server 2008 kennwortrichtlinien / Kennwortalter / Zeitpunkt bestimmen

[allphons]

Hallo aus Wien!

Es handelt sich um einen Windows Server 2008 R2 als Domaincontroller in einer Schulungseinrichtung mit ca. 80 Clients.
Das Kennwortalter läuft nach max. 40 Tagen ab.
(damit die Teilnehmern das regelmäßige Wechseln der Passwörter üben)

Meine Frage:Wie stell ich es an, dass der Zeitpunkt zu dem die Gültigkeit des Kennworts abläuft um Mitternacht passiert, und nicht während ein Domainuser gerade eingeloggt ist? Sonst hat der Teilnehmer nämlich ein Problem beim einloggen in ein anderes Anwendungsprogramm.
Bei der Auswahl in den Kennwortrichtlinien gibt es keine passende Möglichkeit,

Freue mich auf Tipps
Danke im voraus

 

[Multivitamin]

ob der user eingeloggt ist oder nicht spielt doch keine rolle,
windows fordert dich auf, das pw zu ändern,
aber wirft doch keine aktuell angemeldeten user raus...

zumal mir spontan keine möglichkeit einfällt dort eine uhrzeit reinzusetzen.
selbst das auslesen des passwortalters liefert ja auch die differenz zum ablauftag

 

[HigH_HawK]

Also, wenn ich dich richtig verstehe, möchtest du gerne, dass das Passwort am 40. Tag um 0:00 Uhr abläuft und der Benutzer dann am 41. Tag beim ersten einloggen, das Passwort ändern soll?

So genau ist dies leider nicht möglich, du hast hier aber zwei Möglichkeiten:

1. Du kannst die PasswordExpiryWarning auf einen bestimmten Wert (Bsp.: 14 Tage) stellen, womit der Benutzer 14 Tage vor dem Ablauf eine Meldung bekommt, dass sein Passwort bald abläuft und er somit sofort die Möglichkeit hat, dieses zu ändern.

2. Du setzt PasswordExpiryWarning = 0, dann bekommt der Benutzer keine vorherige Ankündigung, wann sein Passwort abläuft, sondern muss dann sein Passwort sofort am Tag 40/41, beim ersten anmelden, ändern.

 

[allphons]

windows fordert dich auf, das pw zu ändern,
aber wirft doch keine aktuell angemeldeten user raus...

Richtig, Windows wirft dich nicht raus, aber der Datenbankserver, bei dem du dich anmelden willst, lässt dich nicht rein. Und dann schreien die Teilnehmer nach dem Support....Abmelden, Anmelden - dann gehts eh! Aber wär schon praktisch, wenn Sie gleich in der Früh aufgefordert werden ein neues Passwort zu setzen.

Ergänzung (10. April 2013)

1. Du kannst die PasswordExpiryWarning auf einen bestimmten Wert (Bsp.: 14 Tage) stellen, womit der Benutzer 14 Tage vor dem Ablauf eine Meldung bekommt, dass sein Passwort bald abläuft und er somit sofort die Möglichkeit hat, dieses zu ändern.

Danke, ist eine Möglichkeit - noch nicht ganz optimal, aber schon ok.

 

[Frightener]

AFAIK kannst Du das nicht ändern, da in Tagen gerechnet wird. Ändert der User das Kennwort um 16:00 Uhr, läuft es x Tage später um 16:00 Uhr ab. PasswordExpiryWarning zu ändern ist in Deinem Fall sogar hinderlich, weil der User keine Warnung bekommt und somit keine Chance hat, sein Kennwort vor Ablauf zu ändern. Du kannst ein Anmeldescript schreiben, daß dem User mitteilt, wann genau sein Kennwort abläuft und dann eine Nachricht an einem bestimmten Tag vor Ablauf aufpoppen zu lassen, daß er sein Kennwort sofort ändern sollte.

 

[HigH_HawK]

AFAIK kannst Du das nicht ändern, da in Tagen gerechnet wird. Ändert der User das Kennwort um 16:00 Uhr, läuft es x Tage später um 16:00 Uhr ab. PasswordExpiryWarning zu ändern ist in Deinem Fall sogar hinderlich, weil der User keine Warnung bekommt und somit keine Chance hat, sein Kennwort vor Ablauf zu ändern. Du kannst ein Anmeldescript schreiben, daß dem User mitteilt, wann genau sein Kennwort abläuft und dann eine Nachricht an einem bestimmten Tag vor Ablauf aufpoppen zu lassen, daß er sein Kennwort sofort ändern sollte.

Dazu brauch der Nutzer kein eigenes Script, da dies bereits über die PasswordExpiryWarning gehandhabt wird! Wenn in dieser der Wert 14 drin steht, dann wird der Nutzer 14 Tage vor Ablauf (täglich) darüber in Kenntnis gesetzt, in wie vielen Tagen sein Passwort abläuft. Ich denke mal das die Benutzer dann schon wissen, dass sie ihr Passwort ändern sollen/müssen.

 

[Frightener]

Ja, in wieviel Tagen, aber nicht um wieviel Uhr. Darum geht es doch. Viele denken, daß das Kennwort am Ende des Tages abläuft, läuft es aber mittags ab, hat der User das problem mit Zugriffen auf die Server.

Außer dem ist die Standardbenachrichtigung nur die Bubble in der Notification Area, die nach ein paar Sekunden verschwindet. Das wird oftmals übersehen.