Jump to content

Passworteingabe erzwingbar?

Tinwhistle

Von Tinwhistle
in Active Directory Forum

Direkt zur Lösung Gelöst von Tinwhistle,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Tinwhistle Explorer

Tinwhistle   0

Geschrieben
Geschrieben

Hallo zusammen,

 

habe ein kleines Firmennetzwerk mit ca. 20 Clients auf WIN 7, Server 2012 R2.

 

Nun müssen sich einige Clients mit Passwort anmelden, manche Clients aber können sich einfach ohne Passwort anmelden, müssen also nur Enter drücken.

Gibt es eine Möglichkeit, eine Passwortabfrage auf allen Clients bzw. für alle User zu erzwingen? Bin mit der Situation unzufrieden, dass gewisse Workstations/User einfach so reinkommen, m.E. nach untergräbt das alle Sicherheitsrichtlinien :)

Alles was Google mir auswirft ist, wie ich das genaue Gegenteil erreiche bzw. wie man Benutzerkennwörter rücksetzen oder das Ändern erzwingen kann...

 

PS: Ich kenn mich nicht gut aus, sorry falls es das falsche Unterforum ist :)

 

Liebe Grüße, Tinwhistle

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

 die Benutzerkonten haben wohl ein leeres Kennwort.

 

Du kennst den Unterschied zwischen Client und User, Rechner in einem Server-Client-Netzwerk und dem Benutzer an einem Einzelrechner oder einem Benutzer in einer Windows-Domäne?

 

In einer Domäne gibt es ein Activer Directory, darin eine Verwaltung für die Benutzerkonten. In den Eigenschaften eines Kontos sind soche Dinge wie das Erzwingen eines Passwortes einstellbar. Weiter gibt es in der Domäne die Möglichkeit Kennwortlänge und komplexität zu erzwingen.

 

An einem Einzelrecher, Host, Client, gibt es in der Systemsteuerung, Verwaltung, Computerverwaltung die Möglichkeit Benutzerkonten anzulegen, Kennwörter zurückzusetzen, den Benutzer zwingen, bei der nächsten Anmeldung das Kennwort zu ändern.

 

Das Einstellen zum Erzwingen, das kann nur ein Administrator, ein Angehöriger der Gruppe der Administratoren. Falls der benutzer dieser Gruppe angehört, dann kann der die Einstellungen ändern. Also nimmt der Admininstrator den benutzer aus diese Gruppe.

bearbeitet von lefg
Link zu diesem Kommentar
Tinwhistle Explorer

Tinwhistle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Der Reihe nach. Ich denke es ist ein AD-Netzwerk, zumindest finde ich alle Einstellungen, wenn ich einen User anlege, auf dem Server unter Active Directory.

Dort lege ich auch vorab das Kennwort fest, gehe dann zur Workstation und logge mich dort ein. Es ist auch für alle User ein Kennwort angelegt, leere Kennwörter gibt es nicht.

 

Nun kommen wir zur Differenz:

In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw.

Eine Option für zwingende Passwortabfrage habe ich hier aber nicht.

 

Als Administrator melde ich mich im Übrigen per mstsc am Server an, daran sollte es nicht liegen.

 

Wie ihr den Antworten entnehmen könnt, gut auskennen tue ich mich nicht, ich kann halt Linksklick vom Rechtsklick unterscheiden und wurde daher "auserwählt".

Ausserdem koste ich unwesentlich weniger für solche kleinere Verwaltungsaufgaben als ein vollständiger ITler (den wir notfalls aber im Hintergrund haben)

 

EDIT:

Zum Vergleich meine Workstation in der Computerverwaltung (Anmeldung an dem PC ohne Passwort möglich):

2 deaktivierte Benutzer, Administrator und Gast.

1 aktivierter benutzer, "TGA". Bei Gruppenzugehörigkeit steht hier auch "Administratoren"

Allerdings taucht hier mein Domänenname, mit dem ich mich an jedem PC anmelden kann, nicht auf (FBernauer)

 

Könnte hier eventuell der Hund begraben liegen mit lokalen Administrationsrechten?

 

EDIT 2:

Nein, habe mich selbst aus der Gruppe entfernt, muss immer noch kein Passwort angeben :)

bearbeitet von Tinwhistle
Link zu diesem Kommentar
Tinwhistle Explorer

Tinwhistle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ich bin mir sicher, dass ich mich in dem ganzen Text etwas unklar ausdrücke :)

Ich melde mich an meinem PC als FBernauer an. Das ist mein zugewiesener Benutzer in der AD.

Diesen gibt es am PC garnicht nicht als lokalen Benutzer (In der Computerverwaltung)

Es gibt dort einen einzelnen User namens "TGA" (so heisst unsere Firma). Dieser hat keine Adminrechte.

 

oder hab ich da jetzt etwas falsch verstanden?

bearbeitet von Tinwhistle
Link zu diesem Kommentar
  • Beste Lösung
Tinwhistle Explorer

Tinwhistle   0

Geschrieben
  • Autor
  • Beste Lösung
Geschrieben

GELÖST:

 

Ich habe für mich jetzt mal das Kennwort zurückgesetzt. Hat alleine nicht gereicht, dann waren aber die Netzlaufwerke nicht mehr erreichbar.

Hat wohl versucht sich an TGA-ER anzumelden. Die Domäne heißt aber tga-er.local . Von Hand darauf angemeldet, seitdem kann ich ohne Passwort nicht mehr rein.

 

Ich muss ja nicht alles verstehen, solange es funktioniert, oder? Ich denke da wurde vor nem halben jahr bei der Migration des Servers durch einen neuen ITler ein klein wenig geschlampt :)

 

Danke für eure Hilfe!

Link zu diesem Kommentar
Little John Fellow

Little John   0

Geschrieben
Geschrieben

Bitte korrigiert mich wenn ich da jetzt was falsch gelesen habe: Die Firma ist der User im AD?? Die Netzlaufwerke würde ich per Script anbinden, wir machen das zumindest so.

 

Ich würde mir an Firmen statt zumindest einen IT Dienstleister mit ins Boot holen der dich bei Problemen unterstützt.

 

Sonst befürchte ich, steht das ganze irgendwann mal komplett.

 

Man darf mal falsch gesetzte Häckchen nicht unterschätzen *Ironie off*

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Hi,

Kontrolliere doch mal, ob auf den Clients Autologon konfiguriert wurde:

 

https://support.microsoft.com/en-us/kb/324737

https://technet.microsoft.com/en-us/sysinternals/autologon.aspx

 

 

Ich muss ja nicht alles verstehen, solange es funktioniert, oder?

eine gefährliche Einstellung in der IT, aber sehr verbreitet. Muss man aber nicht übernehmen bzw. akzeptieren.

 

blub

Link zu diesem Kommentar
Tinwhistle Explorer

Tinwhistle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Wir haben einen größeren IT-Dienstleister an Bord, der die ganze Installation gemacht hat. Nur wussten wir halt selber nicht so genau was wir wollen :rolleyes: deswegen sind einige Funktionen eher rudimentär ausgeführt.

Da der Dienstleister für eine Wartung aber natürlich einen entsprechenden Batzen Geld verlangt, mach ich so Kleinkram als "Lokaler Mitarbeiteradmin" eben selbst.

 

Ich versuchs das Netzwerk zur Info mal laienhaft darzustellen, sollte aber eher klassisch sein:

 

Der Plan ist, Serverrack im Serverraum als DC und AP virtualisiert, AD-Benutzersteuerung mit der sich jeder in die Domäne einloggt und automatisch Zugriff auf die freigeschalteten Netzlaufwerke erhält.

Dienste wie Projekt- und Lizensierungsserver laufen natürlich auch auf der VM.

 

Ich befürchte nur, dass wir mit den Benutzerkonten noch migrationsbedingt einige Altlasten vom alten Server mit uns herumtragen :jau:

 

Die Firma ist also kein User, jedoch schwirren wohl auf diversen WS noch alte Benutzer wie Praktikant, TGA oder Ähnliches rum.

 

 

EDIT Hi blub,

 

den Eintrag "WinLogon" hat meine Registry garnicht...der Artikel scheint wohl für WinNT zu sein?

Falls es hilft, ich musste immer noch Enter drücken, vollautomatisch lief es nicht, nur halt keine Passwortabfrage :)

bearbeitet von Tinwhistle
Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Dann war dein Password wohl《leer》.

Aber vielleicht solltet ihr euch mal grundsätzliche Gedanken über eure IT machen. Ein Dienstleister, der leere Passwörter (warum auch immer) zulässt, das ist z.B. keine besonders gute Wahl.

Es bringt wenig, wenn du nur hier und da an ein paar Schrauben drehst. Bei 20 Clients hängen wahrscheinlich etwa 20 Arbeitsplätze d.h. Jobs von dieser IT ab...

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

 

Nun kommen wir zur Differenz:

In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw.

Eine Option für zwingende Passwortabfrage habe ich hier aber nicht.

 

 

Und was ist das, bewirkt das Folgende?

 

 

muss bei nächster Anmeldung Passwort ändern,

Und dann berücksichtigen die Kennwortrichtlinie, darin Kennwortlänge und Komplexität. So das ein Benutzer kein leeres Kennwort eingben kann beim Ändern.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...