7
GPO - Maximales Kennwortalter - Benutzerhinweis oder Warnung
Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden. Jetzt habe ich verschiedene Infos zu den Benutzerhinweisen/Warnungen vor dem Kennwortablauf gelesen. Unsere Server 2008R2 mit gleicher Funktionsebene.
Kann mich jemand aufklären wie diese Hinweise ab Win7-Clients aussehen? Kommt da noch eine Extra-Fenster beim Anmeldebildschirm welches man bestätigen muss (z.B. Ihr Kennwort läuft in X Tagen ab, möchten sie es jetzt ändern?) oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop? Kommt eine solche Meldung als Standard bei Aktivierung der Richtlinie max. Kennwortalter oder muss dies noch konfiguriert werden (Interaktive Anmeldung vor Ablauf des Kennworts warnen). Weiß da jemand konkret über den Standard und die Möglichkeiten mit Win-Bordmitteln Bescheid?
Kann mich jemand aufklären wie diese Hinweise ab Win7-Clients aussehen? Kommt da noch eine Extra-Fenster beim Anmeldebildschirm welches man bestätigen muss (z.B. Ihr Kennwort läuft in X Tagen ab, möchten sie es jetzt ändern?) oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop? Kommt eine solche Meldung als Standard bei Aktivierung der Richtlinie max. Kennwortalter oder muss dies noch konfiguriert werden (Interaktive Anmeldung vor Ablauf des Kennworts warnen). Weiß da jemand konkret über den Standard und die Möglichkeiten mit Win-Bordmitteln Bescheid?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 451137
Url: https://administrator.de/contentid/451137
Printed on: April 28, 2024 at 11:04 o'clock
7 Comments
Latest comment
Moin,
Gruß,
Dani
oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop?
So ist es. Ansonsten einfach mal im Lab ausprobieren. Kommt eine solche Meldung als Standard bei Aktivierung der Richtlinie max. Kennwortalter oder muss dies noch konfiguriert werden
Kommt ouf-of-the-Box.Gruß,
Dani
Moin
Jopp, stimme hier zu. Wir haben nach Umstellung auf Win7 per vbs (Powershell waren wir noch nicht Form genug) nen Script geschrieben, welches bei Anmeldung das Alter des Kennwortes prüft und dann ab t-14 Tage die User mit jeder Anmeldung behelligt.
Man könnte per PowerShell auch des Nachts ein Script laufen lassen und die Leute per Mail informieren. Musst hier mal Inn Forum suchen, das gab es schon einige Male hier.
Gruß
em-pie
Zitat von @Dani:
Moin,
Moin,
oder kommt die Meldung nur noch als Ballon-Meldung unten rechts am Desktop?
So ist es. Ansonsten einfach mal im Lab ausprobieren. Jopp, stimme hier zu. Wir haben nach Umstellung auf Win7 per vbs (Powershell waren wir noch nicht Form genug) nen Script geschrieben, welches bei Anmeldung das Alter des Kennwortes prüft und dann ab t-14 Tage die User mit jeder Anmeldung behelligt.
Man könnte per PowerShell auch des Nachts ein Script laufen lassen und die Leute per Mail informieren. Musst hier mal Inn Forum suchen, das gab es schon einige Male hier.
Gruß
em-pie
D.h. dann es kommt keine "Login-Meldung" wie unter XP und eben diese Ballon-Meldungen und wenn das Kennwort dann komplett abgelaufen ist kommt beim Starbildschirm sofort das Kennwort muss geändert werden oder?
Zitat von @chp879:
D.h. dann es kommt keine "Login-Meldung" wie unter XP und eben diese Ballon-Meldungen und wenn das Kennwort dann komplett abgelaufen ist kommt beim Starbildschirm sofort das Kennwort muss geändert werden oder?
D.h. dann es kommt keine "Login-Meldung" wie unter XP und eben diese Ballon-Meldungen und wenn das Kennwort dann komplett abgelaufen ist kommt beim Starbildschirm sofort das Kennwort muss geändert werden oder?
Kommt ganz darauf an. Da musst du die Frage vielleicht etwas genauer definieren. Denn die Antwort kann hier unterschiedlich ausfallen.
Wenn man sich direkt an einem PC der sich in der Domäne befindet mit seinem Domänenaccount anmelden möchte wird man aufgefordert das Passwort zu ändern wenn es abgelaufen ist.
Wenn man aber sich stattdessen mit dem Domänenkonto mit dem abgelaufenen Passwort an einem Terminalserver per RDP anmelden möchte dann wird nur die Verbindung verweigert. Eine Eingabemaske mit Aufforderung das Passwort zu ändern ist hier dann nicht möglich.
Daher wird gerade bei Verwendung eines Terminalservers in Verbindung mit ablaufenden Kennwörtern von Admins gerne irgendein Script eingesetzt dass die Nutzer vorher warnt, dass sie gefälligst ihr Passwort zu ändern haben bevor es abläuft.
Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden.
Hi,
sorry, der Gedanke hat mindestens den gleichen Vollbart, wie eure Server...
In den letzten 10 Jahren hat sich viel getan, sogar haben das BSI und MS selber zwischenzeitlich zugegeben, dass der Schalter die Sicherheit um exakt 0% erhöht und damit komplett outdated und überflüssig ist. Dementsprechend gibt es keine Empfehlung und auch keinen Baustein diesbezüglich mehr.
Heißt -> Spart es euch.
Zitat von @chgorges:
Hi,
sorry, der Gedanke hat mindestens den gleichen Vollbart, wie eure Server...
In den letzten 10 Jahren hat sich viel getan, sogar haben das BSI und MS selber zwischenzeitlich zugegeben, dass der Schalter die Sicherheit um exakt 0% erhöht und damit komplett outdated und überflüssig ist. Dementsprechend gibt es keine Empfehlung und auch keinen Baustein diesbezüglich mehr.
Heißt -> Spart es euch.
Bei uns soll seit langer Zeit die Kennwortrichtlinie inkl. max Kennwortalter aktiviert werden.
Hi,
sorry, der Gedanke hat mindestens den gleichen Vollbart, wie eure Server...
In den letzten 10 Jahren hat sich viel getan, sogar haben das BSI und MS selber zwischenzeitlich zugegeben, dass der Schalter die Sicherheit um exakt 0% erhöht und damit komplett outdated und überflüssig ist. Dementsprechend gibt es keine Empfehlung und auch keinen Baustein diesbezüglich mehr.
Heißt -> Spart es euch.
Richtig, falls die Geschäftsleitung diese Änderung unbedingt will, dann bitte mal auf folgende Fallstricke ansprechen.
Wenn die Geschäftsleitung es danach dennoch will dann bleibt halt keine andere Möglichkeit als das umzusetzen.
Gründe warum das BSI (schon eine Weile) und MS (ganz frisch) das vorgehen nicht empfiehlt:
Mitarbeiter legen häufig komplett unsichere Verhaltensweisen an den Tag wenn sie ihr Passwort öfters ändern müssen.
Variante 1, der Mitarbeiter macht es sich einfach und zählt beim Passwort immer nur um eine Zahl hoch.
Erstes Passwort: blibablubb1
Zweites Passwort: bliblablubb2
Drittes Passwort: bliblablubb3
usw.
Variante 2, der Mitarbeiter kann sich sein Passwort und die häufigen Änderungen nicht merken und schreibt es sich auf einen Zettel auf.
Meist benutzte Orte zum verstecken des Passwortes:
1. Unter der Tastatur
2. Offen am Monitor (besonders gutes Versteck)
3. Erste Schreibtischschublade
Im Zweifelsfall wird dadurch die Sicherheit sogar verringert.
