Jump to content
Moped

Maximales Kennwortalter hochsetzen

Recommended Posts

Hallo Gemeinde,

 

wir werden bei uns im AD das Maximale Kennwortalter von 90 auf 365 Tage hochsetzen. 

Wie verhält sich das für die User?

Wird dann einfach vom letzten Passwortchange der Zähler hochgesetzt (also der User bekommt nichts mit) oder muss ab dem Zeitpunkt ab dem ich die Änderung durchführe jeder sein Kennwort einmal neu vergeben?

 

gruß

Moped :-) 

Share this post


Link to post
Share on other sites

Moin,

 

bestehende Kennwörter müssen nicht neu gesetzt werden. Das AD prüft sie gegen die maximale Dauer anhand des Werts in "pwdLastSet" und meldet sich nur dann, wenn das Kennwort abläuft bzw. abgelaufen ist.

 

Die Maßnahme halte ich übrigens für unsinnig. Wovor wollt ihr euch mit so einem Intervall schützen? Da mittlerweile sich die Erkenntnis durchgesetzt hat, dass pauschale Zeitbeschränkungen nicht mehr, sondern weniger Sicherheit erzeugen, würde ich von der Einstellung gänzlich Abstand nehmen. Ein Jahr wäre jedenfalls ziemlich sinnfrei: Wenn ein Kennwort erraten wurde, muss man es sofort ändern und nicht erst nach Monaten.

 

Gruß, Nils

... dessen AD-Kennwort mit fast 30 Zeichen jetzt im siebten Jahr gültig ist, genau wie seine Firmenzugehörigkeit ...

 

Edited by NilsK

Share this post


Link to post
Share on other sites

HI NilsK,

 

danke für die Antwort.

 

Was den Sinn angeht will ich nicht diskutieren, es wurde von unserer Mutter so festgelegt also richten wir uns danach.

Wobei ich dir da recht gebe :-)

 

Aber danke nochmal

Share this post


Link to post
Share on other sites

In einer Familie sollte man so mündig sein, auch mal seiner Mutter die Meinung zu sagen zu dürfen. ;-) 

 

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

Edited by MurdocX
  • Like 1

Share this post


Link to post
Share on other sites
vor 10 Minuten schrieb MurdocX:

In einer Familie sollte man so mündig sein, auch mal seiner Mutter die Meinung zu sagen zu dürfen. ;-) 

 

Naja gibts im Zweifel ne Backpfeife ;)

 

vor 10 Minuten schrieb MurdocX:

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

Wenn man das konfigurieren könnte, dass keine Simpelst Kennworte möglich sind, wäre das auch meine Empfehlung. Leider sind damit aber eben "12345678900987654321" Kennworte möglich. Und ja User ticken leider so.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

 

Moin,

 

vor 13 Minuten schrieb MurdocX:

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

wenn man Kennwortsätze verwendet, sind die eigentlich schon von selbst "komplex" im Sinne der Regel. 

 

vor 1 Minute schrieb NorbertFe:

Naja gibts im Zweifel ne Backpfeife ;)

Bei uns soll jeder seine Meinung sagen. Und wenn es das letzte ist, was er in dieser Firma tut.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 19 Minuten schrieb MurdocX:

In einer Familie sollte man so mündig sein, auch mal seiner Mutter die Meinung zu sagen zu dürfen. ;-) 

 

Als Alternativvorschlag könnte man die Mindestpasswortlänge hochsetzen und auf die Komplexibilität verzichten.

Ja, die Mindestpasswortlänge wird hochgesetzt, sollte ja aber nicht Thema des Posts sein.

Mit der Antwort dass das Ablaufdatum sich nur verschiebt und keine Userinteraktion bei der Umstellung von Nöten ist habt ihr mir geholfen, danke :-)

Aber noch eine Frage.
Wie sieht es denn aus wenn ich auch die Mindestlänge auf 12 Zeichen erhöhe?

Wirkt sich das auch erst beim nächsten Ablauf und der damit verbundenen Kennwortänderung aus?

Oder müssen die User sofort Ihr Kennwort ändern auf 12 Zeichen?

 

Share this post


Link to post
Share on other sites

Moin,

 

das Ändern der Längenvorgabe wird erst beim nächsten Kennwortwechsel wirksam. Da Windows das Kennwort nicht speichert, weiß es auch nicht, wie lang es ist.

 

Hatten wir vor Kurzem erst hier, da gibt es noch eine Falle:

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb NorbertFe:

Wenn man das konfigurieren könnte, dass keine Simpelst Kennworte möglich sind, wäre das auch meine Empfehlung. Leider sind damit aber eben "12345678900987654321" Kennworte möglich. Und ja User ticken leider so.

Dem könnte man ja dann theoretisch mit dem DSInternals PowerShell Modul wiederum nachgehen. ;)

Share this post


Link to post
Share on other sites

Moin,

 

naja, da gibt es ja mit der Passfilt-Schnittstelle einen intelligenteren Weg. Nur traut sich an die keiner ran - ich habe in den vergangenen 15 Jahren mehrfach erfolglos versucht, ein Community-Projekt dafür anzustoßen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NilsK:

naja, da gibt es ja mit der Passfilt-Schnittstelle einen intelligenteren Weg. Nur traut sich an die keiner ran - ich habe in den vergangenen 15 Jahren mehrfach erfolglos versucht, ein Community-Projekt dafür anzustoßen.

C++ und so tief im System ist auch nichts für Jedermann... :D Es gibt aber ein Projekt, welches eine DLL bereitstellt, welche dann Test-Funktionen in einer .NET-DLL aufruft. Man muss dann "nur" noch das Passwort entgegen nehmen und true oder false zurückgeben: https://github.com/raandree/ManagedPasswordFilter Sieht durchdacht aus und die Einbindung neuer Filter mittels Reflection ist ein pfiffiges Konzept.

Share this post


Link to post
Share on other sites

Moin,

 

der Haupteinwand, der genannt wurde: this thing is running in the context of LSA so you want to make dead sure it behaves well.

Und da war dann jedes Mal Ende.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...