7
Verbleibende Kennwortdauer der User abfragen
Hallo,
ich habe das Gefühl, dass bei meiner AD-Domäne (2003) nicht mehr alle Gruppenrichtlinien perfekt greifen.
Eine Einstellung für eine OU war unter anderem, dass das Kennwort alle 3 Monate gewechselt wird. Hat auch prima funktioniert bisher. Seltsamerweise jetzt nicht mehr. Hab eigentlich auch nix geändert. Habe auch keine Richtlinie drunter erzwungen oder so.
Natürlich haben die betroffenen User auch die Berechtigung diese Gruppenrichtlinie zu übernehmen.
Auch laut Gruppenrichtlinien-Modellierung, getestet an typischen Usern-Konten, sollte die Richtlinie laut Ergebnis greifen.
Gibt es irgendeine Möglichkeit das letzte Wechsel-Datum und die Restlaufzeit der derzeitigen Passwörter in der Domäne abzufragen?
(Irgendwie muss ich ja mal sehen seit wann da was los ist.)
Torsten
ich habe das Gefühl, dass bei meiner AD-Domäne (2003) nicht mehr alle Gruppenrichtlinien perfekt greifen.
Eine Einstellung für eine OU war unter anderem, dass das Kennwort alle 3 Monate gewechselt wird. Hat auch prima funktioniert bisher. Seltsamerweise jetzt nicht mehr. Hab eigentlich auch nix geändert. Habe auch keine Richtlinie drunter erzwungen oder so.
Natürlich haben die betroffenen User auch die Berechtigung diese Gruppenrichtlinie zu übernehmen.
Auch laut Gruppenrichtlinien-Modellierung, getestet an typischen Usern-Konten, sollte die Richtlinie laut Ergebnis greifen.
Gibt es irgendeine Möglichkeit das letzte Wechsel-Datum und die Restlaufzeit der derzeitigen Passwörter in der Domäne abzufragen?
(Irgendwie muss ich ja mal sehen seit wann da was los ist.)
Torsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63609
Url: https://administrator.de/contentid/63609
Printed on: April 25, 2024 at 01:04 o'clock
7 Comments
Latest comment
Moin TorstenB,
da gibt es sowohl Bordmittel (net.exe) wie auch Mini-Skripte....
.. und was wir nicht fertig haben, das braten wir eben schnell zusammen...
Richtig schnell dagegen sind naturgemäß einige One-Trick-Tools, die (fast) nur das eine können:
Irgendwie mit C++ oder ähnlichem das AD/die Domäne abgrasen und überall nur die PW-Infos lesen.
Da hat IMHO Joe Richards/Joeware die Nase weit vorn und die Sahnestückchen zusammengeschrieben.
Das Tool FindExpAcc.exe, aber auch ein paar andere auf Joe's Site würden passen.
Grüße
Biber
da gibt es sowohl Bordmittel (net.exe) wie auch Mini-Skripte....
.. und was wir nicht fertig haben, das braten wir eben schnell zusammen...
Richtig schnell dagegen sind naturgemäß einige One-Trick-Tools, die (fast) nur das eine können:
Irgendwie mit C++ oder ähnlichem das AD/die Domäne abgrasen und überall nur die PW-Infos lesen.
Da hat IMHO Joe Richards/Joeware die Nase weit vorn und die Sahnestückchen zusammengeschrieben.
Das Tool FindExpAcc.exe, aber auch ein paar andere auf Joe's Site würden passen.
Grüße
Biber
Hallo TorstenB,
Microsoft hat natürlich auch was parat. Nur der Vollständigkeit halber
List When a Password Expires
List When a Password was Last Changed
Müsstest halt noch selbst Hand anlegen, insofern ist Biber's Tipp mit Joeware die einfacher und schneller anzuwendende Lösung.
Gruß,
gemini
Microsoft hat natürlich auch was parat. Nur der Vollständigkeit halber
List When a Password Expires
List When a Password was Last Changed
Müsstest halt noch selbst Hand anlegen, insofern ist Biber's Tipp mit Joeware die einfacher und schneller anzuwendende Lösung.
Gruß,
gemini
Hi,
für diesen Zweck gibt es die AD-Befehlszeilenprogramme.
Ein einfaches
dsquery user "OU=Mitarbeiter,DC=test,DC=de" -stalepwd 90
gibt alle Benutzer der OU Mitarbeiter in der Domäne test.de aus, die ihr Passwort seit mehr als 90 Tagen nicht geändert haben.
Viele Grüße,
Piano
für diesen Zweck gibt es die AD-Befehlszeilenprogramme.
Ein einfaches
dsquery user "OU=Mitarbeiter,DC=test,DC=de" -stalepwd 90
gibt alle Benutzer der OU Mitarbeiter in der Domäne test.de aus, die ihr Passwort seit mehr als 90 Tagen nicht geändert haben.
Viele Grüße,
Piano
Vielen Dank für die Antworten !!!
Mit Hilfe der "dsquery"-Abfrage habe ich erstmal schnell ein paar User abgefragt und gemerkt, dass der Passwort-Wechsel tatsächlich schon über 30 Tage überfällig ist.
Die zwei Microsoft-Scripts sind auch ganz praktisch. Mit dem einem wurd mir bestätigt, dass die Passwörter tatsächlich kein Ablaufdatum haben.
Übrigens, die anderen Links sind auch unbedingt zu empfehlen !!!
Ich hab mir also meine Gruppenrichtlinien nochmal genau unter die Lupe genommen mit der Richtlinien-Modellierung. Hab festgestellt, dass die entsprechenden Einstellungen in der Computerkonfiguration der Richtlinie bei den Benutzer-OU`s nicht greifen. Die Benutzereinstellungen in der selben Richtlinie aber schon. Also funktioniert die Richtlinie erstmal generell (wegen Berechtigung und so).
Ich möchte aber diese Einstellungen an den User binden, nicht an die Maschine.
Egal an welcher Maschine im Netzwerk sich der User dieser OU anmeldet, es sollen für ihn die in dieser Richtlinie eingestellte Computerkonfiguration gelten. Geht das überhaupt?
Torsten
Mit Hilfe der "dsquery"-Abfrage habe ich erstmal schnell ein paar User abgefragt und gemerkt, dass der Passwort-Wechsel tatsächlich schon über 30 Tage überfällig ist.
Die zwei Microsoft-Scripts sind auch ganz praktisch. Mit dem einem wurd mir bestätigt, dass die Passwörter tatsächlich kein Ablaufdatum haben.
Übrigens, die anderen Links sind auch unbedingt zu empfehlen !!!
Ich hab mir also meine Gruppenrichtlinien nochmal genau unter die Lupe genommen mit der Richtlinien-Modellierung. Hab festgestellt, dass die entsprechenden Einstellungen in der Computerkonfiguration der Richtlinie bei den Benutzer-OU`s nicht greifen. Die Benutzereinstellungen in der selben Richtlinie aber schon. Also funktioniert die Richtlinie erstmal generell (wegen Berechtigung und so).
Ich möchte aber diese Einstellungen an den User binden, nicht an die Maschine.
Egal an welcher Maschine im Netzwerk sich der User dieser OU anmeldet, es sollen für ihn die in dieser Richtlinie eingestellte Computerkonfiguration gelten. Geht das überhaupt?
Torsten
Hallo,
wurden vielleicht die Kennwortrichtlinien in der Default Domain Policy verändert?
Die dort eingestellten Werte werden für alle OU´s angewendet.
mfg
wurden vielleicht die Kennwortrichtlinien in der Default Domain Policy verändert?
Die dort eingestellten Werte werden für alle OU´s angewendet.
mfg
Nein, dort habe ich keine Kennworteinstellungen gesetzt.
Es scheint tatsächlich nicht zu gehen, dass ich die Computer-Konfiguration einer Richtlinie auf eine OU mit Usern anwende.
Naja, ich hab`s jetzt anders gemacht. Hab die Kennworteinstellungen in der Richtlinie auf eine OU angewandt wo alle Rechner enthalten sind. Bei den Usern, deren Passwort nicht ablaufen soll habe ich es direkt an den Kontoeigenschaften des jeweiligen Users eingestellt. Ich vermute mal, dass diese Einstellung Vorrang hat.
Torsten
Es scheint tatsächlich nicht zu gehen, dass ich die Computer-Konfiguration einer Richtlinie auf eine OU mit Usern anwende.
Naja, ich hab`s jetzt anders gemacht. Hab die Kennworteinstellungen in der Richtlinie auf eine OU angewandt wo alle Rechner enthalten sind. Bei den Usern, deren Passwort nicht ablaufen soll habe ich es direkt an den Kontoeigenschaften des jeweiligen Users eingestellt. Ich vermute mal, dass diese Einstellung Vorrang hat.
Torsten
