W2K3 Passwort Richtlinie

[marin 10]

Hallo Zusammen

 

Wenn per GPO eine Paqsswortrichtlinie mit Passworablauf 30 Tage eingerichtet wird wann wird der User Benachrichtigt das sein Passwort abläuft? Ist dieser Wert definierbar? Was Passiert wenn ein externer MA nach dem Ablauffen des PW seinen Laptp verwenden will? Kann er sich noch am Gerät anmelden oder greifft die Richtlinie auch dann?

 

Gruss

 

Martin

[Monarch 10]

Die Warnung erscheint standardmäßig 14 Tage vor dem Ablauf des Kennworts.

 

Dieser Zeitraum ist definierbar über den Wert PasswordExpiryWarning unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon in der Registry.

 

Ein User, dessen Passwort unbemerkt abgelaufen ist, z.B. während des Urlaubs, wird bei seiner ersten Anmeldung mit dem angelaufenen Passwort sofort gezwungen, das Passwort zu ändern.

 

Deine externen MA sollten sich auch nach Passwortablauf lokal an ihrem Laptop anmelden können. Eine VPN-Einwahl o.ä. mit dem abgelaufenen Passwort wird allerdings scheitern.

 

mfg

Monarch

[marin 10]

@Monach

Danke für die Antwort. Verstehe ich dich richtig: 14 Tage vor Ablauf erschient die Meldung, und danach jeden Tag (oder zumindest bei jeder Anmeldung am AD) bis zum Tag 0?

Und der User kann weiterarbeiten wenn er extern ist (Ausser Outlook mit RPCoHttps, denn das scheint nicht mehr zu gehen wenn das PW Abgelaufen ist, gleiches gilt bei VPN über Radius)

[Monarch 10]

Danke für die Antwort. Verstehe ich dich richtig: 14 Tage vor Ablauf erschient die Meldung, und danach jeden Tag (oder zumindest bei jeder Anmeldung am AD) bis zum Tag 0?

 

Ja, genau.

 

Und noch unabhängig von deiner Frage: willst du wirklich alle 30 Tage den Passwortwechsel erzwingen? Das ist doch schon wirklich sehr häufig...

[Christoph35 10]

Die Zeit für die Passwort-Warnung lässt sich auch über GPO einstellen:

 

ComputerConfig / Windows Settings / Security Settings / Local Policy / Security Options / Interactive Logon:Prompt user to change password before expiration

 

30 Tage finde ich auch zu häufig. Bei uns waren es 60 Tage, jetzt sind wir sogar auf 90 Tage gegangen. Dafür haben wir Komplexität gefordert.

 

Christoph

[NorbertFe 1.863]

Danke für die Antwort. Verstehe ich dich richtig: 14 Tage vor Ablauf erschient die Meldung, und danach jeden Tag (oder zumindest bei jeder Anmeldung am AD) bis zum Tag 0?

 

Genau. Nach Ablauf des Kennwortes erhältst du eine Meldung dass dein Kennwort ungültig ist.

 

Und der User kann weiterarbeiten wenn er extern ist (Ausser Outlook mit RPCoHttps, denn das scheint nicht mehr zu gehen wenn das PW Abgelaufen ist, gleiches gilt bei VPN über Radius)

 

Wenn das Kennwort abgelaufen ist, kannst du auf keine Domänenressourcen mehr zugreifen. Du kannst dich aber weiterhin offline an deinem Notebook mit deinem alten Kennwort per cached credentials anmelden. Logisch, denn dein externes Gerät kann ja schlecht prüfen, welches Kennwort der DC schon kennt. ;)

 

Bye

Norbert

[marin 10]

Danke für die Anworten! Habe 45 Tage und Kompexität eingestellt. Wenn der Kunde schon von extern auf den SV und somit auf die sensiblen Daten zugreifft sollte doch ein wenig Sicherheitsdenken vorhanden sein:-) Bei Usern die nur Intern arbeiten überlege ich mir per "Kennwort läuft nie ab" die GP zu übersteuern, das muss allerdings noch mir der GL abgesprochen werden!

 

Gruss und schönen Tag

[NorbertFe 1.863]

Sicherheitsdenken vorhanden sein:-) Bei Usern die nur Intern arbeiten überlege ich mir per "Kennwort läuft nie ab" die GP zu übersteuern, das muss allerdings noch mir der GL abgesprochen werden!

 

Ist das wirklich sinnvoll? Warum sollen interne User nicht dazu "gezwungen" werden ihr Kennwort zu ändern? Mit deren Konten ist prinzipiell ebenfalls der externe Zugang möglich, auch wenn es der eigentliche Benutzer gar nicht will.

 

Bye

Norbert

[marin 10]

Prinzipiell ja, jedoch muss für die Cisco VPN Verbindung über Radius der Benutzer auch in der entsprechenden Gruppe sein um sich einwählen zu können. Denke das ist genug sicher um den Zugriff von Aussen sicher zu gestallten.

[Wurstsalat 10]

Bei Usern die nur Intern arbeiten überlege ich mir per "Kennwort läuft nie ab" die GP zu übersteuern, das muss allerdings noch mir der GL abgesprochen werden!

du wirst daran scheitern dass eine windows 2003 domäne per default nicht mehrere kennwortrichtlinien zulässt...sofern alles über eine domäne läuft

[marin 10]

@Wurstsalat. Ja und Nein: Erst Win 2008 kann mehrere Kennwortrichtlinien verwalten. Wenn jedoch im AD (Unter W2k, W2k3) die Option "Kennwort läuft nie ab" gesetzt wird, wird die Richtlinie übersteuert. Ansonsten müsst ja der Admin jedesmal den Passwortwechsel mitmachen, was je nach dem welche Dienste unter dem Admin Account laufen doch eher mühsam wäre:-)

[Wurstsalat 10]

@Wurstsalat. Ja und Nein: Erst Win 2008 kann mehrere Kennwortrichtlinien verwalten. Wenn jedoch im AD (Unter W2k, W2k3) die Option "Kennwort läuft nie ab" gesetzt wird, wird die Richtlinie übersteuert. Ansonsten müsst ja der Admin jedesmal den Passwortwechsel mitmachen, was je nach dem welche Dienste unter dem Admin Account laufen doch eher mühsam wäre:-)

ah ok, danke...hät bisschen nachdenken meinerseits auch geholfen :)

[NorbertFe 1.863]

Prinzipiell ja, jedoch muss für die Cisco VPN Verbindung über Radius der Benutzer auch in der entsprechenden Gruppe sein um sich einwählen zu können. Denke das ist genug sicher um den Zugriff von Aussen sicher zu gestallten.

 

Hmm du hast oben von RPC over https gesprochen, da geh ich jetzt nicht von VPN aus. ;) Aber mußt du wissen. Für mich gilt: Alle oder nix bei Kennwortrichtlinien. Das einzige was ich akzeptiere ist: "Wichtigere" Konten haben eine höhere Anforderung an die Sicherheitsrichtlinien und bekommen eine komplexere Richtlinie. ;)

 

Bye

Norbert

[marin 10]

@Norbert

Guter Einwand! Jedoch finde ich Outlook weniger kritisch als Filezugiff auf den Server. Oder bin ich da auf dem Holzweg?

 

Gruss

 

Martin

[Monarch 10]

Da würde ich durchaus sagen, dass du da auf dem Holzweg bist, wenn ich daran denke was heut alles per Mail gemacht wird...