8
Einführen einer Kennwortrichtlinie
Ich lese bei euch schon eine Weile, schreibe aber erst jetzt meinen ersten Beitrag... Also erstmal: Hallo zusammen!
Ich habe ein Frage, auf die ich trotz langer Suche noch keine Antwort gefunden habe.....
Ich würde gerne in der Default Domain Policy die Kennwortrichtlinie aktivieren. Gewünscht ist das Maximale Kennwortalter auf 30 Tage zu setzen.
Nun sollen aber nicht alle Benutzer gleichzeitig 30 Tage nach Aktivierung der Policy dazu aufgefordert werden, ihr Kennwort zu ändern.
Wie kann ich das gezielt steuern, dass nicht alle gleichzeitig das Kennwort ändern müssen, sondern z.B. Abteilungsweise?
Meine Idee geht dahin, dass ich erstmal allen den Haken "Kennwort läuft nie ab" mitgebe und dann nach und nach in 10´er Grüppchen oder so den Haken wieder entferne.
Oder kann ich vielleicht im AD (ADSIEDIT oder ähnliches) ein Feld finden, in dem ich das aktuelle Kennwortalter ändern oder einsehen kann? Dann könnte ich es ja händisch auf andere Werte setzen.....?
Danke Euch fürs Lesen und die Antworten!
Gruß
Matthias
Ich habe ein Frage, auf die ich trotz langer Suche noch keine Antwort gefunden habe.....
Ich würde gerne in der Default Domain Policy die Kennwortrichtlinie aktivieren. Gewünscht ist das Maximale Kennwortalter auf 30 Tage zu setzen.
Nun sollen aber nicht alle Benutzer gleichzeitig 30 Tage nach Aktivierung der Policy dazu aufgefordert werden, ihr Kennwort zu ändern.
Wie kann ich das gezielt steuern, dass nicht alle gleichzeitig das Kennwort ändern müssen, sondern z.B. Abteilungsweise?
Meine Idee geht dahin, dass ich erstmal allen den Haken "Kennwort läuft nie ab" mitgebe und dann nach und nach in 10´er Grüppchen oder so den Haken wieder entferne.
Oder kann ich vielleicht im AD (ADSIEDIT oder ähnliches) ein Feld finden, in dem ich das aktuelle Kennwortalter ändern oder einsehen kann? Dann könnte ich es ja händisch auf andere Werte setzen.....?
Danke Euch fürs Lesen und die Antworten!
Gruß
Matthias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104298
Url: https://administrator.de/contentid/104298
Printed on: April 23, 2024 at 17:04 o'clock
8 Comments
Latest comment
Hallo Matthias
Also grunsätzlich würde ich die Default Domain Policy nicht verändern...
Wenn Du pro Abteilung OU's festgelegt hast, sollte das ja kein Problem sein, ansonsten geht das wohl nicht so wirklich. Oder ich wüsste auch gerade nicht wie...
Also grunsätzlich würde ich die Default Domain Policy nicht verändern...
Wenn Du pro Abteilung OU's festgelegt hast, sollte das ja kein Problem sein, ansonsten geht das wohl nicht so wirklich. Oder ich wüsste auch gerade nicht wie...
Hallo Matthias,
was versprichst Du Dir von den Umständen? Die Benutzer werden sowieso nicht alle auf einmal aufgefordert, ihr Kennwort zu ändern, sondern beginnend 2 Wochen vorher (kann man ändern) darüber informiert, dass der Ablauf des Kennworts droht und können es dann ändern. Diese Aufforderung an die Benutzer erfolgt immer beim Anmelden.
Markus
was versprichst Du Dir von den Umständen? Die Benutzer werden sowieso nicht alle auf einmal aufgefordert, ihr Kennwort zu ändern, sondern beginnend 2 Wochen vorher (kann man ändern) darüber informiert, dass der Ablauf des Kennworts droht und können es dann ändern. Diese Aufforderung an die Benutzer erfolgt immer beim Anmelden.
Markus
Hm....
Das mit den 14 Tagen habe ich gar nicht dran gedacht... Na klar....!
Du hattest geschrieben, dass man das ändern kann: Hast du gerade die Stelle zur hand, wo das geht?
Das mit den 14 Tagen habe ich gar nicht dran gedacht... Na klar....!
Du hattest geschrieben, dass man das ändern kann: Hast du gerade die Stelle zur hand, wo das geht?
Hallo nochmal,
wo man den Zeitraum ändern kann weiß ich im Moment nicht, ich meine aber das schonmal gesehen zu haben.
Kann aber auch ein Registry-Eintrag sein.
Markus
wo man den Zeitraum ändern kann weiß ich im Moment nicht, ich meine aber das schonmal gesehen zu haben.
Kann aber auch ein Registry-Eintrag sein.
Markus
Hallo,
die Kennwortrichtlinie wirkt auf Domain Controllern, daher ist der Ansatz mit OU's nicht möglich. Die Richtlinie wirkt Domain-weit, daher ist diese in der Default Domain Policy gut aufgehoben.
Grüße, Steffen
die Kennwortrichtlinie wirkt auf Domain Controllern, daher ist der Ansatz mit OU's nicht möglich. Die Richtlinie wirkt Domain-weit, daher ist diese in der Default Domain Policy gut aufgehoben.
Grüße, Steffen
Guten Abend zusammen,
dass die Kennwortrichtlinie für die gesamte Domäne gilt ist für Server 2003 richtig. Bei Server 2008 geht es auch über die OU.
Markus
dass die Kennwortrichtlinie für die gesamte Domäne gilt ist für Server 2003 richtig. Bei Server 2008 geht es auch über die OU.
Markus
Wie zuletzt von Markus erwähnt: 2008 Server als DC macht hier Fortschritte: http://technet.microsoft.com/en-us/library/cc770394.aspx - man kann nun mehrere Kennw.-Richtlinien pro Domäne haben. Weitere Anmerkung: diese Richtlinie auf verschiedene OUs anzuwenden geht auch bei DCs niedriger als 2003... jedoch muss man das Prinzip verstehen: Domänenkonten liegen in der Kontendatenbank auf dem DC. Richtet man also unter z.B. 2003 Server weitere Kennwortrichtlinien für die OUs x, y und z an, gelten diese nicht für die Domänenkonten, sondern für die lokalen Konten der PCs aus x,y und z. Die Domänenkonten werden nur von der Richtlinie beeinflusst, die auf den DC selbst angewendet wird.
PS: 30 Tage ist kurz, habt Ihr Euch das gut überlegt? Da flennen die Nutzer doch wieder am Strahl...
PS: 30 Tage ist kurz, habt Ihr Euch das gut überlegt? Da flennen die Nutzer doch wieder am Strahl...
