Maximum configurable password age

[Reinhard77]

Hallo,

ich möchte unter Windows die lokalen Sicherheitsrichtlinien anpassen, wie z.B. den Registry Key "Maximum configurable password age".

Wo der sich befindet, habe ich hier auch schon gefunden.

Nur leider zeigt der setzen eines entsprechenden Wertes keine Wirkung. Wenn ich den Wert von Stanadrt 42 auf irgend einen Wert ändere (z.B. 92), dann ist nach einem Neustart immer noch der Wert 42 dort eingetragen.

Weiß jemand woran es liegt?

 

[thornhill]

Ahoi,

habe den Sinn von ablaufenden Passwörter noch nie verstanden. Sollte das nach aktuellem Kenntnisstand nicht eh überholt sein, dieses ständige Passwort ändern?

Das führt doch nur dazu, dass der User mehr oder weniger fortlaufende, einfache Passwörter nutzt, was die Gesamtsicherheit deutlich reduziert.


gruß
thornhill

 

[leetxyz]

Welche Windows 11 Version ist installiert?
Nutzt du einen lokalen oder einen Microsoft-Account bzw. ist der Rechner in einer Windows-Domäne?
Startest du die Registry mit oder ohne Adminrechte?

 

[Reinhard77]

Welche Windows 11 Version ist installiert?
Nutzt du einen lokalen oder einen Microsoft-Account bzw. ist der Rechner in einer Windows-Domäne?
Startest du die Registry mit oder ohne Adminrechte?

-das ist Windows 11 Pro 22H2
-ist ein lokaler Benuzter
-mit Admin Rechten

 

[leetxyz]

Ich glaube das von dir verlinkte Teil ist falsch resp. es benötigt eine Domäne und das installierte Template.

Habe mir mal meine alten Deployment-Skripte angeschaut.
Habe es damals™ via CMD gelöst:

net accounts /MAXPWAGE:<Anzahl Tage>

Doku von Microsoft: https://learn.microsoft.com/en-us/t.../networking/net-commands-on-operating-systems

 

[BFF]

Die Richtlinie geht auch lokal wenn OS passt. @leetxyz

Nur leider zeigt der setzen eines entsprechenden Wertes keine Wirkung. Wenn ich den Wert von Stanadrt 42 auf irgend einen Wert ändere (z.B. 92), dann ist nach einem Neustart immer noch der Wert 42 dort eingetragen.

Wo eingetragen?
In der Richtlinie oder beim Nutzer?

Beim Nutzer wäre normal, weil Richtlinie zieht nur für neu angelegte Nutzer.

Wenn Richtlinie dann 🤷‍♂️
Müsste ich später nach buddeln.

 

[Reinhard77]

Wo eingetragen?
In der Richtlinie oder beim Nutzer?

In der Registry

 

[Nilson]

Wenn du es direkt in die Registry einträgst, wird der Eintrag ggf. beim nächsten Start von der Policy überbügelt, wenn die aktiv ist. Trag das mal direkt über gpedit in die Policy ein.

 

[Phil_81]

Ich glaube du bist hier komplett falsch, das was du verlinkt hast ist für eine GPO-Extension eines Drittanbieters... Solange du die nicht hast, kannst du da in der Registry hinterlegen was du willst, es wird nicht funktionieren.

Das hier dürfte das sein, was du suchst:

https://learn.microsoft.com/en-us/w...security-policy-settings/maximum-password-age

Kannst du dann über gpedit.msc entsprechend pflegen, dazu musst du nichts an der Registry ändern.

 

[BFF]

In der Registry

Ich dachte Du machst das per GPedit.
Ein Neustart eines PC stellt nicht immer sicher das geänderte GPO auch sofort umgesetzt werden.

Also prüfen ob die Umsetzung passiert ist.

 

[Phil_81]

Ein Neustart eines PC stellt nicht immer sicher das geänderte GPO auch sofort umgesetzt werden.

Also prüfen ob die Umsetzung passiert ist.

Bei Clients, die nicht in der Domäne sind bzw. GPOs vom DC bekommen schon.

 

[BFF]

Schon klar. @Phil_81 😁
Der TE nutzt eine Testmaschine ohne Domäne.

 

[kartoffelpü]

@Reinhard77 willst du denn wirklich den vor dir verlinkten Wert anpassen und nicht das Maximum Password Age aus der Password Policy? Dieser steht nämlich per Default auf 42, der von dir verlinkte hat default 1 Jahr (8760 Stunden).

Den dafür zuständigen Regkey finde ich auf die Schnelle nicht, kann ich aber evtl. später liefern.

 

[Reinhard77]

@Reinhard77 willst du denn wirklich den vor dir verlinkten Wert anpassen und nicht das Maximum Password Age aus der Password Policy? Dieser steht nämlich per Default auf 42, der von dir verlinkte hat default 1 Jahr (8760 Stunden).


Den dafür zuständigen Regkey finde ich auf die Schnelle nicht, kann ich aber evtl. später liefern.

Ich will das Maximum Password Age aus der Password Policy anpassen. Wenn ich den Regkey dazu hätte, dass wäre auch gut.

Aber es geht ja auch mit:

Habe es damals™ via CMD gelöst:

net accounts /MAXPWAGE:<Anzahl Tage>

 

[BFF]

Wenn ich den Regkey dazu hätte, dass wäre auch gut.

Dann aendere einmal das da wo es vorgesehen ist, teste ob es passt und nimm den Reg-Key der angelegt wurde von den Gruppenrichtlinien. Aber denke immer daran das Du mit Registrywerten keine gesetzten Gruppenrichtlinien aendern kannst.

 

[Reinhard77]

Aber denke immer daran das Du mit Registrywerten keine gesetzten Gruppenrichtlinien aendern kannst.

Das ist nicht richtig. Ich habe es eben ausprobiert und eine Gruppenrichtlinie die ich vorher eingeschaltet habe, habe ich mit dem Registry Key wieder ausgeschaltet.

 

[Phil_81]

Ja, das geht. Eine GPO ändert ja im Grunde auch nur Registry-Werte... Und wenn du Admin bist, kannst du den natürlich wieder überschreiben. Zumindest solange, bis die GPO dann wieder angewendet wird.

 

[BFF]

Das ist nicht richtig. Ich habe es eben ausprobiert und eine Gruppenrichtlinie die ich vorher eingeschaltet habe, habe ich mit dem Registry Key wieder ausgeschaltet.

Das solltest Du ganz genau ueberlegen.
Und Dich endlich mal damit beschaeftigen wie Microsoft sein Gruppenrichtlinien funktionieren.
Auch die welche durch ein lokales GPedit in die Registry geschoben werden.

Gruppenrichtlinien sind eine Einbahnstrasse.
Du stellst was ein per GPedit, das wird in eine DB geschrieben und das landet dann irgendwann in der Registry.
Aenderst Du etwas an der Richtlinie wird das wieder in eine DB geschrieben und es landet in der Registry. Umgedreht geht es nicht.

Aenderst Du manuell die Registry, wird Dir irgendwann das System Deine Aenderugnen ueberschreiben. Wurde Dir auch schon so genannt durch @Phil_81

Und natuerlich kannst Du exakt da wo von GPedit ausgeloest die Registry geaendert wird Deine WErte hinterlassen. Erwarte aber nicht das Du das dann per GPedit siehst was Du veraendert hast.

Das ist nicht richtig. Ich habe es eben ausprobiert und eine Gruppenrichtlinie die ich vorher eingeschaltet habe, habe ich mit dem Registry Key wieder ausgeschaltet.

Erklaere mal konkret was Du da veranstaltet hast.
Dann koennte unsereiner per Registry/GPedit/Pfad loeschen nachvollziehen ob das so klappt wie Du schilderst.