void_pointer 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hallo, wir haben in unserer Domäne die Passwort GPOs aktiv. Wenn der Benutzer jedoch sein Passwort ändern muss, reicht es ein Zeichen zu ändern. Läßt es sich irgendwie erzwingen, dass sich die Passwörter gravierender unterscheiden müssem? Gruß void* Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi, Du mußt bei den Kennwortrichtlinien die Komplexitätsanforderung aktivieren. Gruß Dirk Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Ne, das reicht nicht, hab s eben mal in einer VM Testumgebung getestet. Ich meine, dafür müsste eine angepasste passfilt.DLL verwendet werden. Christoph Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi Christoph, eine zusätzliche .dll war nur bei NT nötig. Ab Windows 2000 reicht die Komplexitätsanforderung. Ich würde die Policy auf der Default Domain Controller Policy setzen, dann sollte es auf jeden Fall funzen. Gruß Dirk Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi, Dirk, auch das war schnell getestet. Es funktioniert nicht... Hätte mich auch gewundert, denn Password Policies für Domain users ziehen nur, wenn sie auf Domain-Ebene gesetzt werden, nicht in der DDCP. Ich hab mich dazu hier im Board auch schon mal ausgelassen: http://www.mcseboard.de/showthread.php?t=79950, Beitrag #11 Christoph Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Möglicherweise hat Dirk_privat das falsch verstanden, weiss nicht. Es geht nicht darum, dass man ein längeres oder komplexeres Kennwort eingeben muss, sondern darum, dass es auch mit Password-History ausreicht, beim Ändern des Kennworts nur ein Zeichen abzuändern. Und das funktioniert auch mit Komplexitätsanforderungen, das ist sicher. grizzly999 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 @grizzly: Vielleicht hab ich mich auch falsch ausgedrückt. Mit "funktioniert nicht", meinte ich, dass Komplexitätsanforderungen, wie Du sagst, nicht ausreichen, wenn man erzwingen will, dass ein komplett neues Passwort gewählt wird, und nicht nur ein Zeichen ausgetauscht. In der Sache sind wir uns also einig :) Christoph Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Die Komplexitätsanforderungen sagen aber doch nur aus, dass grundsätzlich ein komplexes Kennwort benutzt werden muss. Wenn ich also ein komplexes Kennwort habe, "Gxd4§$lo", dann kann ich es doch beim nächsten Änderungszyklus in "Gxd4§$l1" ändern. Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sind. edit: zu spät (mal wieder) :D Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi Christoph, das mit den Policies für Kennwörter ist so eine Sache. Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise). Vor kurzer Zeit wurde noch empfohlen die Kennwortrichtlinien auf der DC Policy zu setzen was je eigentlich auch logisch ist, da nur die DC´s User authentifizieren. Neuerdings geht MS aber auch in die Richtung die Default Policy zu ändern. Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich. Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist. Also bei mir/uns funktioniert das einwandfrei. Gruß Dirk Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 .... Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sindIch meine das auch. Eine geschätzte ältere Kollegin ändert immer das letzte Zeichen ihres PW, eine laufende Ziffer, das Vorstehende ist der Vorname ihrer Schwester. Ich habe noch keine Möglichkeit gefunden, ein völlig neues PW zu erzwingen. Wieweit solle denn das gehen, nach welchen Methoden die Ähnlichkeit geprüft. Eine Prüfung auf Gleichheit(exakt) erscheint einfach. Aber Abseits der exakten Gleichheit, was ist ähnlich, was ist unähnlich? Ein zufallsgeneriertes alphabetisches PW kann in Deutsch subjektiv den Eindruck ungeordneter, bedeutungsloser Buchstaben erwecken, auf türkisch oder Farsi mag es schon anders aussehen. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi, Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise). Ich würde das auch immer noch so halten. Man kann aber ja zusätzliche Policies auf die Domain binden. Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich. Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist. Also bei mir/uns funktioniert das einwandfrei. Möchte ich nicht anzweifeln, aber in meiner VMWare Testumgebung kann ich das trotz aktivierter Komplexitätsanforderung. Erstes Kennwort meinetwegen "Kennwort0", danach kann der User "Kennwort1" eingeben. Win 2003 Std. Default Installation + AD Default. Christoph Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 ... Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.Also bei mir/uns funktioniert das einwandfrei. Das ist interssant, danke. :) Ich werde das wohl nochmals testen. Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi Christoph, habe es eben nochmal bei mir getestet. Du hast Recht, es geht nur teilweise. Bei manchen Wörtern erkennt er eine Logik und bei Nummern akzeptiert er sie fortlaufend sobald ein alphanumerisches Zeichen enthalten ist. Jetzt müßte man halt wissen nach welchen Kriterien MS die Komplexität betrachtet. Hier habe ich noch was interesantes dazu gefunden http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp Gruß Dirk Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Das ist interssant, danke. :) Ich werde das wohl nochmals testen.Ändere ich nur ein numerisches oder ein Sonderzeichen, wird dieses bei mir akzeptiert. Eine grundsätzliche Änderung in ein völlig unähnliches PW scheint nicht möglich zu sein. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Februar 2006 Melden Teilen Geschrieben 2. Februar 2006 Hi, danke für den Link, Dirk. Werde mal sehen, was da so drinsteht. Aber Edgar hat schon recht: es ist recht interessant zu sehen, was geht, und was nicht, wenn man Komplexität erfordert :) Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.