Willkommen im Rechenzentrum

Menu

Passwortänderung für OU-Administratoren

Diese Information richtet sich ausschließlich an Administratoren, die an der TUHH für deren Organisationseinheit Arbeitsplätze und Server über die Active Directory Domäne 'tu-harburg.de' verwalten und sich bereits in einer darin angelegten sog. 'delegated OU' bewegen.

Anforderungen an die Qualität des Passwortes

  • Das Passwort muss mindestens 12 Zeichen lang sein.
  • Es müssen 4 Zeichenklassen enthalten sein: Klein/Grossbuchstaben, Ziffern, Sonderzeichen.
  • Eine Historie verhindert die Wiederverwendung und eine Zeitblockade zu schnelle Wechselvorgänge.

Ablauf des Passwortes

Wenn das Passwort abgelaufen ist oder zurückgesetzt wurde, wird direkt an Anmeldebildschirm eines Windows-Systems zu einer Passwortänderung aufgefordert.
Diese Aufforderung ist nur sichtbar und bedienbar, wenn es sich um eine direkt am Gerät erzeugte Eingabemaske handelt und das Windows-System am Active Directory angebunden ist.
In Frage kommen also:

  • Windows Clients an denen man sitzt, die angebunden sind und bei denen auszuschliessen ist, dass sie kompromittiert sind.
  • Virtuelle Windows Server, die über die VMWare vSpere Console besucht werden.
  • Windows Systeme, die man ohne NLA (Network Level Authentication) via RDP besucht und die deren entfernten Anmeldebildschirm präsentieren.
Es gibt KEINE Aufforderungen zur Passwortänderung:

  • Bei Zugriffen auf Ressourcen, wie beim Einbinden eines Netzlaufwerks.
  • Bei Anmeldungen via RDP auf Windows Systeme, wenn die Standardmethode mit NLA (Network Level Authentication) passiert. In diesen Fällen werden die Anmeldedaten am lokalen Besucherrechner eingefordert, nicht am Zielrechner und es wird ein Fehler anstatt eine Änderungsaufforderung angezeigt.

Vorzeitiges Ändern des Passwortes

Das Passwort kann jederzeit von einem laufenden Windows Desktop aus proaktiv geändert werden, wärend man mit dem betroffenen OU-Administratorkonto angemeldet ist. Das funktioniert mit Tricks aus mehreren Perspektiven:

  • An einem physischen lokal laufenden Windows Desktop die Tastenkombination STRG+ALT+DEL drücken und 'Change Password' wählen.
  • An einem via VMWare vSphere angezeigten 'lokal' laufenden Windows Desktop mit Hilfe des Webconsole- oder Remote-Console Menüs die Tastenkombination STRG+ALT+DEL anschicken und 'Change Password' wählen.
  • Via RDP an einem entfernt laufenden Windows Desktop die Tastenkombination STRG+ALT+END drücken und 'Change Password' wählen.
  • Bei verschachteltem RDP (also RDP über RDP) an dem entferntesten laufenden Windows Desktop das OnScreen-Keyboard mit osk.exe starten, lokal die Tastenkombination STRG+ALT halten, am OSK die Taske DEL klicken und 'Change Password' wählen.

Ablaufwarnungen

Jeden Mittwoch wird mit einem zentralen Skript geprüft, ob sich Konten, die von der Passwort Policy betroffen sind, dem Passwortablaufdatum nähern. Gegebenenfalls werden dann Informationen dazu via E-Mail versendet.