Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Regelmässige Passwortänderung auf allen Geräten ohne Kontensperrung?

Frage Microsoft Windows Userverwaltung

Mitglied: GunterRegge

GunterRegge (Level 1) - Jetzt verbinden

03.12.2013 um 10:14 Uhr, 2119 Aufrufe, 5 Kommentare, 1 Danke

Moin Zusammen,

ich habe ein kleines Problem mit unserer regelmässigen Passwortänderung in einer 2008 Domäne und die Vielzahl der einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.

Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann Schluss und das Konto muss wieder frei gegeben werden.

Wie geht ihr damit um oder gibt es dafür einen Workaround?

Gruß
Gunter
Mitglied: Ohio1337
03.12.2013 um 10:56 Uhr
Moin Zusammen,

Moin,

ich habe ein kleines Problem mit unserer regelmässigen Passwortänderung in einer 2008 Domäne und die Vielzahl der
einzelnen Geräte (PC, Laptop, Tablet und Smartphone) die EIN User mittlerweile hat.

Bei uns muss ein User alle 90 Tage sein Passwort ändern, jedoch passiert es häufig das der User dann auch vergißt
dieses neue Passwort auf allen seinen Geräten (Smartphone und Tablet) einzugeben. Nach drei falschen Versuchen ist dann
Schluss und das Konto muss wieder frei gegeben werden.

Wie geht ihr damit um oder gibt es dafür einen Workaround?

Da frage ich mich (oder dich), was dir wichtiger ist: Die Sicherheit deiner Benutzerkonten oder die Bequemlichkeit der Benutzer oder des Administrators?

Löschst du den Passwort-Reset dann hat ein User so lange das selbe Passwort bis du ihm ein Neues zuweist/er sich ein Neues erstellen muss. --> PW wird auf allen Endgeräten gespeichert und somit im Verlustfall des Geräts zugänglich für alle Anderen (vor allem: Denkst du der Benutzer wird sich sein Passwort in diesem Fall überhaupt noch merken?). Diese Methode wäre aber natürlich der geringere Administrationsaufwand.

Dann gäbe es ja noch die Möglichkeit die Einloggversuche zu erhöhen. Weiß nicht was das bringen soll aber naja. Dem Einen fällts halt vielleicht erst nach dem fünften mal ein :P.

Lässt du alles wie es ist, muss der Benutzer halt mal seine grauen Zellen anstrengen und sich sein Passwort merken, ist es aber dann auf dem Gerät gespeichert, hat wieder jeder, der das Gerät in die Finger bekommt, Zugriff auf private Daten.

Mein Favorit:
Lass es so wie es ist, oder setz den Reset sogar noch runter auf 60 oder 30 Tage. Muss der Benutzer halt mal seine grauen Zellen anstrengen, ist das zu viel verlangt? Zusätzlich solltest du irgendwas dagegen tun, dass das Passwort nicht auf dem Endgerät gespeichert wird. Sonst hast du wieder das Problem --> Gerät weg? --> Daten public. Letztendlich kannst du nicht verhindern, dass der Benutzer das Passwort irgendwo auf seinen Endgeräten speichert, daher solltest du dich diesbezüglich absichern.

Falls ich irgendwas falsch verstanden habe und dir meine Ansätze garnicht passen, dann klär mich bitte auf ;). Waren nur so ein paar spontane Ansätze die mir eingefallen sind.

Abschließend noch eine Frage:
oder gibt es dafür einen Workaround?
Hä? Für was genau: Für das vergessen eines Passworts? Stift und Papier oder Gehirnzellen. Für das Freigeben des Kontos? Ich denke nicht, sonst bräuchte man kein Administrator.
Was genau willst du da bezwecken?

Gruß Ohio
Bitte warten ..
Mitglied: GunterRegge
03.12.2013 um 11:49 Uhr
Hallo Ohio,

danke dir für dein ausführliche Antwort.
Das Passwörter auf den Entgeräten gespeichert werden ist klar aber was ich meine. Ändert ein User sein Passwort und ändert es dann nicht auch gleich auf seinem Smartphone oder Tablet und versucht dann z.B. Mails vom Smartzphhone oder Tablet abzurufen (hier ja noch mit dem alten Passwort) ist das Konto gleich gesperrt.
Hier wollte ich wissen wie ihr mit den ganzen Endgeräten eines Benutzers umgeht damit das Konto nach einer Passwortänderung nicht gleich gesperrt wird.

Das die Passwörter 90 Tage alt werden ist so gewünscht dafür ist es recht lang und muss 4 Kriterien enthalten.

Gruß
Gunter
Bitte warten ..
Mitglied: Ohio1337
03.12.2013, aktualisiert um 12:04 Uhr
Das ändert natürlich die komplette Denk- und Sichtweise, da lag ich ja ganz falsch :D.

Ich denke mal wir reden hier von der ganz normalen Active Directory Authentifizierung?

Also wenn das Passwort im Gerät gespeichert ist/wird, kann wohl nur der Benutzer entgegenwirken, dass das Programm sich nicht mit dem falschen Passwort authentifiziert und zwar indem er es nicht speichert. Eine andere umständliche Möglichkeit wäre das Trennen der Verbindung zum Netzwerk, so dass es garnicht zur Authentifizierung kommen kann. Dann das Passwort ändern und die Verbinung neu aufbauen. Das Active Directory kann ja nicht unterscheiden ob sich der Benutzer von einer Workstation, einem Tablet, einem Smartphone oder oder anmeldet und dementsprechend entscheiden ob das Konto gesperrt wird oder nicht.

Stellst du die Geräte zur Verfügung oder gehören die den Benutzern?
Mit was wird sich wo angemeldet?

Gruß
Bitte warten ..
Mitglied: DerWoWusste
03.12.2013 um 12:56 Uhr
Hi.

Ein paar Gedanken dazu:
Wenn es am Smartphone/Tablet eingespeichert wird, dann muss es neu eingespeichert werden - dazu musst Du die Leute erziehen und Du wirst sehen, die beste Erziehung ist hier "lernen durch Schmerzen" :|

Du könntest zur Entsperrung ein Self-Service-Portal einrichten: https://anixis.com/products/apr/default.htm Anixis Password Reset. Auch Anixis' Password Policy Enforcer ist sehr gut und wäre eine Überlegung wert, schlage ich vor. Denn ein sichereres Kennwort anstelle von kürzerem Änderungsintervall kommt sicher besser an.
Bitte warten ..
Mitglied: filippg
04.12.2013 um 00:04 Uhr
Hallo,

ein gewisser "Pragmatismus" im Umgang mit der Anzahl der zugelassenen Fehlerversuche lässt sich nicht immer vermeiden. Der Nutzer _kann_ die Kennwörter ja gar nicht alle _gleichzeitig_ ändern, und manche Geräte sind so geschickt, dann gleich mal fünf Fehlversuche zu verbraten, bevor sie den Nutzer einmal nach dem Kennwort fragen - siehe etwa http://www.blackberry.com/btsc/KB34272. Meiner Meinung nach liegt Fehler hier auch ganz klar nicht beim Anwender, sondern in der Implementierung der Gerätesoftware. Da hilft es auch nichts, wenn man den Anwender durch "schmerzen" "erziehen" will.

Und mal ehrlich: um wie viel steigt denn das Risiko an, wenn man den Wert von 3 auf 10 erhöht. Und jetzt schreibe bitte nicht "um das 3,333-fache", ein ordentliches Kennwort sollte in 10 Versuchen genauso unmöglich zu erraten sein, wie in einem.

Grüße

Filipp
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst Textdateien TXT in allen Verzeichnissen suchen und zusammenfassen (19)

Frage von chgs2011 zum Thema Batch & Shell ...

Windows Netzwerk
gelöst Zertifizierungstelle in allen Browsern vertrauen (2)

Frage von Mattes1000 zum Thema Windows Netzwerk ...

Netzwerkmanagement
gelöst Running-Config oder Startup-Config bei Cisco-Geräten sichern? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...