Windows Server 2016 Windows Kennwortrichtlinie, Komplexitätsgrad ändern?

[Adolar]

Moin moin zusammen,
wenn ich beim MS Windows Server in den AD-Kennwortrichtlinien die Kennwortkomplexität einschalte, habe ich eine Reihe von Punkten am Kennwort einzuhalten. Kann man diese Ansammlung von Bedingungen bearbeiten?
Zum Beispiel heißt es: "Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen."
Hier hätte ich die Zeichen aus dem Eigennamen gern von 2 auf 4 erhöht oder den Vergleich zum Eigennamen ganz deaktiviert. Das geht sicher nicht, oder?

bye, Adolar

 

[wern001]

Einfach im Gruppenrichtlinen Editor nachschauen was für Einstellmöglichkeiten es gibt.
Was mich an der sache nerft ist das es da keine such funktion gibt

 

[Cat Toaster]

Ja, das steht in der "Default Domain Policy" wenn in einer Domäne. Ansonsten:

Da geht erstmal nur Komplexität "An/Aus".

Für Deine konkrete Frage, die Einstellungen im Detail anzupassen, benötigt es wohl eine 3rd-Party-Lösung für den Passwortfilter.

 

[wern001]

in der hilfe zum Gruppenrichtlinien Edtior steht bei einem 2019er Server

Kennwort muss Komplexitätsvoraussetzungen entsprechen

Mit dieser Sicherheitseinstellung wird festgelegt, dass Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen.

Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestvoraussetzungen erfüllen:

Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.

ob man da was ändern kann hmm... kann ich nicht sagen

 

[Adolar]

Hey Cat Toaster, wo soll denn das da stehen? Da kann ich die Komplexitätsvoraussetzungen nur aktivieren und deaktivieren. Mehr nicht. Siehe erste Zeile in deinem Screenshot. Eine weitere Konfiguration des ersten Punktes ist hier nicht möglich. Und da setzt meine Frage an. Geht das eventuell von woanders?

 

[TheCadillacMan]

Um die Komplexitätsvoraussetzungen zu verändern muss man eine eigene passfilt.dll implementieren: Flexible Kennwortrichtlinien und Strong Password Enforcement and Passfilt.dll
Das ist den Aufwand nur in ganz ganz seltenen Fällen wert.

 

[Adolar]

Hi wern001, genau diesen Text habe ich in meiner Frage zitiert. Es geht mir darum, genau das anzupassen.

Ergänzung (30. Juli 2020)

Hey TheCadillacMan, das war's vermutlich was ich gesucht habe. Danke! Ich schaue es mir gleich mal an.

 

[wern001]

ob es sinnvoll ist das anzupassen ist so eine Sache. Auf einmal kommt ein MS update und schon geht irgendwas nicht mehr. Man ist dann ewig am suchen wieso.

 

[xexex]

Das geht sicher nicht, oder?

Nöp, außer mit Produkten von Drittanbietern.

The rules that are included in the Windows Server password complexity requirements are part of Passfilt.dll, and they cannot be directly modified. https://docs.microsoft.com/en-us/pr...ows-server-2012-r2-and-2012/hh994562(v=ws.11)

 

[Michael.Scherr]

Moin,

darf man fragen warum du dies anpassen willst? Ist dir die Richtlinie nicht komplex genug?

Mit freundlichen Grüßen

Micha

 

[Adolar]

Moin Micha, ja, darf man. Schau dir mal bitte die erste Nachricht aus diesem Thread an und lies dort den vorletzten Satz: "Hier hätte ich die Zeichen ..."
Frage beantwortet? :-)

Gruß, Adolar

 

[morcego]

https://xkcd.com/936/
Selbst das NIST hat mittlerweile geänderte Empfehlungen zu dem Thema. Jetzt brauchts nur noch 10 Jahre bis das bei den Nutzern ankommt. Bei uns hängt das xkcd Bildchen an der Tür, paar Leute gucken tatsächlich mal hin.

Mittlerweile hab ich die Komplexität völlig deaktiviert und eher sowas wie Passwortlänge gesetzt. Der Gründer von stackoverflow hatte da auch mal was interessantes in seinem Blog zu, die haben Admins >= 18 Stellen, User >= 12 Stellen als Richtlinie gesetzt.

 

[Michael.Scherr]

Moin Micha, ja, darf man. Schau dir mal bitte die erste Nachricht aus diesem Thread an und lies dort den vorletzten Satz: "Hier hätte ich die Zeichen ..."
Frage beantwortet? :-)

Gruß, Adolar

Hallo,

das hatte ich gelesen, nur hatten mich die Beweggründe interessiert. Aber wie die anderen schon geschrieben haben, dies ist auch meiner Meinung nach nicht mit onBoard Mittel realisierbar.

mfg

Micha