Jump to content

Fine Grained Password Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen,

 

bei uns steht gerade das Hinterlegen einer regelmäßigen Passwortänderung an.

Um diese umzusetzen, habe ich eine Fine Grained Password Policy erstellt, die für 4 OUs greifen soll.

Weiterhin habe ich eine Terminalserververknüpfung verteilt mit folgender Ergänzung : enablecredsspsupport:i:o

 

Folgende Probleme habe ich nun:

1. Wie forciere ich am sinnvollsten die Änderung? Per Powershell alle Mitgliedskonten der OU auf "Muss Kennwort beim nächsten Anmelden neu erstellen" setzen?

2. Manche User versuchen sich mit der neuen Terminalserververknüpfung anzumelden und mit der oben genannten Ergänzung passiert nichts.

3. Wie kann man dies am sinnvollsten über Dauer lösen? Muss CredSSPSupport dauerhaft deaktiviert werden? Die Passwörter sollten schließlich in gewissen Rhythmen gewechselt werden müssen.

Vielen Dank!

Link to post

Moin,

 

wozu ein regelmäßiger Wechsel des Kennworts? Davon ist man eigentlich mittlerweile weg. Ist ziemlich unsinnig.

 

Einen einmaligen Wechsel bei Änderungen der Richtlinie erreicht man, wie du sagst, indem man die Eigenschaft "muss Kennwort ändern" setzt.

 

Gruß, Nils

 

Link to post

Moin,

 

Damit die Richtlinie zum regelmäßigen Wechseln aktiv wird, musst du gar nichts machen. In den Eigenschaften der Konten darf halt nicht "Kennwort läuft nie ab" aktiv sein.

 

Warum du bei RDS-Verbindungen die Sicherheit absenken willst, erschließt sich mir nicht.

 

Gruß, Nils

Link to post
vor 4 Minuten schrieb praxmo:

die Sicherheit wurde herabgesetzt, da der User sonst keine Möglichkeit hat das Passwort bei Anmeldung zu ändern.

 

Dann gib den Usern halt ein entsprechend sicheres Kennwort, welches Sie innerhalb der Session ändern können. ;)

Link to post

Hi,

 

man kann auch einer Versicherung mitteilen, dass eine regelmäßige Kennwortänderung kontraproduktiv ist. Hier sollte man einfach in die Police gucken und prüfen was da genau gefordert wird.

 

Kannst du für dein eigentliches Problem nicht auf Single Sign On vom lokalen Client zurückgreifen?

 

Gruß

Jan

Link to post

Das mit "Sicherheit herabsetzen" ist eine Folge von NLA - dann klappt die Anmeldung mit abgelaufenem Kennwort per RDP nicht mehr... Das mit der Sinnhaftigkeit der regelmäßigen Kennwortänderung wurde ja schon erwähnt - Microsoft und das BSI sind von dieser Empfehlung abgerückt, könnte diese Cyberversicherung ja mal nachziehen. Besser "lang - sehr lang".

 

PS: Rein aus Neugier - wie implementiert man eine FGPP für "4 OUs"? Bei mir war das bisher immer für "Gruppen", nicht für OUs :-)

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...