Flexible Security for Your Peace of Mind
Ablaufende Passwörter

Wie Sie Benachrichtigungen für ablaufende Passwörter einrichten

Wenn Sie feststellen, dass die Passwörter Ihrer Benutzer demnächst ablaufen, kann es nicht schaden sie rechtzeitig darüber zu benachrichtigen.  Man kann hierzu gar nicht oft genug mit seinen Benutzern kommunizieren. Da Benutzer es aber eher lästig finden, ihre Passwörter zu ändern, kann es hilfreich sein, sie mit Benachrichtigungen daran zu erinnern, dass ihr Passwort demnächst abläuft. Es ist eine gute Möglichkeit ihre Erfahrungen mit dem nervigen Thema Passwortwechsel zu verbessern.  Dieser Artikel gibt Ihnen einen Überblick darüber, wie Sie Benachrichtigungen über den Ablauf von Passwörtern für Active Directory Benutzer erstellen und konfigurieren können.

Active Directory unterstützt Sie bei der Benachrichtigung Ihrer User über ablaufende Passwörter, aber nur wenn diese an der Domain des Clients Systems, der mit dem Firmennetzwerk verbunden ist, angemeldet sind.

Konfigurieren kann man diese Benachrichtigungen in der Gruppenrichtlinie, klicken Sie hierfür unter: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ auf „Interactive logon: Prompt user to change before expiration“

Legen Sie dies entweder in Ihrer Standard-Domainrichtlinie fest oder erstellen/verwenden Sie ein anderes Gruppenrichtlinienobjekt und konfigurieren Sie, wie viele Tage vor Ablauf der Gültigkeit der Benutzer benachrichtigt werden soll.

Aber was ist mit Benutzern, die nicht ständig an der Domäne des Unternehmensnetzwerkes angemeldet sind? Was ist, wenn Sie eine bessere Kontrolle darüber haben wollen, wann Nutzer benachrichtigt werden sollen, oder welche Informationen Sie als Teil der Benachrichtigung zur Verfügung stellen wollen? (Zum Beispiel: Anforderungen an die Passwortrichtlinien).

Viele Administratoren verwenden Scripte, um Benutzer deren Passwörter in Kürze ablaufen zu finden und Benachrichtigungs-E-Mails zu genieren.

Das folgende PowerShell-Skript listet alle Benutzer auf, deren Kennwörter basierend auf dem in der ersten Zeile festgelegten Schwellenwert voraussichtlich ablaufen, sowie die genaue Zeit in UTC, zu der ihr Kennwort abläuft. Die Ergebnisse werden dann verwendet, um E-Mail-Nachrichten an Benutzer zu generieren, deren Passwörter bald ablaufen.

$daysbeforeexpirytonotify = 14  
$now = (get-date).ToUniversalTime().ToFileTime()  
$threshold = (get-date).ToUniversalTime().adddays($daysbeforeexpirytonotify).ToFileTime()  
$users = Get-ADUser -filter { Enabled -eq $True -and PasswordNeverExpires -eq $False } `  
                    –Properties "msDS-UserPasswordExpiryTimeComputed",mail `  
                    -searchbase "OU=Users,OU=Specops,DC=specopsdemo1,DC=com" |   
   where { $_."msDS-UserPasswordExpiryTimeComputed" -lt $threshold -and `  
           $_."msDS-UserPasswordExpiryTimeComputed" -gt $now } |   
   Select-Object "Name",  
                 "Mail",  
                 @{Name="ExpiryDate";Expression={  
                       [datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")  
                       }  
                 },  
                 @{Name="DaysToExpiry";Expression={  
                        [int](($_."msDS-UserPasswordExpiryTimeComputed" - $now) / 864000000000)  
                        }  
                 } |  
    sort-object name  
  
$users  
  
foreach ($user in $users) {  
    send-mailmessage -from "it@specopsdemo1.com" `  
                     -smtpserver mail.specopsdemo1.com `  
                     -to $user.mail `  
                     -subject "Your password will expire in $($user.daystoexpiry) days" `  
                     -body "Your password will expire at $($user.expirydate) (UTC)."   
}

Administratoren könnten jetzt möglicherweise denken, dass die Erstellung einer benutzerdefinierten Lösung zur Benachrichtigung der Benutzer über den Ablauf des Passworts schwierig zu warten und zu unterstützen sein könnte. In diesem Fall möchten sie vielleicht eine Lösung von Drittanbietern wie Specops Password Notification und Specops Password Policy implementieren. Mit der Software Specops Password Notification, die so aufgebaut ist, dass sie den gesamten Prozess in einer einfachen grafischen Oberfläche handhabt. Sie können auch Bildschirmbenachrichtigungen aktivieren, um Benutzer zu motivieren, ihre Passwörter vor dem Ablaufdatum zu ändern oder zurückzusetzen. Mit dieser Lösung ist es wirklich so einfach wie die Angabe der Alarmschwelle und die Eingabe Ihrer SMTP-Servereinstellungen.

Sie können sogar automatisch eine Liste Ihrer Passwortrichtlinien in die E-Mail einfügen, sowie jegliche zusätzliche Nachrichten, die Sie einfügen möchten.

Setzen Sie sich über unser Kontaktformular mit uns in Verbindung und erhalten Sie weitere Informationen zu Specops Password Notification und unserer Self-Service Password Reset Lösung.

(Zuletzt aktualisiert am 15/06/2021)

Tags: ,

Zurück zum Blog

© 2024 Specops Software. All rights reserved.

Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.

Zur Datenschutzerklärung

OK