Verständnisfrage Kennwortrichtlinie W2K3

18/03/2010 - 17:26 von Horst Lange | Report spam
Hallo an alle,

bislang mußte unsere Kennwortrichtlinie (nachfolgend Rili genannt) lax
gehalten werden. Nun darf ich jedoch endlich die Sicherheit erhöhen.
Bevor ich nun loslege, möchte ich Probleme im Vorfeld vermeiden und da
sind noch einige Fragen unklar.

Es ist mir klar, daß ich nur an einer Stelle die Kennwortrichtliniie
setzen kann: in der Domain root, hier in . Die Einstellungen gelten für
alle Benutzer (auch wenn in Computerkonto festgelegt)

Was passiert mit den DC? Wird deren Anmeldung (der Domànen-Admin meldet
sich hier an) auch permanent geàndert? Das der Admin sich so ein
weiteres PW merken muß ist o.k., aber die vielen Dienste, die mit dem
alten PW erstellt und angemeldet wurden würden dann IMO amok laufen
(also sich stàndig mit falschen parametern anmelden). Da müßte es doc
eine sinnreiche Option geben.

Was passiert mit Usern, bei deren Konto "Passwort làuft nie ab"
aktiviert ist? IMO hat diese Einstellung Vorrang vor der Rili.

Was passeirt mit Usern, bei deren Konto "User kann Kennwort nicht
àndern" aktiviert ist?
Die RiLi müßtze hier nicht wegen Widersprüchlichkeit nicht greifen
(àhlich Fehlermeldung beim Gleichzeitigen setzen der Option "muß beim
nàchsten Anmelden passwort àndern)

Sehe ich es richtig, daß wenn einzelne Benutzer aus der Rili
ausgeschlossen werden sollen/müssen, dies mit Aktivierung der Option
"Kennwort làuft nie ab" möglich ist?
Hierbei würden jedoch die Richtlinien (PW-Lànge, Komplexitàt) greifen,
wenn der Benutzer sein Passwort manuell doch àndern will?


Gibt es Empfehlungen, wie man dies in der Praxis am Besten ordnet, resp.
wie handhaben dies die erfahrenen von Euch?
- Dienste sollen ohne Probleme ohne stàndigen Eingriff laufen
- Benutzer virtueller Dienstmaschinen sollen Passwort möglichst
nicht àndern können
- Chef will Passwort nicht àndern müssen
- alle anderen müssen sicheres Passwort benutzen


Horst
 

Lesen sie die antworten

#1 Florian Frommherz
18/03/2010 - 21:51 | Warnen spam
Howdie!

Am 18.03.2010 17:26, schrieb Horst Lange:
Was passiert mit den DC? Wird deren Anmeldung (der Domànen-Admin meldet
sich hier an) auch permanent geàndert? Das der Admin sich so ein
weiteres PW merken muß ist o.k., aber die vielen Dienste, die mit dem
alten PW erstellt und angemeldet wurden würden dann IMO amok laufen
(also sich stàndig mit falschen parametern anmelden). Da müßte es doc
eine sinnreiche Option geben.



Wenn die "vielen Dienste" mit einem Servicekonto konfiguriert wurden,
das mit "Kennwort làuft nie ab" konfiguriert wurde, wird deine
Richtlinie das Dienstkonto nicht berühren.

Was passiert mit Usern, bei deren Konto "Passwort làuft nie ab"
aktiviert ist? IMO hat diese Einstellung Vorrang vor der Rili.



Genau - diese Kollegen werden von deiner Richtlinie nicht berührt - sie
müssen ihr Passwort nicht àndern-

Was passeirt mit Usern, bei deren Konto "User kann Kennwort nicht
àndern" aktiviert ist?



Da làuft das àhnlich wie bei "Passwort làuft nie ab".

Sehe ich es richtig, daß wenn einzelne Benutzer aus der Rili
ausgeschlossen werden sollen/müssen, dies mit Aktivierung der Option
"Kennwort làuft nie ab" möglich ist?



Ja, das ist aber eine denkbar schlechte Wahl. Ich würde da möglichst
keine Ausnahmen bis auf Dienstkonten zulassen.

Hierbei würden jedoch die Richtlinien (PW-Lànge, Komplexitàt) greifen,
wenn der Benutzer sein Passwort manuell doch àndern will?



Richtig. Der Benutzer wird nur nicht gezwungen, sein Kennwort _sofort_
zu àndern, wenn die neue Richtlinie ein neues, maximales Kennwortalter
festlegt, das das "niemals ablaufen"-Passwort des Benutzers
überschritten hat.

Gibt es Empfehlungen, wie man dies in der Praxis am Besten ordnet, resp.
wie handhaben dies die erfahrenen von Euch?
- Dienste sollen ohne Probleme ohne stàndigen Eingriff laufen



Servicekonten. Eines für jeden Dienst mit zugeschnittenen Rechten.
Lange, komplexe Passworte vergeben und bis 2008 R2 mit "Kennwort làuft
nie ab" konfigurieren. Ab R2 sind Managed Service Accounts interessant.

- Benutzer virtueller Dienstmaschinen sollen Passwort möglichst
nicht àndern können



Was sind virtuelle Dienstmaschinen?

- Chef will Passwort nicht àndern müssen



Dann ist dein Chef ein ... naja, ich schreibs besser nicht. Ich würde
ihn vor folgende Fragen stellen:
- Warum sollen andere Mitarbeiter ihre Passworte àndern müssen, aber er
nicht?
- Wieso will er sein Passwort behalten, wo gerade _sein_ Account einer
erhöhten Gefahr, wegen sensiblen Zugriffs auf Daten, ausgesetzt ist?
- Was sind _plausible_ Gründe, warum er ausgenommen sein sollte
(abgesehen von schlichter Faulheit)?

Da du die Antwort(en) eh schon kennen wirst: setz' "Kennwort làuft nie ab".

Cheers,
Florian

Ähnliche fragen