13
Benutzerin muss AD-Kennwort zu häufig ändern
Hallo.
- Microsoft Windows Active Directory Domäne
- Domänenfunktionsebene Windows Server 2016
- Exchange 2016
- 2 DCs, beide Server 2016
- Clients ausnahmslos Windows 10 Pro x64 1903
- MS Office 2016 Std.
- DDP: maximales Kennwortalter = 42 Tage
Problem:
Eine Benutzerin meldet und versichert glaubhaft, daß sie ihr Kennwort in den vergangenen 14 Tagen schon 3 mal ändern mußte. Die Aufforderung dazu kam vom System (nicht von mir als Admin/Betreuer), wurde von ihr durchgeführt und hat auch funktioniert. Auch alle Zugriffe funktionierten und funktionieren (Mail, Fileserver, Druckserver, Applikationsserver). Sie hat eigentlich keine Probleme, wundert sich aber über die häufige Systemaufforderung, ihr Kennwort zu ändern. Und ich wundere mich auch, normalerweise, hab' extra in der DDP nachgesehen, sind unsere Kennwörter 42 Tage lang gültig.
Wie wahrscheinlich ist, daß sich Schadsoftware eingenistet hat, die die Kerberos-Ticket-Hashes abgreift? Und wie könnte ich das überhaupt feststellen? Es gibt ansonsten null komma kein Anzeichen für einen Schadsoftwarebefall, auch ansonsten, auf anderen Rechnern und den Servern, diesbezüglich nichts festzustellen. Die Trendmicro-Konsole meldet Langeweile und hat außer den üblichen Spam-Mengen nichts zu berichten.
Die betroffene Kollegin hat auch kein dienstliches Smartphone, nutzt also auch kein OMA oder OWA, auch gibt es keine Single-Sign-Ons zu anderen. nachgelagerten Verfahren oder ähnliches, das zu Kennwortproblemen führen oder beitragen kann.
Also, weiß jemand zufällig, wo die häufige Kennwortänderungsaufforderung bei der Kollegin herrühren könnte?
Vielen Dank.
Viele Grüße
von
departure69
- Microsoft Windows Active Directory Domäne
- Domänenfunktionsebene Windows Server 2016
- Exchange 2016
- 2 DCs, beide Server 2016
- Clients ausnahmslos Windows 10 Pro x64 1903
- MS Office 2016 Std.
- DDP: maximales Kennwortalter = 42 Tage
Problem:
Eine Benutzerin meldet und versichert glaubhaft, daß sie ihr Kennwort in den vergangenen 14 Tagen schon 3 mal ändern mußte. Die Aufforderung dazu kam vom System (nicht von mir als Admin/Betreuer), wurde von ihr durchgeführt und hat auch funktioniert. Auch alle Zugriffe funktionierten und funktionieren (Mail, Fileserver, Druckserver, Applikationsserver). Sie hat eigentlich keine Probleme, wundert sich aber über die häufige Systemaufforderung, ihr Kennwort zu ändern. Und ich wundere mich auch, normalerweise, hab' extra in der DDP nachgesehen, sind unsere Kennwörter 42 Tage lang gültig.
Wie wahrscheinlich ist, daß sich Schadsoftware eingenistet hat, die die Kerberos-Ticket-Hashes abgreift? Und wie könnte ich das überhaupt feststellen? Es gibt ansonsten null komma kein Anzeichen für einen Schadsoftwarebefall, auch ansonsten, auf anderen Rechnern und den Servern, diesbezüglich nichts festzustellen. Die Trendmicro-Konsole meldet Langeweile und hat außer den üblichen Spam-Mengen nichts zu berichten.
Die betroffene Kollegin hat auch kein dienstliches Smartphone, nutzt also auch kein OMA oder OWA, auch gibt es keine Single-Sign-Ons zu anderen. nachgelagerten Verfahren oder ähnliches, das zu Kennwortproblemen führen oder beitragen kann.
Also, weiß jemand zufällig, wo die häufige Kennwortänderungsaufforderung bei der Kollegin herrühren könnte?
Vielen Dank.
Viele Grüße
von
departure69
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 468834
Url: https://administrator.de/contentid/468834
Printed on: April 23, 2024 at 06:04 o'clock
13 Comments
Latest comment
Moin,
hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?
Habt ihr ein System, bei dem die User ihre PWs selber zurücksetzen können, wenn sie sich vom System ausgesperrt haben?
Gruß
Looser
hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?
Habt ihr ein System, bei dem die User ihre PWs selber zurücksetzen können, wenn sie sich vom System ausgesperrt haben?
Gruß
Looser
Moin.
Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.
Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.
Moin,
bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.
@Looser27 und @dww haben Dir in Bezug Passwortänderung schon Lösungsmöglichkeiten geschrieben.
Gruss Penny.
bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.
@Looser27 und @dww haben Dir in Bezug Passwortänderung schon Lösungsmöglichkeiten geschrieben.
Gruss Penny.
Auch soll sie Dich rufen, wenn das System das nächste mal die Änderung verlangt, dann kannst Du genauer anschauen...
1
Zitat von @Looser27:
Moin,
hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?
Moin,
hast Du mal im System nachgesehen, wann sie das letzte Mal das PW geändert hat (z.B. mit "lockoutstatus")?
Mittels Get-ADUser ‚username‘ -properties PasswordLastSet | Format-List konnte ich feststellen, daß sie ihr PWD heute früh um 07.21 Uhr zum letzten mal geändert hat, so hat sie mir es auch erzählt, scheint also zu stimmen.
Habt ihr ein System, bei dem die User ihre PWs selber zurücksetzen können, wenn sie sich vom System ausgesperrt haben?
Nein, kein Self-Service dafür vorhanden. Wenn, dann muß ich das (manuell) machen.
Gruß
Looser
Viele Grüße
von
departure69
Zitat von @DerWoWusste:
Moin.
Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.
Moin.
Prüfe nach, ob eine fine grained password policy auf sie wirkt ("pso" password settings object) - diese würde die DDP überstimmen.
Nein, ist nicht der Fall. Keine tieferliegenden PWD-Regeln für bestimmte Gruppen, für alle Domänenbenutzer gilt ausschließlich die DDP. Trotzdem danke, hätte ja sein können.
Viele Grüße
von
departure69
Am Besten wird es sein, die Kollegin meldet sich bei Dir, wenn das nächste Mal das PW geändert werden soll, wie von @NordicMike vorgeschlagen. Vielleicht ist es einfach nur ein Layer8 Problem 
1Zitat von @Penny.Cilin:
Moin,
bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.
Moin,
bezüglich Deines Kommentars Schadsoftware, lade Dir c't desinfec't runter, falls Du es nicht haben solltest.
Ist kostenpflichtig und kann ich auf die Schnelle nicht beschaffen, hab' stattdessen die aktuelle Kaspersky-Rescue-Disk (Version 18) verwendet - keine Funde.
@Looser27 und @dww haben Dir in Bezug Passwortänderung schon Lösungsmöglichkeiten geschrieben.
Gruss Penny.
Gruss Penny.
Viele Grüße
von
departure69
Zitat von @NordicMike:
Auch soll sie Dich rufen, wenn das System das nächste mal die Änderung verlangt, dann kannst Du genauer anschauen...
Auch soll sie Dich rufen, wenn das System das nächste mal die Änderung verlangt, dann kannst Du genauer anschauen...
Nachdem bisher nichts von Euren guten und gutgemeinten Tipps irgendwas gebracht hat (kein Vorwurf!), ist das wohl das Beste, was ich vorerst tun kann. Die Kollegin kommt zwar eine halbe Stunde früher als ich zur Arbeit (zumeist sind die von ihr verlangten PWD-Änderungen sogleich frühmorgens bei der ersten Anmeldung - was mich ebenfalls wundert, normalerweise werden die 42 Tage lt. DDP in Minuten, evtl. sogar in Sekunden gezählt, das merkt man, wenn mitten unter tags plötzlich Outlook das PWD verlangt), aber dann muß sie halt mal etwas warten, bis ich die Meldung mal persönlich gesehen habe.
Ich werde die Kollegin bitten, mir die nächste Aufforderung mal persönlich an ihrem Rechner zu zeigen.
Wenn ich etwas neues dazu weiß, schreibe ich es hier hinein.
Viele Grüße
von
departure69
Hhmmm, wüßte jetzt nicht, wie die Kollegin mitten im NT-Sicherheitsdialog das Snipping-Tool aufrufen könnte. Obwohl, "Alt-Druck" und dann den ganzen Bildschirm in ein leeres Word-Dokument einfügen sollte trotzdem gehen. Ich sag' es ihr.
Danke.
Gruss Penny.
Viele Grüße
von
departure69
...oder ein Bild mit dem Smartphone machen....sowas machen unsere User(innen), wenn ihnen nichts mehr einfällt... 
1
Moin,
Schalte aber noch das Auditing für das AD/ ihr Userobject ein. Sonst bekommst du ja nicht mit, ob, was und wann sich etwas geändert hat, insbesondere an den PWD-Attributen....
Denn ein Foto hilft ja dann auch nicht, nur dass du weißt, dass sie jetzt ihr Kennwort ändern soll...
https://support.microsoft.com/en-nz/help/814595/how-to-audit-active-dire ...
Gruß
em-pie
Schalte aber noch das Auditing für das AD/ ihr Userobject ein. Sonst bekommst du ja nicht mit, ob, was und wann sich etwas geändert hat, insbesondere an den PWD-Attributen....
Denn ein Foto hilft ja dann auch nicht, nur dass du weißt, dass sie jetzt ihr Kennwort ändern soll...
https://support.microsoft.com/en-nz/help/814595/how-to-audit-active-dire ...
Gruß
em-pie
