Zum Inhalt springen

Via dsmod für die Objekte einer kompletten OU die Passwörter zum ändern zwingen


da_chrisa

Empfohlene Beiträge

Hallo zusammen, okay - zugegeben mein Titel klingt was bresig aber ich stehe gerade vor einer Frage die mir nicht aus dem Kopf geht.

Zur Situation.

Ich verwalte die Benutzerkonten von circa 160 Objekten aufgeteilt in drei OU´s.

Mein vorhaben ist es, mit Hilfe eines Tasks, die Leute dazu aufzuvorden alle drei Monate ihr Passwort zu ändern.

Zur Zeit ist dies ja alles manuell zu bewältigen, im AD das Häckchen setzen....

Ich habe eine batch geschreiben die das Häckchen automatisch setzt,

dass sieht wie folgt aus:

dsmod user "CN=vorname nachname,OU=...,OU=...OU=...,OU=...,DC=...,DC=...,DC=..." -pwdneverexpires no -mustchpwd yes

Nun möchte ich aber nicht jeden einzelnen user von Hand eingeben...

gibt es da eine Möglichkeit, evtl mit dem dsquery, nach alles zu suchen und das dann zu pipen?

Wäre für Antworten sehr dankbar!!

Liebe Grüße

Chrisa

Link zu diesem Kommentar
Auf anderen Seiten teilen

warum nicht einfach über ne gruppenrichtlinie sagen "ihr müsst alle 90 tage euer pw ändern"?

am besten in der default domain policy unter computerkonfguration --- sicherheitseinstellungen --- kontoeinstellungen --- kenwortrichtlinie den punkt maximales kennwortalter auf 90 stellen

dann werden deine user alle 90 tage aufgefordert eine neues pw einzugeben bzw eine gewisse zeit vorher aber nach 90 tagen müssen sie es ändern

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen.

Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen.

Shrek

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

ich halte den beschriebenen Weg auch für besser, denn stell dir mal vor Benutzer ändert Montag sein Password, dann zwingst du ihn am Dienstag sich wieder ein neues zu suchen.

Full ACK, hier sollte aber auch dei Thematik minimales Kennwortalter, und Kennworthistorie betrachtet werden

Allerdings empfehle ich ein eigenes Gruppenrichtlinientemplate und nicht die Default Domain Policy zu nehmen.

Shrek

No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm

Link zu diesem Kommentar
Auf anderen Seiten teilen

No go. Domänenweite Kennwortrichtlinien lassen sich immer und ausschliesslich nur in der Default Domain Policy ändern. In allen anderen Richtlinien haben die Änderungen nur Auswirkungen auf lokale Accounts.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien.htm

Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy

Tut mir Leid aber deine Aussage ist falsch. Kennwortrichtlinien lassen sich nur Domänenweit anlegen, sie müssen aber nicht in der Default Domain Policy angelegt werden, wie die von dir zitierte Quelle bestätigt.

Auch ein neues Template auf Domänenebene erfüllt diesen Zweck.

Shrek

Link zu diesem Kommentar
Auf anderen Seiten teilen

Muss ich Dir Recht geben, allerdings wie beschrieben bevorzugt in der Default Domein Policy.

Hintergrund sind hier Performance Gedanken, da die Anmeldung und Verarbeitung der GPO´s mit zunehmender Zahl von Policys deutlich länger dauert.

Ein Einsatz einer Policy die nur Einstellungen der Kennwortrichtlinie beinhaltet ist daher wahnsinnig ineffektiv. Wenn man dieses System auf alle Policys anwenden würde, kämen am Ende 20 oder mehr Policys pro Objekt heraus und wir wären bei irre langen Anmeldezeiten. Auch die Fehlersuche bei der Verarbeitung von GPO´s wird dadurch zunehmend erschwert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...