Discussion:
Passwortrichtlinie einführen
(zu alt für eine Antwort)
Julian
2008-05-09 10:48:01 UTC
Permalink
Hi,

ich muss eine Passwortrichtlinie einrichten. Diese Richtlinie zu setzen ist
an sich kein Problem, ich bin mir aber über die folgenden Punkte nicht sicher
wie sich die Richtlinie auswirkt wenn ich sie setze, daher habe ich dazu
folgende Fragen:

1. Die meißten Benutzer haben den Haken "Kennwort läuft nie ab" gesetzt,
bedeutet
das, dass ich diesen Haken bei den Benutzern von Hand wegnehmen muss, oder?

2. Was passiert mit den speziellen Service-Konten, diese möchte ich von der
Regel ausschließen, das sollte ich mit dem Kennwort läuft nie ab-Option
abfangen können, oder?

3. Wenn ich die Richtlinie nun heute aktiviere, was passiert dann, bedeutet
das, dass sämtliche User bei der nächsten Anmeldung das Kennwort ändern
müssen, oder wird die Kennwortänderung dann nach meinen Vorgaben nach z. B 4
Wochen ablaufen, und die User müssen es dann quasi erst in 4 Wochen ändern!

Wäre supi, wenn Ihr mir da helfen könntet!?

BR/Julian.
Florian Frommherz [MVP]
2008-05-09 11:21:10 UTC
Permalink
Howdie!
Post by Julian
1. Die meißten Benutzer haben den Haken "Kennwort läuft nie ab" gesetzt,
bedeutet
das, dass ich diesen Haken bei den Benutzern von Hand wegnehmen muss, oder?
Richtig, du kannst das aber auch skripten. Ein Ansatz ist:
http://www.microsoft.com/technet/scriptcenter/resources/qanda/oct06/hey1031.mspx
Post by Julian
2. Was passiert mit den speziellen Service-Konten, diese möchte ich von der
Regel ausschließen, das sollte ich mit dem Kennwort läuft nie ab-Option
abfangen können, oder?
Genau. Wenn du den Schalter umlegst, werden die Passworte der
Service-Konten nie ablaufen und dementsprechend die Kennwortrichtlinie
auch nicht übernehmen.
Post by Julian
3. Wenn ich die Richtlinie nun heute aktiviere, was passiert dann, bedeutet
das, dass sämtliche User bei der nächsten Anmeldung das Kennwort ändern
müssen, oder wird die Kennwortänderung dann nach meinen Vorgaben nach z. B 4
Wochen ablaufen, und die User müssen es dann quasi erst in 4 Wochen ändern!
Es kommt darauf an, wann die Benutzer zuletzt das Passwort geändert
haben. Wenn Karl sein Passwort vor 15 Tagen änderte, Sandra vor 78 Tagen
und du setzt eine Passwortrichtlinie, die ein Ändern alle 45 Tage
konfiguriert, wird Sandra ihr Passwort ändern müssen, Karl jedoch nicht.
Sandras Passwort ist schon älter als die konfigurierten 45 Tage, also
muss sie es ändern.

cheers,

Florian
--
Microsoft MVP - Windows Server - Group Policy.
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Use a newsreader! http://www.frickelsoft.net/news.html
Julian
2008-05-09 12:18:00 UTC
Permalink
Hi Florian,

danke für die Info, das hört sich ja gut an! Danke Dir!

Gruß/Julian.
Post by Florian Frommherz [MVP]
Howdie!
Post by Julian
1. Die meißten Benutzer haben den Haken "Kennwort läuft nie ab" gesetzt,
bedeutet
das, dass ich diesen Haken bei den Benutzern von Hand wegnehmen muss, oder?
http://www.microsoft.com/technet/scriptcenter/resources/qanda/oct06/hey1031.mspx
Post by Julian
2. Was passiert mit den speziellen Service-Konten, diese möchte ich von der
Regel ausschließen, das sollte ich mit dem Kennwort läuft nie ab-Option
abfangen können, oder?
Genau. Wenn du den Schalter umlegst, werden die Passworte der
Service-Konten nie ablaufen und dementsprechend die Kennwortrichtlinie
auch nicht übernehmen.
Post by Julian
3. Wenn ich die Richtlinie nun heute aktiviere, was passiert dann, bedeutet
das, dass sämtliche User bei der nächsten Anmeldung das Kennwort ändern
müssen, oder wird die Kennwortänderung dann nach meinen Vorgaben nach z. B 4
Wochen ablaufen, und die User müssen es dann quasi erst in 4 Wochen ändern!
Es kommt darauf an, wann die Benutzer zuletzt das Passwort geändert
haben. Wenn Karl sein Passwort vor 15 Tagen änderte, Sandra vor 78 Tagen
und du setzt eine Passwortrichtlinie, die ein Ändern alle 45 Tage
konfiguriert, wird Sandra ihr Passwort ändern müssen, Karl jedoch nicht.
Sandras Passwort ist schon älter als die konfigurierten 45 Tage, also
muss sie es ändern.
cheers,
Florian
--
Microsoft MVP - Windows Server - Group Policy.
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Use a newsreader! http://www.frickelsoft.net/news.html
Mark Heitbrink [MVP]
2008-05-09 11:10:27 UTC
Permalink
Hi,
Post by Julian
1. Die meißten Benutzer haben den Haken "Kennwort läuft nie ab" gesetzt,
bedeutet das, dass ich diesen Haken bei den Benutzern von Hand wegnehmen
muss, oder?
Ja. Sonst sind vom Ablauf des PWs ausgeschlossen, allerdings würden sie bei
nmanueller Neueingabe natürlich ausf die anderen Regeln reagieren.
Post by Julian
2. Was passiert mit den speziellen Service-Konten, diese möchte ich von der
Regel ausschließen, das sollte ich mit dem Kennwort läuft nie ab-Option
abfangen können, oder?
Jupp. Genau.
Post by Julian
3. Wenn ich die Richtlinie nun heute aktiviere, was passiert dann, bedeutet
das, dass sämtliche User bei der nächsten Anmeldung das Kennwort ändern
müssen,
Nur, wenn du den Haken setzt.
Post by Julian
oder wird die Kennwortänderung dann nach meinen Vorgaben nach z. B 4
Wochen ablaufen, und die User müssen es dann quasi erst in 4 Wochen ändern!
Genau, wenn der Haken nicht gesetzt ist.

Cooler Trick:
Wenn mann einheitliche Zeiten haben möchte oder einen Stichtag, an dem
"von heute an" alle das Kenn wort in 4 Wochen ändern müssen, dann musst du:
- alle User suchen und markieren
- "Kennwort läuft nie ab" aktivieren und direkt wieder deaktivieren

Damit ist jetzt praktisch mit Tageszeit und Tagesdatum das aktuelle
Kennwortalter gesetzt worden.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Nils Kaczenski [MVP]
2008-05-13 17:35:09 UTC
Permalink
Moin,
schau an, cool. Klingt irgendwie nach einem Kurzbeitrag auf faq-o-matic ...


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Julian
2008-07-24 07:10:00 UTC
Permalink
Hey Mark,

...dein cooler Trick mit dem gleichsetzen der Passwörter ist aber mit
Vorsicht zu genießen... Stell dir mal vor, man macht das wirklich, und alle
Anwender müssen auf einen Schlag Ihr Kennwort ändern, dann hast du den
gesamten Tag Rock'n'Roll am Telefon.... Da braucht man auf jeden Fall starke
Nerven!!! *lach* :-)

Grüße/julian.
Post by Mark Heitbrink [MVP]
Hi,
Post by Julian
1. Die meißten Benutzer haben den Haken "Kennwort läuft nie ab" gesetzt,
bedeutet das, dass ich diesen Haken bei den Benutzern von Hand wegnehmen
muss, oder?
Ja. Sonst sind vom Ablauf des PWs ausgeschlossen, allerdings würden sie bei
nmanueller Neueingabe natürlich ausf die anderen Regeln reagieren.
Post by Julian
2. Was passiert mit den speziellen Service-Konten, diese möchte ich von der
Regel ausschließen, das sollte ich mit dem Kennwort läuft nie ab-Option
abfangen können, oder?
Jupp. Genau.
Post by Julian
3. Wenn ich die Richtlinie nun heute aktiviere, was passiert dann, bedeutet
das, dass sämtliche User bei der nächsten Anmeldung das Kennwort ändern
müssen,
Nur, wenn du den Haken setzt.
Post by Julian
oder wird die Kennwortänderung dann nach meinen Vorgaben nach z. B 4
Wochen ablaufen, und die User müssen es dann quasi erst in 4 Wochen ändern!
Genau, wenn der Haken nicht gesetzt ist.
Wenn mann einheitliche Zeiten haben möchte oder einen Stichtag, an dem
- alle User suchen und markieren
- "Kennwort läuft nie ab" aktivieren und direkt wieder deaktivieren
Damit ist jetzt praktisch mit Tageszeit und Tagesdatum das aktuelle
Kennwortalter gesetzt worden.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Norbert Fehlauer [MVP]
2008-07-24 22:07:00 UTC
Permalink
"Julian" <***@discussions.microsoft.com> schrieb
Hi,
Post by Julian
...dein cooler Trick mit dem gleichsetzen der Passwörter ist aber mit
Vorsicht zu genießen... Stell dir mal vor, man macht das wirklich, und alle
Anwender müssen auf einen Schlag Ihr Kennwort ändern, dann hast du den
gesamten Tag Rock'n'Roll am Telefon.... Da braucht man auf jeden Fall starke
Nerven!!! *lach* :-)
Also Anwender haben zwar prinzipiell die Angewohnheit bis zum letzten Tag
mit sowas zu warten, aber alle dann doch nicht. ;) Ausserdem kannst du das
ja splitten. Du definierst es bei Einführung für alle, und dann alle paar
Tage für einige nochmal. ;)

Bye
Norbert

Loading...