Jump to content

Passwort-Alter abfragen und ablaufen lassen


Direkt zur Lösung Gelöst von cjmatsel,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich möchte gern mein Netzwerk (W2k8-R2-DC) besser absichern und dazu am LDAP alle alten Passwörter abfragen. Das Beste wäre dann diese ablaufen zu lassen, sodass die besonders alten Passwörter relativ zügig geändert werden müssten. Wie könnte man so etwas lösen? Ich will nicht gleich mit dem Holzhammer rum laufen, daher dachte ich an eine Batch oder dsquery-Abfrage...

 

Ein paar Ideen hierzu wären sehr hilfreich! :-)

 

cu,

cjmatsel

Link zu diesem Kommentar

Moin,

 

vorbereitend kannst du eine Abfrage mit OldCmp machen. Das kann auch User abfragen und gibt u.a. das Datum des letzten Kennwortwechsels aus.

oldcmp -users -report

http://www.joeware.net/freetools/tools/oldcmp/index.htm

 

 

Aber wie ich schrieb: "Ich möchte gern die Holzhammer-Methode vermeiden!"

 

Norberts Vorschlag ist auch nicht der Holzhammer, sondern der Gummihammer. Man setzt alle Kennwörter einmal auf "abgelaufen" und löscht dann das Flag gleich wieder. Die Kennwörter haben in diesem Moment "jetzt" als Änderungsdatum. Danach gilt für alle User die im AD definierte Kennwortrichtlinie, d.h. du kannst exakt sagen, wann die Kennwörter ablaufen. Die User haben dann auch noch bis zu diesem Zeitpunkt Zeit.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

OK, dann habe ich das nicht so verstanden. Diese Idee klingt tatsächlich einfach; wie löst ihr das mit den Systemaccounts? Also den Accounts welche Programme benutzen um das LDAP abzufragen oder Dienste zu starten usw...?

 

edit: und wie würde ich den Ansatz von Norbert umsetzen? Wenn ich eine Handvoll Benutzer markiere und mit der rechten Maustaste anklicke kann ich nur sagen dass die Benutzer "bei der nächsten Anmeldung" das Kennwort ändern müssen...

bearbeitet von cjmatsel
Link zu diesem Kommentar

Hallo,

kennst du die Microsoft Empfehlungen bzgl. Userpasswörtern?

 

1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).
2. Eliminate character-composition requirements.

3. Eliminate mandatory periodic password resets for user accounts.
4. Ban common passwords, to keep the most vulnerable passwords out of your system.
5. Educate your users not to re-use their password for non-work-related purposes.
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges.

 

https://www.microsoft.com/en-us/research/publication/password-guidance/

 

Systemaccounts, besonders solche mit eigenem SPN, sollten aber mindestens 25 Zeichen lang sein und auch ab und zu mal geändert werden.

 

blub

Link zu diesem Kommentar

Moin,

 

bei den Empfehlungen von Microsoft muss man den Kontext beachten: Es geht um massenweise Accounts für Privatuser. Die Studie basiert auf Microsoft-Accounts. Für Unternehmensumgebungen ist daher nicht alles so anwendbar.

 

Besonders relevant sind die Punkte 4 bis 7 der obigen Liste. So stellt Microsoft das in dem Papier auch dar. Für die Punkte 1 bis 3 gibt es eine spezielle Argumentation, die vor allem mit der erwartbaren Bequemlichkeit von Anwendern zu tun hat. Als wichtigstes Element stellen die Forscher Punkt 4 heraus - wie Norbert schon anmerkt, gibt es dafür aber gar keinen Mechanismus, solange man keine Drittanbietersoftware einsetzt.

 

Bei Punkt 1 neige ich zum Widerspruch. Es lässt sich zeigen, dass längere Kennwörter durchaus "per se" besser sind als kürzere. Die Einschränkung macht die Studie wieder bei der Bequemlichkeit von Usern, die dazu neigen, auch lange Kennwörter vorhersagbar zu setzen.

 

Gruß, Nils

Link zu diesem Kommentar

Aah! :thumb1:

dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd yes
dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd no

... zum Beispiel.

 

richtig?

 

edit: ein "dsquery user -stalepwd 90 -limit 0" liefert mir aber immer noch eine Menge Benutzer aus. Ich denke das Passwort sollte jetzt 0 Tage alt sein?

bearbeitet von cjmatsel
Link zu diesem Kommentar

Hmm, ich verstehe es leider trotzdem noch nicht: trotz der beiden oben eingestellten Befehle meldete sich eben gerade ein Benutzer bei mir weil sein Kennwort abgelaufen ist und sofort geändert werden müsse... :confused:


edit: Es scheint als wenn die Befehle auf der Kommandozeile nicht greifen: Per Mausklick wird tatsächlich die Ergebnis-Liste immer kleiner... :-/

Seltsam...

bearbeitet von cjmatsel
Link zu diesem Kommentar

Moin,

 

dann schau dir deine Kommandos doch noch mal an: Du setzt das Flag bei allen Usern, deren Kennwort 90 Tage alt ist. Und dann setzt du das Flag mit demselben Filter zurück - der jetzt aber eine andere Menge zurückgibt, weil das erste Kommando ausgeführt wurde ...

 

Oder deutlicher: Die User, die du mit dem ersten Kommando behandelt hast, haben keinen Wert mehr bei pwdLastSet. Sie fallen durch den Filter deines zweiten Kommandos.

 

Skripte und Massenoperationen testet man im Lab, nicht in der Produktion.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...