none
automatisches zurücksetzen des Domänen-Benutzer-Kennwortes RRS feed

  • Frage

  • Wir setzen als Client OS Windows XP und Windows 7 ein; als Domain-Controller setzen wir Windows Server 2008 R2 ein

    Unsere Kennwortrichtline ist so eingerichtet, dass bei der dreimaligen fehlerhaften Anmeldung das Konto gesperrt wird.  Danach wird die IT-Abteilung vom Benutzer kontaktiert, um das Kennwort zurücksetzten zu lassen. Bei 10 Benutzern wäre das kein Problem bei 300 oder 3000 Benutzer ist das ein Problem, zumal die IT-Abteilung nicht wissen kann, ob der berechtigte Benutzer anruft oder einer sich nur den Zutritt zu System verschaffen möchte.

    Gibt es eine Möglichkeit für den Benutzer, sein Kennwort selber – durch  Beantwortung einer richtigen Sicherheitsfrage  - automatisch  zurücksetzen zu lassen.

    Danke!

    Mittwoch, 12. Dezember 2012 14:22

Antworten

Alle Antworten

  •  
    > Gibt es eine Möglichkeit für den Benutzer, sein Kennwort selber –
    > durch Beantwortung einer richtigen Sicherheitsfrage - automatisch
    > zurücksetzen zu lassen.
     
    Nicht mit Bordmitteln - da gibt's nur "automatisch entsperren" nach
    einer einstellbaren Zeitspanne.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 12. Dezember 2012 14:30
  • Hi,

    Am 12.12.2012 15:22, schrieb eguel:

    Unsere Kennwortrichtline ist so eingerichtet, dass bei der
    dreimaligen fehlerhaften Anmeldung das Konto gesperrt wird.

    Warum nicht 50 Versuche? Das wäre auch nach Security Compliants Manger von Microsoft für Windows 7 sicherheitskonform.

    3 Versuche kommen schnell zusammen. Ausversehen, Terminalserver anmeldung etc. Dann kommt das Ändern des Kennworts und das doofe Smartphone verbindet immer noch mit dem alten und das verusacht dann den Lock.

    Bei 50 Versuchen kannst du "sicher" sein, daß du angegriffen wirst, denn die 50 Versuche finden dann binnen einer Sekunde statt und nicht erst innerhalb von 30 Minuten.

    Aber davon abgesehen, ja es gibt Selfservice Password Software.
    z.B.: Password Reset PRO von http://www.sysoptools.com/
    gibt aber auch andere ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 12. Dezember 2012 14:39
  • Am 12.12.2012 schrieb eguel:

    Gibt es eine Möglichkeit für den Benutzer, sein Kennwort selber – durch  
    Beantwortung einer richtigen Sicherheitsfrage  - automatisch zurücksetzen zu lassen.

    Hier findest Du eine Produktvorstellung:
    http://www.faq-o-matic.net/2011/11/07/kennwrter-selbst-zurcksetzen/

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 12. Dezember 2012 20:21
  • Hi Mark,

    Diese Kennwortrichtlinien sind Anforderungen von verschiedenen  IT-Prüfungsgesellschaften, nach denenn wir uns richten müssen.

    Donnerstag, 13. Dezember 2012 06:44
  • Vielen Dank Winfried,

    das klingt ganz gut, beschreit - so wie es aussiehrt - die Lösung zu unserem Problem.

    Servus

    Eguel

    Donnerstag, 13. Dezember 2012 06:49
  • Hi,

    Am 13.12.2012 07:44, schrieb eguel:

    Diese Kennwortrichtlinien sind Anforderungen von verschiedenen
    IT-Prüfungsgesellschaften, nach denenn wir uns richten müssen.

    Nein, ihr "müsst" nicht. Ihr müsst nur gute Argumente haben, wenn ihr es nicht tut und das habt ihr ... wo haben die denn die Werte her?
    Die schreiben ab, weil alle "3" geschrieben haben oder "5".
    Das haben die sich nicht selber ausgedacht.

    Die haben sie vor 15 Jahren einfach übernommen und nie geändert und das Smartphone ist noch nicht so alt. KEINE! Der Prüfungsgesellschaft erhebt Anspruch auf die in Stein gemeisselte alleinige Allwissenheit.

    Warum gibt es vom BSI noch kein Win7 Vorlagen, oder noch schlimmer, nimm die Werte zB zur Protokollierung für Server 2003 auf einem 2008 Server und wunder dich, warum du nicht mehr "BSI konform" bist ... aus deinen 30 Tagen Protokoll im 2003 sind ein halber Tag im 2008 geworden.

    MS hat Jahrelang 5 oder 3 Versuche dokumentiert in jeglichen Templates. Jetzt sind es 50. Witzigerweise sind es in der Win8 Schablone wieder 5.
    Warum? Weil bei MS nicht miteinander gesprochen wird, weil jeder nur abschreibt und die Vorlagen nimmt, die es seit Jahren gibt.

    Weder 3 noch 5 noch 10 noch 1 Versuch bringen "mehr" Sicherheit.
    Genausowenig wie 5 Minuten, 10 Minuten, 20 oder 1 Minute Bildschirmschoner. 1 Minute ist zu lang, wenn ich den Raum verlasse habe, 20 Minuten sind zu kurz, wenn ich vor dem Rechner an den Akten sitze.

    Du musst den Angriff erkennen und ensprechend handeln, aber nicht den Leuten auf den Wecker gehen mit lästigen Restriktionen.

    Die Leute "probieren" keine Kennworte mehr aus. Die nehmen ein Tool.
    Das Tool sendet dir 1000 Anmeldungen binnen Sekunden. Das ist ein Angriff. Aber es ist kein Angriff, wenn ich mich in 15 Minuten an 6 verschiedenen Systemen anmelde und mich ausversehen dabei vertippe.

    ´tschuldige, aber mich regt diese totale Gläubigkeit an Blödsinn, nur weil sie jemand ohne Ahnung aufgeschrieben hat völlig auf.

    Ok, es ist nicht alles Blödsinn, aber vieles ist einfach uralt, nicht mehr zeitgemäss und absolut diskussionswürdig. Vieles ist sinnvoll, aber eben nicht Pflicht.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 13. Dezember 2012 08:22
  • Hi,

    Am 13.12.2012 07:49, schrieb eguel:

    das klingt ganz gut,

    Wie schön, das es sich um Password Reset Pro handelt :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 13. Dezember 2012 08:22