none
Passwortrichtlinie RRS feed

  • Frage

  • Hallo,
    wir haben in unserem AD ein PW Policy die besagt das alle 90 Tage das PW geändert werden soll.
    Wann das PW das letzte mal geändert wurde und wann man es erneut ändern muss kann man ja auslesen (msDS-UserPasswordExpiryTimeComputed, PasswordLastSet)
    Jetzt gibt es einige User wo der Haken gesetzt ist "Passwort läuft nie ab". Wenn ich den Haken entferne wie wirkt sich das aus? Muss er dann erst nach 90 Tagen das Passwort ändern?  Oder greift das das Attribut PasswordLastSet? Wenn ich die Passwortänderungsdauer runter setze, ist es dann auch von diesem Attribut abhängig? Danke Dennis
    Montag, 9. März 2020 13:30

Antworten


  • Sonst gäbe es ja noch die Möglichkeit "Benutzer muss PW nach der nächsten Anmeldung ändern"..... 

    Genau. Dann macht das doch geschichtet, habe ich bei einem Kunden vor Jahren für 1.500 User exerzieren dürfen:

    • Mail an alle, die das Kennwort nicht in den letzten 60 Tagen geändert haben: Bitte Kennwort ändern
    • Eine Woche später: erneute Mail an alle, die das Kennwort nicht in den letzten 60 Tagen geändert haben, mit Ankündigung eines Stichtags (zwei Wochen danach)
    • Zum Stichtag: Haken bei allen setzen, die das Kennwort nicht in den letzten 60 Tagen geändert haben

    Alles ein paar Zeilen PowerShell. Man muss natürlich Sonderfälle im Blick behalten, die keine Möglichkeit haben, das Kennwort auf Verlangen zu ändern (z.B. RDP-Zugriff über RDG oder eine Web-Applikation von extern).


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Dienstag, 10. März 2020 12:14
    Dienstag, 10. März 2020 08:55
  • Nein. Wenn ein User versucht, sich anzumelden, wird geschaut,

    1. wann sein PW zuletzt geändert wurde (A)
    2. wie lang ist die Zeit aus der Policy, die für ihn gilt (B)

    Wenn A + B < jetzt ist, muss das PW sofort geändert werden.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    • Als Antwort markiert HaschkeD Mittwoch, 11. März 2020 09:26
    • Bearbeitet Evgenij Smirnov Mittwoch, 11. März 2020 12:39
    Mittwoch, 11. März 2020 09:22

Alle Antworten

  • Ja!

    Wo soll sich Windows sonst die letzte Änderung merken um die Dauer zu ermitteln?
    https://social.technet.microsoft.com/Forums/windowsserver/de-DE/6622c897-c460-41ce-a237-a6eabff3ca12/why-cant-i-set-pwdlastset-with-setaduser?forum=winserverpowershell

    Also "-1" setzt dann wohl das Datum bei der nächsten Anmeldung auf "Heute", so dass ab dann die Dauer rechnet.


    Montag, 9. März 2020 15:43
  • OK, also würde das bei bestehenden Accounts gar nichts bringen wenn ich in der Policy das max. Kennwortalter runter setzen würde?
    Erst dann wenn der Benutzer erneut das Kennwort geändert hat würde der neue Wert greifen?

    Hintergrund?
    Wir wollten den Wert nach und nach reduzieren das nicht alle direkt das PW ändern müssen und später dann wieder auf 90 Tage erhöhen.

    Sonst gäbe es ja noch die Möglichkeit "Benutzer muss PW nach der nächsten Anmeldung ändern"..... 
    Dienstag, 10. März 2020 07:19

  • Sonst gäbe es ja noch die Möglichkeit "Benutzer muss PW nach der nächsten Anmeldung ändern"..... 

    Genau. Dann macht das doch geschichtet, habe ich bei einem Kunden vor Jahren für 1.500 User exerzieren dürfen:

    • Mail an alle, die das Kennwort nicht in den letzten 60 Tagen geändert haben: Bitte Kennwort ändern
    • Eine Woche später: erneute Mail an alle, die das Kennwort nicht in den letzten 60 Tagen geändert haben, mit Ankündigung eines Stichtags (zwei Wochen danach)
    • Zum Stichtag: Haken bei allen setzen, die das Kennwort nicht in den letzten 60 Tagen geändert haben

    Alles ein paar Zeilen PowerShell. Man muss natürlich Sonderfälle im Blick behalten, die keine Möglichkeit haben, das Kennwort auf Verlangen zu ändern (z.B. RDP-Zugriff über RDG oder eine Web-Applikation von extern).


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Dienstag, 10. März 2020 12:14
    Dienstag, 10. März 2020 08:55
  • Hallo zusammen

    Ich bin mir da nicht so ganz sicher. AD überprüft doch das Attribut PasswordLastSet mit dem aktuellem Datum und je nachdem ob das max. PW Alter höher ist als der Unterschied zwischen aktuellem Datum und dem letzten PW Change wird AD ein PW Wechsel anfordern. Nicht?

    Gruss, Daha 

    Mittwoch, 11. März 2020 06:49
  • Nicht?

    Doch, absolut korrekt. Trotzdem kann es ratsam sein, das nicht für alle gleich umzusetzen, und manche User können ihr Kennwort halt nur an bestimmten Tagen im Monat ändern, zumindest wenn es erzwungen wird ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 11. März 2020 08:33
  • Wie verhält sich das denn wenn ich in der Policy das max. PW Alter runter setzen würde?
    Wird das dann beim User erst abgeändert wenn er erneut sein PW geändert hat?

    Mittwoch, 11. März 2020 09:07
  • Nein. Wenn ein User versucht, sich anzumelden, wird geschaut,

    1. wann sein PW zuletzt geändert wurde (A)
    2. wie lang ist die Zeit aus der Policy, die für ihn gilt (B)

    Wenn A + B < jetzt ist, muss das PW sofort geändert werden.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    • Als Antwort markiert HaschkeD Mittwoch, 11. März 2020 09:26
    • Bearbeitet Evgenij Smirnov Mittwoch, 11. März 2020 12:39
    Mittwoch, 11. März 2020 09:22