badwolf
Goto Top

Windows credential ändern - "wieder vorne anfangen"

Hallo hier vielleicht eine nur kleine Frage:
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.
Soweit so gut.

Wie es natürlich bei vielen Usern üblich ist wird dann ein Kennwort benutzt und eine Zahl dran gehangen. Über die Sicherheit möchte ich hier nicht reden, aber:
Ein User kommt auf mich zu und sagt, er ist nun schon bei 25 und darf die 1 nicht benutzen - er würde gerne wieder vorne anfangen.

in den Anmeldeinformationen, sowohl lokal als auch auf einen Terminalserver war hier nichts zu finden.
Wo werden die Kennwörter gecached? wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?

Wäre schön, wenn hier jemand unterstützen kann.

Content-ID: 459148

Url: https://administrator.de/contentid/459148

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

Kraemer
Kraemer 06.06.2019 um 13:39:53 Uhr
Goto Top
Moin,
Zitat von @BADwolf:
gemäß GPO muss ein User nach 2 Monaten das Kennwort ändern. 13 Änderungen darf das gleiche Kennwort nicht benutzt werden.

wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?

in dem du ihm sagst, dass man das so eigentlich nicht mehr macht und ihr eine neue aktuelle Strategie in der Firma einführt.

Gruß
BADwolf
BADwolf 06.06.2019 um 14:09:10 Uhr
Goto Top
wie schon gesagt ich möchte hier nicht über die Sicherheit diskutieren. Irgendwie muss es ja möglich sein, die gecacheten Kenwörter zu löschen. Bei den anderen Usern geht es ja problemlos.
Es wurde schon immer so gemacht und es soll nur der alte Zustand wieder her.
Dani
Dani 06.06.2019 aktualisiert um 16:03:28 Uhr
Goto Top
Moin,
Ein User kommt auf mich zu und sagt, er ist nun schon bei 25 und darf die 1 nicht benutzen - er würde gerne wieder vorne anfangen.
Der Mitarbeiter ist aber schon über 26 Monate bei dem Unternehmen angestellt? Sicher ist sicher...

in den Anmeldeinformationen, sowohl lokal als auch auf einen Terminalserver war hier nichts zu finden.
Das ist auch Sache des Domain Controllers bzw. Active Directory. Da kannst du lange auf allen anderen Systemen suchen - du wirst nichts finden.

Wo werden die Kennwörter gecached?
Nirgends.

wie kann ich hier dem Kunden "befriedigen" dass er sich wieder bei mit Kennwort + 1 anmelden kann?
a) Du änderst temporär die 13 auf 0. Lässt den Benutzer sein Passwort ändern.
b) Microsoft Support Case eröffnen.
c) Anlaufpunkt ist C:\Windows\System32\config. Dort in den Dateidanbanken ist das Geheimnis versteckt, wenn ich das von meiner AD Schulung noch richtig im Kopf habe.
d) Greifst auf 3rd Party Tools wie Reset Windows Password von Passcape Software zurück. Wobei ich da ein mulmiges Gefühl hätte...


Gruß,
Dani
tomolpi
tomolpi 06.06.2019 aktualisiert um 23:04:26 Uhr
Goto Top
Hi,

Ich erinnere mich da an was...
Hab gerade nachgesehen, es gibt folgende GPO:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Bild (sorry fürs pixlige, ist vom iPad):
unbenannt
Das hilft dir sicher face-smile
Meine Domäne hat die 2016er Funktionsebene. Die GPO habe ich eben neu erstellt zum Testen, sollte also wahrscheinlich bei dir ähnlich sein. So ist sie bei mir natürlich nicht im Einsatz face-wink

LG
tomolpi
Dani
Dani 07.06.2019 um 09:22:00 Uhr
Goto Top
Moin @tomolpi,
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Ist doch die selbe Option wie er gesetzt hat, oder? Eine andere Richtlinie für den Zweck ist mir nicht bekannt.


Gruß,
Dani
tomolpi
Lösung tomolpi 07.06.2019 um 10:01:02 Uhr
Goto Top
Zitat von @Dani:

Moin @tomolpi,
Hallo Dani,
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien -> Kennwortchronik erzwingen
Ist doch die selbe Option wie er gesetzt hat, oder? Eine andere Richtlinie für den Zweck ist mir nicht bekannt.
Da hast du wahrscheinlich Recht, das habe ich übersehen.
Vielleicht hat er ja auch etwas anderes gemeint - oder entsprechende Richtlinie kommt an dem Client garnicht erst an🤔

Gruß,
Dani
tomolpi