Jump to content
Sign in to follow this  
void_pointer

Passwort Gruppenrichtlinien

Recommended Posts

Hallo,

 

wir haben in unserer Domäne die Passwort GPOs aktiv. Wenn der Benutzer jedoch sein Passwort ändern muss, reicht es ein Zeichen zu ändern. Läßt es sich irgendwie erzwingen, dass sich die Passwörter gravierender unterscheiden müssem?

 

Gruß

void*

Share this post


Link to post
Share on other sites

Hi Christoph,

 

eine zusätzliche .dll war nur bei NT nötig. Ab Windows 2000 reicht die Komplexitätsanforderung. Ich würde die Policy auf der Default Domain Controller Policy setzen, dann sollte es auf jeden Fall funzen.

 

Gruß

Dirk

Share this post


Link to post
Share on other sites

Hi, Dirk,

 

auch das war schnell getestet. Es funktioniert nicht... Hätte mich auch gewundert, denn Password Policies für Domain users ziehen nur, wenn sie auf Domain-Ebene gesetzt werden, nicht in der DDCP. Ich hab mich dazu hier im Board auch schon mal ausgelassen:

 

http://www.mcseboard.de/showthread.php?t=79950, Beitrag #11

 

Christoph

Share this post


Link to post
Share on other sites

Möglicherweise hat Dirk_privat das falsch verstanden, weiss nicht.

Es geht nicht darum, dass man ein längeres oder komplexeres Kennwort eingeben muss, sondern darum, dass es auch mit Password-History ausreicht, beim Ändern des Kennworts nur ein Zeichen abzuändern. Und das funktioniert auch mit Komplexitätsanforderungen, das ist sicher.

 

 

grizzly999

Share this post


Link to post
Share on other sites

@grizzly:

 

Vielleicht hab ich mich auch falsch ausgedrückt. Mit "funktioniert nicht", meinte ich, dass Komplexitätsanforderungen, wie Du sagst, nicht ausreichen, wenn man erzwingen will, dass ein komplett neues Passwort gewählt wird, und nicht nur ein Zeichen ausgetauscht.

 

In der Sache sind wir uns also einig :)

 

Christoph

Share this post


Link to post
Share on other sites

Die Komplexitätsanforderungen sagen aber doch nur aus, dass grundsätzlich ein komplexes Kennwort benutzt werden muss. Wenn ich also ein komplexes Kennwort habe, "Gxd4§$lo", dann kann ich es doch beim nächsten Änderungszyklus in "Gxd4§$l1" ändern. Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sind.

edit: zu spät (mal wieder) :D

Share this post


Link to post
Share on other sites

Hi Christoph,

 

das mit den Policies für Kennwörter ist so eine Sache. Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise). Vor kurzer Zeit wurde noch empfohlen die Kennwortrichtlinien auf der DC Policy zu setzen was je eigentlich auch logisch ist, da nur die DC´s User authentifizieren. Neuerdings geht MS aber auch in die Richtung die Default Policy zu ändern.

Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich.

Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.

Also bei mir/uns funktioniert das einwandfrei.

 

Gruß

Dirk

Share this post


Link to post
Share on other sites
.... Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sind
Ich meine das auch.

 

Eine geschätzte ältere Kollegin ändert immer das letzte Zeichen ihres PW, eine laufende Ziffer, das Vorstehende ist der Vorname ihrer Schwester.

 

Ich habe noch keine Möglichkeit gefunden, ein völlig neues PW zu erzwingen. Wieweit solle denn das gehen, nach welchen Methoden die Ähnlichkeit geprüft. Eine Prüfung auf Gleichheit(exakt) erscheint einfach. Aber Abseits der exakten Gleichheit, was ist ähnlich, was ist unähnlich?

 

Ein zufallsgeneriertes alphabetisches PW kann in Deutsch subjektiv den Eindruck ungeordneter, bedeutungsloser Buchstaben erwecken, auf türkisch oder Farsi mag es schon anders aussehen.

Share this post


Link to post
Share on other sites

Hi,

 

Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise).

Ich würde das auch immer noch so halten. Man kann aber ja zusätzliche Policies auf die Domain binden.

Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich.

Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.

Also bei mir/uns funktioniert das einwandfrei.

 

Möchte ich nicht anzweifeln, aber in meiner VMWare Testumgebung kann ich das trotz aktivierter Komplexitätsanforderung. Erstes Kennwort meinetwegen "Kennwort0", danach kann der User "Kennwort1" eingeben. Win 2003 Std. Default Installation + AD Default.

 

Christoph

Share this post


Link to post
Share on other sites
... Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.

Also bei mir/uns funktioniert das einwandfrei.

Das ist interssant, danke. :) Ich werde das wohl nochmals testen.

Share this post


Link to post
Share on other sites

Hi Christoph,

 

habe es eben nochmal bei mir getestet. Du hast Recht, es geht nur teilweise. Bei manchen Wörtern erkennt er eine Logik und bei Nummern akzeptiert er sie fortlaufend sobald ein alphanumerisches Zeichen enthalten ist. Jetzt müßte man halt wissen nach welchen Kriterien MS die Komplexität betrachtet.

 

Hier habe ich noch was interesantes dazu gefunden

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp

 

Gruß

Dirk

Share this post


Link to post
Share on other sites
Das ist interssant, danke. :) Ich werde das wohl nochmals testen.
Ändere ich nur ein numerisches oder ein Sonderzeichen, wird dieses bei mir akzeptiert. Eine grundsätzliche Änderung in ein völlig unähnliches PW scheint nicht möglich zu sein.

Share this post


Link to post
Share on other sites

Hi,

 

danke für den Link, Dirk. Werde mal sehen, was da so drinsteht.

 

Aber Edgar hat schon recht: es ist recht interessant zu sehen, was geht, und was nicht, wenn man Komplexität erfordert :)

 

Christoph

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...