Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Option -Kennwortänderung nach erster Anmeldung- modifizieren

Frage Microsoft

Mitglied: Corvin77

Corvin77 (Level 1) - Jetzt verbinden

09.01.2012, aktualisiert 11:35 Uhr, 5173 Aufrufe, 5 Kommentare

Hallo liebe Community,

Kurz zum System:
Windows Server 2003 R2 x64 (kein DC)

Ich suche nach einer Möglichkeit automatisiert dafür zu sorgen, dass lokale Benutzerkonten nach der ersten Anmeldung ihr Kennwort ändern müssen.

Wenn ich das richtig sehe, müsste bei einem manuellen Vorgehen dazu nach Erstellen eines Benutzerkontos folgende Option gesetzt werden:
Computerverwaltung\System\lokale Benutzer und Gruppen\
Nutzer wählen --> Eigenschaften --> Haken bei “Benutzer muss Kennwort bei der nächsten Anmeldung ändern”

Mein Gedanke ist nun, diese Option standardisiert durchsetzen zu lassen, sobald ein lokales Benutzerkonto angelegt wird.

Die Erstellung von Benutzerkonten per Skript muss ich leider ausschließen - bin ansonsten aber für jeden Rat dankbar.

Beste Grüße und vielen Dank,
Corvin

Edit: etwas vorschnell gepostet; Meine gesuchte Option ist per default vom System vorgegeben.

Das löst allerdings mein Kernproblem noch nicht.
Mein übergeordnetes Ziel ist es Compliance-Checks in OVAL zu schreiben. Ich muss u.a. prüfen, dass die oben genannte Einstellung nicht modifiziert wurde. Dazu muss ich wissen, wie diese modifiziert werden kann (also der vom System vorgegebene Standard zur Änderung des Kennworts bei der ersten Anmeldung).

Ich habe gerade per gpedit.msc mal in Richtung
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien
gespäht, konnte aber leider nichts finden.

Ich sehe mich selbst als Anfänger/Amateur, was die Administration von Win2k3 angeht - wenn also irgendwas von dem, was ich hier schreibe nicht so recht Sinn ergeben sollte: nur raus damit
Mitglied: Karo
09.01.2012 um 14:14 Uhr
Hi,

so ganz schlau werde ich daraus nicht, aber sei's drum:

Die von Dir erwähnte Richtlinie bedeutet, daß der User nach einer Änderung/Erstellung des Paßwortes durch die Systemadministration gleich bei der Anmeldung dazu aufgefordert wird dieses zu ändern. Dabei richtet sich die Güte des Paßwortes auch danach, was per Policy eingestellt wurde.
Eine Änderung des Paßwortes findet auf jeden Fall statt. Möchtest Du nun herausbekommen, ob/wann das geschehen ist, dann kannst Du beim User in den AD-Attributen nach PASSWORD_AGE prüfen (in Bezug auf Änderung/Erstellung des Users)

Karo
Bitte warten ..
Mitglied: Corvin77
09.01.2012 um 14:31 Uhr
Hi,

danke für deine Antwort!

...ja ich hab ein Talent dafür mich unklar auszudrücken...

Ich versuch mich nochmal anders auszudrücken:

Ich muss sicherstellen, dass bei jedem neu angelegten Benutzerkonto die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" eingestellt ist.
Wenn ich derzeit ein neues Konto anlege, ist diese Option zwar ausgewählt, aber ich kann sie auch abwählen - das darf auf meinem System nicht möglich sein.
Ich suche also eine Einstellung, die es verhindert, dass Benutzerkonten angelegt werden können, ohne das nach dem ersten Login (in solch ein Konto) das Kennwort geändert werden muss.

Edit:
oder andersherum ausgedrückt:
Ich suche eine Einstellung, die sicherstellt, dass bei neu angelegten Benutzerkonten diese Option immer aktiviert ist.

Ich bin mir nicht sicher, ob es eine solche Einstellung überhaupt irgendwo gibt (evtl. per Policy?).
Ein AD liegt nicht vor - betrachtet werden nur lokale Benutzer.

Grüße,
Corvin
Bitte warten ..
Mitglied: cardisch
10.01.2012 um 11:54 Uhr
Aber egal was du einstellst, egal ob Domäne oder lokal.
Sobald du administrative Rechte hast KÖNNTEST du dir die entzogenen Rechet wiedergeben.
Einzige Ausnahme (aus meiner Sicht).
Du machst eine Domäne, deine "echte" Firma in eine Subdomäne und delegierst das Recht zur Usererstellung..an dich.
Und das Kennwort der Hauptdomäne gibst du dem Chef....
Dann kann nur er dir diese Rechte wiedergeben....
Dennoch ist diese Lösung Lichtjahre von deiner Anforderung entfernt..

Gruß

Carsten
Bitte warten ..
Mitglied: dualhead
10.01.2012 um 13:50 Uhr
Hi Corvin,

was willst Du denn eigentlich? Auf einem lokalen System darf nur der Administrator neue Benutzer anlegen und diesen Haken setzen, bzw. User die der Gruppe Administratoren angehören. Wenn Du natürlich den neuen Benutzer ebenfalls zum lokalen Admin machst, kann er die Option natürlich auch wieder ändern. That's not a bug, it's a feature!

Abhilfe schafft hier nur eine Domäne mit Gruppenrichtlinie, wie von cardisch geschrieben.

Gruß D.
Bitte warten ..
Mitglied: Corvin77
10.01.2012 um 14:58 Uhr
Hi,

danke für die Antworten!

Hintergrund bei mir ist die Implementation von Teilen des BSI-Grundschutzes in OVAL und Nessus. Dazu muss zunächst geprüft werden, welche Teile des Katalogs geprüft werden könen. Dabei tauchen manchmal so komische Fragen in meinem Kopf auf, wie die oben.

Aus euren Antworten entnehme ich, dass es wie von mir gedacht nicht möglich ist.

Ich danke euch für eure Antworten - es hat mir sehr weiter geholfen!

Grüße,
Corvin
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
gelöst Pin anmeldung unter w10 priorisieren (3)

Frage von tobias3355 zum Thema Windows 10 ...

Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Windows 10
Anmeldung bei Notebook funktionietr nur nach ca 30 min (2)

Frage von GrauerStar zum Thema Windows 10 ...

Windows Netzwerk
Ktpass für Anmeldung von LAMP an Win-Domäne (Verständnisfrage)

Frage von pablovic zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...