Shao-Lee

Das sehe ich im Grunde ganz ähnlich. Um nochmals allgemein auf das Thema einzugehen / ein Zwischen-Fazit zu ziehen: Viele haben (wie wir eben auch) ja recht unterschiedliche Bereiche an ihrer Gesamtstruktur angebunden. Passwörter mit Ablaufdatum sind ja an sich nicht schlecht - und ich würde auch nicht in allen unseren angebundenen Bereichen eine regelmäßige Änderung der Kennwörter aussetzen wollen. Auf der anderen Seite gibt es Bereiche, die sind vom Mitarbeiterstamm und ihren Funktionen sehr stabil - dort ist solch eine Richtlinie sicherlich nicht mehr zeitgemäß. Man merkt das ja irgendwo selber, wenn man anfängt, User-bezogene Ausnahmen zu setzen / setzen zu müssen. Der goldene Mittelweg zur generellen Aussetzung der Passworterneuerung wäre vermutlich, die unterschiedlichen Bereiche zu "kategorisieren" / zu bewerten... ... die Komplexitätsanforderungen dafür grundsätzlich nach oben zu setzen und all die Bereiche, wo man auf eine Kennworterneuerung Wert legt, die Ablaufzeit ggf. etwas großzügiger auslegt. Schlussendlich entscheiden wir das bei der IT nicht alleine, sondern immer zusammen mit der Geschäftsführung / dem Datenschutzbeauftragten. Und ich hab' ja nächste Woche Urlaub, um mir da mal was zu überlegen... Soweit nochmals von meiner Seite.

War auch erstaunt und freue mich, dass der Versicherungsanbieter hier offensichtlich zeitgemäß unterwegs ist

@daabm ...."Danke für's Stöckchen" Hab' jetzt mal gegoogelt - meintest Du den folgenden Artikel? Danke Dir https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903 <=> https://redmondmag.com/articles/2019/04/26/microsoft-password-expirations-windows-security.aspx An Alle: Ich freu' mich ja grundsätzlich über eine rege Diskussionsteilnahme.... - über Beiträge, die zu meinem Eingangspost passen, freue ich mich aber noch mehr

Da gibt's sicherlich einige "Unverbesserliche"... Aber bei einer 2FA mit entsprechender Ansage dürfte die Hemmschwelle für eine Weitergabe dann doch deutlich größer sein?

Nicht zwangsläufig Die ThinClient-Strategie hat ja grundsätzlich seine Vorteile - und irgendwo muss man ja mal anfangen, wenn man sich TC's im Unternehmen vorstellen kann und Erfahrungen damit sammeln möchte. Wenn's bei dem Einen bleiben soll, hast Du recht. Vor dem Hintergrund, diese Lösung dann später ggf. auch weiter ausbauen & managen zu wollen, würde ich zu einer der proprietären Lösungen raten, die sich am Markt etabliert haben. Ist meine Meinung. Nichts für ungut

Ahoi Nils, wie ist denn da Deine Erfahrung als Consultant? Fällt das Thema eher auf fruchtbaren Boden und wird das im Anschluss dann auch konsequenterweise umgesetzt ... oder ist eine Umsetzung da eher zurückhaltend / verhaltend? Danke Dir.

Hallo zusammen, ich hatte soeben das Thema mit den (leider unzureichenden) Passwortbenachrichtigungen auf unseren neuen Citrix-Systemen auf dem Tisch und habe hier nach Lösungen gesucht. Querverweis zum Thema: Nun kam eine ziemlich spannende Antwort vom Kollege BofH (vielen Dank nochmals!) - und um ehrlich zu sein: ich hab' von diesem revolutionären Ansatz jetzt zum ersten Mal gehört. Ich zitiere den Beitrag nach Rücksprache mit BofH hier der Einfachheit halber nochmals: Und um dem ganzen Thema ein bisschen mehr Substanz zu geben, habe ich mich auf der Seite meines Landesdatenschutzbeauftragten auf die Suche begeben - ...siehe da: Der Artikel ist knapp über ein Jahr alt. Quellennachweis: https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/ Nun zu meinem Ansinnen: Ich würde gerne ein Gefühl dafür bekommen, ob es hier Kollegen aus der IT gibt, die das bereits mit ihrem Datenschutzbeauftragten diskutiert und sogar in ihren Unternehmen umgesetzt haben. Wie ist denn die Akzeptanz bei den Mitarbeitern? Wie steht ihr grundsätzlich zum Thema? Ich würde mich freuen, wenn zum Thema ein paar Meinungsbilder kommen - vorab schonmal vielen Dank! Damit zu meiner Meinung: Auf den ersten Blick klingt die Idee ziemlich revolutionär - denn: ich hab's ja eigentlich anders gelernt. Wenn ich mir allerdings unsere User-Landschaft (...wir haben dann doch den einen oder anderen User, wo das Kennwort aus unterschiedlichen Gründen nie abläuft...) und das Führen der Passwortlisten, die mir leider auch schon hier im Team begegnet sind, vor Augen halte, dann gefällt mir der obige Ansatz besser! Liebe Grüße

OT: Kein Problem - alles gut Danke auch Dir für Deinen Tipp! Solche Tipp's / Links zu möglichen Tools (wie von Dir) hätt' ich mir halt als Antwort auf meinen ersten Beitrag gewünscht. LG

@Gipsy: Habe ich ja jetzt gemacht => siehe Beitrag @BOfH: Ich muss zugeben, dass ich jetzt zum ersten mal von diesem Ansatz höre und nehme das mal als Gedanke mit!

Hier kann ich ein bisschen Licht ins Dunkel bringen. Die IGEL-Hardware ist tatsächlich sehr teuer - ist allerdings auch der Lizenz geschuldet, die dort fest "verbaut" ist. Bei Igel könntest Du auch das OS alleine erwerben und auf ein (Mini-)PC Deiner Wahl installieren. Ist echt kein Ding! Um mal ein Gefühl für das Igel-System zu erhalten, empfehle ich Dir die Testlizenzen, die Du über deren Webseite erhältst. Diese sind 3 Monate gültig und Du kannst in Ruhe testen. Allerdings frage ich mich schon, ob ThinClients und das (langsame) RDP-Protokoll für eine flotte Wiedergabe Eurer CAD-Anwendungen reicht ... Viel Erfolg!

Das Problem ist leider nunmal, dass wir auf unseren neuen Terminalserversystemen (weshalb auch immer) überhaupt kein (!) Feedback mehr erhalten, wenn ein Passwort abläuft... Nichtmal per Symbol oder eine Benachrichtigung im Info-Center. Daher muss da jetzt eine alternative Lösung her! So. Ich hab' mich jetzt mal gestern Abend und heute da "durchgewühlt". Ergebnis: Die Script-Lösungen sind zwar teils sehr gut dokumentiert / aber es hängt halt irgendwo an den Detail's. Vor allem... 1.) ...wenn man sich mit den PS-Scripts nicht so gut auskennt... 2.) ...einen Dienstleister braucht, der sich gut mit den PS auskennt.... Mit unseren Script hatten wir das Problem, dass wir die Pop-Up's, welche erzeugt wurden, nicht richtig gesteuert werden konnten. Es haben beispielsweise auch die User Pop-Up's bekommen, bei denen das Passwort nicht abläuft... Egal. Gut dokumentierte Lösungsansätze für PS-Scripts findet man haufenweise im Web. U.a.: https://www.itnator.net/password-expire-mail/ http://www.microlinc.de/index.php?lev1=7&lev2=5&id=111 Damit zu Freeware-Tools: ... hier habe ich das Tool "PassAlert" entdeckt, was im Grunde genau das macht, was ich such(t)e: https://www.mcseboard.de/topic/145443-passalert-betaphase/ Allerdings war das dann auch das einzige Tool in dieser Art, was ich auf die Schnelle ausgegraben hab'. Und die aktuelle Version ist (leider) schon recht alt... Spannend ist auch dieser Artikel, wo eine Webseite zur Passwortänderung bereitgestellt wird: https://www.frankysweb.de/active-directory-passwortaenderung-mittels-webseite/ Bin mir aber leider grad' nicht sicher, ob das aktuelle OS11 des IGEL-OS noch einen Browser beinhaltet... - ist für uns aktuell aber noch eine Option! Die Alternative wären kommerzielle Lösungen ("Orchestrierungssoftware?"). ...mmmhh... wir haben mit unseren round about 150 Client-AP's jetzt keine Größe, wo man uns nicht anrufen darf... P/L passt da (für uns) einfach nicht. Aus dem Internet ausgegraben habe ich folgende Hersteller: https://www.sysoptools.com/password-reminder-pro/ https://www.netwrix.com/netwrix_password_expiration_notifier.html https://www.manageengine.de/produkte-loesungen/active-directory/adselfservice-plus.html Letzterer Anbieter beschreibt auf seiner englischen Website, dass die Free-Version das Benachrichtigungsfeature einschl. der Anpassung des E-Mal-Textes beinhaltet: https://www.manageengine.com/products/self-service-password/free-password-expiry-notification-tool.html Somit haben wir Heute eine kleine VM bereitgestellt und das Tool dort installiert. Nach 30 Min. einschl. E-Mail-Textanpassung funktionierte eine Benachrichtigung aller AD-User, bei denen das Passwort 7- Tagen abläuft. Passt erstmal. Schau' mer' mal ...mmhh... "Es ist halt, wie es ist" war keine Option....

Hallo zusammen, ich bitte um Nachsicht, dass ich diesen alten Thread wieder zum Leben erwecke. Wir stehen aktuell (leider) vor der gleichen Herausforderung hinsichtlich dem Ablaufen der Passwörter auf unserer neuen Citrix-/Igel-Umgebung, die wir seit letztem Herbst hier betreiben. Seit dem RollOut im Januar/Februar stehen wir in der IT zig Anfragen auf Passwortrücksetzungen gegenüber... Wenn die Passwörter abgelaufen sind, melden das zwar die ThinClients - eine Verbindung zum AD kann der IGEL allerdings nicht aufbauen. Das Thema würde in der Citrix Premium-Lizenz unterstützt und nennt sich "Self-Service Password Reset".... - ist für uns als alleiniger Grund aber keine Option für ein Lizenzupgrade. Wir haben versucht, dem Thema mit meinem Powershell-Script zu begegnen, welches ein Info-Fenster für die User öffnet... - die Ergebnisse dahingehend sind nicht optimal. Ein Passwortreset mittels OWA haben wir geprüft.... ist für unsere User aber nicht wirklich praktikabel. Habt ihr vielleicht weitere Gedanken oder Lösungsansätze, wie man dem Thema noch begegnen könnte? Ideal wären PopUp's, wie sie einst unter Windows Server 2003 existierten (*seufz*) Vielen Dank für Deinen Beitrag, @speer! Mich würde interessieren, welche(s) Tool(s) ihr dafür ganz konkret verwendet / verwendet werden könnten. Eine Google-Suche hat spontan leider nicht zu zielführenden Ergebnissen geführt. Bin für jeden Tipp dankbar - vielen Dank vorab & viele Grüße

Nachtrag am 27.03.2020 Hallo zusammen, habe das Thema weiter bearbeitet und halte für mich Folgendes fest: zu Nr. 1: Eine gesonderte Nutzungsvereinbarung zwischen Arbeitgeber und Arbeitnehmer ist nicht erforderlich, da der Lizenzvertrag direkt zwischen Microsoft und dem Endkunden (dem Mitarbeiter) geschlossen wird. Das geschlossene Abo-Modell zum Vorteilspreis erlöschen auch nicht automatisch nach einer möglichen Beendigung unseres EA-Vertrages. Eventuell muss der Mitarbeiter mit einer Preisanpassung rechnen. zu Nr. 2: Die Idee mit der zusätzlichen (einmaligen) Subventionierung gefällt mir und ich schlage das meinem Arbeitgeber einfach mal vor. Schlussendlich steht dem gegenüber ja durchaus die Einsparung einer Schulungseinheit für das eingesetzte Office-Produkt. zu Nr. 3: Let's see. Grüße, Shao

Yep - diese Funktion meinte ich in meinem obigen Beitrag. Habe nicht gewusst, dass sich das deaktivieren lässt - sehr schön! Wieder was gelernt

It's not a bug - it's a feature LG