lukas4580
Goto Top

Default Gruppenrichtlinie: Änderung der Password Policy im laufenden Betrieb

Hallo,

ich hab da mal eine Frage.

Wenn ich die Kennwortrichtlinien in der default domain policy ändere dann sind von jetzt auf nachher ALLE Passwörter abgelaufen?!
Auch von Service Accounts die das Passwort läuft nicht ab Flag haben?

Hintergrund ist der das wir an einer Domain Migration von 2 älteren in eine neue dran sind, momentan noch am Mailbox Sync.
Und eine von den 2 älteren hat eben keine Passwort Policy also wirklich 0! Also hat sich irgend ein schlauer Mensch gedacht och bevor das mit der Oberen Domain kracht beim Umzug setzen wir da auch einfach keine.

Jetzt war aber der Wirtschafts Prüfer da und dem hat das nicht so wirklich gefallen. Also ist mein Chef auf mich zu gekommen und hat gemeint "Änder mal die Passwort Policy für die OU Niederlande (obere Domain), das die eine haben." aber soviel ich weis kann ich das ja gar nicht so einfach Sprich alle oder keiner (Default Domain Policy).
Also mein Chef so: "Ja gut dann alle!" "Ähm Chef dann kriegt die Domain B, ohne Richtlinie, aber Probleme beim Zugriff auf die Mailboxen wenn die alle in der Domain C liegen."
"Dann änder da die Policy doch auch einfach, so das alle Domains die selbe haben. Plan das mal zum Monatsende"

Ja gut irgendwann muss es gemacht werden führt kein Weg drum rum.

Aber dann sind halt von dem Tag an an dem ich die Policy ändere alle Passwörter abgelaufen?
Sogar von den Service Accounts für Beispielsweise Gabelstapler oder Barcode Drucker PC´s die einen Service Account mit Passwort läuft nicht ab Hacken haben. Oder?

Ich mein heist ja nicht umsonst Default Domain Policy und der Gruppenrichtlinien Editor sagt ja auch nicht zum Spaß: "Pass auf was du machst das gilt auch für die Objekte drunter!"

Falls es relevant ist:
Domain A - 3 x Win2008R2 DC´s (Normale 6 Zeichen, Komplexität an und 90 Tage Ablauf Policy)
Domain B - 2 x Win2003R2 DC´s (Nichts Definiert)
Domain C ("neu") - 4 x Win2008R2 DC´s (Nichts Definiert)

Viele kleine Niederlassungen die im wesentlichen auf der Citrix Farm arbeiten.

Hat jemand schon mal so was gemacht und hat da Erfahrung?

Viele Grüße
Lukas

Content-Key: 295904

Url: https://administrator.de/contentid/295904

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Chonta
Chonta 11.02.2016 um 15:39:10 Uhr
Goto Top
Hallo,

6 Zeichen ist arg wenig vor Jahren sagte man schon mindestens 8 und jetzt eigentlich eher 12 Zeichen.
Zieht die Passwort Group Policy auf aktuelle Passwörter ?
Ich habs noch nicht getestet, aber meines Wissens wirkt sich die Änderung und die Regeln erst auf die Neuvergabe aus.
ABER wenn ein Passwort schon zu alt ist, dann gilt es natürlich als abgelaufen und muss geändert werden.
ServiceACCs sollten entweder fest gesetzt sein oder wenn die Domäne das her gibt sich automatisch ändern.

Gruß

Chonta
Mitglied: Lukas4580
Lukas4580 11.02.2016 um 15:59:02 Uhr
Goto Top
Hallo Chonta,

Ja ich weis das 8 oder mehr Zeichen besser wären aber geht ja erstmal drum alle Domains gleich zuziehen. Später wenn alles Oben ist kann ich ja immer noch mal ändern.

Die Service Ac´s sind ja alle mit einem password never expire gesetzt.

Ich bin da halt etwas ängstlich in der Live Umgebung rum zu basteln.

LG

Lukas
Mitglied: emeriks
emeriks 11.02.2016 um 16:01:51 Uhr
Goto Top
Hi,
ab Windows 2008 kann man mehrere Password Policies pro Domäne festlegen.
Alle Konten, welche "Passwort läuft nie ab" gesetzt haben, deren Passwort läuft auch dann nicht ab, wenn eine Policy dies vorgibt. Allerdings gilt auch für diese Konten bei der nächsten Passwortänderung die Vorgabe für die komplexität aus der geltenden Policy.


E.
Mitglied: Chonta
Chonta 11.02.2016 um 16:13:59 Uhr
Goto Top
Ich bin da halt etwas ängstlich in der Live Umgebung rum zu basteln.
Vorsicht ist beser als Nachsicht.
Gibt viele die sich mal eben aus dem System raus administrieren face-big-smile ^^
Mitglied: clSchak
clSchak 11.02.2016 um 17:01:42 Uhr
Goto Top
Hi

du kannst die Policy im Betrieb ändern, die Anforderungen werden erst bei der nächsten Passwortänderung gezogen und nicht die laufenden als "ungültig" markiert / gesetzt.

Etwas anderes ist es natürlich wenn du die Änderungspolicy vom Zeitfenster kleiner stellst, dann sind natürlich alle Passwörter deren Attribut [ "pwdLastChange"+Zeitfenster<heute() ] = TRUE ist auch ungültig und der Benutzer wird bei der nächsten Anmeldung aufgefordert sein Passwort zu ändern.

Gruß
@clSchak
Mitglied: Lukas4580
Lukas4580 12.02.2016 um 08:13:56 Uhr
Goto Top
Zitat von @emeriks:

Hi,
ab Windows 2008 kann man mehrere Password Policies pro Domäne festlegen.

Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.

Alle Konten, welche "Passwort läuft nie ab" gesetzt haben, deren Passwort läuft auch dann nicht ab, wenn eine Policy dies vorgibt. Allerdings gilt auch für diese Konten bei der nächsten Passwortänderung die Vorgabe für die komplexität aus der geltenden Policy.


Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.


Zitat von @clSchak:

du kannst die Policy im Betrieb ändern, die Anforderungen werden erst bei der nächsten Passwortänderung gezogen und nicht die laufenden als "ungültig" markiert / gesetzt.

Etwas anderes ist es natürlich wenn du die Änderungspolicy vom Zeitfenster kleiner stellst, dann sind natürlich alle Passwörter deren Attribut [ "pwdLastChange"+Zeitfenster<heute() ] = TRUE ist auch ungültig und der Benutzer wird bei der nächsten Anmeldung aufgefordert sein Passwort zu ändern.


Das wird das Problem sein! Weil ich mir fast sicher bin das die meisten Passwörter länger wie 90 Tage nicht geändert worden sind, Windows hat sie ja noch nie dazu aufgefordert.
Maximun password age = 0 Days

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.


Gruß
Lukas
Mitglied: emeriks
Lösung emeriks 12.02.2016 aktualisiert um 10:44:56 Uhr
Goto Top
Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.
Wie "aber auch nur"? Wir sind hier froh, dass man mehrere pro Domäne vereinbaren kann.

Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.
Ja klar nur dann.

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.
Ja klar, das ist doch aber nachvollziehbar.

Was hälst Du davon:
  1. Ankündigung, dass eine solche Richtlinie zum Tag x eingeführt wird. Hinweis auf die dann fällige Passwortänderung.
  2. Abwarten, welche Proteste kommen. ggf. dafür Ausnahmen von der GF bestätigen/genehmigen lassen und diese Ausnahmen dann später einrichten
  3. Einrichten der Richtline(n) zum Tag X
Mitglied: Lukas4580
Lukas4580 12.02.2016 um 10:44:22 Uhr
Goto Top
Zitat von @emeriks:

Ah, ok! Aber auch nur pro Domain?!
Wär aber auch nicht Sinn der Sache da ja alle Domains gleich sein sollen.
Wie "aber auch nur"? Wir sind hier froh, dass man mehrere pro Domäne vereinbaren kann.


Ja ich hab auch von Fine Grained Policy gelesen was aber "nur" auf Gruppen anwendbar ist.

https://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx?f ...


Aber wenn der Account das PW nie ändern muss wieso sollte er sie dann ändern? Außer du änderst sie ihm oder es wurde freiwillig geändert.
Ja klar nur dann.

Wenn ich jetzt auf Maximun password age = 90 Days gehe müssen vermutlich alle ihr PW ändern?!
Bis halt auf ein paar wenige User die entweder Freiwillig oder durch Vergessen oder einfach durch Neuanlage ihr Passwort vor weniger als 90 Tagen geändert haben.
Ja klar, das ist doch aber nachvollziehbar.

Joa sag ich ja! face-wink

Was hälst Du davon:
  1. Ankündigung, dass eine solche Richtlinie zum Tag x eingeführt wird. Hinweis auf die dann fällige Passwortänderung.
  2. Abwarten, welche Proteste kommen. ggf. dafür Ausnahmen von der GF bestätigen/genehmigen lassen und diese Ausnahmen dann später einrichten
  3. Einrichten der Richtline(n) zum Tag X

Darauf wirds raus laufen!
Wollte da halt gern ne zweite bzw. dritte Meinung hören.

Danke!

Gruß
Lukas