Jump to content

Maximales Kennwortalter hochsetzen

Moped

Von Moped
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moped Rising Star

Moped   11

Geschrieben
Geschrieben

Hallo Gemeinde,

 

wir werden bei uns im AD das Maximale Kennwortalter von 90 auf 365 Tage hochsetzen. 

Wie verhält sich das für die User?

Wird dann einfach vom letzten Passwortchange der Zähler hochgesetzt (also der User bekommt nichts mit) oder muss ab dem Zeitpunkt ab dem ich die Änderung durchführe jeder sein Kennwort einmal neu vergeben?

 

gruß

Moped :-) 

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.968

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

bestehende Kennwörter müssen nicht neu gesetzt werden. Das AD prüft sie gegen die maximale Dauer anhand des Werts in "pwdLastSet" und meldet sich nur dann, wenn das Kennwort abläuft bzw. abgelaufen ist.

 

Die Maßnahme halte ich übrigens für unsinnig. Wovor wollt ihr euch mit so einem Intervall schützen? Da mittlerweile sich die Erkenntnis durchgesetzt hat, dass pauschale Zeitbeschränkungen nicht mehr, sondern weniger Sicherheit erzeugen, würde ich von der Einstellung gänzlich Abstand nehmen. Ein Jahr wäre jedenfalls ziemlich sinnfrei: Wenn ein Kennwort erraten wurde, muss man es sofort ändern und nicht erst nach Monaten.

 

Gruß, Nils

... dessen AD-Kennwort mit fast 30 Zeichen jetzt im siebten Jahr gültig ist, genau wie seine Firmenzugehörigkeit ...

 

bearbeitet von NilsK
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.089

Geschrieben
Geschrieben
vor 10 Minuten schrieb MurdocX:

In einer Familie sollte man so mündig sein, auch mal seiner Mutter die Meinung zu sagen zu dürfen. ;-) 

 

Naja gibts im Zweifel ne Backpfeife ;)

 

vor 10 Minuten schrieb MurdocX:

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

Wenn man das konfigurieren könnte, dass keine Simpelst Kennworte möglich sind, wäre das auch meine Empfehlung. Leider sind damit aber eben "12345678900987654321" Kennworte möglich. Und ja User ticken leider so.

 

Bye

Norbert

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.968

Geschrieben
Geschrieben

 

Moin,

 

vor 13 Minuten schrieb MurdocX:

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

wenn man Kennwortsätze verwendet, sind die eigentlich schon von selbst "komplex" im Sinne der Regel. 

 

vor 1 Minute schrieb NorbertFe:

Naja gibts im Zweifel ne Backpfeife ;)

Bei uns soll jeder seine Meinung sagen. Und wenn es das letzte ist, was er in dieser Firma tut.

 

Gruß, Nils

 

Link zu diesem Kommentar
Moped Rising Star

Moped   11

Geschrieben
  • Autor
Geschrieben
vor 19 Minuten schrieb MurdocX:

In einer Familie sollte man so mündig sein, auch mal seiner Mutter die Meinung zu sagen zu dürfen. ;-) 

 

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

Ja, die Mindestpasswortlänge wird hochgesetzt, sollte ja aber nicht Thema des Posts sein.

Mit der Antwort dass das Ablaufdatum sich nur verschiebt und keine Userinteraktion bei der Umstellung von Nöten ist habt ihr mir geholfen, danke :-)

Aber noch eine Frage.
Wie sieht es denn aus wenn ich auch die Mindestlänge auf 12 Zeichen erhöhe?

Wirkt sich das auch erst beim nächsten Ablauf und der damit verbundenen Kennwortänderung aus?

Oder müssen die User sofort Ihr Kennwort ändern auf 12 Zeichen?

 

Link zu diesem Kommentar
testperson Grand Master

testperson   1.728

Geschrieben
Geschrieben
vor 1 Stunde schrieb NorbertFe:

Wenn man das konfigurieren könnte, dass keine Simpelst Kennworte möglich sind, wäre das auch meine Empfehlung. Leider sind damit aber eben "12345678900987654321" Kennworte möglich. Und ja User ticken leider so.

Dem könnte man ja dann theoretisch mit dem DSInternals PowerShell Modul wiederum nachgehen. ;)

Link zu diesem Kommentar
mwiederkehr Mentor

mwiederkehr   384

Geschrieben
Geschrieben
vor einer Stunde schrieb NilsK:

naja, da gibt es ja mit der Passfilt-Schnittstelle einen intelligenteren Weg. Nur traut sich an die keiner ran - ich habe in den vergangenen 15 Jahren mehrfach erfolglos versucht, ein Community-Projekt dafür anzustoßen.

C++ und so tief im System ist auch nichts für Jedermann... :D Es gibt aber ein Projekt, welches eine DLL bereitstellt, welche dann Test-Funktionen in einer .NET-DLL aufruft. Man muss dann "nur" noch das Passwort entgegen nehmen und true oder false zurückgeben: https://github.com/raandree/ManagedPasswordFilter Sieht durchdacht aus und die Einbindung neuer Filter mittels Reflection ist ein pfiffiges Konzept.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...