10
Kennwortrichtlinie GPO
Hallo,
ich würde gerne via GPO eine strengere Kennwortrichtlinie für die Benutzer realisieren. Ich habe bsp hier gelesen, dass man das (und nur das) im Prinzip nur über die "Default Domain Policy" realisiert bekommt.
Ich nehme an, dass das an dieser Stelle vorzunehmen ist:
Jetzt die Fragen:
Neugierige Grüße,
Andreas
ich würde gerne via GPO eine strengere Kennwortrichtlinie für die Benutzer realisieren. Ich habe bsp hier gelesen, dass man das (und nur das) im Prinzip nur über die "Default Domain Policy" realisiert bekommt.
Ich nehme an, dass das an dieser Stelle vorzunehmen ist:
Jetzt die Fragen:
- Nehme ich richtig an, dass sich diese Einstellung auf alle "Objekte" (Server, PCs, User) der Domäne auswirkt?
- gibt es nicht vielleicht doch eine andere Möglichkeit, den Usern mit Bordmitteln härtere Kennwortrichtlinien aufzuzwingen?
- Kann man das irgendwie sinnvoll testen, ohne eine zweite Domäne zur Verfügung zu haben?
- Wie stellt es sich für einen User dar, der sich nach aktivieren der strengeren Kennwortrichtlinie an seinem PC anmeldet und dessen Kennwort NICHT den Vorgaben entspricht? Wird der User darüber informiert und aufgefordert das Kennwort zu ändern? Sollte man im AD/Userverwaltung das Kennwort des Users zusätzlich als "beim nächsten Anmelden zu ändern" kennzeichnen?
- Gibt es irgendwas unbedingt zu beachten (abgesehen von der Information an die User
)
- in dem Screenshot ist ja noch eine Policy gezeigt, die "nicht gefunden" heißt (so benannt ist). Ist das Kunst oder kann das Weg?
Neugierige Grüße,
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285615
Url: https://administrator.de/contentid/285615
Printed on: April 25, 2024 at 18:04 o'clock
10 Comments
Latest comment
Hi.
1 Wenn man für Domänenbenutzer verschärfen will, muss man bedenken, wo deren Kennwörter gespeichert sind: auf dem DC. die Richtlinie muss somit auf den DCs greifen, was auf die Clients angewendet wird, greift nicht für Domänenkonten, sondern für lokale Konten. Aber was soll's, ja, die Default Domain Policy ist die richtige dafür.
2 Google nach passfilt.dll - es ist nicht einfach!
3 Nimm eine virtuelle Domäne, ich schätze, der Aufwand die aufzusetzen beträgt 30 min
4 Nein, erst bei der nächsten Änderung. Ja, man sollte dazu zwingen
5 Ja, nimm Anixis PPE dafür
1. ? kenn ich nicht.
1 Wenn man für Domänenbenutzer verschärfen will, muss man bedenken, wo deren Kennwörter gespeichert sind: auf dem DC. die Richtlinie muss somit auf den DCs greifen, was auf die Clients angewendet wird, greift nicht für Domänenkonten, sondern für lokale Konten. Aber was soll's, ja, die Default Domain Policy ist die richtige dafür.
2 Google nach passfilt.dll - es ist nicht einfach!
3 Nimm eine virtuelle Domäne, ich schätze, der Aufwand die aufzusetzen beträgt 30 min
4 Nein, erst bei der nächsten Änderung. Ja, man sollte dazu zwingen
5 Ja, nimm Anixis PPE dafür
1. ? kenn ich nicht.
1
Hallo Andreas,
1. Es betrifft alle Objekte. Aber ansich sind das nur die User, die manuelle Passwörter haben.
2. Andere evtl. Aber über die GPO ist die richtige. Nimm die.
3. Mach ne neue OU (Ordner in Benutzer-Computer) und pack deinen user darein und gib ihm eine neue Gruppenrichtlinie mit neuer Kennwortrichtlinie.
4. Alte Kennwörter sind weiterhin gültig. Egal wie sicher/unsicher. Wenn du sichergehen willst, dass jeder ein sicheres hat, musst Du den Haken setzen, ja.
5. Evtl. Dienst-Konten? Domain-Controller-Policy ebenfalls anpassen.
Zusatzfrage 1: Sie sieht deaktiviert aus. Kannst ja mal dort in den Einstellungen schauen, was da konfiguriert wurde. Aber ansich kann die weg. Wichtig ist nur Default Domain und Default Domain Controller. Die könnte man aber auch theoretisch löschen und durch andere ersetzen.
Fazit: Kannste net viel Kaputt machen meiner Meinung nach.
Gruß
BBfreak
1. Es betrifft alle Objekte. Aber ansich sind das nur die User, die manuelle Passwörter haben.
2. Andere evtl. Aber über die GPO ist die richtige. Nimm die.
3. Mach ne neue OU (Ordner in Benutzer-Computer) und pack deinen user darein und gib ihm eine neue Gruppenrichtlinie mit neuer Kennwortrichtlinie.
4. Alte Kennwörter sind weiterhin gültig. Egal wie sicher/unsicher. Wenn du sichergehen willst, dass jeder ein sicheres hat, musst Du den Haken setzen, ja.
5. Evtl. Dienst-Konten? Domain-Controller-Policy ebenfalls anpassen.
Zusatzfrage 1: Sie sieht deaktiviert aus. Kannst ja mal dort in den Einstellungen schauen, was da konfiguriert wurde. Aber ansich kann die weg. Wichtig ist nur Default Domain und Default Domain Controller. Die könnte man aber auch theoretisch löschen und durch andere ersetzen.
Fazit: Kannste net viel Kaputt machen meiner Meinung nach.
Gruß
BBfreak
1
@BBfreak
3. wird nicht funktionieren, denn die Kennwörter liegen auf dem DC. Es ist eine Computerkofig, keine Userkonfig.
3. wird nicht funktionieren, denn die Kennwörter liegen auf dem DC. Es ist eine Computerkofig, keine Userkonfig.
1
1. Ja, die Stelle ist richtig, wenn man Domänenkonten entsprechend behandeln möchte. Wenn man die Richtlinie auf eine OU anwendet, sind nur lokale Konten auf den Clients betroffen.
2. Bestimmt. Aber warum sollte man nicht die vorhandenen Mittel nutzen?
3. Eine Testumgebung aufbauen. Aber eigentlich sollte da nicht viel schief gehen.
4. Die Kennwörter bleiben weiterhin gültig, bis sie eben geändert werden. Dann greift die neue Richtlinie. Ansonsten wird jeder User nach Ablauf der angegebenen Tage gezwungen, sein Kennwort zu ändern. Oder du zwingst sie mit besagter Option dazu.
5. Servicekonten beachten. Hier sollte man "Kennwort läuft nicht ab" anhaken. Die User sollten auch im Haus sein, wenn du ein neues Kennwort erzwingst. Sonst blöd, wenn sie keine Mails mehr auf ihren Smartphones erhalten (wenn denn vorhanden).
6. Die Policy scheint nicht mehr vorhanden zu sein. Siehst du denn was in den Einstellungen oder kannst irgendwas mit ihr machen? Wenn nicht, dann weg damit,
Edit: Sorry, wollte das hier geschriebene nicht nachplappern. Hatte das Fenster nur shcon eine Zeit offen und habe vorher nicht geschaut, ob es schon Antworten gibt,
2. Bestimmt. Aber warum sollte man nicht die vorhandenen Mittel nutzen?
3. Eine Testumgebung aufbauen. Aber eigentlich sollte da nicht viel schief gehen.
4. Die Kennwörter bleiben weiterhin gültig, bis sie eben geändert werden. Dann greift die neue Richtlinie. Ansonsten wird jeder User nach Ablauf der angegebenen Tage gezwungen, sein Kennwort zu ändern. Oder du zwingst sie mit besagter Option dazu.
5. Servicekonten beachten. Hier sollte man "Kennwort läuft nicht ab" anhaken. Die User sollten auch im Haus sein, wenn du ein neues Kennwort erzwingst. Sonst blöd, wenn sie keine Mails mehr auf ihren Smartphones erhalten (wenn denn vorhanden).
6. Die Policy scheint nicht mehr vorhanden zu sein. Siehst du denn was in den Einstellungen oder kannst irgendwas mit ihr machen? Wenn nicht, dann weg damit,
Edit: Sorry, wollte das hier geschriebene nicht nachplappern. Hatte das Fenster nur shcon eine Zeit offen und habe vorher nicht geschaut, ob es schon Antworten gibt,
1
Hallo,
ab Windows Server 2008 gibt es doch Kennworteinstellungsobjekte (PSO). Damit lassen sich Kennwortrichtlinien präziser auf AD-Objekte einstellen. Unter Windows Server 2012 lassen die sich gut im AD-Verwaltungscenter erstellen und konfigurieren.
https://technet.microsoft.com/de-de/library/cc754461%28v=ws.10%29.aspx
(in der linken Leiste sind die weiteren Schritte erklärt)
ab Windows Server 2008 gibt es doch Kennworteinstellungsobjekte (PSO). Damit lassen sich Kennwortrichtlinien präziser auf AD-Objekte einstellen. Unter Windows Server 2012 lassen die sich gut im AD-Verwaltungscenter erstellen und konfigurieren.
https://technet.microsoft.com/de-de/library/cc754461%28v=ws.10%29.aspx
(in der linken Leiste sind die weiteren Schritte erklärt)
1
@Winary
Leider hat das nichts mit der Strenge der Richtlinie zu tun. Klar, man kann nun für verschiedene Nutzer unterschiedliche Längen fordern, aber ein Verschärfen der Komplexität oder gar ein Dictionary-Check sind nicht möglich.
Leider hat das nichts mit der Strenge der Richtlinie zu tun. Klar, man kann nun für verschiedene Nutzer unterschiedliche Längen fordern, aber ein Verschärfen der Komplexität oder gar ein Dictionary-Check sind nicht möglich.
1
Das ist richtig, ich weiß nur nicht was mit "härtere Kennwortrichtlinien" gemeint ist. Möglicherweise reicht ihm ja das Ändern der Kennwortlänge, Sperrschwelle und -länge, etc. Für mich ist die Standardkomplexität schon komplex genug
Anixis PPE ist aber ein guter Tipp, Danke @DerWoWusste
Das schau ich mir auch mal an.
Anixis PPE ist aber ein guter Tipp, Danke @DerWoWusste
Das schau ich mir auch mal an.
1
Guten Morgen,
vielen Dank für Eure Antworten, Ihr habt mir sehr weitergeholfen.
Der Vollständigkeit halber: mit "härterer Kennwortrichtlinie" meinte ich Länge (gem. RL) und Komplexität des Kennworts (gem. Komplkexitätsvoraussetzungen der RL).
Danke nochmals, einen angenehmen Endspurt und ein schönes Wochenende!
Andreas
vielen Dank für Eure Antworten, Ihr habt mir sehr weitergeholfen.
Der Vollständigkeit halber: mit "härterer Kennwortrichtlinie" meinte ich Länge (gem. RL) und Komplexität des Kennworts (gem. Komplkexitätsvoraussetzungen der RL).
Danke nochmals, einen angenehmen Endspurt und ein schönes Wochenende!
Andreas
Ok, was fehlt Dir dann?
Die Länge kannst Du beliebig fordern und bei den Komplexitätsanforderungen ist es sogar recht vernünftig, was Microsoft da vorgibt. Würde man diese härter wählen, also beispielsweise nicht 3 von den 4 Gruppen Sonderzeichen, Groß-/Kleinbuchstaben und Zahlen, sondern 4 von 4, hätte dies den gegenteiligen Effekt. Dies natürlich unter der Voraussetzung, dass der potentielle Angreifer die KW-Richtlinie kennt.
4/4 schränkt den Kennwortraum nämlich sehr stark ein.
Die Länge kannst Du beliebig fordern und bei den Komplexitätsanforderungen ist es sogar recht vernünftig, was Microsoft da vorgibt. Würde man diese härter wählen, also beispielsweise nicht 3 von den 4 Gruppen Sonderzeichen, Groß-/Kleinbuchstaben und Zahlen, sondern 4 von 4, hätte dies den gegenteiligen Effekt. Dies natürlich unter der Voraussetzung, dass der potentielle Angreifer die KW-Richtlinie kennt.
4/4 schränkt den Kennwortraum nämlich sehr stark ein.
1
Gar nichts... Entschuldigung, ich habe mich missverständlich ausgedrückt. Die Info ging in erster Linie an @Winary und hätte von mir durch den Halbsatz "alles also in den Bordmitteln vorhanden" ergänzt werden sollen.
