Komplexe Kennwörter bringen mich ins Grab

[Power-Kiddy 10]

Griazi!

 

Seit dem ich eine XP-Maschine zu einer Win2k8 Domäne hinzugefüt habe muss ich auf für die LOKALEN BENUTZER komplexe Kennwörter vergeben. (Schock!!)

 

Ich bilde mir ein, daß war bei Win2k3 Server/DOM noch nicht so.

 

Mir ist nicht klar, wie diese Richtlinie der Domäne auf die lokalen Benutzerkonten wirken kann.

Selbst wenn ich beim Hochfahren der Maschine das Netzkabel trenne, zieht die Einstellung der Domäne. (kann eigentlich nicht sein!)

 

Das ist recht ärgerlich.

In den Gruppenrichtlinien am Client (GPEDIT.MSC) sind die Einstellungen für die Kennwörter deaktiviert, selbst bei abgezogenen Netzkabel beim Start. (Schock!!)

 

Da geht aber die Domäne bzw. Microsoft zu weit.

Zwei Fragen:

1.) wie kann ich im Server 2008 die komplexen Kennwörter abschalten

2.) wie kann ich diese für die lokalen Benutzerkonten am XP-Client abschalten

 

Ich habe im Internet gesucht, da wird immer auf GPEDIT verweisen.

Das ist sinnlos weil

1.) GPEDIT sicher keine Domänenrichtlinien verändert

2.) im GPEDIT alles ausgegraut ist was mit den Kennwörtern zu tun hat.

 

Ich schaffe einfach den Sprung zu vernüfntigen Richtlinien in der Domäne nicht.

 

tks!

(Weak)-Kiddy!

[olc 18]

Hallo,

 

das Verhalten war auch schon in Windows Server 2003 Domänen so. Die Kennwortrichtlinie ist standardmäßig in der Default Domain Policy vergeben, daher greift Sie für alle Systeme, die in der jeweiligen Domäne liegen.

 

Bei AD-Benutzerkonten wird die Richtlinie auf den DCs (bzw. dem PDC) angewendet, für die Clients greift sie bei lokalen Benutzerkonten.

 

Ich denke nicht, daß das "schlecht" ist, so wie Du es beschreibst. Das Sicherheitslevel in einer Domäne würde heruntergesetzt werden, wenn lokale Benutzer (insbesondere in XP Hauptbenutzer und Administratoren) schwache Kennwörter hätten. Damit ist es nach dem Knacken eines Kennwortes schnell möglich, sich mehr Rechte (auch in der Domäne) zu erschleichen.

 

Du hast meiner Meinung nach zwei (saubere) Möglichkeiten:

1. Entweder Du definierst auf Ebene des betroffenen Clients eine zusätzliche GPO mit Kennwort Komplexitätseinstellungen. Diese überschreiben dann zumindest standardmäßig die Default Domain Policy Einstellungen auf dem Client und ermöglichen den lokalen Benutzerkonten andere Richtlinien.

2. Du läßt es so, wie es derzeit ist. Komplexe Kennwörter sollten im Normalfall doch eher kein Problem sein. Wenn man sich die Kennwörter nicht merken kann, dann sollte man den Client vielleicht auch lieber nicht einer Domäne hinzufügen. ;)

 

Ich würde von Variante 1. aus den genannten Gründen abraten und bei Variante 2 bleiben.

 

BTW: Warum verwendest Du überhaupt noch lokale Konten, wenn Du einen Domänenclient nutzt?

 

Viele Grüße

olc

[Sunny61 806]

Wenn man sich die Kennwörter nicht merken kann, dann sollte man den Client vielleicht auch lieber nicht einer Domäne hinzufügen. ;)

 

Sag das mal einem Geschäftsführer! :)

[olc 18]

...da hast Du Recht. ;)

 

Ich habe immer so argumentiert: bei den meisten Gesellschaftsformen (etwa GbR, GmbH etc.) haftet mittlerweile direkt der Geschäftsführer bzw. die Geschäftsleitung bei fahrlässigem IT-Sicherheitsverhalten, wenn dadurch Dritte geschädigt werden.

 

Nach einer zwei Sätze umfassenden Erläuterung, wie schnell eine solche "Fahrlässigkeit" mit schlechten Kennwörtern nachzuweisen ist, waren bisher alle Führungspersönlichkeiten sehr schnell bereit, das Kennwort im Tausch gegen Ihre persönlich "Straffreiheit" möglichst komplex zu wählen. :D

 

Viele Grüße

olc

[NorbertFe 2.016]

sehr schnell bereit, das Kennwort im Tausch gegen Ihre persönlich "Straffreiheit" möglichst komplex zu wählen. :D

 

Aber die wenigsten waren bestimmt bereit dafür dann eine PKI einzuführen, oder? :D

 

Bye

Norbert

[olc 18]

...da konntest Du jetzt aber nicht widerstehen, oder? ;) :D

 

Kommt auf die Größe des Unternehmens an - einige sind da sicher bereit. Aber die melden sich dann auch nicht lokal an einem Domänenclient an. :p

 

Ok, back to topic. :)

 

Viele Grüße

olc

[NorbertFe 2.016]

Stimmt, die Steilvorlage war einfach zu einladend. ;)

 

Schönes WE noch

Norbert

[NilsK 2.918]

Moin,

 

und dann war da noch die Sache mit den Kennwortsätzen: Einfach zu merken, einfach zu tippen. Glaubt einem kein Kennwortgegner, ist aber tatsächlich so.

 

Seit ich Kennwortsätze nutze, habe ich tatsächlich für alle wichtigen Zwecke unterschiedliche, hochkomplexe Kennwörter. Ein Admin, der behauptet, er könne das nicht, offenbart nur seine Faulheit.

 

Nur meine 2 Cents.

 

Gruß, Nils

... der sich im Übrigen fragt, was an "abc123!" kompliziert sein soll, wenn man schon bei Lullikennwörtern bleiben und die Kennwortrichtlinie erfüllen will.

[Power-Kiddy 10]

Hallo!

 

Leider sind die Postings wenig hilfreich.

 

Ich möchte gerne wissen wie ich die komplexen Kennwörter los werde und kann dann selbst entscheiden wann ich das mache und wann nicht.

 

Ich möchte aber nicht darüber diskutieren ob diese sinnvoll sind oder nicht!

 

Kennt jemand ein Step-by-Step wie ich diese los werde?

Bei 2k3 war das noch recht einfach. (ist vermutlich auch bei 2k8 einfach wenn man weiß wo man den Hebel ansetzt!)

 

Wie gesagt, ich behaupte nicht dass das gut ist und ich empfehle das niemand, ich möchte aber selbst entscheiden.

 

Dank schön!

Kiddy!

[NorbertFe 2.016]

Leider sind die Postings wenig hilfreich.

 

Dann liest du sehr selektiv.

 

Ich möchte gerne wissen wie ich die komplexen Kennwörter los werde und kann dann selbst entscheiden wann ich das mache und wann nicht.

 

Jaja die Selbstbestimmung. Dann kannst du den thread ja auch nochmal oben anfangen zu lesen. Die Lösung steht nämlich bereits da.

 

Bye

Norbert

[Sunny61 806]

Kennt jemand ein Step-by-Step wie ich diese los werde?

Bei 2k3 war das noch recht einfach. (ist vermutlich auch bei 2k8 einfach wenn man weiß wo man den Hebel ansetzt!)

 

Olc hat dir schon das richtige geschrieben, wenn es allerdings alle betreffen soll, dann mußt Du das in der DDP verändern.

[NilsK 2.918]

Moin,

 

Ich möchte aber nicht darüber diskutieren ob diese sinnvoll sind oder nicht!

 

dann bist du u.U. in einem Forum nicht an der richtigen Adresse.

 

Gruß, Nils

[Dr.Melzer 191]

Leider sind die Postings wenig hilfreich.

 

Ich möchte gerne wissen wie ich die komplexen Kennwörter los werde und kann dann selbst entscheiden wann ich das mache und wann nicht.

 

Ich möchte aber nicht darüber diskutieren ob diese sinnvoll sind oder nicht!

 

Und wir möchten uns nicht daran mitschuldig machen dass deine Domäne ein Sicherheitsrisiko darstellt.

 

Genauso wie es dein recht ist über diese Dinge nicht zu diskutieren ist es unser Recht solchen Nonsens nicht zu supporten.

 

Kennt jemand ein Step-by-Step wie ich diese los werde?

 

Wenn jemand so einen Unsinn hier postet ist das so schnell weg wie es geschrieben wurde. Wie bereits erwähnt supporten wir so einen Unsinn nicht.

 

Bei 2k3 war das noch recht einfach. (ist vermutlich auch bei 2k8 einfach wenn man weiß wo man den Hebel ansetzt!)

 

Na wenn es so einfach ist kommst du bestimmt auch ohne uns drauf...

 

Wie gesagt, ich behaupte nicht dass das gut ist und ich empfehle das niemand, ich möchte aber selbst entscheiden.

 

Siehst du wir verstehen und. Du willst es niemandem empfehlen und wir auch nicht.

Unterm Strich sitzen wir all in demselben Boot. ,)

 

Da hierzu alles relevante gesagt wurde ist der Beitrag geschlossen.

 

Vielen Dank für mein Verständnis.