Weltalltrauma 15 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 Hi, wir setzen gerade eine neue Password Policy bei uns. Manche User machen das ganze freiwillig, manche möchten dazu "gezwungen" werden. Für die paar User setzen wir in Accounteigenschaften den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern". Sobald wir das Häkchen setzen und bestätigen, verlieren die User die Verbindung zum Exchange und im Outlook kommt ein Loginfenster. Das hat bei einigen für Unmut und Beschwerden uns gegenüber gesorgt. Ich kenne das so, dass der Account bzw. das Kennwort solange die volle Gültigkeit hat und man wirklich erst nach der erneuten Anmeldung gezwungen ist ein neues Passwort einzugeben. Muss das so sein, oder kann man das per GPO konfigurieren? Infrastruktur: DCs sind Windows Server 2016 Exchange 2016 On Premise Azure AD Hybrid Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 vor 2 Minuten schrieb Weltalltrauma: man wirklich erst nach der erneuten Anmeldung gezwungen ist ein neues Passwort einzugeben. Und am Exchange melden sich die User nicht an? ;) Du wirst das so nicht gelöst bekommen. Normalerweise setzt man einfach sowas am Feierabend, oder eben für alle gleich. Und zwar, indem man die Policy mal auf 10 Tage setzt und dann bei allen Usern den Haken setzt, übernimmt und dann wieder entfernt. Damit haben ALLE User dann ein nagelneues (altes) Kennwort, welches genau 10 Tage lang gilt. nach den 10 Tagen setzt man den Wert der Laufzeit auf den gewünschten Wert und schon sind alle glücklich. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 20. Dezember 2022 Autor Melden Teilen Geschrieben 20. Dezember 2022 vor 9 Minuten schrieb NorbertFe: Und am Exchange melden sich die User nicht an? ;) Doch klar, aber nun.......,aber....ok ergibt Sinn ;) Ich wollte es aktuell noch vermeiden alle auf einmal ALLE User das Passwort ändern zu lassen. Wir haben gerade noch damit zu kämpfen, dass die Accounts gerne automatisch gesperrt werden ( 20 Fehlversuche ) , weil irgendein Programm, RDP Session, was auch immer, mit den alten Credentials versucht einen Connect aufzubauen. Für den Azure AD Hybrid haben wir die Suffix bei allen Usern angepasst von "contoso.local" zu "contoso.com". Ich vermute das gefällt Outlook nach der Passwortänderung nicht so wirklich. So richtig Best Practice ist das alles nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 Hmm, na wenn du meinst. :) Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 In Sachen Benutzerfreundlichkeit war es früher tatsächlich besser. Da war das Verhalten wie beschrieben: Man hat den Haken gesetzt und bei der nächsten Anmeldung (= PC starten, Ctrl-Alt-Del drücken) musste der Benutzer das Kennwort ändern. Solange der PC lief, konnte er ohne Meldungen arbeiten. Damals hatte man aber nur Netzlaufwerke und Exchange ging noch über RPC, heute hat man viel über HTTPS, was auch tagsüber neue Anmeldungen auslöst. Setzt man den Haken abends, sind die Benutzer genervt, weil sie nach Feierabend von Meldungen auf dem Smartphone genervt werden, wegen ActiveSync. Man hat es nicht leicht, aber leicht hat es einen. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 Wie gesagt, oben steht ein Weg, der relativ easy geht. Man definiert eine kurze Zeitspanne und informiert gleichzeitig die Nutzer, dass sie jetzt aber spätestens in 10 Tagen ihr Kennwort ändern müssen. Alle die vor Ablauf der 10 Tage ihr Kennwort ändern, haben am 11 Tag dann ein Kennwort, welches solange gilt, wie der Wert den man dann einträgt. Eigentlich ganz einfach, aber manche wollen es halt umständlich. ;) Man kanns nicht allen Recht machen. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 Moin, vor 5 Minuten schrieb NorbertFe: Eigentlich ganz einfach, aber manche wollen es halt umständlich. ;) schon, aber der Fairness halber muss man dazu sagen, dass man das Verfahren kennen muss, um es anzuwenden. Es steht nirgends dabei. Gruß, Nils PS. wäre mal was für faq-o-matic.net, oder? Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 20. Dezember 2022 Autor Melden Teilen Geschrieben 20. Dezember 2022 vor 9 Minuten schrieb NilsK: PS. wäre mal was für faq-o-matic.net, oder? Bin dafür vor 19 Minuten schrieb NorbertFe: Wie gesagt, oben steht ein Weg, der relativ easy geht. Man definiert eine kurze Zeitspanne und informiert gleichzeitig die Nutzer, dass sie jetzt aber spätestens in 10 Tagen ihr Kennwort ändern müssen. Alle die vor Ablauf der 10 Tage ihr Kennwort ändern, haben am 11 Tag dann ein Kennwort, welches solange gilt, wie der Wert den man dann einträgt. Eigentlich ganz einfach, aber manche wollen es halt umständlich. ;) Man kanns nicht allen Recht machen. Wir haben im ersten Testlauf es auf freiwillige Basis gemacht. Bis Datum x muss das Passwort geändert werden. Sagen wir es so, freiwillig haben es ca. 10% geändert. Der Rest hat abgewartet was passiert. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 vor 2 Stunden schrieb Weltalltrauma: Wir haben im ersten Testlauf es auf freiwillige Basis gemacht. Bis Datum x muss das Passwort geändert werden. Sagen wir es so, freiwillig haben es ca. 10% geändert. Der Rest hat abgewartet was passiert. Und? Was sagt dir das? Meine Variante wäre besser? ;) Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 20. Dezember 2022 Autor Melden Teilen Geschrieben 20. Dezember 2022 Das sagt mir, dass wir es auf freiwilliger Basis lassen können bzw. du hast nicht Unrecht ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 20. Dezember 2022 Melden Teilen Geschrieben 20. Dezember 2022 Du kannst ja die freiwillige Basis belassen, nur muss man dann auch ein „konsequenzdatum“ setzen. ;) 1 Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 21. Dezember 2022 Melden Teilen Geschrieben 21. Dezember 2022 Am 20.12.2022 um 12:19 schrieb mwiederkehr: Man hat den Haken gesetzt und bei der nächsten Anmeldung (= PC starten, Ctrl-Alt-Del drücken) musste der Benutzer das Kennwort ändern "Die Kleinen spielen grad so schön". Wer nur einen Credential Store (=AD) hat, der kommt damit vielleicht noch klar. Wir haben viele - ich hab geschätzt 25 Accounts. Und jetzt? SCNR... @Weltalltrauma ich würde da auf die Entscheider zugehen (wenn das nicht ihr selber seid) - Kennwortwechsel sind ein absolut veraltetes Prinzip aus dem vergangenen Jahrtausend. Sogar das BSI hat sich von der Empfehlung verabschiedet. PS: Ist schon schwer genug, allen Beteiligten den Unterschied zwischen "User-ID" (überall gleich) und "Account" zu vermitteln... 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 21. Dezember 2022 Melden Teilen Geschrieben 21. Dezember 2022 vor 32 Minuten schrieb daabm: Kennwortwechsel sind ein absolut veraltetes Prinzip aus dem vergangenen Jahrtausend. Sogar das BSI hat sich von der Empfehlung verabschiedet. ...jedoch nur, wenn NTLM und RC4 für die betroffenen Accounts abgeschaltet sind. Andernfalls ist Kennwortwechsel nach wie vor das einzige wirklich wirksame Mittel gegen Pass-the-Hash. CIS-Benchmarks, selbst die STIG-Variante, fordern den Wechsel nach spätestens einem Jahr. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.