none
Kennwortrichtlinie neu setzen - Was passiert mit den alten Passwörtern? RRS feed

  • Frage

  • Hallo zusammen,

    ich würde gerne die Kennwortrichtlinien neu setzen, da vorher noch keine eingestellt war.

    Was passiert nun mit den alten Kennwörtern? Müssen diese sofort geändert werden oder sind diese noch gültig für den neuen Zeitraum, welchen ich einstellen möchte?

    Ich danke im Voraus.

    Freitag, 22. März 2013 11:13

Antworten

  • Hi,

    Am 22.03.2013 12:13, schrieb Christian Beebob:

    Was passiert nun mit den alten Kennwörtern?

    Nichts.
    Erst bei der nächste Änderung haben die User die neue Regel

    Wenn bislang "kennwort läuft nie ab" genutzt wurde, dann werden sie niemals von der Regel betroffen sein.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 12:17
  • Am 22.03.2013 schrieb Christian Beebob:
    Hi,

    Das heisst also, wenn User XY das Kennwort 'test' (unsicher nach neuer Richtlinie) benutzt, kann dieser dieses noch 90 Tage benutzten

    Ja.

    erst dann wird er aufgefordert sein Kennwort zu ändern.

    Ja.

    Bei dieser Änderung zählt dann die Kennwortrichtlinie?

    Ja. Damit aber nicht noch 90 Tage lang ein unsicheres Kennwort gilt, setzt
    man normalerweise den Haken "User muß bei der nächsten Anmeldung Kennwort
    ändern".

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Freitag, 22. März 2013 12:36
    Moderator
  • Am 22.03.2013 13:21, schrieb Christian Beebob:

    Das heisst also, wenn User XY das Kennwort 'test' (unsicher nach
    neuer Richtlinie) benutzt, kann dieser dieses noch 90 Tage benutzten

    Nein.
    Jedes Kennwort (abgesehen von Kennwort läuft nie ab, im Benutzerobejekt) hat ein Passwortalter und das defniert das Ablaufdatum.

    Wenn das kennwortalter bislang per GPO auf "0" stand, also "nie ablief", dann belibt das auch jetzt so.

    Du kannst einmalig bei allen Usern "Kennwort bei nächster Anmeldung ändern" aktivieren, dann müssen sie es morgen tun.
    Du kannst es auch "aktivieren" und direkt wider "deaktivieren", dann ist ab jetzt ein Ablaufdatum vorhanden

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 12:46

Alle Antworten

  • Hi,

    Am 22.03.2013 12:13, schrieb Christian Beebob:

    Was passiert nun mit den alten Kennwörtern?

    Nichts.
    Erst bei der nächste Änderung haben die User die neue Regel

    Wenn bislang "kennwort läuft nie ab" genutzt wurde, dann werden sie niemals von der Regel betroffen sein.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 12:17
  • Erstmal danke für die Antwort.

    Das heisst also, wenn User XY das Kennwort 'test' (unsicher nach neuer Richtlinie) benutzt, kann dieser dieses noch 90 Tage benutzten, erst dann wird er aufgefordert sein Kennwort zu ändern. Bei dieser Änderung zählt dann die Kennwortrichtlinie?



    Freitag, 22. März 2013 12:21
  • Am 22.03.2013 schrieb Christian Beebob:
    Hi,

    Das heisst also, wenn User XY das Kennwort 'test' (unsicher nach neuer Richtlinie) benutzt, kann dieser dieses noch 90 Tage benutzten

    Ja.

    erst dann wird er aufgefordert sein Kennwort zu ändern.

    Ja.

    Bei dieser Änderung zählt dann die Kennwortrichtlinie?

    Ja. Damit aber nicht noch 90 Tage lang ein unsicheres Kennwort gilt, setzt
    man normalerweise den Haken "User muß bei der nächsten Anmeldung Kennwort
    ändern".

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Freitag, 22. März 2013 12:36
    Moderator
  • Am 22.03.2013 13:21, schrieb Christian Beebob:

    Das heisst also, wenn User XY das Kennwort 'test' (unsicher nach
    neuer Richtlinie) benutzt, kann dieser dieses noch 90 Tage benutzten

    Nein.
    Jedes Kennwort (abgesehen von Kennwort läuft nie ab, im Benutzerobejekt) hat ein Passwortalter und das defniert das Ablaufdatum.

    Wenn das kennwortalter bislang per GPO auf "0" stand, also "nie ablief", dann belibt das auch jetzt so.

    Du kannst einmalig bei allen Usern "Kennwort bei nächster Anmeldung ändern" aktivieren, dann müssen sie es morgen tun.
    Du kannst es auch "aktivieren" und direkt wider "deaktivieren", dann ist ab jetzt ein Ablaufdatum vorhanden

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 12:46
  • Leider scheint es aber 'Nebenwirkungen' zu geben.

    Durch das aktivieren der Richtlinie können die Benutzer sich nicht mehr am Exchange Konto anmelden.

    Ist jemandem dieses Nebenprodukt bekannt?

    Freitag, 22. März 2013 13:13
  • Am 22.03.2013 14:13, schrieb Christian Beebob:

    Durch das aktivieren der Richtlinie können die Benutzer sich nicht
    mehr am Exchange Konto anmelden.

    Sind das Telefone/Smartphones/SMTP Auth. im allgemeinen und die Leute verwenden Umlaute?
    Exchange SMTP kann das nicht ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 14:12
  • Verzeih mir, es ist Freitag.

    Ich hatte ebenfalls die Kennwortlänge vorgegeben. Diese Richtlinie scheint direkt zu greifen und allen Benutzen die diese Länge unterschreiten den Zugang zu verbieten ;)

    Danke nochmal für die hilfreichen Antworten.

    Freitag, 22. März 2013 14:23
  • Hi,

    Am 22.03.2013 15:23, schrieb Christian Beebob:

    Diese Richtlinie scheint direkt zu greifen

    Hm, muss ich noch mal ausprobieren, wie sich die GPO auf das "Kennwort läuft ab" auswirkt.

    Hattest du vorher das Alter auf "0"?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 14:45
  • Hi,

    Am 22.03.2013 13:17, schrieb Mark Heitbrink [MVP]:

    Nichts.

    Ich korrigiere mich mal und entschuldige mich. "Nichts" ist nicht richtig, es ist "fast nichts" :-)

    Situation "vorher"
    DefDomPol: Maximales Kennwortalter = "0"
    entspricht "Kennwort läuft nie ab"
    -> User -> Pwd Expiration Date = Never expires

    Situation "nachher":
    DefDomPol: Maximales Kennwortalter = "90"
    -> User -> Pwd Expiration Date = Pwd Never Set

    Ich bin gerade nicht sicher, ob er nun das "pwdLastSet" auswertet und auf dieses die 90 Tage zählt, ab der ersten Änderung ist das Expiration Date gefüllt. Das "pwdLastSet" würde erklären warum alle das Kennwort "sofort" ändern mussten, wenn es sich um alte Accounts handelt. (Alt = Älter als 90 Tage ... denn bei Erstellung wurde das PW zuletzt gesetzt)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. März 2013 21:11
  • Am 22.03.2013 schrieb Mark Heitbrink [MVP]:
    Hi,

    Sind das Telefone/Smartphones/SMTP Auth. im allgemeinen und die Leute verwenden Umlaute?
    Exchange SMTP kann das nicht ...

    Was kann Exchange SMTP nicht? Umlaute im Kennwort?
    Probiert, oder gibts dazu nen Link?

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Montag, 25. März 2013 08:20
    Moderator
  • Hi,

    Am 25.03.2013 09:20, schrieb Norbert Fehlauer [MVP]:

    Was kann Exchange SMTP nicht? Umlaute im Kennwort?

    Ich hatte mal eins und es ging per MAPI aber nicht mit dem THunderbird.
    Das war aber noch zu 2003 Zeiten. Das sie das ändern ist ein Wunder :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Montag, 25. März 2013 11:03
  • Am 25.03.2013 schrieb Mark Heitbrink [MVP]:
    Hi,

    Ich hatte mal eins und es ging per MAPI aber nicht mit dem THunderbird.
    Das war aber noch zu 2003 Zeiten. Das sie das ändern ist ein Wunder :-)

    Wer braucht schon Thunderbird am Exchange? ;) Aber es würde mich wundern,
    wenn es dieses Problem noch geben würde.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Montag, 25. März 2013 14:09
    Moderator