Kennwort ändern

[Natascha 11]

Hallo und Guten Morgen an Alle,

 

ich habe mal wieder ein Problem mit meinem RIS!

Um sich am RIS-Server anmelden zu können, muss der Benutzer mit "Kennwort läuft nie ab" versehen sein, sonst geht die Anmeldung nicht! Das ist aber ****, da sonst die User dem Admin ihr Passwort sagen müssen o.ä.! Also haben wir uns folgendes gedacht:

Wir vergeben ein zentrales Passwort, sagen wir mal "Admin" mit dem sich jeder User am RIS anmeldet und die Installation durchführt! dann meldet der User sich nochmal mit dem Passwort "Admin" an der Domäne an macht dann mit strg-alt-entf kennwort ändern! So und da ist das Problem: die User können Ihr Passwort nicht ändern! Es liegt sicherlich an den Gruppenrichtlinien, aber ich habe keine Idee wo das noch sein soll! die ganzen Bedingungen für das Passwort wurden erfüllt, aber es geht nicht! Ich hab dann mal am Server die option "Kennwortchronik erzeugen" deaktiviert! Dann kann ich 1mal das Passwort ändern und dann gehts wieder nicht mehr!

 

Hat jemand eine Idee, wie ich das Passwort so oft ändern kann, wie ich will?

 

Nicole

[Grasenegger 10]

Guten Morge, Nicole,

 

welche genaue Hinweis- oder Fehlermeldung erscheint denn bei dem Versuch, das Kennwort zu ändern?

 

Schönen Gruß aus Solingen

 

Bernd.

[Natascha 11]

Hallo Bernd

 

Also, wenn ich das alte Kennwort eingegeben habe und das neue inklusive Bestätigung, dann kommt die Fehlermeldung:

 

Das Kennwort muss aus mindestens 7 Zeichen bestehen und Großbuchstaben, Zahlen und/oder Satzzeichen enthalten. Ihr Konto- bzw. vollständiger Name darf nicht enthalten sein. Die letzten 15 Kennwörter dürfen nicht wiederholt werden. Geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort in beide Textfelder ein, das dieses Anforderungen entspricht.

 

Aber es liegt nicht an diesen Bedingungen. ich habe u.a. als kennwort eingegeben: tgvijmH1!

das sind 7 Zeichen, es ist ein großbuchstabe, eine zahl und ein Satzzeichen drin!

 

Es liegt sicher nicht da dran! Ich habe aber keine Idee, was das noch sein könnte! Ich habe wirklich zig Passwörter durchprobiert! Mir fallen schon langsam keine mehr ein!

 

Nicole

[auer 10]

Nur eine vage Vermutung: Könnte es sein, daß das Adminpasswort 'Admin' zu schwach ist und daß dies irgendwelche Rückkoppelungseffekte erzeugt? Ersetze doch dieses Passwort mal durch eines, das hinreichend komplex ist und grenze mögliche Fehler damit ein.

 

-------------

Gruß, Auer

[Natascha 11]

@Auer

 

das Passwort "Admin" war doch nur ein Beispiel! das habe ich hier nie verwendet! Mein Standardpasswort ist RIS-User und das wird laut Richtlinien erlaubt! das würde ich jetzt den ganzen Usern sagen, sie würden fleißig installieren und müßten dann ja das Passwort irgendwie ändern können!

und da habe ich wie gesagt schon alles versucht inkl. tgvijmH1! das ist so eine kleiner Trick auf der Tastatur! musste mal gucken und das ist sicherlich nicht zu unsicher!

 

Hat noch jemand ne Idee?

 

Nicole

[auer 10]

Kram ... kram ... war da nicht mal etwas? Also Suche in der Hilfe:

 

Zitat aus der XP-Hilfe: "Soll die Option Kennwortchronik erzwingen wirksam sein, müssen Sie für das minimale Kennwortalter einen Wert größer als 0 festlegen."

 

Mit anderen Worten: Ist die Kennwortchronik aktiv, läßt sich das erst am nächsten Tag testen. Ist die Kennwortchronik deaktiviert, kann man es einmal ändern -> da das minimale Kennwortalter wahrscheinlich aber auf einem Wert > 0 ist, geht das halt genau einmal.

 

Der Gedanke dabei war: Aus Sicherheitsgründen sind manche Meldungen in bezug auf Kennwörter 'absichtlich irreführend' - so die Standardmeldung: 'Benutzer unbekannt und / oder falsches Kennwort', falls das Kennwort falsch war.

 

-------------

Gruß, Auer

[Natascha 11]

@auer

 

wunderbare Beschreibung, beschreibt genau die Situation, die ich hier habe! Aber geht das nicht auch anders? Ich hatte minimales Kennwortalter schon beides, einmal auf 0 und einmal größer 0 bei deaktivierter Kennwortchronik! Aber es ging nie! (halt nur das eine Mal)

Gibts nichts anderes, was man einstellen kann, das ich mein Passwort alle 5 Minuten ändern kann? (ist zwar nicht nötig, aber man muss es ja wissen)

[Grasenegger 10]

Hallo Natascha,

 

ich erinnere mich an ein Problem bei uns - einige User konnten ihr Kennwort nicht ändern ("Ihr Kennwort konnte nicht geändert werden. Bitte wenden Sie sich an Ihren Systemadministrator"), obwohl sie aufgrund der Kennwortrichtlinien vom DC dazu aufgefordert wurden. Diese Fälle habe ich in den ADS über den User - Kennwort zurücksetzen... geregelt. Das ist zwar nicht der Sinn der Sache, aber der Zweck heiligt die Mittel. Funktioniert das bei Dir?

 

Schönen Gruß

 

Bernd

[grizzly999 11]

Frage: Du wirst beim Anmelden aufgefordert, dein Kennwort zu ändern, aber darfst es dann nicht ändern (-> bitte genaue Fehlermeldung posten). Wenn du aber ngemeldet bist (dazu mal den Haken für "Kennwort bei der nächsten Anmeldung ändern" rausnehmen), DANN darfst du es ändern?

 

grizzly999

[Natascha 11]

@ grizzly999

 

Also ganz so wie du es sagst ist es nicht, aber fast!

Also nochmal schnell zusammengefasst! wenn ich die Nutzer anlege die in der Domäne sind, dann muss ich den Haken ei Kennwort läuft nie ab setzen, sonst können sich die User nicht beim RIS anmelden!

Also haben wir beschlossen, ein allgemeines Passwort für alle zu definieren, damit sie das Betriebssystem installieren können! Wenn das fertig ist, dann melden sie sich an der Domäne nochmal mit dem allgemeinen Passwort an und nachdem der Rechner dan hochgefahren ist, soll der User dann über strg-alt-entf auf Kennwort ändern gehen, sein altes nochmal eingeben und dann halt sein neues! aber das geht nicht! die Richtlinien stimmen 100%ig !!! Die Fehlermeldung ist nur die, die ich schonmal gepostet habe.

Es würde gehen, wenn der Admin bei den Usern den Haken auf Benuter muss kennwort bei der nächsten Anmeldung ändern setzt! (aber bei 1000 Usern bissl umständlich)

 

Nicole

[Natascha 11]

So wie es scheint, ist es ein allgemeines Problem unter Windows 2003 Servern!

 

Wir haben es jetzt nochmal an einer anderen Testumgebung getestet, der gleiche Fehler aufgetreten!

 

 

 

Nicole

[grizzly999 11]

Ah, jetzt verstanden. Genau anders herum wie ich schrieb.

 

Kannst du mal die Kennwortrichtlinieneinstellungen der Default Domain Policy hier posten?

 

grizzly999

[Frank 10]

Du kannst doch aufm W2k3 Server für alle User den haken mit eim schlag setzen, machs doch so...

[grizzly999 11]

Nein, das ist kein allgemeines W2k3 Problem. Das Kennwort muss den Komplexitätsanfoederungen entsprechen. D.h.:

- mind. 7 Zeichen Länge (oder mehr, falls andere Richtlinie längeres vorschreibt)

- Groß-/Kleinbuchstaben

- Zahlen

- Sonderzeichen

- Benutzername darf nicht enthalten sein.

 

Damit klappt es. Ich arbeite gerade mit dieser Richtlinie auf ON und so einem Kennwort.

 

grizzly999

[Natascha 11]

Erstmal einen schönen Guten Morgen,

 

also die Richtlinien der Default Domain Policy sind:

 

Kennwort muss Komplexitätsvoraussetzungen entsprechen: aktiviert

 

Kennwortchronik erzwingen: nicht aktiviert

Kennwörter mit umkehrbarer Verschlüsselung speichern: Deaktiviert

Maximales Kennwortalter: Nicht definiert

Maximale Kennwortlänge: 7 Zeichen

Minimales Kennwortalter: Nicht definiert

 

 

So, und damit geht es nicht! Das mit den ganzen Zeichen habe ich alles er versucht in: mit dem Kennwort tgvijmH1! sind alle Bedingungen erfüllt!

 

 

Nicole