MarcoW75 10 Geschrieben 16. Juni 2018 Melden Teilen Geschrieben 16. Juni 2018 Hallo, jeder Admin wird das Problem kennen,dass User ab und an ihre Passwörter vergessen und man sie im Active Directory zurücksetzen muss. Üblicherweise setze ich es auf ein Standardpasswort zurück und setze die Option,dass der User es beim nächsten Login ändern soll. Soweit,sogut. An richtigen PCs funktioniert das auch. Nun, bei uns arbeiten die meisten User aber mit Igel ThinClients auf Terminalservern mit Windows Server 2012 drauf. Dummerweise funktioniert das o.g. Verfahren dort nicht, weil diese Maske zur Änderung des Passwortes erst vom Terminalserver generiert wird. Heißt: der ThinClient zeigt zwar noch die Meldung, dass das Passwort geändert werden muss, verbindet aber an dieser Stelle nicht mehr weiter, d.h.die User kriegen die Maske gar nicht mehr zu sehen. Bislang habe ich dieses Problem umgangen,indem ich die User angehalten habe, sich an ihre jeweiligen Abteilungsleiter zu wenden (weil die einen richtigen PC haben), von dort in ihren Account einzuloggen und so ihr Passwort zu ändern. Danach klappt auch der Login via ThinClient wieder. Nun soll nach der neusten Idee unseres Chefs ab Anfang Juli eine neue Passwortrichtlinie umgesetzt werden,d.h. alle User werden Anfang Juli aufgefordert, ihr Passwort zu ändern. Damit nicht alle zu ihren Abteilungsleitern rennen müssen, ist geplant, daß die User ca 1 Woche vorher beim Login eine Mitteilung bekommen, dass das Passwort schon vorher selbstständig zu ändern ist (via Strg+Alt+Entf=>Kennwort ändern). Wie das so ist, so ignorieren User sowas gerne oder loggen sich aus anderen Gründen (z.B. Urlaub oder Krankheit) erst dann ein, wenn die neue Richtlinie schon aktiv ist. Dann steigen mir die Abteilungsleiter aufs Dach,wenn plötzlich ständig User bei ihnen auf der Matte stehen,um das Passwort zu ändern. Hat jemand eine Idee, wie man es möglich machen kann, daß die User auch nach Inkrafttreten der neuen GPO ihr Passwort ändern können ? Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 16. Juni 2018 Melden Teilen Geschrieben 16. Juni 2018 (bearbeitet) Hallo, wir verwenden für diesen Zweck eine Orchestrierungssoftware. Wobei man ehrlicherweise sagen muss, es ist total überdimensioniert, letzten Endes liest das Powershellskript das pwdLastSet jedes Benutzeraccounts aus und vergleicht diesen mit der Domänenvorgabe. Liegt das pwdLastSet unter 5 Wochen, erhält der Benutzer täglich eine Erinnerungsmail. Das funktioniert bei uns hervorragend. Es gibt mit Sicherheit fertige Skripts im Internet die dieses Thema aufgreifen. Ist keine Orchestrierungssoftware vorhanden kann auch der Aufgabenplaner verwendet werden. Ansonsten käme evtl. ein Selfservice Portal in Frage? Gibt wahrscheinlich zig Möglichkeiten... ist halt immer von den Anforderungen des Betriebes abhängig. Speer bearbeitet 16. Juni 2018 von speer 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 16. Juni 2018 Melden Teilen Geschrieben 16. Juni 2018 Die Igel haben ja einen Browser. Man könnte die User das per OWA lösen lassen... Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 20. April 2020 Melden Teilen Geschrieben 20. April 2020 (bearbeitet) Hallo zusammen, ich bitte um Nachsicht, dass ich diesen alten Thread wieder zum Leben erwecke. Wir stehen aktuell (leider) vor der gleichen Herausforderung hinsichtlich dem Ablaufen der Passwörter auf unserer neuen Citrix-/Igel-Umgebung, die wir seit letztem Herbst hier betreiben. Seit dem RollOut im Januar/Februar stehen wir in der IT zig Anfragen auf Passwortrücksetzungen gegenüber... Wenn die Passwörter abgelaufen sind, melden das zwar die ThinClients - eine Verbindung zum AD kann der IGEL allerdings nicht aufbauen. Das Thema würde in der Citrix Premium-Lizenz unterstützt und nennt sich "Self-Service Password Reset".... - ist für uns als alleiniger Grund aber keine Option für ein Lizenzupgrade. Wir haben versucht, dem Thema mit meinem Powershell-Script zu begegnen, welches ein Info-Fenster für die User öffnet... - die Ergebnisse dahingehend sind nicht optimal. Ein Passwortreset mittels OWA haben wir geprüft.... ist für unsere User aber nicht wirklich praktikabel. Habt ihr vielleicht weitere Gedanken oder Lösungsansätze, wie man dem Thema noch begegnen könnte? Ideal wären PopUp's, wie sie einst unter Windows Server 2003 existierten (*seufz*) Am 16.6.2018 um 16:48 schrieb speer: Hallo, wir verwenden für diesen Zweck eine Orchestrierungssoftware. Wobei man ehrlicherweise sagen muss, es ist total überdimensioniert, letzten Endes liest das Powershellskript das pwdLastSet jedes Benutzeraccounts aus und vergleicht diesen mit der Domänenvorgabe. Liegt das pwdLastSet unter 5 Wochen, erhält der Benutzer täglich eine Erinnerungsmail. Das funktioniert bei uns hervorragend. Es gibt mit Sicherheit fertige Skripts im Internet die dieses Thema aufgreifen. Ist keine Orchestrierungssoftware vorhanden kann auch der Aufgabenplaner verwendet werden. Ansonsten käme evtl. ein Selfservice Portal in Frage? Gibt wahrscheinlich zig Möglichkeiten... ist halt immer von den Anforderungen des Betriebes abhängig. Speer Vielen Dank für Deinen Beitrag, @speer! Mich würde interessieren, welche(s) Tool(s) ihr dafür ganz konkret verwendet / verwendet werden könnten. Eine Google-Suche hat spontan leider nicht zu zielführenden Ergebnissen geführt. Bin für jeden Tipp dankbar - vielen Dank vorab & viele Grüße bearbeitet 20. April 2020 von Shao-Lee Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 20. April 2020 Melden Teilen Geschrieben 20. April 2020 Naja, Du weißt ja schon alles - was genau ist jetzt die Frage? Es ist halt, wie es ist. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 (bearbeitet) Das Problem ist leider nunmal, dass wir auf unseren neuen Terminalserversystemen (weshalb auch immer) überhaupt kein (!) Feedback mehr erhalten, wenn ein Passwort abläuft... Nichtmal per Symbol oder eine Benachrichtigung im Info-Center. Daher muss da jetzt eine alternative Lösung her! So. Ich hab' mich jetzt mal gestern Abend und heute da "durchgewühlt". Ergebnis: Die Script-Lösungen sind zwar teils sehr gut dokumentiert / aber es hängt halt irgendwo an den Detail's. Vor allem... 1.) ...wenn man sich mit den PS-Scripts nicht so gut auskennt... 2.) ...einen Dienstleister braucht, der sich gut mit den PS auskennt.... Mit unseren Script hatten wir das Problem, dass wir die Pop-Up's, welche erzeugt wurden, nicht richtig gesteuert werden konnten. Es haben beispielsweise auch die User Pop-Up's bekommen, bei denen das Passwort nicht abläuft... Egal. Gut dokumentierte Lösungsansätze für PS-Scripts findet man haufenweise im Web. U.a.: https://www.itnator.net/password-expire-mail/ http://www.microlinc.de/index.php?lev1=7&lev2=5&id=111 Damit zu Freeware-Tools: ... hier habe ich das Tool "PassAlert" entdeckt, was im Grunde genau das macht, was ich such(t)e: https://www.mcseboard.de/topic/145443-passalert-betaphase/ Allerdings war das dann auch das einzige Tool in dieser Art, was ich auf die Schnelle ausgegraben hab'. Und die aktuelle Version ist (leider) schon recht alt... Spannend ist auch dieser Artikel, wo eine Webseite zur Passwortänderung bereitgestellt wird: https://www.frankysweb.de/active-directory-passwortaenderung-mittels-webseite/ Bin mir aber leider grad' nicht sicher, ob das aktuelle OS11 des IGEL-OS noch einen Browser beinhaltet... - ist für uns aktuell aber noch eine Option! Die Alternative wären kommerzielle Lösungen ("Orchestrierungssoftware?"). ...mmmhh... wir haben mit unseren round about 150 Client-AP's jetzt keine Größe, wo man uns nicht anrufen darf... P/L passt da (für uns) einfach nicht. Aus dem Internet ausgegraben habe ich folgende Hersteller: https://www.sysoptools.com/password-reminder-pro/ https://www.netwrix.com/netwrix_password_expiration_notifier.html https://www.manageengine.de/produkte-loesungen/active-directory/adselfservice-plus.html Letzterer Anbieter beschreibt auf seiner englischen Website, dass die Free-Version das Benachrichtigungsfeature einschl. der Anpassung des E-Mal-Textes beinhaltet: https://www.manageengine.com/products/self-service-password/free-password-expiry-notification-tool.html Somit haben wir Heute eine kleine VM bereitgestellt und das Tool dort installiert. Nach 30 Min. einschl. E-Mail-Textanpassung funktionierte eine Benachrichtigung aller AD-User, bei denen das Passwort 7- Tagen abläuft. Passt erstmal. Schau' mer' mal vor 19 Stunden schrieb daabm: Naja, Du weißt ja schon alles - was genau ist jetzt die Frage? Es ist halt, wie es ist. ...mmhh... "Es ist halt, wie es ist" war keine Option.... bearbeitet 21. April 2020 von Shao-Lee Vertippt & Ergänzt. Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 Hallo, was ist mit so einem Password Self Service? https://www.manageengine.de/produkte-loesungen/active-directory/adselfservice-plus.html Dort werden die E-Mail automatisch gesendet, die User können via Web auch außerhalb von der RDP Sitzung aufrufen. Zudem kann man Fragen für den Reset erstellen und ähnliches. Es ist schnell installiert und für 50 Domain User kostenlos. 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 vor 3 Stunden schrieb Shao-Lee: Daher muss da jetzt eine alternative Lösung her! Da gibt es noch eine weitere Option, die Du bisher offenbar nicht mal in Betracht ziehst. Welche bessere Gelegenheit kann es geben, ein System abzuschaffen, das die Aufgabe, für die es erdacht wurde, sowieso nicht zuverlässig erfüllt und dazu auch noch mehr Arbeit macht als es spart. Die Empfehlung, Passwörter regelmäßig zu wechseln, haben wir dem NIST zu verdanken. Und sie stammt aus der Computer-Steinzeit. Alle weiteren Empfehlung, incl. der des BSI, basierten im Prinzip darauf. ABER, und das ist ein riesen aber - angefangen mit dem NIST, haben alle relevanten Institutionen inzwischen diese Empfehlung widerrufen. Das NIST, BSI, die englische CESG, ja selbst Microsoft empfehlen inzwischen, die Passwort-Alterung zu deaktivieren, weil sie die Sicherheit nicht erhöht sondern verringert. Wenn Du dafür "Futter" für Deine Chefs oder die Administratoren oder den CSO oder CIO brauchst, brauchst Du nur danach zu suchen - Du wirst sehr schnell fündig werden. (Ich könnte auch nochmal auf die Suche gehen, wenn Dir das hilft. Also, statt wahnsinnig große Umstände zu veranstalten, die User dazu zu bewegen, ihr Passwort regelmäßig zu ändern, solltet ihr die User schulen, ein sicheres Passwort zu wählen, welches sie so lange behalten können, bis es den begründeten Verdacht gibt, dass dieses spezielle Passwort kompromittiert wurde. 1 1 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 @Gipsy: Habe ich ja jetzt gemacht => siehe Beitrag @BOfH: Ich muss zugeben, dass ich jetzt zum ersten mal von diesem Ansatz höre und nehme das mal als Gedanke mit! Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 Ooh sorry :-( Habe irgendwie das ganze überlesen. Gipsy Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 vor 16 Minuten schrieb Gipsy: Ooh sorry :-( Habe irgendwie das ganze überlesen. OT: Kein Problem - alles gut Danke auch Dir für Deinen Tipp! Solche Tipp's / Links zu möglichen Tools (wie von Dir) hätt' ich mir halt als Antwort auf meinen ersten Beitrag gewünscht. LG Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 21. April 2020 Melden Teilen Geschrieben 21. April 2020 Wenn ich es früher gelesen hätte dann ja ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.