Password policy - Serversoftware en clouddiensten

vrijdag 31 maart 2006 11:49

Acties:

Verwijderd

Topicstarter

We zijn van plan om de password policy aan te passen. (minimum password length)
Als ik de policy wijzig worden dan alle users geforceerd om hun wachtwoord te veranderen of is het van toepassing de eerst volgende keer dat ze hun password moeten wijzigen?

Greetz

vrijdag 31 maart 2006 11:56

Acties:

Verwijderd

Waarom probeer je het niet ?

Denk het eigenlijk niet.

[edit]
Ik ging natuurlijk uit van een windows XP machine

[ Voor 36% gewijzigd door Verwijderd op 31-03-2006 12:02 ]

vrijdag 31 maart 2006 11:57

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

We kunnen zegmaar helemaal niets met je huidige topicstart, voor zover ik het zie kan je het net zo goed over een wachtwoordbeleid van een fysieke portier bij je voordeur hebben

Dus waar heb je het over? Je hebt een wachtwoord policy en dat wil je veranderen. Hoe / wat / welke OS'en / welke tools / etc? Of heb je het over een bepaalde toepassing? Als je het over een mainstream OS of applicatie hebt: wat zeggen de handleidingen er dan over? En omdat je het in een forum post voor de wat uitgebreidere systemen (check Policy Systeem- en Netwerkbeheer): wat gebeurde er toen je het in je testomgeving uitprobeerde?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 31 maart 2006 12:20

Acties:

Verwijderd

Topicstarter

Ok, misschien was het wat kort door de bocht.

Ten eerste is er geen test omgeving en "Gewoon ff proberen en zien wat er gebeurd" is niet iets dat je graag doet.

Het gaat om een native Windows 2000 domain, met users over een aantal landen.
De Domain policy staat nu ingesteld op een lage minimum password length Dit is een beetje aan de korte kant en we willen dit dit verhogen.

Maar we zitten niet te wachten dat ze in buitenland (in NL trouwens oko niet) de melding krijgen dat ze nu het wachtwoord moeten wijzigen. Het moet gewoon pas ingaan als de user zn password moet wijzigen.

Ik weet voor 80 a 90 % zeker dat het pas ingaat als het wachtwoord gewijzigd moet worden, maar ik dacht laat ik het eens navragen.

vrijdag 31 maart 2006 12:25

Acties:

Erkens

Fotograaf

Verwijderd schreef op vrijdag 31 maart 2006 @ 12:20:
Ten eerste is er geen test omgeving en "Gewoon ff proberen en zien wat er gebeurd" is niet iets dat je graag doet.

Hmm, dus je wilt hier zeggen dat als je iets nieuws implementeerd of een belangrijke setting veranderd dat je dat niet eerst test, maar meteen met een big bang veranderd en hopen dat het goed gaat?
Het lijkt me verstandig om iig een kleine test omgeving te maken, kost een paar uurtjes werk, maar kan enorm veel tijd en elende besparen.

En verder, voor zover ik het me nog kan herinneren gaat die policy pas in bij de eerst volgende password change, wat je uiteraard wel kan afdwingen. Maar pin me er niet op vast, het is al erg lang geleden dat ik een windows server heb beheerd

vrijdag 31 maart 2006 12:27

Acties:

Verwijderd

Dit gaat in bij Win2003 bij de eerst volgende gebruiker die je aanmaakt.

vrijdag 31 maart 2006 13:32

Acties:

Abom

Verwijderd schreef op vrijdag 31 maart 2006 @ 12:27:
Dit gaat in bij Win2003 bij de eerst volgende gebruiker die je aanmaakt.

Bij 2000 ook.

vrijdag 31 maart 2006 13:35

Acties:

TrailBlazer

Karnemelk FTW

Ik weet niet hoe windows systemen hun wachtwoord opslaan. Maar waarschijnlijk is het een hash. Dus dan weet de server niet eens wat het wachtwoord is, maar kan alleen hashes met elkaar vergelijken.
hoewel het bij windows systemen ook een cleartext bestandje in de root zou kunnen zijn

vrijdag 31 maart 2006 13:38

Acties:

Verwijderd

TrailBlazer schreef op vrijdag 31 maart 2006 @ 13:35:
Ik weet niet hoe windows systemen hun wachtwoord opslaan. Maar waarschijnlijk is het een hash. Dus dan weet de server niet eens wat het wachtwoord is, maar kan alleen hashes met elkaar vergelijken.
hoewel het bij windows systemen ook een cleartext bestandje in de root zou kunnen zijn

Dat was idd ook mijn idee maar dat wist ik niet zeker.

En jah dit zou je gewoon even kunnen testen op een losse XP client. Ik kan het wel voor je doen maarja...

vrijdag 31 maart 2006 14:31

Acties:

Duinkonijn

Huh?

heb hier de ervaring dat ze het gelijk moeten wijziggen bij de volgende login.

en dat leid bij iis / owa gebruikers dat ze helemaal niet meer kunnen inlogen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 31 maart 2006 14:35

Acties:

lier

MikroTik nerd

Verwijderd schreef op vrijdag 31 maart 2006 @ 12:20:
Ok, misschien was het wat kort door de bocht.

Ten eerste is er geen test omgeving en "Gewoon ff proberen en zien wat er gebeurd" is niet iets dat je graag doet.

Het gaat om een native Windows 2000 domain, met users over een aantal landen.
De Domain policy staat nu ingesteld op een lage minimum password length Dit is een beetje aan de korte kant en we willen dit dit verhogen.

Maar we zitten niet te wachten dat ze in buitenland (in NL trouwens oko niet) de melding krijgen dat ze nu het wachtwoord moeten wijzigen. Het moet gewoon pas ingaan als de user zn password moet wijzigen.

Ik weet voor 80 a 90 % zeker dat het pas ingaat als het wachtwoord gewijzigd moet worden, maar ik dacht laat ik het eens navragen.

Bij wijze van test kan je natuurlijk ook een testpolicy maken, welke voor een beperkt aantal testgebruikers geldt. Hiermee kan je "live" testen...

Eerst het probleem, dan de oplossing

vrijdag 31 maart 2006 22:14

Acties:

elevator

Officieel moto fan :)

Duinkonijn schreef op vrijdag 31 maart 2006 @ 14:31:
heb hier de ervaring dat ze het gelijk moeten wijziggen bij de volgende login.

en dat leid bij iis / owa gebruikers dat ze helemaal niet meer kunnen inlogen

iisadmpwd

vrijdag 31 maart 2006 22:17

Acties:

sanfranjake

Computers can do that?

lier schreef op vrijdag 31 maart 2006 @ 14:35:
[...]

Bij wijze van test kan je natuurlijk ook een testpolicy maken, welke voor een beperkt aantal testgebruikers geldt. Hiermee kan je "live" testen...

Nee kan niet met een Password Policy:

quote: http://www.microsoft.com/...epbystep/strngpw.mspx#EMD
Before implementing password policies, you need to understand how password policy configuration information is stored. This is because the mechanisms for storing password policy limit the number of different password policies you can implement and affect how you apply your password policy settings.

There can be only a single password policy for each account database. An Active Directory domain is considered a single account database, as is the local account database on stand-alone computers. Computers that are members of a domain also have a local account database, but most organizations that have deployed Active Directory domains require their users to log on to their computers and the network by using domain-based accounts. Consequently, if you specify a minimum password length of 14 characters for a domain, all users in the domain must use passwords of 14 or more characters when they create new passwords. To establish different requirements for a specific set of users, you must create a new domain for their accounts.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zaterdag 1 april 2006 17:45

Acties:

mutsje

Certified Prutser

misschien tijd om een goed boek te lezen, dit is namelijk allemaal erg basic knownledge. Niet bedoelt om te flamen btw.

zondag 2 april 2006 21:13

Acties:

Duinkonijn

Huh?

elevator schreef op vrijdag 31 maart 2006 @ 22:14:
[...]

iisadmpwd

heb dit toegepast http://www.jsnpc.com/SBS_...ssword_configuration.html

wat werkt.
maar toch een user die zijn wachtwoord moet wijzigen komt er niet in (in owa dan als hij die pagina gebruikt komt hij er wel in)

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?