22
Kennwortrichtlinie: Benutzerhinweis (Erläuterung) für komplexes Kennwort
Hallo zusammen,
ich stehe vor der undankbaren Aufgabe komplexe Kennwörter für die Windowsanmeldung einzuführen (Windows 2008r2/Win7)
So weit, so simpel. Mein problem besteht darin, dass kein Benutzer mit dem Hinweis "das Kennwort entspricht nicht den Kennwortrichtlinien" etwas anfangen kann.
Gibt es die Möglichkeit diese Meldung um eine Erläuterung zu erweitern? Ich bin der Meinung, sowas durchaus schon gesehen zu haben.
Vielen Dank im Voraus.
ich stehe vor der undankbaren Aufgabe komplexe Kennwörter für die Windowsanmeldung einzuführen (Windows 2008r2/Win7)
So weit, so simpel. Mein problem besteht darin, dass kein Benutzer mit dem Hinweis "das Kennwort entspricht nicht den Kennwortrichtlinien" etwas anfangen kann.
Gibt es die Möglichkeit diese Meldung um eine Erläuterung zu erweitern? Ich bin der Meinung, sowas durchaus schon gesehen zu haben.
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249564
Url: https://administrator.de/contentid/249564
Printed on: April 19, 2024 at 21:04 o'clock
22 Comments
Latest comment
Da schließe ich mich an, würde mich auch stark interessieren.
Installiere einen Mailserver, installiere ein Mailprogramm auf jeden PC und schreibe eine Rundmail mit der Kennworterläuterung. So geht´s.
Gruß, Arch Stanton
Gruß, Arch Stanton
1
Hallo
Ich habe das bei uns so gelöst, indem ich vor der Umstellung allen Usern eine Mail mit den Richtlinien geschickt habe.
Die Richtlinien fett und rot, und mit dem Hinweis, sie sollen sich das ausdrucken!!
Ist halt nur eine kleine Domäne (< 20 User).
Gruss
Ich habe das bei uns so gelöst, indem ich vor der Umstellung allen Usern eine Mail mit den Richtlinien geschickt habe.
Die Richtlinien fett und rot, und mit dem Hinweis, sie sollen sich das ausdrucken!!
Ist halt nur eine kleine Domäne (< 20 User).
Gruss
So ein Benutzerhinweis wäre echt super, wir hatten auch gerade so eine Umstellung und trotz Rund-Mail kommen immer wieder Anrufe, so ist es halt mit den normalUsern ;)
mfg Rob
mfg Rob
Moin,
das läuft auf die Erstellung einer DLL für den Login-Prozess hinaus:
oder ihr nutzt z.B. den Password Policy Enforcer, der bietet eine Erweiterung für den Login-Dialog an der ganz genau erläutert wie das Passwort auszusehen hat. Die Texte lassen sich auch bei Bedarf personalisieren.
Grüße Uwe
das läuft auf die Erstellung einer DLL für den Login-Prozess hinaus:
- http://msdn.microsoft.com/en-us/magazine/cc163489.aspx
- http://msdn.microsoft.com/en-us/library/windows/desktop/aa380543%28v=vs ...
oder ihr nutzt z.B. den Password Policy Enforcer, der bietet eine Erweiterung für den Login-Dialog an der ganz genau erläutert wie das Passwort auszusehen hat. Die Texte lassen sich auch bei Bedarf personalisieren.
Grüße Uwe
Ich dachte die .dll zu tauschen ist nur unter Windows Server 2003 möglich?
Gruß
Martin
Gruß
Martin
Hier wird keine DLL überschrieben sondern via Registryeintrag eine neue für den Logon-Prozess zugewiesen !
Ok....
@colinardo
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
Zitat von @DerWoWusste:
@colinardo
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
Hi DWW,@colinardo
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
nein noch nicht, ich zerlege aber gerade aus Interesse den PPE in einer VM um zu sehen wie die das machen. Die Hauptlogik liegt in der DLL ppe.dll im System32 Verzeichnis. Diese implementiert einen Passwortfilter der in der Registry unter
Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\ANIXIS\Password Policy Enforcer 7.0
In die Schnittstellen die implementiert werden müssen müsste ich mich erst einarbeiten, starker Tobak das ganze in C++ (nicht gerade meine Stärke). Mal sehen ob ich dafür mal Zeit finde
Grüße Uwe
Mal sehen ob ich dafür mal Zeit finde
Wie ich Dich kenne, bist Du doch morgen früh schon fertig Meine Frage sollte eher heißen: hast Du schonmal im Web eine pwfilter.dll gesehen, die man runterladen konnte, die auch auf 2008 oder höher lief?
Zitat von @DerWoWusste:
> Mal sehen ob ich dafür mal Zeit finde
Wie ich Dich kenne, bist Du doch morgen früh schon fertig
nee > Mal sehen ob ich dafür mal Zeit finde
Wie ich Dich kenne, bist Du doch morgen früh schon fertig
Meine Frage sollte eher heißen: hast Du schonmal im Web eine pwfilter.dll gesehen, die man runterladen konnte, die auch auf
2008 oder höher lief?
Nope, höchstens das hier, aber ob das auf 2008(up) läuft keine-ahnung.2008 oder höher lief?
@tRIACTIs
Hi. Wie Uwe sagte, gibt's zu kaufen. Anixis' PPE ist meiner Ansicht nach ein super Produkt und, wie ich finde, bezahlbar. Einarbeitungszeit ist sehr gering, das hast Du in weniger als 2 Stunden aufgesetzt. Ich kann Tipps geben, da ich es seit mehreren Jahren nutze.
Was Du "schonmal gesehen hast", war wohl dies:
Ich weiß nicht, aber ich meine, das ging mit xp noch, aber ab Vista nicht mehr.
@colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht erinnere: irreversibel.
Hi. Wie Uwe sagte, gibt's zu kaufen. Anixis' PPE ist meiner Ansicht nach ein super Produkt und, wie ich finde, bezahlbar. Einarbeitungszeit ist sehr gering, das hast Du in weniger als 2 Stunden aufgesetzt. Ich kann Tipps geben, da ich es seit mehreren Jahren nutze.
Was Du "schonmal gesehen hast", war wohl dies:
@colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht erinnere: irreversibel.
Zitat von @DerWoWusste:
@colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht
erinnere: irreversibel.
alles klar @colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht
erinnere: irreversibel.
ich sag ja, nur der kleinste Pufferüberlauf in der DLL, und du produzierst sofort einen BSOD
Erstmal vielen Dank für Eure Beteiligung (außer Arch-Stanton - sowas kann man sich sparen).
@DerWoWusste
gut möglich, dass es genau dieser Hinweis war. Ich zumindest erinnere mich an sowas (dunkel aber trotzdem), kann allerdings auch noch zu NT Zeiten gewesen sein. Hätte mir mein Chef nicht bestätigt, dass er sowas auch schon mal gesehen hat, hätte ich's als Hirngespinst abgetan.
Sollten wir uns für PPE entscheiden, werde ich ggf. auf Dein Angebot zurückkommen. Vielen Dank.
Ach ja, gut dass Du die geschrotete Testdomäne erwähnst. Das wird mich davon abhalten irgendwelche Experimente in der Produktivumgebung zu machen^^
@colinardo
Vielen vielen Dank für die beiden Vorschläge. Auch wenn es wie vermutet nicht so trivial ist wie erhofft, sind das schon mal zwei Vorschläge mit denen man Arbeiten kann. Werde mir beides detailliert anschauen und Rückmeldung geben.
@DerWoWusste
gut möglich, dass es genau dieser Hinweis war. Ich zumindest erinnere mich an sowas (dunkel aber trotzdem), kann allerdings auch noch zu NT Zeiten gewesen sein. Hätte mir mein Chef nicht bestätigt, dass er sowas auch schon mal gesehen hat, hätte ich's als Hirngespinst abgetan.
Sollten wir uns für PPE entscheiden, werde ich ggf. auf Dein Angebot zurückkommen. Vielen Dank.
Ach ja, gut dass Du die geschrotete Testdomäne erwähnst. Das wird mich davon abhalten irgendwelche Experimente in der Produktivumgebung zu machen^^
@colinardo
Vielen vielen Dank für die beiden Vorschläge. Auch wenn es wie vermutet nicht so trivial ist wie erhofft, sind das schon mal zwei Vorschläge mit denen man Arbeiten kann. Werde mir beides detailliert anschauen und Rückmeldung geben.
Bei XP gab es ja diesen "Wundervollen" Begrüßungsdialog. Schon mal jemand probiert diese 2003er GPO am 2012er zu importieren???
Das ist kein Lösungsvorschlag! Aber vielleicht hat ja generell schon mal wer alte GPOs importiert...
Grüße
Das ist kein Lösungsvorschlag! Aber vielleicht hat ja generell schon mal wer alte GPOs importiert...
Grüße
Hi.
Begrüßungsdialog - Du meinst, das was ich als Bild eingefügt habe? Das macht ja eine Systemdatei auf xp und keine Policy, das ist demnach nicht importierbar.
Begrüßungsdialog - Du meinst, das was ich als Bild eingefügt habe? Das macht ja eine Systemdatei auf xp und keine Policy, das ist demnach nicht importierbar.
1
Jau genau! mmmhhh. Es gibt so Sachen die hätte MS ruhig beibehalten sollen!
Danke
Danke
Das stimmt.... nächste Woche bin ich bei einer Veranstaltung von Microsoft, da werd ich mal nachfragen ob sowas möglich ist bzw. kommt
1Zitat von @ITvortex:
Das stimmt.... nächste Woche bin ich bei einer Veranstaltung von Microsoft, da werd ich mal nachfragen ob sowas möglich
ist bzw. kommt
Das stimmt.... nächste Woche bin ich bei einer Veranstaltung von Microsoft, da werd ich mal nachfragen ob sowas möglich
ist bzw. kommt
Welche VA ist das denn?
Oh sehe gerade es ist erst am Dienstag übernächste Woche: http://www.partnerblog.at/post/2014/09/18/T-12-Nur-noch-knapp-2-Wochen- ...
Microsoft Partner Roadshow, immer sehr informativ
Microsoft Partner Roadshow, immer sehr informativ
1
Hallo zusammen,
Alle zwei Jahre wurde so eine Mail jedem Mitarbeiter zugeschickt und dann hat
er sie unterschrieben und dann den Gruppen bzw. Abteilungsleitern unterschrieben
ausgehändigt. Lege einfach einen Abteilungsordner für jede Abteilung an und dann
kann auch jeder nachschauen was, wie, wann und wo gewünscht ist bzw. erledigt
werden soll.
Jetzt ist das alles obsolet denn wir nutzen einen Lösung von ReinerSCT zur
Zeiterfassung, Zugangskontrolle und auch zum Anmelden an den PCs, da
kann das Passwort dann auch 50 Zeichen betragen und man muss nur die
Karte mit dem RFID CHip an das Lesegerät halten und der Benutzer wird
automatisch angemeldet. Kleiner Zugewinn, der Admin kann sich so an den
PCs auch anmelden ohne das er sein Passwort immer vor allen Leuten
eingeben muss.
Gruß
Dobby
Erstmal vielen Dank für Eure Beteiligung (außer Arch-Stanton - sowas kann man sich sparen).
So lief das bei uns bis vor kurzem noch ab und nicht nur wegen des Passwortes!Alle zwei Jahre wurde so eine Mail jedem Mitarbeiter zugeschickt und dann hat
er sie unterschrieben und dann den Gruppen bzw. Abteilungsleitern unterschrieben
ausgehändigt. Lege einfach einen Abteilungsordner für jede Abteilung an und dann
kann auch jeder nachschauen was, wie, wann und wo gewünscht ist bzw. erledigt
werden soll.
Jetzt ist das alles obsolet denn wir nutzen einen Lösung von ReinerSCT zur
Zeiterfassung, Zugangskontrolle und auch zum Anmelden an den PCs, da
kann das Passwort dann auch 50 Zeichen betragen und man muss nur die
Karte mit dem RFID CHip an das Lesegerät halten und der Benutzer wird
automatisch angemeldet. Kleiner Zugewinn, der Admin kann sich so an den
PCs auch anmelden ohne das er sein Passwort immer vor allen Leuten
eingeben muss.
Gruß
Dobby
