praxmo 0 Posted October 2, 2020 Report Share Posted October 2, 2020 Guten Morgen, bei uns steht gerade das Hinterlegen einer regelmäßigen Passwortänderung an. Um diese umzusetzen, habe ich eine Fine Grained Password Policy erstellt, die für 4 OUs greifen soll. Weiterhin habe ich eine Terminalserververknüpfung verteilt mit folgender Ergänzung : enablecredsspsupport:i:o Folgende Probleme habe ich nun: 1. Wie forciere ich am sinnvollsten die Änderung? Per Powershell alle Mitgliedskonten der OU auf "Muss Kennwort beim nächsten Anmelden neu erstellen" setzen? 2. Manche User versuchen sich mit der neuen Terminalserververknüpfung anzumelden und mit der oben genannten Ergänzung passiert nichts. 3. Wie kann man dies am sinnvollsten über Dauer lösen? Muss CredSSPSupport dauerhaft deaktiviert werden? Die Passwörter sollten schließlich in gewissen Rhythmen gewechselt werden müssen. Vielen Dank! Quote Link to post
NilsK 1,214 Posted October 2, 2020 Report Share Posted October 2, 2020 Moin, wozu ein regelmäßiger Wechsel des Kennworts? Davon ist man eigentlich mittlerweile weg. Ist ziemlich unsinnig. Einen einmaligen Wechsel bei Änderungen der Richtlinie erreicht man, wie du sagst, indem man die Eigenschaft "muss Kennwort ändern" setzt. Gruß, Nils Quote Link to post
praxmo 0 Posted October 2, 2020 Author Report Share Posted October 2, 2020 Hallo Nils, ist Bestandteil einer CyberPolice (Versicherung). Gruß Quote Link to post
NilsK 1,214 Posted October 2, 2020 Report Share Posted October 2, 2020 Moin, Damit die Richtlinie zum regelmäßigen Wechseln aktiv wird, musst du gar nichts machen. In den Eigenschaften der Konten darf halt nicht "Kennwort läuft nie ab" aktiv sein. Warum du bei RDS-Verbindungen die Sicherheit absenken willst, erschließt sich mir nicht. Gruß, Nils Quote Link to post
praxmo 0 Posted October 2, 2020 Author Report Share Posted October 2, 2020 Hallo Nils, die Sicherheit wurde herabgesetzt, da der User sonst keine Möglichkeit hat das Passwort bei Anmeldung zu ändern. Gruß Quote Link to post
NorbertFe 892 Posted October 2, 2020 Report Share Posted October 2, 2020 vor 4 Minuten schrieb praxmo: die Sicherheit wurde herabgesetzt, da der User sonst keine Möglichkeit hat das Passwort bei Anmeldung zu ändern. Dann gib den Usern halt ein entsprechend sicheres Kennwort, welches Sie innerhalb der Session ändern können. ;) Quote Link to post
testperson 653 Posted October 2, 2020 Report Share Posted October 2, 2020 Hi, man kann auch einer Versicherung mitteilen, dass eine regelmäßige Kennwortänderung kontraproduktiv ist. Hier sollte man einfach in die Police gucken und prüfen was da genau gefordert wird. Kannst du für dein eigentliches Problem nicht auf Single Sign On vom lokalen Client zurückgreifen? Gruß Jan Quote Link to post
daabm 423 Posted October 2, 2020 Report Share Posted October 2, 2020 Das mit "Sicherheit herabsetzen" ist eine Folge von NLA - dann klappt die Anmeldung mit abgelaufenem Kennwort per RDP nicht mehr... Das mit der Sinnhaftigkeit der regelmäßigen Kennwortänderung wurde ja schon erwähnt - Microsoft und das BSI sind von dieser Empfehlung abgerückt, könnte diese Cyberversicherung ja mal nachziehen. Besser "lang - sehr lang". PS: Rein aus Neugier - wie implementiert man eine FGPP für "4 OUs"? Bei mir war das bisher immer für "Gruppen", nicht für OUs Quote Link to post
praxmo 0 Posted October 5, 2020 Author Report Share Posted October 5, 2020 Guten Morgen, da habt ihr auf jeden Fall Recht - ich werde die Thematik der Regelmäßigkeit wohl nochmal ausdiskutieren müssen. @daabm Ich habe den OU-Membern einfach entsprechende Gruppen zugewiesen Gruß Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.