triactis
Goto Top

Kennwortrichtlinie: Benutzerhinweis (Erläuterung) für komplexes Kennwort

Hallo zusammen,

ich stehe vor der undankbaren Aufgabe komplexe Kennwörter für die Windowsanmeldung einzuführen (Windows 2008r2/Win7)

So weit, so simpel. Mein problem besteht darin, dass kein Benutzer mit dem Hinweis "das Kennwort entspricht nicht den Kennwortrichtlinien" etwas anfangen kann.

Gibt es die Möglichkeit diese Meldung um eine Erläuterung zu erweitern? Ich bin der Meinung, sowas durchaus schon gesehen zu haben.

Vielen Dank im Voraus.

Content-Key: 249564

Url: https://administrator.de/contentid/249564

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: xbast1x
xbast1x 18.09.2014 um 15:05:40 Uhr
Goto Top
Da schließe ich mich an, würde mich auch stark interessieren.
Mitglied: Arch-Stanton
Arch-Stanton 18.09.2014 um 16:08:33 Uhr
Goto Top
Installiere einen Mailserver, installiere ein Mailprogramm auf jeden PC und schreibe eine Rundmail mit der Kennworterläuterung. So geht´s.

Gruß, Arch Stanton
Mitglied: Meierjo
Meierjo 18.09.2014 um 16:08:44 Uhr
Goto Top
Hallo

Ich habe das bei uns so gelöst, indem ich vor der Umstellung allen Usern eine Mail mit den Richtlinien geschickt habe.
Die Richtlinien fett und rot, und mit dem Hinweis, sie sollen sich das ausdrucken!!

Ist halt nur eine kleine Domäne (< 20 User).

Gruss
Mitglied: Borob14
Borob14 18.09.2014 um 16:15:27 Uhr
Goto Top
So ein Benutzerhinweis wäre echt super, wir hatten auch gerade so eine Umstellung und trotz Rund-Mail kommen immer wieder Anrufe, so ist es halt mit den normalUsern ;)

mfg Rob
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 16:53:30 Uhr
Goto Top
Moin,
das läuft auf die Erstellung einer DLL für den Login-Prozess hinaus:

oder ihr nutzt z.B. den Password Policy Enforcer, der bietet eine Erweiterung für den Login-Dialog an der ganz genau erläutert wie das Passwort auszusehen hat. Die Texte lassen sich auch bei Bedarf personalisieren.

Grüße Uwe
Mitglied: ITvortex
ITvortex 18.09.2014 um 16:46:27 Uhr
Goto Top
Ich dachte die .dll zu tauschen ist nur unter Windows Server 2003 möglich?

Gruß
Martin
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 16:49:12 Uhr
Goto Top
Zitat von @ITvortex:
Ich dachte die .dll zu tauschen ist nur unter Windows Server 2003 möglich?
Hier wird keine DLL überschrieben sondern via Registryeintrag eine neue für den Logon-Prozess zugewiesen !
Mitglied: ITvortex
ITvortex 18.09.2014 um 16:56:40 Uhr
Goto Top
Ok....
Mitglied: DerWoWusste
DerWoWusste 18.09.2014 um 17:42:19 Uhr
Goto Top
@colinardo
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 18:10:26 Uhr
Goto Top
Zitat von @DerWoWusste:
@colinardo
Moin Uwe. Hast Du eine solche DLL schon einmal auf einem DC 2008 oder höher zum Laufen bekommen?
Die Dokumentation finde ich nicht sonderlich einfach und oft auch veraltet, ungenau, unvollständig.
Wir nutzen deshalb eben diesen PPE.
Hi DWW,
nein noch nicht, ich zerlege aber gerade aus Interesse den PPE in einer VM um zu sehen wie die das machen. Die Hauptlogik liegt in der DLL ppe.dll im System32 Verzeichnis. Diese implementiert einen Passwortfilter der in der Registry unter
Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Control\Lsa
im Wert Notification Packages eingetragen wird. Die DLL fragt dann die existierenden Policies bei lokaler Nutzung aus diesem Registry-Schlüssel ab:
HKEY_LOCAL_MACHINE\SOFTWARE\ANIXIS\Password Policy Enforcer 7.0
das ganze dient dann der einer Client-DLL unter anderem als Quelle für die Darstellung der Messages.

In die Schnittstellen die implementiert werden müssen müsste ich mich erst einarbeiten, starker Tobak das ganze in C++ (nicht gerade meine Stärke). Mal sehen ob ich dafür mal Zeit finde face-wink

Grüße Uwe
Mitglied: DerWoWusste
DerWoWusste 18.09.2014 um 18:21:32 Uhr
Goto Top
Mal sehen ob ich dafür mal Zeit finde
Wie ich Dich kenne, bist Du doch morgen früh schon fertig face-wink

Meine Frage sollte eher heißen: hast Du schonmal im Web eine pwfilter.dll gesehen, die man runterladen konnte, die auch auf 2008 oder höher lief?
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 18:29:05 Uhr
Goto Top
Zitat von @DerWoWusste:

> Mal sehen ob ich dafür mal Zeit finde
Wie ich Dich kenne, bist Du doch morgen früh schon fertig face-wink
nee face-smile
Meine Frage sollte eher heißen: hast Du schonmal im Web eine pwfilter.dll gesehen, die man runterladen konnte, die auch auf
2008 oder höher lief?
Nope, höchstens das hier, aber ob das auf 2008(up) läuft keine-ahnung.
Mitglied: DerWoWusste
DerWoWusste 18.09.2014 um 18:42:42 Uhr
Goto Top
@tRIACTIs
Hi. Wie Uwe sagte, gibt's zu kaufen. Anixis' PPE ist meiner Ansicht nach ein super Produkt und, wie ich finde, bezahlbar. Einarbeitungszeit ist sehr gering, das hast Du in weniger als 2 Stunden aufgesetzt. Ich kann Tipps geben, da ich es seit mehreren Jahren nutze.

Was Du "schonmal gesehen hast", war wohl dies:
d8744290f39b244eda1a756baae2509a
Ich weiß nicht, aber ich meine, das ging mit xp noch, aber ab Vista nicht mehr.

@colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht erinnere: irreversibel.
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 18:46:21 Uhr
Goto Top
Zitat von @DerWoWusste:
@colinardo
Diese dll lief nicht unter 2008, hatte ich schon vor Jahren probiert. Schrottete sogar die Testdomäne, wenn ich mich recht
erinnere: irreversibel.
alles klar face-smile ich sag ja, nur der kleinste Pufferüberlauf in der DLL, und du produzierst sofort einen BSOD face-smile
Mitglied: tRIACTIs
tRIACTIs 19.09.2014 um 08:03:01 Uhr
Goto Top
Erstmal vielen Dank für Eure Beteiligung (außer Arch-Stanton - sowas kann man sich sparen).

@DerWoWusste
gut möglich, dass es genau dieser Hinweis war. Ich zumindest erinnere mich an sowas (dunkel aber trotzdem), kann allerdings auch noch zu NT Zeiten gewesen sein. Hätte mir mein Chef nicht bestätigt, dass er sowas auch schon mal gesehen hat, hätte ich's als Hirngespinst abgetan.
Sollten wir uns für PPE entscheiden, werde ich ggf. auf Dein Angebot zurückkommen. Vielen Dank.
Ach ja, gut dass Du die geschrotete Testdomäne erwähnst. Das wird mich davon abhalten irgendwelche Experimente in der Produktivumgebung zu machen^^

@colinardo
Vielen vielen Dank für die beiden Vorschläge. Auch wenn es wie vermutet nicht so trivial ist wie erhofft, sind das schon mal zwei Vorschläge mit denen man Arbeiten kann. Werde mir beides detailliert anschauen und Rückmeldung geben.
Mitglied: skahle85
skahle85 19.09.2014 um 09:23:01 Uhr
Goto Top
Bei XP gab es ja diesen "Wundervollen" Begrüßungsdialog. Schon mal jemand probiert diese 2003er GPO am 2012er zu importieren???
Das ist kein Lösungsvorschlag! Aber vielleicht hat ja generell schon mal wer alte GPOs importiert...

Grüße
Mitglied: DerWoWusste
DerWoWusste 19.09.2014 aktualisiert um 09:32:04 Uhr
Goto Top
Hi.

Begrüßungsdialog - Du meinst, das was ich als Bild eingefügt habe? Das macht ja eine Systemdatei auf xp und keine Policy, das ist demnach nicht importierbar.
Mitglied: skahle85
skahle85 19.09.2014 um 09:34:19 Uhr
Goto Top
Jau genau! mmmhhh. Es gibt so Sachen die hätte MS ruhig beibehalten sollen!

Danke
Mitglied: ITvortex
ITvortex 19.09.2014 um 09:38:56 Uhr
Goto Top
Das stimmt.... nächste Woche bin ich bei einer Veranstaltung von Microsoft, da werd ich mal nachfragen ob sowas möglich ist bzw. kommt face-smile
Mitglied: skahle85
skahle85 19.09.2014 um 09:42:36 Uhr
Goto Top
Zitat von @ITvortex:

Das stimmt.... nächste Woche bin ich bei einer Veranstaltung von Microsoft, da werd ich mal nachfragen ob sowas möglich
ist bzw. kommt face-smile

Welche VA ist das denn?
Mitglied: ITvortex
ITvortex 19.09.2014 um 09:54:08 Uhr
Goto Top
Oh sehe gerade es ist erst am Dienstag übernächste Woche: http://www.partnerblog.at/post/2014/09/18/T-12-Nur-noch-knapp-2-Wochen- ...

Microsoft Partner Roadshow, immer sehr informativ face-smile
Mitglied: 108012
108012 19.09.2014 um 13:43:24 Uhr
Goto Top
Hallo zusammen,

Erstmal vielen Dank für Eure Beteiligung (außer Arch-Stanton - sowas kann man sich sparen).
So lief das bei uns bis vor kurzem noch ab und nicht nur wegen des Passwortes!
Alle zwei Jahre wurde so eine Mail jedem Mitarbeiter zugeschickt und dann hat
er sie unterschrieben und dann den Gruppen bzw. Abteilungsleitern unterschrieben
ausgehändigt. Lege einfach einen Abteilungsordner für jede Abteilung an und dann
kann auch jeder nachschauen was, wie, wann und wo gewünscht ist bzw. erledigt
werden soll.

Jetzt ist das alles obsolet denn wir nutzen einen Lösung von ReinerSCT zur
Zeiterfassung, Zugangskontrolle und auch zum Anmelden an den PCs, da
kann das Passwort dann auch 50 Zeichen betragen und man muss nur die
Karte mit dem RFID CHip an das Lesegerät halten und der Benutzer wird
automatisch angemeldet. Kleiner Zugewinn, der Admin kann sich so an den
PCs auch anmelden ohne das er sein Passwort immer vor allen Leuten
eingeben muss.

Gruß
Dobby