Jump to content

Passwort Gruppenrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi, Dirk,

 

auch das war schnell getestet. Es funktioniert nicht... Hätte mich auch gewundert, denn Password Policies für Domain users ziehen nur, wenn sie auf Domain-Ebene gesetzt werden, nicht in der DDCP. Ich hab mich dazu hier im Board auch schon mal ausgelassen:

 

http://www.mcseboard.de/showthread.php?t=79950, Beitrag #11

 

Christoph

Link zu diesem Kommentar

Möglicherweise hat Dirk_privat das falsch verstanden, weiss nicht.

Es geht nicht darum, dass man ein längeres oder komplexeres Kennwort eingeben muss, sondern darum, dass es auch mit Password-History ausreicht, beim Ändern des Kennworts nur ein Zeichen abzuändern. Und das funktioniert auch mit Komplexitätsanforderungen, das ist sicher.

 

 

grizzly999

Link zu diesem Kommentar

@grizzly:

 

Vielleicht hab ich mich auch falsch ausgedrückt. Mit "funktioniert nicht", meinte ich, dass Komplexitätsanforderungen, wie Du sagst, nicht ausreichen, wenn man erzwingen will, dass ein komplett neues Passwort gewählt wird, und nicht nur ein Zeichen ausgetauscht.

 

In der Sache sind wir uns also einig :)

 

Christoph

Link zu diesem Kommentar

Die Komplexitätsanforderungen sagen aber doch nur aus, dass grundsätzlich ein komplexes Kennwort benutzt werden muss. Wenn ich also ein komplexes Kennwort habe, "Gxd4§$lo", dann kann ich es doch beim nächsten Änderungszyklus in "Gxd4§$l1" ändern. Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sind.

edit: zu spät (mal wieder) :D

Link zu diesem Kommentar

Hi Christoph,

 

das mit den Policies für Kennwörter ist so eine Sache. Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise). Vor kurzer Zeit wurde noch empfohlen die Kennwortrichtlinien auf der DC Policy zu setzen was je eigentlich auch logisch ist, da nur die DC´s User authentifizieren. Neuerdings geht MS aber auch in die Richtung die Default Policy zu ändern.

Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich.

Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.

Also bei mir/uns funktioniert das einwandfrei.

 

Gruß

Dirk

Link zu diesem Kommentar
.... Ich glaube, dass nur die Unterschiede zwischen 2 komplexen Kennwörtern gemeint sind
Ich meine das auch.

 

Eine geschätzte ältere Kollegin ändert immer das letzte Zeichen ihres PW, eine laufende Ziffer, das Vorstehende ist der Vorname ihrer Schwester.

 

Ich habe noch keine Möglichkeit gefunden, ein völlig neues PW zu erzwingen. Wieweit solle denn das gehen, nach welchen Methoden die Ähnlichkeit geprüft. Eine Prüfung auf Gleichheit(exakt) erscheint einfach. Aber Abseits der exakten Gleichheit, was ist ähnlich, was ist unähnlich?

 

Ein zufallsgeneriertes alphabetisches PW kann in Deutsch subjektiv den Eindruck ungeordneter, bedeutungsloser Buchstaben erwecken, auf türkisch oder Farsi mag es schon anders aussehen.

Link zu diesem Kommentar

Hi,

 

Aussage MS war immer das die Default Domain Policy nicht verändert werden sollte (best practise).

Ich würde das auch immer noch so halten. Man kann aber ja zusätzliche Policies auf die Domain binden.

Ich habe jetzt eben mal bei uns nachgeschaut und die Richtlinien sind auf der DC Policy gesetzt und funktionieren. Die Komplexität ist schon seit Jahren konfiguriert und funktioniert nachweislich.

Wenn der User "Mueller" heißt, ist ein Kennwort wie z.B. mueller1 nicht möglich, da das Kennwort den Username enthält. Nehmen wir also test.1, das ist zulässig, da alphanumerisch und/oder Groß- Kleinschreibung. Bei einem Wechsel kann test.2 nicht genommen werden, da eine Logik erkennbar ist.

Also bei mir/uns funktioniert das einwandfrei.

 

Möchte ich nicht anzweifeln, aber in meiner VMWare Testumgebung kann ich das trotz aktivierter Komplexitätsanforderung. Erstes Kennwort meinetwegen "Kennwort0", danach kann der User "Kennwort1" eingeben. Win 2003 Std. Default Installation + AD Default.

 

Christoph

Link zu diesem Kommentar

Hi Christoph,

 

habe es eben nochmal bei mir getestet. Du hast Recht, es geht nur teilweise. Bei manchen Wörtern erkennt er eine Logik und bei Nummern akzeptiert er sie fortlaufend sobald ein alphanumerisches Zeichen enthalten ist. Jetzt müßte man halt wissen nach welchen Kriterien MS die Komplexität betrachtet.

 

Hier habe ich noch was interesantes dazu gefunden

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/security/sample_password_filter.asp

 

Gruß

Dirk

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...