2K3R2 - Kennwortrichtlinie erstellen

[klopp76]

Hallo zusammen,

ich möchte bei uns in der Organisation eine Kennwortrichtlinie erstellen, da einige User immer noch das Anfangskennwort benutzen oder gar kein Kennwort haben.

Dazu eine Verständnisfrage:
Ich setzte in der GPO Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstallungen - > Kontorichtlinien -> Kennwortrichtlinien unter Maximales Kennwortalter den Wert auf 150 Tage und Minimales Kennwortalter auf 21 Tage. Dies würde bedeuten, dass der User 21 Tage Zeit hat sein Kennwort bei der Anmeldung zu ändern, richtig?

Muss ich jetzt noch im AD unter den Usern bei Konto den Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen?

Greift denn dann noch die Einstellung mit den 21 Tagen oder wird diese Einstellung durch den Haken überschrieben?

Vielen Dank für Hilfe.

[StefanWe]

Wichtig ist, dass du die Einstellungen in der Default Domain Policy änderst.

Nein, du musst den Haken nicht setzen, dass beim nächsten Anmelden der User das Kennwort ändern soll.

Beachte aber, das der Haken entfernt ist bei: Kennwort läuft nie ab.

Gruß
Stefan

[MrCocktail]

Nein, da hast du was falsch verstanden:
Maximales Kennwortalter: Wie alt darf das Kennwort maximal sein.
Minimales Kennwortalter: Nach wie viel Tagen darf ich das Kennwort wieder ändern.

Bsp.:
Ich ändere heute mein Kennwort, dann darf ich es frühestens wieder an heute + 21 Tage ändern (müsste dann der DI der 13.09. sein)

[klopp76]

Danke Dir für die Antwort.

Dass heißt wenn ich das Kennwort vom Administrator nicht ändern will, setze ich den Haken bei Kennwort läuft nie ab, richtig? Ich möchte ungern das Kennwort vom Administrator ändern.

Wenn die 21 Tage verstrichen sind und der User noch nicht sein Kennwort geändert hat, dann muss er nach Ablauf der 21 Tage sein Kennwort ändern, sonst kann er sich nicht anmelden?

Grüße

[NorbertFe]

Genau, das Kennwort des Admins ist auch das unwichtigste, und sollte möglichst nie geändert werden.

Bye
Norbert

[NilsK]

Moin,

die Kennwortrichtlinie betrifft nur neue Kennwörter, keine bestehenden. Wenn du willst, dass Anwender ihr Kennwort "jetzt" ändern, dann setze den Haken "Kennwort bei der nächsten Anmeldung ändern".

Das maximale Kennwortalter gibt an, wann der User spätestens sein Kennwort ändern muss. Das minimale Kennwortalter legt fest, wann der User sein geändertes Kennwort frühestens ändern kann - Werte oberhalb von einem Tag sind unüblich, Werte über drei Tagen i.d.R. hinderlich.

Wichtig ist vor allem die Länge der Kennwörter - ein richtig starkes Kennwort muss tendenziell gar nicht oder nur selten geändert werden.

Gruß, Nils

[klopp76]

Jetzt bin ich verwirrt.
Was trage ich denn jetzt wo ein, damit das Kennwort 150 Tage lang bestehen bleibt, der User aber 21 Tage vor Ablauf des Kennwortes darauf hingewiesen wird, dass er sich bitte ein neues Kennwort erstellt?

[NorbertFe]

Maximales Kennwortalter 150 Tage und die Erinnerung in den Sicherheitsrichtlinien der PCs/Server.

Bye
Norbert

[klopp76]

Die Erinnerung stelle ich unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstallungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Interaktive Anmeldung: Anwender vor Ablauf des Kennwortes zum Ändern des Kennwortes auffordern auf 21 Tage ein, richtig?

[NorbertFe]

Korrekt.

Bye
Norbert