3
Kennwörter über Gruppenrichtlinie ändern WS2K Server
Hallo zusammen,
bei uns in der Firma wurde bisher das Ändern der Kennwörter ziemlich Stiefmütterlich behandelt.
Ich habe in der Gruppenrichtlinie des Servers das Kennwortalter auf 999 Tage gesetzt.
Da ich aber in zukunft eine änderung der Passwörter erzeingen will, muss ich diese Gruppenrichtlinie abändern.
Jetzt meine Frage:
Wenn ich das Kennwortalter bsp. auf 60 tage stelle, müssen dann ALLE Netzwerkuser am nächsten Tag ihr Kennwort ändern, da das alte ja wesentlich älter war, oder läuft die Zeit bis zur nächsten Änderung ab Erstellung der Richtlinie?
Danke für alle kommenden Tips
)
bei uns in der Firma wurde bisher das Ändern der Kennwörter ziemlich Stiefmütterlich behandelt.
Ich habe in der Gruppenrichtlinie des Servers das Kennwortalter auf 999 Tage gesetzt.
Da ich aber in zukunft eine änderung der Passwörter erzeingen will, muss ich diese Gruppenrichtlinie abändern.
Jetzt meine Frage:
Wenn ich das Kennwortalter bsp. auf 60 tage stelle, müssen dann ALLE Netzwerkuser am nächsten Tag ihr Kennwort ändern, da das alte ja wesentlich älter war, oder läuft die Zeit bis zur nächsten Änderung ab Erstellung der Richtlinie?
Danke für alle kommenden Tips
)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40257
Url: https://administrator.de/contentid/40257
Printed on: April 19, 2024 at 18:04 o'clock
3 Comments
Latest comment
Servus
da dies eine neue Richtline tritt diese auch erst mit dem "secedit/refresh " oder " gpupdate" in Kraft und verhält sich folgendermaßen :
Ab dem Zeitpunkt der Anmeldung des Users X läuft der Zähler von 60 runter ...
Danach ist ein KW-Wechsel erforderlich.
D.h. : du kannst nicht definieren das am jeden 1. eines Monats das KW geändert wird.
(Ausser du erstellst / verwendest eine ADM Vorlage die dir dies ermöglich - habe ich aber selbst noch nie gemacht/benötigt )
Gruß,
Andy
da dies eine neue Richtline tritt diese auch erst mit dem "secedit/refresh " oder " gpupdate" in Kraft und verhält sich folgendermaßen :
Ab dem Zeitpunkt der Anmeldung des Users X läuft der Zähler von 60 runter ...
Danach ist ein KW-Wechsel erforderlich.
D.h. : du kannst nicht definieren das am jeden 1. eines Monats das KW geändert wird.
(Ausser du erstellst / verwendest eine ADM Vorlage die dir dies ermöglich - habe ich aber selbst noch nie gemacht/benötigt )
Gruß,
Andy
Hola,
bist Du Dir da sicher? IMO rechnet Windows den Wert (Today - PWLastChange) > MaxPWDAge aus und "bittet" den Benutzer, falls obige Annahme wahr ist, den Benutzer um den Passwortwechsel (also vermutlich bei der nächsten Anmeldung - da wird ja auch die GPO für den Benutzer auf jeden Fall ausgewertet).
BTW: Die Gruppenrichtlinie auf dem Server hilft Dir da nicht viel - da kann man das zwar einstellen, gilt aber dann nur für lokale Benutzer. Willst Du das Domäneweit ändern, so musst Du das in den Domain Ploicy einstellen - es gilt NUR DORT!
Tip: Schreib' Deinen lieben Benutzern eine eMail, dass sie bei der nächsten Anmeldung Ihr Passwort manuell ändern sollen bzw. das innerhalb einer Woche erledigen sollen. Prinzipiell hast Du ja kein Problem damit, so lange sich die User interaktiv anmelden. Wollen Benutzer z.B. über FTP rein, dann haben die dort gar keine Chance, das Passwort zu ändern und können sich auch nicht anmelden.
cu,
Alex
bist Du Dir da sicher? IMO rechnet Windows den Wert (Today - PWLastChange) > MaxPWDAge aus und "bittet" den Benutzer, falls obige Annahme wahr ist, den Benutzer um den Passwortwechsel (also vermutlich bei der nächsten Anmeldung - da wird ja auch die GPO für den Benutzer auf jeden Fall ausgewertet).
BTW: Die Gruppenrichtlinie auf dem Server hilft Dir da nicht viel - da kann man das zwar einstellen, gilt aber dann nur für lokale Benutzer. Willst Du das Domäneweit ändern, so musst Du das in den Domain Ploicy einstellen - es gilt NUR DORT!
Tip: Schreib' Deinen lieben Benutzern eine eMail, dass sie bei der nächsten Anmeldung Ihr Passwort manuell ändern sollen bzw. das innerhalb einer Woche erledigen sollen. Prinzipiell hast Du ja kein Problem damit, so lange sich die User interaktiv anmelden. Wollen Benutzer z.B. über FTP rein, dann haben die dort gar keine Chance, das Passwort zu ändern und können sich auch nicht anmelden.
cu,
Alex
hallo,
erstmal danke für die Tips.
da es sich hier noch überschaubar um ca. 40 User handelt, werde ich in den Konteneigenschaften manuell Abteilungsweise "Kennwort ändern bei der nächsten Anmeldung" einstellen. Ich muss das leider Abteilungsweise machen, da es immer noch User gibt die die Meldungen vom OS nicht lesen Können,bzw. wollen und lieber zu Hörer greifen und die EDV anrufen
Wenn dann alle User das KW geändert haben, dann stelle ich die Richtlinie auf die gewünschten 60 Tage.
Gruß Markus (silversurfer)
erstmal danke für die Tips.
da es sich hier noch überschaubar um ca. 40 User handelt, werde ich in den Konteneigenschaften manuell Abteilungsweise "Kennwort ändern bei der nächsten Anmeldung" einstellen. Ich muss das leider Abteilungsweise machen, da es immer noch User gibt die die Meldungen vom OS nicht lesen Können,bzw. wollen und lieber zu Hörer greifen und die EDV anrufen
Wenn dann alle User das KW geändert haben, dann stelle ich die Richtlinie auf die gewünschten 60 Tage.
Gruß Markus (silversurfer)
