meinerjunge 10 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Hallo Forum, gibt es eine Möglichkeit die Komplexitätsvoraussetzungen in den Gruppenrichtlinien (mit "Boardmittel") zu editieren, die von MS vorgegebene Einschränkungen sind uns zu "dünn". Vielen Dank! MfG Meiner Zitieren Link zu diesem Kommentar
NorbertFe 2.059 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Nein. Entweder "Komplex" an oder aus. Mehr geht nicht (von der Länge mal abgesehen). @NilsK kann dazu bestimmt auch noch was erzählen. :) Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.946 Geschrieben 7. Dezember 2022 Beste Lösung Melden Teilen Geschrieben 7. Dezember 2022 Moin, mit Bordmitteln (ohne "a" übrigens) geht das nicht. Es gibt kommerzielle Software für sowas, mittlerweile auch ein paar Community-Projekte*. Falls ihr eine Anbindung an Azure AD und die passenden Subscriptions habt, lassen sich auch AAD-Bordmittel einsetzen. Gruß, Nils * das ist das, was Norbert mit seiner Anspielung meinte. An solche Software hat sich lange in der Community niemand rangetraut. Welche Qualität die vorhandenen Projekte haben, kann ich aber nicht sagen. * PS. vielleicht meint Norbert auch, dass die sog. "Komplexität" viel weniger wichtig ist als die Länge von Kennwörtern. Mindestens für Admins und andere hochprivilegierte Accounts würde ich daher vor allem lange Kennwörter vorschreiben, die Komplexität kann man sich dann eher sparen. Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 Ok, hätte es wohl besser so schreiben sollen. "Bo(a)rdmittel" Eine Azure Anbindung ist nicht vorhanden. Es geht vor allem um schützenswerte Konten welche mit hochkomplexen und langen Passwörtern versehen sein sollen. Was gibt es denn da für kommerzielle Software und ggf. Community-Projekte? MfG Meiner Zitieren Link zu diesem Kommentar
NorbertFe 2.059 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 vor 6 Minuten schrieb meinerjunge: Es geht vor allem um schützenswerte Konten welche mit hochkomplexen und langen Passwörtern versehen sein sollen. Die Länge kannst du ja vorgeben für diese schützenswerten Konten. Komplexität ist ja eine andere Frage. Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 vor 1 Minute schrieb NorbertFe: Die Länge kannst du ja vorgeben für diese schützenswerten Konten. Komplexität ist ja eine andere Frage. Unsere Vorgabe beinhaltet leider beides. Zitieren Link zu diesem Kommentar
NorbertFe 2.059 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 vor 1 Minute schrieb meinerjunge: Unsere Vorgabe Und was ist "eure Vorgabe"? Was genau ist jetzt schlecht an der vorhandenen Funktion, so dass es bei euch nicht paßt? Zitieren Link zu diesem Kommentar
NilsK 2.946 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Moin, für schützenswerte Konten würde ich ein oder mehrere PSOs (Password Settings Objects) einrichten und lange Kennwörter vorschreiben. Dann reicht die normale Komplexität völlig aus. Für Service Accounts lässt man sich dann gute Kennwörter generieren und Benutzern mit Accounts dieser Kategorie empfiehlt man, mit Kennwortsätzen zu arbeiten, die man gut tippen kann. (Eine Suche nach "Correct Horse Battery Staple" illustriert, was ich meine.) Gruß, Nils 1 Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 Großbuchstaben, Kleinbuchstaben, Zahlen, min 1 Sonderzeichen und min 10 Stellen Die Komplexitätsvoraussetzung verlangt ja nur 3 der 4 Zeichenarten. Zitieren Link zu diesem Kommentar
NilsK 2.946 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 (bearbeitet) Moin, da kann man sich jetzt mit gewisser Berechtigung fragen, ob eure Vorgabe sinnvoll ist. Wenn ihr tatsächlich von der nicht abrücken könnt, dürfte an kommerzieller Software kein Weg vorbeigehen. Eine Webrecherche nach "Password Filter Active Directory" weist den Weg. Gruß, Nils PS. 10 Zeichen gelten schon lange nicht mehr als "sicher", unabhängig vom geforderten Zeichensatz. PPS. oder deutlicher: eure Vorgabe erzeugt weder hochkomplexe noch lange Kennwörter. bearbeitet 7. Dezember 2022 von NilsK Zitieren Link zu diesem Kommentar
NorbertFe 2.059 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 vor 18 Minuten schrieb meinerjunge: Die Komplexitätsvoraussetzung verlangt ja nur 3 der 4 Zeichenarten. Naja.... Ich sag dazu mal nix. Geht aktuell nicht, und ansonsten seh ich das wie Nils. Zitieren Link zu diesem Kommentar
cj_berlin 1.327 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Moin, eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird, ist, das Kennwort nicht mit Windows-Bordmitteln zu ändern. Die UX dafür ist sowieso bescheiden. Und die IAM-Systeme, die man dafür einsetzen kann (einiges davon ist auch Open Source und frei verfügbar), machen die Prüfung dann nach eigenen Kriterien. Zitieren Link zu diesem Kommentar
NorbertFe 2.059 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 vor 1 Minute schrieb cj_berlin: eine Alternative, die für meinen Geschmack viel zu selten betrachtet wird Das liegt daran, dass nicht jeder mehr als die Windows Bordmittel zur Verfügung hat. Denn am Ende müßte man ja dafür sorgen, dass Nutzer am PC nicht mittels Bordmitteln ihr Kennwort ändern können, sondern nur über IAM. ;) Bei großen Organisationen sicherlich möglich, bei allem anderen eher unwahrscheinlich. Zitieren Link zu diesem Kommentar
daabm 1.362 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 vor 2 Stunden schrieb meinerjunge: Großbuchstaben, Kleinbuchstaben, Zahlen, min 1 Sonderzeichen und min 10 Stellen Gehe in die Diskussion mit dem "Vorgabenverantwortlichen", wie auch immer der heißt und welche Funktion auch immer er hat. 10 Stellen sind "waaay too short", das vorne ist veralteter Krempel. Länge zählt, sonst nahezu nichts. vor 2 Stunden schrieb meinerjunge: hochkomplexen und langen Passwörtern versehen sein sollen. 10 ist nicht lang. 10 ist geradzu irrsinnig kurz, da hilft auch Komplexität nichts. Zitieren Link zu diesem Kommentar
cj_berlin 1.327 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 (bearbeitet) (bezieht sich auf die Antwort von @NorbertFe) Vor 10 Jahren hätte ich das auch gesagt. Aber die meisten Firmen haben eher zu viele Third Party Tools als zu wenige - bis auf die Stellen, wo es *wirklich* darauf ankommt. Und was das Verhindern angeht - das kann das gleiche IAM für Dich erledigen, indem die User mit dem Merkmal "cannot change password" versehen werden. Die Maske in Windows zu deaktivieren ist EINE GPO Einstellung. Die Maske in OWA deaktivieren ist EIN PowerShell-Befehl. Die Maske in StoreFront deaktivieren ist EIN Häkchen. Klar können das nur die Großen bearbeitet 7. Dezember 2022 von cj_berlin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.