GPO - Maximales Kennwortalter
Bei uns soll per GPO das "maximale Kennwortalter" eingestellt werden (z.B. auf 90 Tage). Domänencontroller und Funktionsebene ist 2008R2, meine Frage da diese Einstellung bisher nicht aktiviert war: Werden ab Aktivierung die User dazu aufgefordert ihr Kennwort sofort zu ändern da es seit mehr als 90 Tagen nicht geändert wurde oder zählen die angegeben Tage ab dem Zeitpunkt der Aktivierung und die User werden erst in 90 Tagen dazu aufgefordert?
Please also mark the comments that contributed to the solution of the article
Content-Key: 451136
Url: https://administrator.de/contentid/451136
Printed on: April 26, 2024 at 02:04 o'clock
4 Comments
Latest comment
Soweit ich weiß wird die Regel erst ab Aktivierung für danach geänderte Paßwörter aktiv.
Die GPO stammt noch aus den NT bzw. Win2000-Zeiten, es ist eher als nur unwahrscheinlich daß sie in 2008R2 nicht geht, aber aufgrund der vorher nicht definierten Regel kriegen die User davon auch nix mit ... wenn du sicher gehen willst, probiers mal mit 3 Tagen aus, das schadet nicht wirklich... um das zu erwzingen muß man alle AD Konten auf "Benutzer muß Kennwort bei Anmeldung ändern" setzen.
Die GPO stammt noch aus den NT bzw. Win2000-Zeiten, es ist eher als nur unwahrscheinlich daß sie in 2008R2 nicht geht, aber aufgrund der vorher nicht definierten Regel kriegen die User davon auch nix mit ... wenn du sicher gehen willst, probiers mal mit 3 Tagen aus, das schadet nicht wirklich... um das zu erwzingen muß man alle AD Konten auf "Benutzer muß Kennwort bei Anmeldung ändern" setzen.
Guten Abend
Wer sagt, dass du die GPO gleich auf alle ausrollen musst? Kleine Gruppe von Testern ist schnell angelegt. Und wenn es 1-2 Testaccounts sind.
Gruß Mikro
Moin,
Windows "zählt" immer die Tage von der Letzten PW-Änderung bis heute. Ist dieser Wert größer als in der GPO angegeben, werden die User sofort aufgefordert ihr PW zu ändern.
Abhilfe schafft ggfs. eine Rundmail mit der Aufforderung das PW zu ändern, und dann die GPO 1 Woche später zu aktivieren.
lg,
Slainte
/EDIT: Warum der Doppelpost? GPO - Maximales Kennwortalter - Benutzerhinweis oder Warnung
Windows "zählt" immer die Tage von der Letzten PW-Änderung bis heute. Ist dieser Wert größer als in der GPO angegeben, werden die User sofort aufgefordert ihr PW zu ändern.
Abhilfe schafft ggfs. eine Rundmail mit der Aufforderung das PW zu ändern, und dann die GPO 1 Woche später zu aktivieren.
lg,
Slainte
/EDIT: Warum der Doppelpost? GPO - Maximales Kennwortalter - Benutzerhinweis oder Warnung