2k3 AD, Warnung bei ablaufendem Passwort

[hoki 10]

Ahoi MCSEler.

 

Ich habe einige Domänen bei denen sich die User eher selten einloggen. Das baldige Ablaufen des Passwortes fällt so evtl. garnicht auf. Sollte ein User des Nächtens dann doch auf die Idee kommen arbeiten zu wollen, dann müsste bei uns die Bereitschaft auf dem Bett geklingelt werden um das PW zu resetten. Das ist natürlich unschön. Ich suche also nach einer Möglicheit, n-Tage vor Ablauf des PWs, eine Mail an den User abzusetzen.

 

Die Boardsuche

(http://www.mcseboard.de/windows-forum-ms-backoffice-31/user-per-mail-warnen-passwort-ablaeuft-60775.html)

führt zu einem Beitrag der allerdings schon reichtlich alt und für w2k erstellt wurde. Ich habe mir das Tool aus dem Ressourcekit mal angesehen, kann es aber nicht zur Kooperation bewegen. Bei Mircosoft findet sich garnichtsmehr darüber.

 

Kann mir jemand eine aktuelle Lösung hierzu empfehlen, am besten natürlich noch hoch offiziell und Kinderleicht zu implementieren?

[blub 115]

Hi,

wieso duerfen die User nicht selbst ihr Passwort neu setzen?

Sonst kannst du per skript oder dsquery etc. die Gültigkeit der Passwörter z.B. alle 24h durchgehen und ggf. darauf reagieren (z.B. mit blat zum versenden von emails)

 

cu

blub

[hoki 10]

Die User dürfen Ihr Passwort selber setzen, aber nur solange es nicht abgelaufen ist. Und wenn man nicht bemerkt das dass eigene PW in kürze abläuft, dann hat man diese Möglichkeit irgendwann nicht mehr und der HelpDesk muss ran.

 

Dein Tip bezieht sich auf das Script:

"8451 » Email a password expiration notice to all users whose password will expire in n days. 09-Sep-04"?

 

Url darf ich hier ja vermutlich nicht posten.

[grizzly999 11]

Url darf ich hier ja vermutlich nicht posten.

Doch, darfst du, wenn das nicht gerade eine Klick-Sammel-Seite oder reine Werbeseite ist ;)

 

 

grizzly999

[grizzly999 11]

Die User dürfen Ihr Passwort selber setzen, aber nur solange es nicht abgelaufen ist.

Ist das eine Sicherheitsvorschrift, und ist es nicht zulässig, die kennwörter auch ohne vorherige DC Anmeldung zu ändern? Das wäre ja die einfachste Lösung

 

grizzly999

[hoki 10]

Ich vermute blub meint diese scriptsammlung:

http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8451

 

Passwörter haben in dieser Domäne per (Sicherheits)Design ein max. Alter von 42 Tagen. Nach Ablauf dieser 42 Tage ist das PW nicht mehr gültig, der User kann sich nichtmehr anmelden und das PW entsprechend auch nicht mehr ändern. Es würde/wird dann vom Helpdesk zurückgesetzt bzw. neu vergeben.

[blub 115]

Hallo hoki,

Dann habt ihr keine Standard-Windowsclients. Ein User kann auch nach Ablauf des PWs z.b. an einem XP-Client neu setzen, das alte muss er natürlich wissen. Ich kenne keine Möglichkeit unter XP dieses Verhalten so zu ändern, dass nur ein Helpdesk ein abgelaufenes PW zurücksetzen darf.

 

Ein konkretes Skript hatte ich nicht im Sinn. Sonst hätte ich dir den Link schon gepostet

 

cu

blub

[Necron 71]

Reicht denn die Option in der GP unter Compurterkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlinien->Sicherheitsoptionen "Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern" nicht aus?

Der Standardwert liegt bei 14 Tagen.

[grizzly999 11]

Hallo hoki,

Dann habt ihr keine Standard-Windowsclients. Ein User kann auch nach Ablauf des PWs z.b. an einem XP-Client neu setzen, das alte muss er natürlich wissen. Ich kenne keine Möglichkeit unter XP dieses Verhalten so zu ändern, dass nur ein Helpdesk ein abgelaufenes PW zurücksetzen darf.

 

Ein konkretes Skript hatte ich nicht im Sinn. Sonst hätte ich dir den Link schon gepostet

 

cu

blub

Vielleicht haben die in den Domänen noch NT 4.0 :suspect:

Da gab es noch die Richtlinieneinstellung in den Kontorichtlinien (und am Anfang auch noch bei Windows 2000, bis sie entfernt wurde), dass ein User sich anmelden muss, um sein kennwort zu ändern.

 

grizzly999