Hallo zusammen, okay - zugegeben mein Titel klingt was bresig aber ich stehe gerade vor einer Frage die mir nicht aus dem Kopf geht.

Zur Situation.

Ich verwalte die Benutzerkonten von circa 160 Objekten aufgeteilt in drei OU´s.

Mein vorhaben ist es, mit Hilfe eines Tasks, die Leute dazu aufzuvorden alle drei Monate ihr Passwort zu ändern.

Zur Zeit ist dies ja alles manuell zu bewältigen, im AD das Häckchen setzen....

Ich habe eine batch geschreiben die das Häckchen automatisch setzt,

dass sieht wie folgt aus:

dsmod user "CN=vorname nachname,OU=...,OU=...OU=...,OU=...,DC=...,DC=...,DC=..." -pwdneverexpires no -mustchpwd yes

Nun möchte ich aber nicht jeden einzelnen user von Hand eingeben...

gibt es da eine Möglichkeit, evtl mit dem dsquery, nach alles zu suchen und das dann zu pipen?

Wäre für Antworten sehr dankbar!!

Liebe Grüße

Chrisa

warum nicht einfach über ne gruppenrichtlinie sagen "ihr müsst alle 90 tage euer pw ändern"?

am besten in der default domain policy unter computerkonfguration --- sicherheitseinstellungen --- kontoeinstellungen --- kenwortrichtlinie den punkt maximales kennwortalter auf 90 stellen

dann werden deine user alle 90 tage aufgefordert eine neues pw einzugeben bzw eine gewisse zeit vorher aber nach 90 tagen müssen sie es ändern

Verschoben: Windows.

Hallo,

ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen.

Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen.

Shrek

Hallo,

ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen.

Full ACK, hier sollte aber auch dei Thematik minimales Kennwortalter, und Kennworthistorie betrachtet werden

Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen.

Shrek

No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm

No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm

Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy

Tut mir Leid aber deine Aussage ist falsch. Kennwortrichtlinien lassen sich nur Domänenweit anlegen, sie müssen aber nicht in der Default Domain Policy angelegt werden, wie die von dir zitierte Quelle bestätigt.

Auch ein neues Template auf Domänenebene erfüllt diesen Zweck.

Shrek

Muss ich Dir Recht geben, allerdings wie beschrieben bevorzugt in der Default Domein Policy.

Hintergrund sind hier Performance Gedanken, da die Anmeldung und Verarbeitung der GPO´s mit zunehmender Zahl von Policys deutlich länger dauert.

Ein Einsatz einer Policy die nur Einstellungen der Kennwortrichtlinie beinhaltet ist daher wahnsinnig ineffektiv. Wenn man dieses System auf alle Policys anwenden würde, kämen am Ende 20 oder mehr Policys pro Objekt heraus und wir wären bei irre langen Anmeldezeiten. Auch die Fehlersuche bei der Verarbeitung von GPO´s wird dadurch zunehmend erschwert.

Hallo,

ich persönlich sehe es genau andersherum, aber scheint eine Ansichtssache zu sein und ist hier nicht Thema.

Guten Wochenstart,

Shrek