Zum Inhalt springen

Automatischer Paswort erneuerung in WIN2K Domaine


andy_mann

Empfohlene Beiträge

Hallo Leute,

nochmals eine Frage, ich möchte den Benutzer die sich an meiner Domäne anmelden eine Automatische Passworterneuerung anbieten.

Nach einer bestimmten Zeit muß das Passwort erneuert werden, es dürfen nicht hintereinander gleiche Passworter vergeben werden.

Unter NT Server ging das.

Weis da jemand was ich finde da nichts...

Gruß und Danke

andy_mann

Link zu diesem Kommentar
Auf anderen Seiten teilen

Generell gelten Kennwortrichtlinien Domänenweit und sind nur über die Default Domain Policy konfigurierbar. Alle anderen Richtlinien werden nur auf die lokalen Richtlinine angewendet.

Also bearbeiten der Default Domain Policy.

Solltest Du GPMC (Gruppenrichtlinienverwaltungskonsole, gibts bei MS zum Download) verwenden, findest Du diese im Container Gruppenrichtlinienobjekte, oder als Verknüpfung auf Domänenebene. Nutzt Du GPMC nicht, findest Du die Policy in den Eigenschaften der Domäne, also Active Directory Users and Computers - Domäne - Eigenschaften - Gruppenrichtlinien - Default Domain Policy.

In der Policy findest Du die Einstellungen unter Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen Kontorichtlinien

Immer daran denken, beim bearbeiten von Policys, die müssen nicht gespeicherte werden um aktiv zu werden. Jede Änderung wird unmittelbar in die Registry geschrieben und ist sofort gültig.

Um den Benutzer zu zwingen sein Kennwort zu ändern einfach in der Benutzeverwaltung (Active Directory users and Computers) die Eigenschaften des jeweiligen Benutzers öffnen und auf der Registerkarte Konto einen Haken bei Benutzer muss Kennwort bei der nächsten Anmeldung ändern setzen.

Sollte das AD etwas grösser sein (jede Menge Benutzer) lässt sich das denke ich auch über dsmod skripten, das sollen Dir aber die Skriptprofis erklären.

Hoffe das hilft erstmal.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Man kann auch per kennwortrichtlinie definieren das ein user sein Kennwort nach einer bestimmten zeit ändern muß etc.

Dazu sind keinerlei Einstellungen in jedem userprofil nötig...

mfg

cane

Na, war ja oben schon beschrieben.

Trifft aber erstmal nur auf das maximale Kennwortalter zu.

Falls die Adhoc Erzwingung der Kennwortänderung auch via GPO funktioniert, klär mich bitte auf.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Monate später...

Hallo,

wollte keinen neuen Thread aufmachen und ich würde gern wissen, ob man das "ändern des Kennworts" als Gruppenrichtlinie nicht komplett deaktivieren kann?

Oder muss ich in jedes Konto rein und dieses Häckchen setzen? Das ist nämlich umständlich.

Oder reicht es, wenn ich als max. alter des Kennworts einfach 900 Tage eintrage.

Ich finde nämlich diesen Eintrag nirgendwo um das Erzwingen der Kennwortänderung zu deaktivieren...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das maximale Kennwortalter sind 999 Tage. Ich kenne keine Möglichkeit via GPO das ganz zu unterbinden.

Einzige Möglichkeit die ich kenne das zu erreichen ist die Änderung durch den User verhindern, also im Konto. damit das nicht so umständlich wird könnte man das natürlich skripten.

Aha... klingt ja interessant. Und wie sieht dann so ein Skript aus?

Müssen dann dort alle Benutzer drin stehen und dahinter irgendwelche BUchstaben für die Attribute?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ihr wollt einen User 999 Tage das gleiche Passwort nutzen lassen?

Sind eure unternehmensinternen Daten so wenig wert oder lasst ihr euch von den Benutzern aufs Dach steigen?

Ich finde das ist unverantwortlich!

Aber wenns denn sein muß folgende Ideen:

Es gibt eine Administrative Vorlage "System" --> "Anmeldung / Abmeldung" in der man "Kennwortänderung deaktivieren" definieren kann. Vielleicht bringr das was...

Falls die Adhoc Erzwingung der Kennwortänderung auch via GPO funktioniert, klär mich bitte auf.

Ich würde in der Kennwortrichtlinie wie Du beschrieben hast das maximale Kennwortalter temporär runtersetzen und alle User bitten sich neu anzumelden. Ist zwar nur eine teilweise Lösung aber immerhin...

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ihr wollt einen User 999 Tage das gleiche Passwort nutzen lassen?

Sind eure unternehmensinternen Daten so wenig wert oder lasst ihr euch von den Benutzern aufs Dach steigen?

Ich finde das ist unverantwortlich!

Full ACK

Aber wenns denn sein muß folgende Ideen:

Es gibt eine Administrative Vorlage "System" --> "Anmeldung / Abmeldung" in der man "Kennwortänderung deaktivieren" definieren kann. Vielleicht bringr das was...

Das betrifft denke ich nur die Möglichkeit des Users zur ÄAnderung des Kennwortes über die Sicherheitskonsole (Strg-Alt-Entf im Betrieb). Dann wir die Kennwortänderung ausgeblendet.

Ich würde in der Kennwortrichtlinie wie Du beschrieben hast das maximale Kennwortalter temporär runtersetzen und alle User bitten sich neu anzumelden. Ist zwar nur eine teilweise Lösung aber immerhin...

Das sollte zumindest als Workaround funktioniern.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Full ACK

Das betrifft denke ich nur die Möglichkeit des Users zur ÄAnderung des Kennwortes über die Sicherheitskonsole (Strg-Alt-Entf im Betrieb). Dann wir die Kennwortänderung ausgeblendet.

Das sollte zumindest als Workaround funktioniern.

Moment.... also wie war das doch gleich mit dem Script???

Die Daten unserer User sind so unwichtig bz.w uninteressant, dass man das Kennwortalter auf 999999 Tage setzten könnte... Ich will nur nicht bei jedem dem 300 User aufs Konto klicken und überall ein Häckchen setzen müssen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also, für W2K3

http://support.microsoft.com/default.aspx?scid=kb;de;322684

http://support.microsoft.com/kb/298882/en-us

Für den Einsatz der 2003 Verwaltungsprogramme:

http://support.microsoft.com/default.aspx?scid=kb;de;325465

Skriptbeispiele (W2K sollten aber auch unter W2K3 laufen)

http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default.mspx

Sollte erstmal reichen. Für W2K hab ich auf die schnelle nix gefunden, sollte aber in der Kommandozeilen-Referenz mit drin sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die Daten unserer User sind so unwichtig bz.w uninteressant, dass man das Kennwortalter auf 999999 Tage setzten könnte... Ich will nur nicht bei jedem dem 300 User aufs Konto klicken und überall ein Häckchen setzen müssen.

Datenschutz und Datensicherheit sagt dir schon etwas?

Wenn was passiert und Du der Sysadmin bist wird dein Verhalteneventuell als grob fahrlässig gewertet und Du bist rechtlich belangbar!

Deine administrativen Paswörter sind warscheinlich auch nur sechsstellig und werden alle zwei Jahre geändert. Oder gleichem deinem Freemailder Passwort? Woher ich das wohl weiß...

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen

Datenschutz und Datensicherheit sagt dir schon etwas?

Wenn was passiert und Du der Sysadmin bist wird dein Verhalteneventuell als grob fahrlässig gewertet und Du bist rechtlich belangbar!

Deine administrativen Paswörter sind warscheinlich auch nur sechsstellig und werden alle zwei Jahre geändert. Oder gleichem deinem Freemailder Passwort? Woher ich das wohl weiß...

mfg

cane

Danke Cane.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Lieber Markus,

das "Danke Cane" in Kombination mit deiner netten PN von wegen "wichtig machen", "nicht wissen wie das Szenario aussieht" und "besser erst informieren" kann ich nicht ganz nachvollziehen.

Vielleicht solltest Du das Szenario beschreiben - dann kann ichs nachvollziehen...

Du kommst aus dem Medical-Sektor, hast bei einer Krankenkasse in der IT gearbeitet. Da müßtest Du ja über alle geltenden Gesetze im Bereich Datenschutz informiert sein. Gerade deswegen verstehe ich dich nicht...

Meine Meinung hat nichts mit wichtig machen zu tun sondern resultiert aus Erfahrungen, wie wenig man sich darauf verlassen kann, dass Andere das Thema IT-Security bzw. Datenschutz als genauso wichtig erachten wie man selbst.

Ich könnte ....... wenn ich sehe wie Noobs dedizierte Server im Internet ungesichert betreiben und Privatleute ihre nicht gepatchten Systeme 24h ans Internet hängen. Vielfach ist Unwissen im Spiel - oft aber auch Faulheit und Dummheit.

Und wenn ich da von einem ausgebildeten Fachinformatiker höre, dass die Vergabe und Änderung von Passwörtern so gehandhabt wird werde ich nachdenklich...

Ich wollte dich zu keiner Zeit persönlich angreifen sondern Fakten klarstellen!

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen

Lieber Markus,

das "Danke Cane" in Kombination mit deiner netten PN von wegen "wichtig machen", "nicht wissen wie das Szenario aussieht" und "besser erst informieren" kann ich nicht ganz nachvollziehen.

Vielleicht solltest Du das Szenario beschreiben - dann kann ichs nachvollziehen...

Du kommst aus dem Medical-Sektor, hast bei einer Krankenkasse in der IT gearbeitet. Da müßtest Du ja über alle geltenden Gesetze im Bereich Datenschutz informiert sein. Gerade deswegen verstehe ich dich nicht...

Meine Meinung hat nichts mit wichtig machen zu tun sondern resultiert aus Erfahrungen, wie wenig man sich darauf verlassen kann, dass Andere das Thema IT-Security bzw. Datenschutz als genauso wichtig erachten wie man selbst.

Ich könnte ....... wenn ich sehe wie Noobs dedizierte Server im Internet ungesichert betreiben und Privatleute ihre nicht gepatchten Systeme 24h ans Internet hängen. Vielfach ist Unwissen im Spiel - oft aber auch Faulheit und Dummheit.

Und wenn ich da von einem ausgebildeten Fachinformatiker höre, dass die Vergabe und Änderung von Passwörtern so gehandhabt wird werde ich nachdenklich...

Ich wollte dich zu keiner Zeit persönlich angreifen sondern Fakten klarstellen!

mfg

cane

Für solche Kommentare gibt es das private Nachrichtensystem.

Falls Du noch fragen hast, kannst Du mir gerne eine PN schicken.

M f G

Ich

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...