Daniel -MSFT- 129 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Die Richtlinieneinstellung für das maximale Kennwortalter legt fest, wie lange ein Benutzer sein Kennwort verwenden kann, bevor das System ihn bei der nächsten Nutzung zwingt, es zu ändern. Dieser Änderungszwang ist auch nicht in jeder Authentifizierungsebene eingebaut. Meines Wissens gibt es den beim Desktop-Login - wenn Du Dich z.B. per RADIUS authentifizieren willst, wirst Du einfach abgelehnt, weil ein abgelaufenes Kennwort einem deaktiviertem Account gleichgesetzt wird. Oder wenn Du Dein Mails abrufen willst. Oder wenn Du auf eine Freigabe zugreifen willst... Willst Du verhindern, dass Benutzerkonten mit abgelaufenen Kennwörtern überhaupt verwendet werden können? Dann musst Du Dir Gedanken darüber machen, wie Du inaktive Benutzer (und auch Computer) ermittelst und mit ihnen umgehst. Du kannst zum Beispiel das PowerShell-Skript von http://gallery.technet.microsoft.com/scriptcenter/Get-Inactive-User-in-78b8db79 verwenden: # Gets time stamps for all User in the domain that have NOT logged in since after specified date # Mod by Tilo 2014-04-01 import-module activedirectory $domain = "domain.mydom.com" $DaysInactive = 90 $time = (Get-Date).Adddays(-($DaysInactive)) # Get all AD User with lastLogonTimestamp less than our time and set to enable Get-ADUser -Filter {LastLogonTimeStamp -lt $time -and enabled -eq $true} -Properties LastLogonTimeStamp | # Output Name and lastLogonTimestamp into CSV select-object Name,@{Name="Stamp"; Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp).ToString('yyyy-MM-dd_hh:mm:ss')}} | export-csv OLD_User.csv -notypeinformation und dann eine entsprechende Aktion durchführen. Zum Beispiel könntest Du in der Beschreibung die E-Mail-Adresse das zugehörigen Hauptbenutzers eintragen und dann an diese User eine Mail schicken, dass zum Beispiel der Account in 10 (9, 8, 7, ...) Tagen deaktiviert wird, wenn sie nicht das Passwort ändern. Dann musst Du Dir aber wieder Gedanken machen, was passiert, wenn der Hauptaccount geändert wird. Zum Beispiel E-Mail-Umstellung durch Heirat. Oder Jobwechsel in der Firma. Oder Abwesenheit durch Krankheit. Da muss dann eine Vertretungsregelung her. In Summe musst Du also Fragen über Identity Management beantworten. Und das ist eine ganz andere Baustelle: http://www.microsoft.com/de-de/server-cloud/products/forefront-identity-manager/ P.S.: Autovergleiche hinken in der Regel. Niemand zwingt ein Auto (oder den Halter/Fahrer/...) tatsächlich, sich an die Regeln zu halten. Du kannst problemlos ein Auto ohne TÜV-Plakette auf die Straße stellen. Das verschwindet nicht automagisch. Dass das nach der Entdeckung durch die Behörden nachträglich Konsequenzen haben kann, sein dahingestellt. bearbeitet 2. Juni 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Ok danke für die Ausführungen. - wenn Du Dich z.B. per RADIUS authentifizieren willst, wirst Du einfach abgelehnt, weil ein abgelaufenes Kennwort einem deaktiviertem Account gleichgesetzt wird. Oder wenn Du Dein Mails abrufen willst. Oder wenn Du auf eine Freigabe zugreifen willst... Ok, dann sehen zumindest Teile von euren Entwicklern abgelaufene Kennwörter bei enablten Accounts auch als potentielles Risiko. Mit Boardmitteln alleine ist es nicht zu beheben. Das ist genau die Antwort auf meine Frage. Sorry, wenn ich diese so schlecht formuliert habe. Merci carnvore bearbeitet 2. Juni 2014 von carnivore Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 Ok, dann sehen zumindest Teile von euren Entwicklern abgelaufene Kennwörter bei enablten Accounts auch als potentielles Risiko. Sorry, aber wie kommst Du jetzt auf die Aussage? Ich habe echt Probleme, Deinen Gedankengängen zu folgen. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) dann gib mir eine andere Interpretation deiner Worte z.B. per RADIUS authentifizieren willst, wirst Du einfach abgelehnt, weil ein abgelaufenes Kennwort einem deaktiviertem Account gleichgesetzt wird. bearbeitet 2. Juni 2014 von carnivore Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 Mit einem abgelaufenen Kennwort kann man sich nicht mehr am System authentifizieren. Das sage ich, glaube ich, schon eine ganze Weile. Die Ausnahme ist der Windows-Anmeldedialog - der hat einen Mechanismus eingebaut, abgelaufene Kennworte zu erkennen und eine Kennwortänderung zu ermöglichen. Deswegen versuche ich ja die ganze Zeit zu verstehen, wo Du hier das Sicherheitsproblem vermutest. Der Hash ist jedenfalls nicht das problem hier. Außer wilden Interpretationen und Autovergleichen ist da leider nichts erklärendes mehr von Dir gekommen :-( Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 Mit einem abgelaufenen Kennwort kann man sich nicht mehr am System authentifizieren. .... Die Ausnahme ist der Windows-Anmeldedialog - Der Satz hat was! Lassen wir es damit gut sein! carnivore Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 3. Juni 2014 Melden Teilen Geschrieben 3. Juni 2014 Der Satz hat was! Ich fürchte, Du hast den Hintergrund immer noch nicht verstanden. Lassen wir es damit gut sein! Das ist wohl eine gute Idee. Have fun! Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.