bazz
Goto Top

Per Gruppenrichtlinie User muß Passwort beim nächsten Anmelden ändern festlegen

Ich suche im Betreff genannten Flag in den Gruppenrichtlinien.

Moin,

ich möchte das die user beim nächsten Neustart und anmeldevorgang Ihr Passwort ändern müssen.
Ich habe zwar die möglichkeit Passwort darf nicht älter als X sein aber das bringt mir nix wenn leute im Urlaub sind.
Vielleicht habt ihr einen Vorschlag.
Vielen Dank.

Gruss

Content-ID: 124059

Url: https://administrator.de/forum/per-gruppenrichtlinie-user-muss-passwort-beim-naechsten-anmelden-aendern-festlegen-124059.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

Burschi
Burschi 02.09.2009 um 17:45:59 Uhr
Goto Top
Du kannst es in AD im Account setzen, per GP geht das meiner Meinung nach nicht...
Wilko1985
Wilko1985 02.09.2009 um 18:55:42 Uhr
Goto Top
Per GPO kannst du halt das MAX alter des Kennworts setzten, dann muss er nach ablaufen der Zeit beim neu Anmelden ändern....

Das Kennwort sofort ändern machst du über die AD....

Ich weis leider auch nicht ob du per GPO sagen kannst passwort beim nächsten anmelden ändern... Wäre ja auch Blödsinn in meinen Augen denn welchen User willst du auffordern, bei jedem mal starten das Kennwort zu ändern... Den User musst du dann sowieso aus der GPo rausnehemen wenn du ihn nicht nerven willst...

Was willst du denn machen?? nur kennwort ändern bei einem USER? dann AD...
bazZ
bazZ 02.09.2009 um 19:00:41 Uhr
Goto Top
Und zwar wollen wir das die user sich ein anderes kennwort bzw überhaupt ein kennwort setzen.
Allerdings wollen wir das nicht mit zeitbeschränkung sondern nur mit diesem einen Flag machen.
Wir wollen nicht jeden der 200 user manuell im AD anfassen und das häkchen setzen.
Allerdings wollen wir auch nich mit irgendwelcher Zeit arbeit von wegen einmal in 30 Tagen.
Was is wenn leute für 2 Monate im ausland sind und dann wieder kommen?
81825
81825 02.09.2009 um 19:14:31 Uhr
Goto Top
Zitat von @bazZ:
Wir wollen nicht jeden der 200 user manuell im AD anfassen und das häkchen setzen.

Was ihr wollt und was wirklich geht, sind zwei verschiedene Dinge.
Erfahrungen mit AD habe ich nicht, aber vermutlich und nach meinen Kurzrecherchen wirst du wohl nicht daran vorbeikommen,
dir entweder ein Script zu erstellen, das alle User anfasst und die Einstellung ändert oder wirklich durch 200 Konten zu navigieren.
Aber das ist unverbindlich, ich kann mich auch irren.

Was is wenn leute für 2 Monate im ausland sind und dann wieder kommen?
Dann müssen sie bei der Anmeldung das Passwort ändern. face-big-smile
Twlght667
Twlght667 02.09.2009 um 19:33:50 Uhr
Goto Top
Ich verstehe was Du meinst, aber mal realistisch überlegt. In der Zeit in der Du recherchierst, testest, verwirfst, neu recherchierst, testest etc. sind die 200 Konten doch lange durchgeklickt face-wink
bastla
bastla 02.09.2009 um 20:15:08 Uhr
Goto Top
Hallo bazZ!

Wenn Du zumindest einen 2003er Server hast, solltest Du doch im AD alle Benutzer einer OU markieren und dann das entsprechende Flag für alle setzen können ...

Grüße
bastla
Wilko1985
Wilko1985 02.09.2009 um 20:27:43 Uhr
Goto Top
Arbeiten eure leute im Ausland nicht via VPN?? Naja in meinen Augen ist das so das du nee GPO z.B. auf nee Gruppe anwenden kannst aber dann musst du Ihn da rein packen und wieder rausnehemen... Dann kannst du auch jeden einzelnd anpacken...

Ich würde eine Richtlineie erstellen so das das Kennwort in einer bestimmten Zeit geändert wird...

Alle makieren geht meine ich nicht...

Man sollte den User nicht verwöhnen sonst kannst du auch dem einen das erlauben dem anderen das...

Also gesamte GPO übers Netzwerk alle zwei Monate ändern fertig....
bazZ
bazZ 02.09.2009 um 20:33:12 Uhr
Goto Top
Ne leider kann ich nich alle markieren und dann haken setzen.
Wenn hier keinder ne lösung weiss dann muss ich das wohl mit der haltbarkeit des Passworts irgendwie lösen.
Schade, wäre auch zu schön um wahr zu sein gewesen.
bastla
bastla 02.09.2009 um 21:35:04 Uhr
Goto Top
Hallo bazZ!

Dann wirst Du wohl ein VBScript brauchen:
Set objOU = GetObject("LDAP://ou=DeineOU,dc=firma,dc=local")  
Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
 
For Each objUser In objOU
    If objUser.Class = "user" Then  
        intUserAccountControl = objUser.Get("userAccountControl")  
        If objUser.userAccountControl And ADS_UF_DONT_EXPIRE_PASSWD Then
            objUser.Put "userAccountControl", objUser.userAccountControl XOr ADS_UF_DONT_EXPIRE_PASSWD  
            objUser.SetInfo
        End If

        objUser.Put "PwdLastSet", 0  
        objUser.SetInfo
   End If
Next
WScript.Echo "Fertig."  
Falls "Kennwort läuft nie ab" gesetzt ist, wird dieses Einstellung rückgängig gemacht (da sie im Widerspruch zu "Benutzer muss Kennwort bei nächster Anmeldung ändern" steht).

Grüße
bastla
dog
dog 02.09.2009 um 22:08:40 Uhr
Goto Top
ADModify.NET sollte dir helfen

Grüße

Max
bazZ
bazZ 03.09.2009 um 09:39:16 Uhr
Goto Top
Danke dog, kannst du mir kurz erklären was das tool macht und was ich da machen muss?
Danke auch für das script, wenn das mit dem admodify fehlschlägt dann nehm ich das script...
DerWoWusste
DerWoWusste 03.09.2009 um 21:38:20 Uhr
Goto Top
Nur mal nebenbei: so sieht es bei 2008 aus:
http://www.250kb.de/u/090903/g/11ca6e87.gif
bastla
bastla 03.09.2009 um 21:57:28 Uhr
Goto Top
@DerWoWusste
... und damit gleich wie bei 2003 - was den Schluss zulässt (eine diesbezügliche Information gibt es ja weiterhin nicht), dass bazZ noch 2000 (wo es tatsächlich so nicht geht) verwendet ...

Grüße
bastla
bazZ
bazZ 03.09.2009 um 22:38:52 Uhr
Goto Top
Interessant was hier so fuer Vermutungen angestellt werden ohne das ich was gesagt habe, zum Schluss hab ich noch nen linuxserver an dem lauter Macs angebunden sind... face-big-smile ne Spaß beiseite, ich hab nen 2003er wie Ein Vorredner bereits sagte.
Das mit der loesung von dog/max wird mir wohl weiterhelfen, vielen dank.

P.S.: wo finde ich denn die Funktion properties for multiple items unter 2003?
DerWoWusste
DerWoWusste 03.09.2009 um 22:47:06 Uhr
Goto Top
Interessant was hier so fuer Vermutungen angestellt werden ohne das ich was gesagt habe
nicht ohne, sondern weil Du nichts angegeben hast face-smile
Für die Antwort musst Du auf Bastla warten. Bei 2008: 2 oder mehr Userobjekte auswählen, Rechtsklick - Eigenschaften.
bastla
bastla 03.09.2009 um 22:50:51 Uhr
Goto Top
Hallo bazZ!

Wäre Dir vielleicht auch die Idee gekommen, dass Vermutungen angestellt werden, weil Du nix gesagt hast ... face-wink

wo finde ich denn die Funktion properties for multiple items unter 2003?
In einem englischen Windows ...


... ansonsten, indem Du mehrere / alle User markierst (hatte ich das schon erwähnt?) und im Kontextmenü "Eigenschaften" wählst (das hatte ich tatsächlich nicht dazugesagt) ...

Grüße
bastla
81825
81825 03.09.2009 um 22:51:51 Uhr
Goto Top
Zitat von @bazZ:
Interessant was hier so fuer Vermutungen angestellt werden ohne das
ich was gesagt habe,
Ich finde es viel interessanter und auch bedauerlich, dass sich User bereitfinden, dir trotz deiner hingerotzen Frage überhaupt zu antworten, anstatt mit einer passenden Bewertung dafür zu sorgen, dass deine Frage gleich im Papierkorb landet.

just my 2 ct.
DerWoWusste
DerWoWusste 03.09.2009 um 23:11:46 Uhr
Goto Top
Ja genau, immer diese Gutmenschen...können einem echt den Tag vermiesen.
bazZ
bazZ 04.09.2009 um 07:39:40 Uhr
Goto Top
Ich entschuldige mich hiermit foermlichst und gehe jetzt zum weinen in die Ecke!

Mensch einige sehen das leben wirklich zu verbissen und koennen keinen Spaß ab!

Aber ich werde den threat jetzt selbst in den Papierkorb werfen.
Danke an alle die den Spaß verstanden haben und mir geholfen haben.

Gruß