Ausnahme der regelmäßigen Passwortänderung

[newi77 10]

Hallo zusammen,

 

ich hätte eine kleine Frage

 

Passwortrichtlinien ziehen ja nur auf die Gesamte Domäne.

Wenn man z.b. eingestellt hat das alle User alle 6 Monate Ihr Passwort ändern müssen - kann man z.b. mit "User cannot change password" hier einige User manuell ausnehmen?

 

Wenn man sich z.b. einen User für Backups / Tasks einrichtet und man muss von dem dann auch alle 6 Monate das PW ändern ist das irgendwie ungut.

 

Gibt es hierfür eine Lösung?

 

lg,

[Necron 71]

Passwortrichtlinien ziehen ja nur auf die Gesamte Domäne.

Hi,

 

ab Windows Server 2008 ist es möglich mittels Password Settings Objects auch für bestimmte Benutzer und Gruppen separate Richtlinien zu definieren.

 

-> Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Alternativ kannst du auch in den Kontoeinstellungen des Benutzers die Option aktivieren, dass das Passwort nicht abläuft.

[Daim 12]

Servus,

 

Passwortrichtlinien ziehen ja nur auf die Gesamte Domäne.

 

mit Bordmitteln wirkt bis Windows Server 2003 eine Kennwortwortrichtlinie nur auf Domänenebene. Verlinkt man eine Kennwortrichtlinie auf eine OU, wirkt sich das nur auf die lokalen Konten die auf dem Client existieren aus. Man kann aber auch unter Windows Server 2003 mehrere Kennwortrichtlinien erstellen, aber nur mit Dritt-Anbieter!

 

Ab Windows Server 2008 gibt es zusätzlich die PSOs, so wie Necron das schon erwähnt hat.

 

Wenn man sich z.b. einen User für Backups / Tasks einrichtet und man muss von dem dann auch alle 6 Monate das PW ändern ist das irgendwie ungut.

 

Du kannst die Kontooption "Kennwort läuft nie ab" setzen. Danach läuft das Kennwort nicht ab.

[NilsK 2.930]

Moin,

 

kleine Ergänzung: Die Option "Kennwort läuft nie ab" ist nur sinnvoll, wenn das Kennwort hinreichend sicher ist und/oder man zusätzlich einen Prozess implementiert, das Kennwort in Abständen am Konto und am Dienst zu ändern. Sonst erzeugt man sich ein Sicherheitsrisiko.

 

Und: Ab Windows Server 2008 R2 gibt es die "Managed Service Accounts", mit denen man in bestimmten Situationen für derartige Konten einen Kennwortwechsel automatisieren kann.

 

Gruß, Nils

ehrenamtlicher Besserwisser

[Daim 12]

Huhuu,

 

ehrenamtlicher Besserwisser

 

cool, in dem Verein bin ich auch Mitglied. ;)

 

Und: Ab Windows Server 2008 R2 gibt es die "Managed Service Accounts", mit denen man in bestimmten Situationen für derartige Konten einen Kennwortwechsel automatisieren kann.

 

Dazu muss man noch nicht einmal einen Windows Server 2008 R2 DC in der Domäne betreiben. Man kann auch in einer Windows Server 2003 bzw. Windows Server 2008 Domäne "Managed Service Accounts" nutzen. Es reicht schon lediglich das AD-Schema auf Windows Server 2008 R2 zu aktualisieren. Dann müssen aber SPNs manuell von Admin konfiguriert werden.

[NilsK 2.930]

Moin,

 

Dazu muss man noch nicht einmal einen Windows Server 2008 R2 DC in der Domäne betreiben. Man kann auch in einer Windows Server 2003 bzw. Windows Server 2008 Domäne "Managed Service Accounts" nutzen. Es reicht schon lediglich das AD-Schema auf Windows Server 2008 R2 zu aktualisieren. Dann müssen aber SPNs manuell von Admin konfiguriert werden.

 

dann habe ich die Objekte, aber doch noch nicht den automatisierten Kennwortwechsel, oder?

 

Gruß, Nils

[Daim 12]

dann habe ich die Objekte, aber doch noch nicht den automatisierten Kennwortwechsel, oder?

 

Ich darf zitieren:

 

If the domain controller is on a computer running Windows Server 2008 or Windows Server 2003 but the Active Directory schema has been updated to Windows Server 2008 R2 in order to support this feature, managed service accounts can be used and service account passwords will be managed automatically.

 

Service Accounts Step-by-Step Guide

[Necron 71]

Ich darf zitieren:

Na logo!;) Danke, war mir bisher noch nicht bekannt.