Jump to content

Passworteingabe erzwingbar?


Go to solution Solved by Tinwhistle,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

habe ein kleines Firmennetzwerk mit ca. 20 Clients auf WIN 7, Server 2012 R2.

 

Nun müssen sich einige Clients mit Passwort anmelden, manche Clients aber können sich einfach ohne Passwort anmelden, müssen also nur Enter drücken.

Gibt es eine Möglichkeit, eine Passwortabfrage auf allen Clients bzw. für alle User zu erzwingen? Bin mit der Situation unzufrieden, dass gewisse Workstations/User einfach so reinkommen, m.E. nach untergräbt das alle Sicherheitsrichtlinien :)

Alles was Google mir auswirft ist, wie ich das genaue Gegenteil erreiche bzw. wie man Benutzerkennwörter rücksetzen oder das Ändern erzwingen kann...

 

PS: Ich kenn mich nicht gut aus, sorry falls es das falsche Unterforum ist :)

 

Liebe Grüße, Tinwhistle

Link to comment

Moin,

 

 die Benutzerkonten haben wohl ein leeres Kennwort.

 

Du kennst den Unterschied zwischen Client und User, Rechner in einem Server-Client-Netzwerk und dem Benutzer an einem Einzelrechner oder einem Benutzer in einer Windows-Domäne?

 

In einer Domäne gibt es ein Activer Directory, darin eine Verwaltung für die Benutzerkonten. In den Eigenschaften eines Kontos sind soche Dinge wie das Erzwingen eines Passwortes einstellbar. Weiter gibt es in der Domäne die Möglichkeit Kennwortlänge und komplexität zu erzwingen.

 

An einem Einzelrecher, Host, Client, gibt es in der Systemsteuerung, Verwaltung, Computerverwaltung die Möglichkeit Benutzerkonten anzulegen, Kennwörter zurückzusetzen, den Benutzer zwingen, bei der nächsten Anmeldung das Kennwort zu ändern.

 

Das Einstellen zum Erzwingen, das kann nur ein Administrator, ein Angehöriger der Gruppe der Administratoren. Falls der benutzer dieser Gruppe angehört, dann kann der die Einstellungen ändern. Also nimmt der Admininstrator den benutzer aus diese Gruppe.

Edited by lefg
Link to comment

Der Reihe nach. Ich denke es ist ein AD-Netzwerk, zumindest finde ich alle Einstellungen, wenn ich einen User anlege, auf dem Server unter Active Directory.

Dort lege ich auch vorab das Kennwort fest, gehe dann zur Workstation und logge mich dort ein. Es ist auch für alle User ein Kennwort angelegt, leere Kennwörter gibt es nicht.

 

Nun kommen wir zur Differenz:

In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw.

Eine Option für zwingende Passwortabfrage habe ich hier aber nicht.

 

Als Administrator melde ich mich im Übrigen per mstsc am Server an, daran sollte es nicht liegen.

 

Wie ihr den Antworten entnehmen könnt, gut auskennen tue ich mich nicht, ich kann halt Linksklick vom Rechtsklick unterscheiden und wurde daher "auserwählt".

Ausserdem koste ich unwesentlich weniger für solche kleinere Verwaltungsaufgaben als ein vollständiger ITler (den wir notfalls aber im Hintergrund haben)

 

EDIT:

Zum Vergleich meine Workstation in der Computerverwaltung (Anmeldung an dem PC ohne Passwort möglich):

2 deaktivierte Benutzer, Administrator und Gast.

1 aktivierter benutzer, "TGA". Bei Gruppenzugehörigkeit steht hier auch "Administratoren"

Allerdings taucht hier mein Domänenname, mit dem ich mich an jedem PC anmelden kann, nicht auf (FBernauer)

 

Könnte hier eventuell der Hund begraben liegen mit lokalen Administrationsrechten?

 

EDIT 2:

Nein, habe mich selbst aus der Gruppe entfernt, muss immer noch kein Passwort angeben :)

Edited by Tinwhistle
Link to comment

Ich bin mir sicher, dass ich mich in dem ganzen Text etwas unklar ausdrücke :)

Ich melde mich an meinem PC als FBernauer an. Das ist mein zugewiesener Benutzer in der AD.

Diesen gibt es am PC garnicht nicht als lokalen Benutzer (In der Computerverwaltung)

Es gibt dort einen einzelnen User namens "TGA" (so heisst unsere Firma). Dieser hat keine Adminrechte.

 

oder hab ich da jetzt etwas falsch verstanden?

Edited by Tinwhistle
Link to comment
  • Solution

GELÖST:

 

Ich habe für mich jetzt mal das Kennwort zurückgesetzt. Hat alleine nicht gereicht, dann waren aber die Netzlaufwerke nicht mehr erreichbar.

Hat wohl versucht sich an TGA-ER anzumelden. Die Domäne heißt aber tga-er.local . Von Hand darauf angemeldet, seitdem kann ich ohne Passwort nicht mehr rein.

 

Ich muss ja nicht alles verstehen, solange es funktioniert, oder? Ich denke da wurde vor nem halben jahr bei der Migration des Servers durch einen neuen ITler ein klein wenig geschlampt :)

 

Danke für eure Hilfe!

Link to comment

Bitte korrigiert mich wenn ich da jetzt was falsch gelesen habe: Die Firma ist der User im AD?? Die Netzlaufwerke würde ich per Script anbinden, wir machen das zumindest so.

 

Ich würde mir an Firmen statt zumindest einen IT Dienstleister mit ins Boot holen der dich bei Problemen unterstützt.

 

Sonst befürchte ich, steht das ganze irgendwann mal komplett.

 

Man darf mal falsch gesetzte Häckchen nicht unterschätzen *Ironie off*

Link to comment

Hi,

Kontrolliere doch mal, ob auf den Clients Autologon konfiguriert wurde:

 

https://support.microsoft.com/en-us/kb/324737

https://technet.microsoft.com/en-us/sysinternals/autologon.aspx

 

 

Ich muss ja nicht alles verstehen, solange es funktioniert, oder?

eine gefährliche Einstellung in der IT, aber sehr verbreitet. Muss man aber nicht übernehmen bzw. akzeptieren.

 

blub

Link to comment

Wir haben einen größeren IT-Dienstleister an Bord, der die ganze Installation gemacht hat. Nur wussten wir halt selber nicht so genau was wir wollen :rolleyes: deswegen sind einige Funktionen eher rudimentär ausgeführt.

Da der Dienstleister für eine Wartung aber natürlich einen entsprechenden Batzen Geld verlangt, mach ich so Kleinkram als "Lokaler Mitarbeiteradmin" eben selbst.

 

Ich versuchs das Netzwerk zur Info mal laienhaft darzustellen, sollte aber eher klassisch sein:

 

Der Plan ist, Serverrack im Serverraum als DC und AP virtualisiert, AD-Benutzersteuerung mit der sich jeder in die Domäne einloggt und automatisch Zugriff auf die freigeschalteten Netzlaufwerke erhält.

Dienste wie Projekt- und Lizensierungsserver laufen natürlich auch auf der VM.

 

Ich befürchte nur, dass wir mit den Benutzerkonten noch migrationsbedingt einige Altlasten vom alten Server mit uns herumtragen :jau:

 

Die Firma ist also kein User, jedoch schwirren wohl auf diversen WS noch alte Benutzer wie Praktikant, TGA oder Ähnliches rum.

 

 

EDIT Hi blub,

 

den Eintrag "WinLogon" hat meine Registry garnicht...der Artikel scheint wohl für WinNT zu sein?

Falls es hilft, ich musste immer noch Enter drücken, vollautomatisch lief es nicht, nur halt keine Passwortabfrage :)

Edited by Tinwhistle
Link to comment

Dann war dein Password wohl《leer》.

Aber vielleicht solltet ihr euch mal grundsätzliche Gedanken über eure IT machen. Ein Dienstleister, der leere Passwörter (warum auch immer) zulässt, das ist z.B. keine besonders gute Wahl.

Es bringt wenig, wenn du nur hier und da an ein paar Schrauben drehst. Bei 20 Clients hängen wahrscheinlich etwa 20 Arbeitsplätze d.h. Jobs von dieser IT ab...

Link to comment

 

Nun kommen wir zur Differenz:

In der AD-Maske für die User kann ich unter Konto alles einstellen, z.B. Kennwort zurücksetzen, Ablaufdatum, muss bei nächster Anmeldung Passwort ändern, Kerberosverschlüsselung usw.

Eine Option für zwingende Passwortabfrage habe ich hier aber nicht.

 

 

Und was ist das, bewirkt das Folgende?

 

 

muss bei nächster Anmeldung Passwort ändern,

Und dann berücksichtigen die Kennwortrichtlinie, darin Kennwortlänge und Komplexität. So das ein Benutzer kein leeres Kennwort eingben kann beim Ändern.

Edited by lefg
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...