andy_mann Geschrieben 1. Februar 2005 Teilen Geschrieben 1. Februar 2005 Hallo Leute, nochmals eine Frage, ich möchte den Benutzer die sich an meiner Domäne anmelden eine Automatische Passworterneuerung anbieten. Nach einer bestimmten Zeit muß das Passwort erneuert werden, es dürfen nicht hintereinander gleiche Passworter vergeben werden. Unter NT Server ging das. Weis da jemand was ich finde da nichts... Gruß und Danke andy_mann Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 2. Februar 2005 Teilen Geschrieben 2. Februar 2005 Generell gelten Kennwortrichtlinien Domänenweit und sind nur über die Default Domain Policy konfigurierbar. Alle anderen Richtlinien werden nur auf die lokalen Richtlinine angewendet. Also bearbeiten der Default Domain Policy. Solltest Du GPMC (Gruppenrichtlinienverwaltungskonsole, gibts bei MS zum Download) verwenden, findest Du diese im Container Gruppenrichtlinienobjekte, oder als Verknüpfung auf Domänenebene. Nutzt Du GPMC nicht, findest Du die Policy in den Eigenschaften der Domäne, also Active Directory Users and Computers - Domäne - Eigenschaften - Gruppenrichtlinien - Default Domain Policy. In der Policy findest Du die Einstellungen unter Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen Kontorichtlinien Immer daran denken, beim bearbeiten von Policys, die müssen nicht gespeicherte werden um aktiv zu werden. Jede Änderung wird unmittelbar in die Registry geschrieben und ist sofort gültig. Um den Benutzer zu zwingen sein Kennwort zu ändern einfach in der Benutzeverwaltung (Active Directory users and Computers) die Eigenschaften des jeweiligen Benutzers öffnen und auf der Registerkarte Konto einen Haken bei Benutzer muss Kennwort bei der nächsten Anmeldung ändern setzen. Sollte das AD etwas grösser sein (jede Menge Benutzer) lässt sich das denke ich auch über dsmod skripten, das sollen Dir aber die Skriptprofis erklären. Hoffe das hilft erstmal. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
andy_mann Geschrieben 2. Februar 2005 Autor Teilen Geschrieben 2. Februar 2005 Vielen Dank für die Ausführliche erklärung. Werde ich dann gleich mal austesten. Gruß andy_mann Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 2. Februar 2005 Teilen Geschrieben 2. Februar 2005 Man kann auch per kennwortrichtlinie definieren das ein user sein Kennwort nach einer bestimmten zeit ändern muß etc. Dazu sind keinerlei Einstellungen in jedem userprofil nötig... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 3. Februar 2005 Teilen Geschrieben 3. Februar 2005 Man kann auch per kennwortrichtlinie definieren das ein user sein Kennwort nach einer bestimmten zeit ändern muß etc. Dazu sind keinerlei Einstellungen in jedem userprofil nötig... mfg cane Na, war ja oben schon beschrieben. Trifft aber erstmal nur auf das maximale Kennwortalter zu. Falls die Adhoc Erzwingung der Kennwortänderung auch via GPO funktioniert, klär mich bitte auf. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Lloyd Christmas Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Hallo, wollte keinen neuen Thread aufmachen und ich würde gern wissen, ob man das "ändern des Kennworts" als Gruppenrichtlinie nicht komplett deaktivieren kann? Oder muss ich in jedes Konto rein und dieses Häckchen setzen? Das ist nämlich umständlich. Oder reicht es, wenn ich als max. alter des Kennworts einfach 900 Tage eintrage. Ich finde nämlich diesen Eintrag nirgendwo um das Erzwingen der Kennwortänderung zu deaktivieren... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Das maximale Kennwortalter sind 999 Tage. Ich kenne keine Möglichkeit via GPO das ganz zu unterbinden. Einzige Möglichkeit die ich kenne das zu erreichen ist die Änderung durch den User verhindern, also im Konto. damit das nicht so umständlich wird könnte man das natürlich skripten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Lloyd Christmas Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Das maximale Kennwortalter sind 999 Tage. Ich kenne keine Möglichkeit via GPO das ganz zu unterbinden. Einzige Möglichkeit die ich kenne das zu erreichen ist die Änderung durch den User verhindern, also im Konto. damit das nicht so umständlich wird könnte man das natürlich skripten. Aha... klingt ja interessant. Und wie sieht dann so ein Skript aus? Müssen dann dort alle Benutzer drin stehen und dahinter irgendwelche BUchstaben für die Attribute? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Ihr wollt einen User 999 Tage das gleiche Passwort nutzen lassen? Sind eure unternehmensinternen Daten so wenig wert oder lasst ihr euch von den Benutzern aufs Dach steigen? Ich finde das ist unverantwortlich! Aber wenns denn sein muß folgende Ideen: Es gibt eine Administrative Vorlage "System" --> "Anmeldung / Abmeldung" in der man "Kennwortänderung deaktivieren" definieren kann. Vielleicht bringr das was... Falls die Adhoc Erzwingung der Kennwortänderung auch via GPO funktioniert, klär mich bitte auf. Ich würde in der Kennwortrichtlinie wie Du beschrieben hast das maximale Kennwortalter temporär runtersetzen und alle User bitten sich neu anzumelden. Ist zwar nur eine teilweise Lösung aber immerhin... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Ihr wollt einen User 999 Tage das gleiche Passwort nutzen lassen? Sind eure unternehmensinternen Daten so wenig wert oder lasst ihr euch von den Benutzern aufs Dach steigen? Ich finde das ist unverantwortlich! Full ACK Aber wenns denn sein muß folgende Ideen: Es gibt eine Administrative Vorlage "System" --> "Anmeldung / Abmeldung" in der man "Kennwortänderung deaktivieren" definieren kann. Vielleicht bringr das was... Das betrifft denke ich nur die Möglichkeit des Users zur ÄAnderung des Kennwortes über die Sicherheitskonsole (Strg-Alt-Entf im Betrieb). Dann wir die Kennwortänderung ausgeblendet. Ich würde in der Kennwortrichtlinie wie Du beschrieben hast das maximale Kennwortalter temporär runtersetzen und alle User bitten sich neu anzumelden. Ist zwar nur eine teilweise Lösung aber immerhin... Das sollte zumindest als Workaround funktioniern. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Lloyd Christmas Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Full ACK Das betrifft denke ich nur die Möglichkeit des Users zur ÄAnderung des Kennwortes über die Sicherheitskonsole (Strg-Alt-Entf im Betrieb). Dann wir die Kennwortänderung ausgeblendet. Das sollte zumindest als Workaround funktioniern. Moment.... also wie war das doch gleich mit dem Script??? Die Daten unserer User sind so unwichtig bz.w uninteressant, dass man das Kennwortalter auf 999999 Tage setzten könnte... Ich will nur nicht bei jedem dem 300 User aufs Konto klicken und überall ein Häckchen setzen müssen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Also, für W2K3 http://support.microsoft.com/default.aspx?scid=kb;de;322684 http://support.microsoft.com/kb/298882/en-us Für den Einsatz der 2003 Verwaltungsprogramme: http://support.microsoft.com/default.aspx?scid=kb;de;325465 Skriptbeispiele (W2K sollten aber auch unter W2K3 laufen) http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default.mspx Sollte erstmal reichen. Für W2K hab ich auf die schnelle nix gefunden, sollte aber in der Kommandozeilen-Referenz mit drin sein. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Die Daten unserer User sind so unwichtig bz.w uninteressant, dass man das Kennwortalter auf 999999 Tage setzten könnte... Ich will nur nicht bei jedem dem 300 User aufs Konto klicken und überall ein Häckchen setzen müssen. Datenschutz und Datensicherheit sagt dir schon etwas? Wenn was passiert und Du der Sysadmin bist wird dein Verhalteneventuell als grob fahrlässig gewertet und Du bist rechtlich belangbar! Deine administrativen Paswörter sind warscheinlich auch nur sechsstellig und werden alle zwei Jahre geändert. Oder gleichem deinem Freemailder Passwort? Woher ich das wohl weiß... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Lloyd Christmas Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Datenschutz und Datensicherheit sagt dir schon etwas? Wenn was passiert und Du der Sysadmin bist wird dein Verhalteneventuell als grob fahrlässig gewertet und Du bist rechtlich belangbar! Deine administrativen Paswörter sind warscheinlich auch nur sechsstellig und werden alle zwei Jahre geändert. Oder gleichem deinem Freemailder Passwort? Woher ich das wohl weiß... mfg cane Danke Cane. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Lieber Markus, das "Danke Cane" in Kombination mit deiner netten PN von wegen "wichtig machen", "nicht wissen wie das Szenario aussieht" und "besser erst informieren" kann ich nicht ganz nachvollziehen. Vielleicht solltest Du das Szenario beschreiben - dann kann ichs nachvollziehen... Du kommst aus dem Medical-Sektor, hast bei einer Krankenkasse in der IT gearbeitet. Da müßtest Du ja über alle geltenden Gesetze im Bereich Datenschutz informiert sein. Gerade deswegen verstehe ich dich nicht... Meine Meinung hat nichts mit wichtig machen zu tun sondern resultiert aus Erfahrungen, wie wenig man sich darauf verlassen kann, dass Andere das Thema IT-Security bzw. Datenschutz als genauso wichtig erachten wie man selbst. Ich könnte ....... wenn ich sehe wie Noobs dedizierte Server im Internet ungesichert betreiben und Privatleute ihre nicht gepatchten Systeme 24h ans Internet hängen. Vielfach ist Unwissen im Spiel - oft aber auch Faulheit und Dummheit. Und wenn ich da von einem ausgebildeten Fachinformatiker höre, dass die Vergabe und Änderung von Passwörtern so gehandhabt wird werde ich nachdenklich... Ich wollte dich zu keiner Zeit persönlich angreifen sondern Fakten klarstellen! mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Lloyd Christmas Geschrieben 13. April 2005 Teilen Geschrieben 13. April 2005 Lieber Markus, das "Danke Cane" in Kombination mit deiner netten PN von wegen "wichtig machen", "nicht wissen wie das Szenario aussieht" und "besser erst informieren" kann ich nicht ganz nachvollziehen. Vielleicht solltest Du das Szenario beschreiben - dann kann ichs nachvollziehen... Du kommst aus dem Medical-Sektor, hast bei einer Krankenkasse in der IT gearbeitet. Da müßtest Du ja über alle geltenden Gesetze im Bereich Datenschutz informiert sein. Gerade deswegen verstehe ich dich nicht... Meine Meinung hat nichts mit wichtig machen zu tun sondern resultiert aus Erfahrungen, wie wenig man sich darauf verlassen kann, dass Andere das Thema IT-Security bzw. Datenschutz als genauso wichtig erachten wie man selbst. Ich könnte ....... wenn ich sehe wie Noobs dedizierte Server im Internet ungesichert betreiben und Privatleute ihre nicht gepatchten Systeme 24h ans Internet hängen. Vielfach ist Unwissen im Spiel - oft aber auch Faulheit und Dummheit. Und wenn ich da von einem ausgebildeten Fachinformatiker höre, dass die Vergabe und Änderung von Passwörtern so gehandhabt wird werde ich nachdenklich... Ich wollte dich zu keiner Zeit persönlich angreifen sondern Fakten klarstellen! mfg cane Für solche Kommentare gibt es das private Nachrichtensystem. Falls Du noch fragen hast, kannst Du mir gerne eine PN schicken. M f G Ich Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.