Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Option -Kennwortänderung nach erster Anmeldung- modifizieren

Frage Microsoft

Mitglied: Corvin77

Corvin77 (Level 1) - Jetzt verbinden

09.01.2012, aktualisiert 11:35 Uhr, 5265 Aufrufe, 5 Kommentare

Hallo liebe Community,

Kurz zum System:
Windows Server 2003 R2 x64 (kein DC)

Ich suche nach einer Möglichkeit automatisiert dafür zu sorgen, dass lokale Benutzerkonten nach der ersten Anmeldung ihr Kennwort ändern müssen.

Wenn ich das richtig sehe, müsste bei einem manuellen Vorgehen dazu nach Erstellen eines Benutzerkontos folgende Option gesetzt werden:
Computerverwaltung\System\lokale Benutzer und Gruppen\
Nutzer wählen --> Eigenschaften --> Haken bei “Benutzer muss Kennwort bei der nächsten Anmeldung ändern”

Mein Gedanke ist nun, diese Option standardisiert durchsetzen zu lassen, sobald ein lokales Benutzerkonto angelegt wird.

Die Erstellung von Benutzerkonten per Skript muss ich leider ausschließen - bin ansonsten aber für jeden Rat dankbar.

Beste Grüße und vielen Dank,
Corvin

Edit: etwas vorschnell gepostet; Meine gesuchte Option ist per default vom System vorgegeben.

Das löst allerdings mein Kernproblem noch nicht.
Mein übergeordnetes Ziel ist es Compliance-Checks in OVAL zu schreiben. Ich muss u.a. prüfen, dass die oben genannte Einstellung nicht modifiziert wurde. Dazu muss ich wissen, wie diese modifiziert werden kann (also der vom System vorgegebene Standard zur Änderung des Kennworts bei der ersten Anmeldung).

Ich habe gerade per gpedit.msc mal in Richtung
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien
gespäht, konnte aber leider nichts finden.

Ich sehe mich selbst als Anfänger/Amateur, was die Administration von Win2k3 angeht - wenn also irgendwas von dem, was ich hier schreibe nicht so recht Sinn ergeben sollte: nur raus damit
Mitglied: Karo
09.01.2012 um 14:14 Uhr
Hi,

so ganz schlau werde ich daraus nicht, aber sei's drum:

Die von Dir erwähnte Richtlinie bedeutet, daß der User nach einer Änderung/Erstellung des Paßwortes durch die Systemadministration gleich bei der Anmeldung dazu aufgefordert wird dieses zu ändern. Dabei richtet sich die Güte des Paßwortes auch danach, was per Policy eingestellt wurde.
Eine Änderung des Paßwortes findet auf jeden Fall statt. Möchtest Du nun herausbekommen, ob/wann das geschehen ist, dann kannst Du beim User in den AD-Attributen nach PASSWORD_AGE prüfen (in Bezug auf Änderung/Erstellung des Users)

Karo
Bitte warten ..
Mitglied: Corvin77
09.01.2012 um 14:31 Uhr
Hi,

danke für deine Antwort!

...ja ich hab ein Talent dafür mich unklar auszudrücken...

Ich versuch mich nochmal anders auszudrücken:

Ich muss sicherstellen, dass bei jedem neu angelegten Benutzerkonto die Option "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" eingestellt ist.
Wenn ich derzeit ein neues Konto anlege, ist diese Option zwar ausgewählt, aber ich kann sie auch abwählen - das darf auf meinem System nicht möglich sein.
Ich suche also eine Einstellung, die es verhindert, dass Benutzerkonten angelegt werden können, ohne das nach dem ersten Login (in solch ein Konto) das Kennwort geändert werden muss.

Edit:
oder andersherum ausgedrückt:
Ich suche eine Einstellung, die sicherstellt, dass bei neu angelegten Benutzerkonten diese Option immer aktiviert ist.

Ich bin mir nicht sicher, ob es eine solche Einstellung überhaupt irgendwo gibt (evtl. per Policy?).
Ein AD liegt nicht vor - betrachtet werden nur lokale Benutzer.

Grüße,
Corvin
Bitte warten ..
Mitglied: cardisch
10.01.2012 um 11:54 Uhr
Aber egal was du einstellst, egal ob Domäne oder lokal.
Sobald du administrative Rechte hast KÖNNTEST du dir die entzogenen Rechet wiedergeben.
Einzige Ausnahme (aus meiner Sicht).
Du machst eine Domäne, deine "echte" Firma in eine Subdomäne und delegierst das Recht zur Usererstellung..an dich.
Und das Kennwort der Hauptdomäne gibst du dem Chef....
Dann kann nur er dir diese Rechte wiedergeben....
Dennoch ist diese Lösung Lichtjahre von deiner Anforderung entfernt..

Gruß

Carsten
Bitte warten ..
Mitglied: dualhead
10.01.2012 um 13:50 Uhr
Hi Corvin,

was willst Du denn eigentlich? Auf einem lokalen System darf nur der Administrator neue Benutzer anlegen und diesen Haken setzen, bzw. User die der Gruppe Administratoren angehören. Wenn Du natürlich den neuen Benutzer ebenfalls zum lokalen Admin machst, kann er die Option natürlich auch wieder ändern. That's not a bug, it's a feature!

Abhilfe schafft hier nur eine Domäne mit Gruppenrichtlinie, wie von cardisch geschrieben.

Gruß D.
Bitte warten ..
Mitglied: Corvin77
10.01.2012 um 14:58 Uhr
Hi,

danke für die Antworten!

Hintergrund bei mir ist die Implementation von Teilen des BSI-Grundschutzes in OVAL und Nessus. Dazu muss zunächst geprüft werden, welche Teile des Katalogs geprüft werden könen. Dabei tauchen manchmal so komische Fragen in meinem Kopf auf, wie die oben.

Aus euren Antworten entnehme ich, dass es wie von mir gedacht nicht möglich ist.

Ich danke euch für eure Antworten - es hat mir sehr weiter geholfen!

Grüße,
Corvin
Bitte warten ..
Neuester Wissensbeitrag
Windows Update

Windows Update-Suche nach Win7 Neuinstallation wieder schneller

(1)

Erfahrungsbericht von the-buccaneer zum Thema Windows Update ...

Ähnliche Inhalte
Windows Server
gelöst Login Script nach der Anmeldung Zeitverzögert ausführen (4)

Frage von Intruder0001 zum Thema Windows Server ...

Voice over IP
gelöst RTP Probleme bei Yealink T46G - erster Satz ist oft nicht zu hören (4)

Frage von istike2 zum Thema Voice over IP ...

Windows Server
gelöst Aufgabenplanung - Unterschiede bei der Option Konfigurieren für (2)

Frage von scout71 zum Thema Windows Server ...

Linux
Erster Meilenstein von UCS 4.2 veröffentlicht (1)

Link von Marenaba zum Thema Linux ...

Heiß diskutierte Inhalte
Exchange Server
Bestehende eMails autoamatisch weiterleiten (21)

Frage von metal-shot zum Thema Exchange Server ...

Hyper-V
gelöst Reiner Hyper- V Server oder lieber Rolle (21)

Frage von Winuser zum Thema Hyper-V ...

SAN, NAS, DAS
gelöst Synology Version 6.1 Probleme (18)

Frage von Hendrik2586 zum Thema SAN, NAS, DAS ...

Router & Routing
gelöst IP Kamera für drei unabhängige Netzwerke (16)

Frage von ProfessorZ zum Thema Router & Routing ...