none
Kennwort wird während während der Arbeit ungültig.

    Allgemeine Diskussion

  • Hallo zusammen,

    wir haben eine 2008R2 Domäne und mein Vorgänger hat komische Kennwortrichtlinien erstellt. 

    Jetzt habe ich das Problem, dass wenn bei den Mitarbeitern das Kennwort abläuft, sich Outlook und zwei weitere Clients die an die AD Angebunden sind melden, dass diese keine Zugriffsrechte mehr haben. 

    Man muss dann erst den Computer neu starten und das Passwort ändern, dann geht alles wieder. 


    Ich finde jetzt aber nicht was falsch ist, das Kennwort soll erst beim nächsten mal anmelden ungültig werden. 
    Ich finde leider keine passende Einstellung. 

    Könnt ihr mir weiter helfen?

    Danke

    Grüße
    Leon

    Mittwoch, 6. März 2019 11:56

Alle Antworten

  • Moin,

    nun ja, Du möchtest also, dass eine angemeldete Sitzung beliebig lange authentifiziert bleibt und erst wenn man sich abmeldet, soll das Kennwort geändert werden, richtig? Hmmm. Aus Security-Sicht fände ich das falsch. Und Microsoft auch.

    Schau doch mal, wie lange Deine Kerberos-Token gültig sind (im Benutzer-Kontext einfach auf einer Kommandozeile KLIST aufrufen). Standardmäßig im AD ist ein Kerberos-Ticket 10 Stunden gültig, und spätestens dann würde sich das abgelaufene Kennwort bemerkbar machen, wenn man den Ablauf nachträglich, d.h. erst nach Anmeldung, setzt. War der Ablauf aber zum Zeitpunkt der Anmeldung bereits bekannt, dann ist das Ticket auch nur so lange gültig wie das Kennwort.

    Insofern: Nach meinen Begriffen funktioniert Deine Umgebung wie sie soll :-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 6. März 2019 12:24
  • Das Problem ist halt, dass ich heute 20 Anrufe bekommen habe "Mein Outlook geht nicht mehr" und ich komme nichts mehr ins Internet (Der Proxy Authentifiziert sich auch gegen die AD). Nächste Woche bin ich im Urlaub und da werden sicher noch weitere Kennwörter ablaufen. 

    Ich komm da so wie ich dich verstanden habe nicht darum herum? 


    Was mich aber wundert, die Benutzer waren sicher keine 10h Stunden angemeldet, sondern maximal 2h. 
    //EDIT 
    Du hast es extra fett markiert, erst beim 3 mal lesen habe ich es verstanden... 
    Hmm das erklärt die 2h Stunden. Somit habe ich keine Lösung. 



    • Bearbeitet leon_20v Mittwoch, 6. März 2019 12:56
    Mittwoch, 6. März 2019 12:54
  • Naja, wenn das Kennwort bereits 2h nach Anmeldung (oder Ticket-Erneuerung bei einer Sitzung, die länger als 10h gedauert hat) abläuft, dann wird ja kein neues 10h-Ticket mehr ausgestellt, sondern nur ein 2h-Ticket.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 6. März 2019 12:56
  • Hi,
     
    Am 06.03.2019 um 12:56 schrieb leon_20v:
    > wir haben eine 2008R2 Domäne und mein Vorgänger hat komische Kennwortrichtlinien
    > erstellt.
     
    Was hindert dich daran, diese so zu setzen, daß sie nicht mehr lustig sind?
     
    Wenn es abläuft, läuft es ab. Punkt. Deswegen kriegt der Anwender ja
    eine kleine Notiz bei Anmeldung die schon mal besser und größer war,
    aber das kann man ja mit Scripten wieder "schöner" machen.
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Mittwoch, 6. März 2019 13:56