 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
gelöst Frage von hukimanLAN, WAN, Wireless37 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Netzwerke
Subnetzmaske mit Hilfe der IP-Adresse berechnen
gelöst Frage von Jennifer21Netzwerke21 Kommentare

Hi zusammen, kann mir bitte jemand helfen bei dieser Aufgabe. Ich muss die die Subnetzsmaske berechnen von den IP-Adressen: ...

Exchange Server
Exchange 2016 550 5.7.60 SMTP Client does not have permissions to send
Frage von kermit-elmoExchange Server17 Kommentare

Hallo, ich möchte für bestimmte Mitarbeiter einen IMAP Zugang zum Firmen internen Exchange 2016 bereitstellen. Ein paar verwenden Linux ...

Batch & Shell
Batch "dir B" nebeneinander statt untereinander mit , getrennt
gelöst Frage von plentmBatch & Shell16 Kommentare

Hallo zusammen, Mein erst Post und dann doch wahrscheinlich was einfaches. Leider reichen meine Kenntnisse dafür nicht aus, daher ...