none
Kennwortänderung bei unter 8stelligen Kennwörtern bei der Anmeldung erzwingen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    unser Ziel ist es, dass alle Mitarbeiter die auf einem speziellen Terminalserver arbeiten und deren Kennwortlänge unter 8 Zeichen lang ist, bei der nächsten Anmeldung eine Kennwortänderung zu erzwingen. Bei allen Mitarbeitern deren Kennwort mindestens 8 Zeichen ist soll die Aufforderung ausbleiben.

    Der spezielle Terminalserver ist in einer eigenen OU und hat damit eine eigene Gruppenrichtlinie. Über die Gruppenrichtlinie haben wir die Kennwortlänge schon festgelegt, aber bei der Anmeldung am Terminalserver kommt kein Hinweis. Wenn ich dem Benutzer im AD sage, dass er bei der nächsten Anmeldung das Kennwort ändern soll, kann er sich schon gar nicht am Terminalserver anmelden.

    Gibt es doch einen Trick über die GPO oder muss ich hier mit einem Script arbeiten?

    Über eine Rückmeldung würde ich mich freuen.

    Viele freundliche Grüße

    Samuel Schmidt

    Mittwoch, 29. August 2018 16:59
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ja, Terminalserver können an der Stelle etwas tricky sein :-)

    Es gibt hier quasi drei Varianten:

    1. Der Client, von dem aus der User sich anmeldet, ist Mitglied der Domäne. Dann wird der User bei seiner nächsten Anmeldung dort ja aufgefordert, das Kennwort zu ändern, und genau dort soll er das tun. Danach kann er wie gewohnt auf den TS.

    2. Der Client ist nicht in der Domäne, und ihr nutzt den RD Gateway mit der Einstellung "Gleiche Anmeldung für RDG und TS verwenden". Damit habt ihr verloren, der User muss das Kennwort irgendwo anders ändern. Wenn er nicht reinkommen kann, geht es mit OWA oder anderen Web-Applikationen.

    3. Der Client ist nicht in der Domäne, und ihr nutzt nicht den RD Gateway, dafür aber CredSSP, d.h. MSTSC fragt nach den Credentials und reicht sie an den TS weiter. Hier könnt ihr euch behelfen, indem ihr die RDP-Datei pimpt und in diese die Zeilen

    authentication level:i:0
enablecredsspsupport:i:0

    einfügt. Die erste Zeile könnte es bereits geben, dann einfach nur den Wert korrigieren. Wenn die User sonst keine .RDP-Datei nutzen, macht eine mit diesen Settings fertig und schickt ihnen die.

    Der Effekt wird sein, dass sie die Anmeldung erst am Anmeldebildschirm des TS vornehmen müssen. Und da können sie auch das Kennwort ändern.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert ITSAM77 Dienstag, 13. November 2018 11:41
    Donnerstag, 30. August 2018 13:40
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die Kennwortrichtlinien kannst Du nur 1x pro Domain haben. Das hat in der Vergangenheit zu manchen aberwitzigen Domain-Konstrukten geführt. Seit Server 2003 gibt es "Fine Grained Password Policies", da kannst Du abweichende Richtlinien auf Benutzer und Gruppen anwenden.

    Für Domain Controller auf Server 2012 aufwärts --> https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/

    Du hast aber keine Möglichkeit, das bereits gehashte Kennwort auf seine Komplexität zu überprüfen. Du müsstest also praktisch die Benutzer zwingen, JETZT das Kennwort zu ändern, und vorher die neue Policy (FGPP) scharf stellen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 29. August 2018 17:04
    |
  • Question
    Anmelden
    0
    Anmelden

    OK, wie kann ich die Mitarbeiter 'zwingen' diese Änderung vorzunehmen ohne im AD jeden Benutzer einzeln anzuklicken und das Häkchen bei 'Benutzer muss Kennwort bei der nächsten Anmeldung ändern' zu setzen?

    Vielen Dank für die Rückmeldungen.

    Samuel

    Donnerstag, 30. August 2018 09:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    PowerShell:

    Get-ADUser -Filter <Filter Deiner Wahl> | Set-ADUser -ChangePasswordAtLogon $true -Confirm:$false

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 30. August 2018 09:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo und vielen Dank für die Rückmeldung. Wir haben nun über -ChangePasswordAtLogon einen Mitarbeiter zur Kennwortänderung aufgefordert.

    Allerdings kann sich nun der Mitarbeiter nicht mehr am Terminalserver anmelden. Er erhält folgende Meldung: "Sie müssen Ihr Kennwort ändern, bevor Sie sich zum ersten Mal anmelden. Aktualisieren Sie das Kennwort, oder wenden Sie sich an den Systemadministrator bzw. an den technischen Support."

    Dann bricht die Anmeldung am Terminalserver ab ohne dass der Benutzer ein Kennwort ändern kann.

    Wie können Benutzer am Terminalserver dieser Aufforderung zur Kennwortänderung nachkommen?

    Vielen Dank für Ihre Rückmeldung.

    Samuel Schmidt

    Donnerstag, 30. August 2018 13:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ja, Terminalserver können an der Stelle etwas tricky sein :-)

    Es gibt hier quasi drei Varianten:

    1. Der Client, von dem aus der User sich anmeldet, ist Mitglied der Domäne. Dann wird der User bei seiner nächsten Anmeldung dort ja aufgefordert, das Kennwort zu ändern, und genau dort soll er das tun. Danach kann er wie gewohnt auf den TS.

    2. Der Client ist nicht in der Domäne, und ihr nutzt den RD Gateway mit der Einstellung "Gleiche Anmeldung für RDG und TS verwenden". Damit habt ihr verloren, der User muss das Kennwort irgendwo anders ändern. Wenn er nicht reinkommen kann, geht es mit OWA oder anderen Web-Applikationen.

    3. Der Client ist nicht in der Domäne, und ihr nutzt nicht den RD Gateway, dafür aber CredSSP, d.h. MSTSC fragt nach den Credentials und reicht sie an den TS weiter. Hier könnt ihr euch behelfen, indem ihr die RDP-Datei pimpt und in diese die Zeilen

    authentication level:i:0
enablecredsspsupport:i:0

    einfügt. Die erste Zeile könnte es bereits geben, dann einfach nur den Wert korrigieren. Wenn die User sonst keine .RDP-Datei nutzen, macht eine mit diesen Settings fertig und schickt ihnen die.

    Der Effekt wird sein, dass sie die Anmeldung erst am Anmeldebildschirm des TS vornehmen müssen. Und da können sie auch das Kennwort ändern.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert ITSAM77 Dienstag, 13. November 2018 11:41
    Donnerstag, 30. August 2018 13:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank für Ihre Hilfe. Bei uns kommt nur Lösung 3 in Betracht. Das hinzufügen der Zeilen in die RDP Datei habe ich gemacht allerdings mit folgender Fehlermeldung bei der Anmeldung:

    "Der Remotecomputer erfordert die Authentifizierung auf Netzwerkebene. Diese Funktion wird von Ihrem Computer nicht unterstützt. Wenden Sie sich an den Systemadministrator oder den technischen Support wenn Sie Hilfe benötiten."

    Da es sich bei den Clients nur um thin Clients handelt können wir das Kennwort dort nicht ändern.

    Donnerstag, 30. August 2018 14:30
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann muss auf dem TS die Network Level Authentication, so leid es mir tut, abgeschaltet werden: https://kb.parallels.com/en/123661 

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 30. August 2018 14:38
    |
  • Question
    Anmelden
    0
    Anmelden

    > Dann muss auf dem TS die Network Level Authentication, so leid es mir tut, abgeschaltet werden: https://kb.parallels.com/en/123661

    Irgendwie wußte ich beim ersten Post des TO schon, daß dieser Satz irgendwann auftaucht :-))

    Dienstag, 4. September 2018 11:36
    |
    Beantworter