6
Windows credential ändern - "wieder vorne anfangen"
Hallo hier vielleicht eine nur kleine Frage:
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.
Soweit so gut.
Wie es natürlich bei vielen Usern üblich ist wird dann ein Kennwort benutzt und eine Zahl dran gehangen. Über die Sicherheit möchte ich hier nicht reden, aber:
Ein User kommt auf mich zu und sagt, er ist nun schon bei 25 und darf die 1 nicht benutzen - er würde gerne wieder vorne anfangen.
in den Anmeldeinformationen, sowohl lokal als auch auf einen Terminalserver war hier nichts zu finden.
Wo werden die Kennwörter gecached? wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?
Wäre schön, wenn hier jemand unterstützen kann.
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.
Soweit so gut.
Wie es natürlich bei vielen Usern üblich ist wird dann ein Kennwort benutzt und eine Zahl dran gehangen. Über die Sicherheit möchte ich hier nicht reden, aber:
Ein User kommt auf mich zu und sagt, er ist nun schon bei 25 und darf die 1 nicht benutzen - er würde gerne wieder vorne anfangen.
in den Anmeldeinformationen, sowohl lokal als auch auf einen Terminalserver war hier nichts zu finden.
Wo werden die Kennwörter gecached? wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?
Wäre schön, wenn hier jemand unterstützen kann.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 459148
Url: https://administrator.de/contentid/459148
Printed on: April 19, 2024 at 07:04 o'clock
6 Comments
Latest comment
Moin,
in dem du ihm sagst, dass man das so eigentlich nicht mehr macht und ihr eine neue aktuelle Strategie in der Firma einführt.
Gruß
Zitat von @BADwolf:
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.
wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?
in dem du ihm sagst, dass man das so eigentlich nicht mehr macht und ihr eine neue aktuelle Strategie in der Firma einführt.
Gruß
wie schon gesagt ich möchte hier nicht über die Sicherheit diskutieren. Irgendwie muss es ja möglich sein, die gecacheten Kenwörter zu löschen. Bei den anderen Usern geht es ja problemlos.
Es wurde schon immer so gemacht und es soll nur der alte Zustand wieder her.
Es wurde schon immer so gemacht und es soll nur der alte Zustand wieder her.
Moin,
b) Microsoft Support Case eröffnen.
c) Anlaufpunkt ist C:\Windows\System32\config. Dort in den Dateidanbanken ist das Geheimnis versteckt, wenn ich das von meiner AD Schulung noch richtig im Kopf habe.
d) Greifst auf 3rd Party Tools wie Reset Windows Password von Passcape Software zurück. Wobei ich da ein mulmiges Gefühl hätte...
Gruß,
Dani
Ein User kommt auf mich zu und sagt, er ist nun schon bei 25 und darf die 1 nicht benutzen - er würde gerne wieder vorne anfangen.
Der Mitarbeiter ist aber schon über 26 Monate bei dem Unternehmen angestellt? Sicher ist sicher...in den Anmeldeinformationen, sowohl lokal als auch auf einen Terminalserver war hier nichts zu finden.
Das ist auch Sache des Domain Controllers bzw. Active Directory. Da kannst du lange auf allen anderen Systemen suchen - du wirst nichts finden.Wo werden die Kennwörter gecached?
Nirgends.wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?
a) Du änderst temporär die 13 auf 0. Lässt den Benutzer sein Passwort ändern.b) Microsoft Support Case eröffnen.
c) Anlaufpunkt ist C:\Windows\System32\config. Dort in den Dateidanbanken ist das Geheimnis versteckt, wenn ich das von meiner AD Schulung noch richtig im Kopf habe.
d) Greifst auf 3rd Party Tools wie Reset Windows Password von Passcape Software zurück. Wobei ich da ein mulmiges Gefühl hätte...
Gruß,
Dani
Hi,
Ich erinnere mich da an was...
Hab gerade nachgesehen, es gibt folgende GPO:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Bild (sorry fürs pixlige, ist vom iPad):
Das hilft dir sicher 
Meine Domäne hat die 2016er Funktionsebene. Die GPO habe ich eben neu erstellt zum Testen, sollte also wahrscheinlich bei dir ähnlich sein. So ist sie bei mir natürlich nicht im Einsatz
LG
tomolpi
Ich erinnere mich da an was...
Hab gerade nachgesehen, es gibt folgende GPO:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Bild (sorry fürs pixlige, ist vom iPad):
Meine Domäne hat die 2016er Funktionsebene. Die GPO habe ich eben neu erstellt zum Testen, sollte also wahrscheinlich bei dir ähnlich sein. So ist sie bei mir natürlich nicht im Einsatz
LG
tomolpi
Moin @tomolpi,
Gruß,
Dani
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Ist doch die selbe Option wie er gesetzt hat, oder? Eine andere Richtlinie für den Zweck ist mir nicht bekannt.Gruß,
Dani
Hallo Dani,
Da hast du wahrscheinlich Recht, das habe ich übersehen.
Vielleicht hat er ja auch etwas anderes gemeint - oder entsprechende Richtlinie kommt an dem Client garnicht erst an🤔
Gruß,
Dani
tomolpi
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Ist doch die selbe Option wie er gesetzt hat, oder? Eine andere Richtlinie für den Zweck ist mir nicht bekannt.Vielleicht hat er ja auch etwas anderes gemeint - oder entsprechende Richtlinie kommt an dem Client garnicht erst an🤔
Gruß,
Dani
