da_chrisa Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 Hallo zusammen, okay - zugegeben mein Titel klingt was bresig aber ich stehe gerade vor einer Frage die mir nicht aus dem Kopf geht. Zur Situation. Ich verwalte die Benutzerkonten von circa 160 Objekten aufgeteilt in drei OU´s. Mein vorhaben ist es, mit Hilfe eines Tasks, die Leute dazu aufzuvorden alle drei Monate ihr Passwort zu ändern. Zur Zeit ist dies ja alles manuell zu bewältigen, im AD das Häckchen setzen.... Ich habe eine batch geschreiben die das Häckchen automatisch setzt, dass sieht wie folgt aus: dsmod user "CN=vorname nachname,OU=...,OU=...OU=...,OU=...,DC=...,DC=...,DC=..." -pwdneverexpires no -mustchpwd yes Nun möchte ich aber nicht jeden einzelnen user von Hand eingeben... gibt es da eine Möglichkeit, evtl mit dem dsquery, nach alles zu suchen und das dann zu pipen? Wäre für Antworten sehr dankbar!! Liebe Grüße Chrisa Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dark_file Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 warum nicht einfach über ne gruppenrichtlinie sagen "ihr müsst alle 90 tage euer pw ändern"? am besten in der default domain policy unter computerkonfguration --- sicherheitseinstellungen --- kontoeinstellungen --- kenwortrichtlinie den punkt maximales kennwortalter auf 90 stellen dann werden deine user alle 90 tage aufgefordert eine neues pw einzugeben bzw eine gewisse zeit vorher aber nach 90 tagen müssen sie es ändern Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 Verschoben: Windows. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-Shrek Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 Hallo, ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen. Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen. Shrek Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 Hallo, ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen. Full ACK, hier sollte aber auch dei Thematik minimales Kennwortalter, und Kennworthistorie betrachtet werden Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen. Shrek No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts. http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-Shrek Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts. http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy Tut mir Leid aber deine Aussage ist falsch. Kennwortrichtlinien lassen sich nur Domänenweit anlegen, sie müssen aber nicht in der Default Domain Policy angelegt werden, wie die von dir zitierte Quelle bestätigt. Auch ein neues Template auf Domänenebene erfüllt diesen Zweck. Shrek Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 30. Juni 2006 Teilen Geschrieben 30. Juni 2006 Muss ich Dir Recht geben, allerdings wie beschrieben bevorzugt in der Default Domein Policy. Hintergrund sind hier Performance Gedanken, da die Anmeldung und Verarbeitung der GPO´s mit zunehmender Zahl von Policys deutlich länger dauert. Ein Einsatz einer Policy die nur Einstellungen der Kennwortrichtlinie beinhaltet ist daher wahnsinnig ineffektiv. Wenn man dieses System auf alle Policys anwenden würde, kämen am Ende 20 oder mehr Policys pro Objekt heraus und wir wären bei irre langen Anmeldezeiten. Auch die Fehlersuche bei der Verarbeitung von GPO´s wird dadurch zunehmend erschwert. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-Shrek Geschrieben 3. Juli 2006 Teilen Geschrieben 3. Juli 2006 Hallo, ich persönlich sehe es genau andersherum, aber scheint eine Ansichtssache zu sein und ist hier nicht Thema. Guten Wochenstart, Shrek Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.