8
AD Passwort Richtlinie ändern - best practice
Hallo zusammen,
ich habe eine Frage bzgl. der Änderung der Passwort Richtlinie in einer reinen Windows-Umgebung. Wir haben die Kennwort Richtlinie, wie vermutlich die meisten, in der Default Domain Policy global festgelegt. Aufgrund eines Artikels vom BSI, der auch von sämtlichen Magazinen wie heise.de zitiert wurde (müsste von 2019 sein), habe ich meine Kollegen und den DSB dazu befragt, ob wir die Richtlinie nicht ändern wollen. Ziel des ganzen soll es sein, die Komplexität auf das Maximum vom Windows Server 2012 R2 anzuheben und stattdessen die Änderung im 90-Tage-Zyklus zu beenden.
Nun stellen wir uns aktuell die Frage wie wir das ganze angehen, ohne dass alle Benutzer am Stichtag X ihr Kennwort ändern müssen.
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
"Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise?
Kann ich diese Vorgehensweise - in der Live-Umgebung - mit einer kürzen Gültigkeit der Passwörter, mit ein paar Testusern simulieren und wenn ja wie? Eigene OU, Vererbung beenden und hier eine eigene Richtlinie erstellen?
Ich freue mich auf ein paar gute Tipps.
ich habe eine Frage bzgl. der Änderung der Passwort Richtlinie in einer reinen Windows-Umgebung. Wir haben die Kennwort Richtlinie, wie vermutlich die meisten, in der Default Domain Policy global festgelegt. Aufgrund eines Artikels vom BSI, der auch von sämtlichen Magazinen wie heise.de zitiert wurde (müsste von 2019 sein), habe ich meine Kollegen und den DSB dazu befragt, ob wir die Richtlinie nicht ändern wollen. Ziel des ganzen soll es sein, die Komplexität auf das Maximum vom Windows Server 2012 R2 anzuheben und stattdessen die Änderung im 90-Tage-Zyklus zu beenden.
Nun stellen wir uns aktuell die Frage wie wir das ganze angehen, ohne dass alle Benutzer am Stichtag X ihr Kennwort ändern müssen.
Ein Kollege hat diese Anleitung dazu im Netz gefunden:
"Wenn Du auch die neue min. Länge erzwingen willst, deswegen aber nicht bei allen Konten die sofortige Kennwortänderung erzwingen willst, dann mach es in 2 Schritten:
- nur die min. Länge ändern
- die alte Passwortablaufzeitspanne abwarten (z.B. 90 Tage, oder was bei Euch eingestellt ist)
- den Passwortablauf abschalten
- alle Konten identifizieren, welche seit dem Datum der Änderung der min. Länge noch nicht das Passwort geändert haben und bei diesen die Änderung das Passworts bei nächster Anmeldung erzwingen"
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise?
Kann ich diese Vorgehensweise - in der Live-Umgebung - mit einer kürzen Gültigkeit der Passwörter, mit ein paar Testusern simulieren und wenn ja wie? Eigene OU, Vererbung beenden und hier eine eigene Richtlinie erstellen?
Ich freue mich auf ein paar gute Tipps.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 629812
Url: https://administrator.de/contentid/629812
Printed on: April 27, 2024 at 16:04 o'clock
8 Comments
Latest comment
Klingt für mich an sich auch recht logisch.
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise
Hat jemand diese Änderung bereits vollzogen und kann mir das so bestätigen oder hat jemand einen besseren Vorschlag bzw. kennt mögliche Fallen in dieser Vorgehensweise
Einfach die Umstellung zum Jahreswechsel planen / einstellen...ist ja eine Fingerübung für paar Minuten.....ggf für alle User die Änderung erzwingen....somit erscheint das für alle zum Jahresbeginn relativ logisch
Ausnahmen kann man ja immernoch geben mit...pro User, pro OU oder pro Gruppe
Nabend,
so richtig erschließt sich mir nicht was du vor hast. "die Komplexität auf das Maximum anheben"?
Was meinst du damit? Welche Komplexität? Die der Kennwörter? Dann ändere die und beim nächsten Wechsel muss man die Anforderungen erfüllen.
Kannst du dann ja bei einem testen. Und nach 91 Tagen machst du den Zyklus aus - da sollten alle einmal durch sein.
In der Live-Umgebung nur mit der sog. Fine Grained Password Policy. Änderungen an der Default Domain Policy greifen für alle. Du kannst keine zwei normalen Richtlinien für Passwortanpassungen nutzen. Das geht wie gesagt nur mit FGPP auf eine Test-OU.
http://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
Grüße
so richtig erschließt sich mir nicht was du vor hast. "die Komplexität auf das Maximum anheben"?
Was meinst du damit? Welche Komplexität? Die der Kennwörter? Dann ändere die und beim nächsten Wechsel muss man die Anforderungen erfüllen.
Kannst du dann ja bei einem testen. Und nach 91 Tagen machst du den Zyklus aus - da sollten alle einmal durch sein.
In der Live-Umgebung nur mit der sog. Fine Grained Password Policy. Änderungen an der Default Domain Policy greifen für alle. Du kannst keine zwei normalen Richtlinien für Passwortanpassungen nutzen. Das geht wie gesagt nur mit FGPP auf eine Test-OU.
http://woshub.com/fine-grained-password-policy-in-windows-server-2012-r ...
Grüße
Servus!
Zum testen kannst du eine Fine grained password policy verwenden. Siehe: Hier
Eine Fine grained password policy überschreibt für die Auswahl an Usern die Passwortrichtlinie.
Die Umstellung in diesen 2 Schritten wäre schon richtig. Ansonsten kannst du natürlich auch zu einer gewissen zeit (mit Vorlaufzeit für die User) alle Passwörter ablaufen lassen - diesen Weg würde ich dir jedoch nicht empfehlen.
Gruß
Zum testen kannst du eine Fine grained password policy verwenden. Siehe: Hier
Eine Fine grained password policy überschreibt für die Auswahl an Usern die Passwortrichtlinie.
Die Umstellung in diesen 2 Schritten wäre schon richtig. Ansonsten kannst du natürlich auch zu einer gewissen zeit (mit Vorlaufzeit für die User) alle Passwörter ablaufen lassen - diesen Weg würde ich dir jedoch nicht empfehlen.
Gruß
Ok war ja klar, dass das von dir kommt. Bei der Frage im Post: "Gibt es eine Möglichkeit dies an einem Testaccount zu testen?" antwortest du nur mit "Ja." Dann stelle ich die erweiterte Frage: und wenn ja, wie? ;)
Vielen Dank für die restlichen Antworten, mittels FGPP hat das super schnell geklappt, habs jetzt schon mit ein paar Kollegen getestet, keiner wird durch die Richtlinie sofort dazu gezwungen sein PW zu ändern, sondern erst, wenn die dort eingestellten Tage in Differenz zur letzten Änderung durch sind. Bei allen anderen greift noch die Standard-Richtlinie und sobald dann alle mal ihr PW geändert haben, werden wir die Standard-Richtlinie ohne Ablaufdatum setzen und die Länge auf 14 (bei uns scheinbar das Maximum in der GPO) erhöhen und auch bei den FGPPs die Einstellung für das Maximale Kennwortalter entfernen.
@emeriks du darfst mich natürlich verbessern, solltest du einen besseren Vorschlag haben
1
Ja sorry, wollte dann gestern Feierabend machen 