cjmatsel 10 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Hi, ich möchte gern mein Netzwerk (W2k8-R2-DC) besser absichern und dazu am LDAP alle alten Passwörter abfragen. Das Beste wäre dann diese ablaufen zu lassen, sodass die besonders alten Passwörter relativ zügig geändert werden müssten. Wie könnte man so etwas lösen? Ich will nicht gleich mit dem Holzhammer rum laufen, daher dachte ich an eine Batch oder dsquery-Abfrage... Ein paar Ideen hierzu wären sehr hilfreich! :-) cu, cjmatsel Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 (bearbeitet) Über welche Größenordnung sprechen wir? Wenns viele sind, einfach alle Kennworte einmal zeitmässig auf heute zurücksetzen und die Kennwortrichtlinie definieren (Komplexität, Länge und Dauer). Dann kannst du ganz genau sagen, wann die alle ablaufen. ;) bearbeitet 20. September 2016 von NorbertFe Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 20. September 2016 Autor Melden Teilen Geschrieben 20. September 2016 Hi, wir reden von ca. 200 Benutzern. Aber wie ich schrieb: "Ich möchte gern die Holzhammer-Methode vermeiden!" Daher wäre im ersten Schritt interessant welches Alter die Passwörter haben um dann herauszufiltern welche Benutzer überhaupt betroffen sind... Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 (bearbeitet) Moin, vorbereitend kannst du eine Abfrage mit OldCmp machen. Das kann auch User abfragen und gibt u.a. das Datum des letzten Kennwortwechsels aus. oldcmp -users -report http://www.joeware.net/freetools/tools/oldcmp/index.htm Aber wie ich schrieb: "Ich möchte gern die Holzhammer-Methode vermeiden!" Norberts Vorschlag ist auch nicht der Holzhammer, sondern der Gummihammer. Man setzt alle Kennwörter einmal auf "abgelaufen" und löscht dann das Flag gleich wieder. Die Kennwörter haben in diesem Moment "jetzt" als Änderungsdatum. Danach gilt für alle User die im AD definierte Kennwortrichtlinie, d.h. du kannst exakt sagen, wann die Kennwörter ablaufen. Die User haben dann auch noch bis zu diesem Zeitpunkt Zeit. Gruß, Nils bearbeitet 20. September 2016 von NilsK Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 20. September 2016 Autor Melden Teilen Geschrieben 20. September 2016 (bearbeitet) OK, dann habe ich das nicht so verstanden. Diese Idee klingt tatsächlich einfach; wie löst ihr das mit den Systemaccounts? Also den Accounts welche Programme benutzen um das LDAP abzufragen oder Dienste zu starten usw...? edit: und wie würde ich den Ansatz von Norbert umsetzen? Wenn ich eine Handvoll Benutzer markiere und mit der rechten Maustaste anklicke kann ich nur sagen dass die Benutzer "bei der nächsten Anmeldung" das Kennwort ändern müssen... bearbeitet 20. September 2016 von cjmatsel Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Ja dann lies Nils' Aussage doch nochmal. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Hallo, kennst du die Microsoft Empfehlungen bzgl. Userpasswörtern? 1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).2. Eliminate character-composition requirements.3. Eliminate mandatory periodic password resets for user accounts.4. Ban common passwords, to keep the most vulnerable passwords out of your system.5. Educate your users not to re-use their password for non-work-related purposes.6. Enforce registration for multi-factor authentication.7. Enable risk based multi-factor authentication challenges. https://www.microsoft.com/en-us/research/publication/password-guidance/ Systemaccounts, besonders solche mit eigenem SPN, sollten aber mindestens 25 Zeichen lang sein und auch ab und zu mal geändert werden. blub Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Schön, dass ms solche Empfehlungen gibt, aber keine technischen Möglichkeiten davon auch was umzusetzen. ;) Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Moin, bei den Empfehlungen von Microsoft muss man den Kontext beachten: Es geht um massenweise Accounts für Privatuser. Die Studie basiert auf Microsoft-Accounts. Für Unternehmensumgebungen ist daher nicht alles so anwendbar. Besonders relevant sind die Punkte 4 bis 7 der obigen Liste. So stellt Microsoft das in dem Papier auch dar. Für die Punkte 1 bis 3 gibt es eine spezielle Argumentation, die vor allem mit der erwartbaren Bequemlichkeit von Anwendern zu tun hat. Als wichtigstes Element stellen die Forscher Punkt 4 heraus - wie Norbert schon anmerkt, gibt es dafür aber gar keinen Mechanismus, solange man keine Drittanbietersoftware einsetzt. Bei Punkt 1 neige ich zum Widerspruch. Es lässt sich zeigen, dass längere Kennwörter durchaus "per se" besser sind als kürzere. Die Einschränkung macht die Studie wieder bei der Bequemlichkeit von Usern, die dazu neigen, auch lange Kennwörter vorhersagbar zu setzen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 20. September 2016 Autor Melden Teilen Geschrieben 20. September 2016 Norbert: Wie setze ich ein Kennwort auf abgelaufen? Diese Info fehlt mir hier irgendwie... :-/ Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Moin, hier hat er es erklärt: http://www.mcseboard.de/topic/207806-kennwortrichtlinie-im-ad-durchsetzen/?do=findComment&comment=1308180 Gruß, Nils Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 20. September 2016 Autor Melden Teilen Geschrieben 20. September 2016 (bearbeitet) Aah! :thumb1: dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd yes dsquery user -stalepwd 90 -limit 0 | dsmod user -mustchpwd no ... zum Beispiel. richtig? edit: ein "dsquery user -stalepwd 90 -limit 0" liefert mir aber immer noch eine Menge Benutzer aus. Ich denke das Passwort sollte jetzt 0 Tage alt sein? bearbeitet 20. September 2016 von cjmatsel Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Ja aber ein besser definierten Zustand bekommst du eben, wenn du alle gleich behandelst. Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 20. September 2016 Autor Melden Teilen Geschrieben 20. September 2016 (bearbeitet) Hmm, ich verstehe es leider trotzdem noch nicht: trotz der beiden oben eingestellten Befehle meldete sich eben gerade ein Benutzer bei mir weil sein Kennwort abgelaufen ist und sofort geändert werden müsse... :confused: edit: Es scheint als wenn die Befehle auf der Kommandozeile nicht greifen: Per Mausklick wird tatsächlich die Ergebnis-Liste immer kleiner... :-/ Seltsam... bearbeitet 20. September 2016 von cjmatsel Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 20. September 2016 Melden Teilen Geschrieben 20. September 2016 Moin, dann schau dir deine Kommandos doch noch mal an: Du setzt das Flag bei allen Usern, deren Kennwort 90 Tage alt ist. Und dann setzt du das Flag mit demselben Filter zurück - der jetzt aber eine andere Menge zurückgibt, weil das erste Kommando ausgeführt wurde ... Oder deutlicher: Die User, die du mit dem ersten Kommando behandelt hast, haben keinen Wert mehr bei pwdLastSet. Sie fallen durch den Filter deines zweiten Kommandos. Skripte und Massenoperationen testet man im Lab, nicht in der Produktion. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.