Läuft das Passwort wirklich ab?

9

In einer Windows-Domäne kann das Ablaufen des Kennworts (auch als maximales Alter des Kennworts bezeichnet) aktiviert werden.

Ich bin allerdings ein wenig verwirrt über die Bedeutung dieses sogenannten Ablaufs: Es sieht so aus, als ob das Passwort nicht wirklich abläuft. Bei der ersten Anmeldung nach "Ablauf" muss der Benutzer einfach sein Passwort ändern. Mit anderen Worten, wenn das Passwort am 18. November abläuft, kann man sich immer noch am 20. November anmelden (muss dann aber sofort sein Passwort ändern).

Das Benutzerkonto ist zum Zeitpunkt des Ablaufs nicht gesperrt (oder in einem ähnlichen Zustand).

Ist das richtig? Oder habe ich etwas verpasst?

password windows password-policy Serge Wautier
quelle
Dies ist eines der Dinge, bei denen entschieden werden muss, was mit dem Wort "abgelaufen" gemeint ist. Ist das Passwort abgelaufen? Nun, der Benutzer kann eine interaktive Sitzung initiieren, muss jedoch sofort sein Kennwort ändern. Sie können nicht auf Domänenressourcen zugreifen oder die Anmeldung abschließen, bis sie ihr Kennwort geändert haben. Entspricht das der Definition des Wortes "abgelaufen"? Ein abgelaufenes Passwort und ein gesperrtes Konto sind zwei unabhängige Dinge. Das eine ist nicht unbedingt auf das andere angewiesen.
Joeqwerty

Antworten:

8

Ja, das stimmt, der Benutzer wird nach Ablauf des Kennworts nicht mehr gesperrt oder deaktiviert. Der Benutzer muss lediglich sein Kennwort ändern, sobald er sich nach dem Ablaufdatum anmeldet.

Wenn der Benutzer sich nach einem Ablaufdatum nicht mehr anmelden kann, können Sie festlegen, dass das Benutzerkonto selbst nach einem bestimmten Datum abläuft. Aber nicht dynamisch. Wenn Sie beispielsweise das Benutzerkonto automatisch deaktivieren möchten, nachdem es sich über 90 Tage nicht angemeldet hat, müssen Sie dies mit (zum Beispiel) Powershell skripten.

Ryan Ries
quelle
2
Das Benutzerkonto ist nicht gesperrt, aber der Benutzer muss das Kennwort ändern. Dies bedeutet, dass er erst dann auf Domänenressourcen zugreifen kann. Dies entspricht möglicherweise nicht der strengen Definition des Wortes "abgelaufen", aber in jeder Hinsicht ist das Kennwort für den Zugriff auf Domänenressourcen nicht mehr gültig.
Joeqwerty
Das ist wahr. Ich kann mich jedoch weiterhin bei einer interaktiven Sitzung anmelden und mit der Eingabeaufforderung "Passwort jetzt ändern" begrüßt werden.
Ryan Ries
2
Sie können den interaktiven Anmeldeteil nicht abschließen, ohne das Kennwort zu ändern, und Sie können nicht auf Ressourcen zugreifen. Es ist keine Nachfrist: Mit diesem abgelaufenen Passwort können Sie eine Sache tun, nämlich es zu ändern.
Mfinni