Kennwortänderungsaufforderung per Email mittels Password Reminder Pro

Das Problem

Stellen Sie sich vor, Sie sind der Administrator eines mittelgroßen bis großen Netzwerkes. In diesem Netzwerk nutzen Sie Active Directory als Verzeichnisdienst und Exchange als Mailsystem. Als Clientbetriebssystem setzen Sie jedoch auf freie Auswahl. (Wie ich erfahren durfte, ist das in manchen Institutionen so üblich.)

Aus Sicherheitsgründen wurde im Active Directory eine Kennwortrichtlinie definiert und ein maximales Kennwortalter festgelegt. Windows-PCs, die ins Active Directory integriert sind, benachrichtigen die Benutzer beim Anmelden über ein Ablaufen des Kennworts. Auch Outlook, Outlook WebAccess oder Entourage 2004 sind in der Lage, den Benutzer auf ein ablaufendes Kennwort hinzuweisen.

Abbildung 1: Kennwortänderungsmeldung Entourage 2004 (Quelle: Microsoft-Webseite)

Benutzen Ihre User allerdings Protokolle wie IMAP4 oder POP3, melden sich über VPN-Netzwerk an oder fahren ihren PC nur in den Ruhezustand, dann werden sie nicht über die anstehende Passwortänderung benachrichtigt. Auch Windows Mobile auf mobilen Geräten kann keine Erinnerung erzeugen. Schlecht, wenn man auch im Urlaub auf den Zugang zum Postfach angewiesen ist.

Die Lösung

1. Abhilfe kann man sich wie fast immer über Skriptlösungen schaffen. Beispielsweise hat Michael B. Smith ein entsprechendes Skript auf seinem Blog veröffentlicht (Link korrigiert am 8. November 2008):
   [Sending an e-mail to users whose password is about to expire – Michael’s meanderings…]
   http://theessentialexchange.com/blogs/michael/archive/2007/11/13/sending-an-e-mail-to-users-whose-password-is-about-to-expire.aspx
   Das setzt natürlich voraus, dass man entweder selbst skripten kann oder jemanden kennt, der das kann.
2. Wie immer gibt es aber auch Produkte von kommerziellen Anbietern, die das Ganze einfach verpackt und mit zusätzlichen Features versehen vertreiben. Ein solches Tool ist „Password Reminder Pro“ von Sysoptools.

Password Reminder Pro 

Die Funktionsweise des Programms ist dabei relativ einfach. Benutzerkonten mit ablaufenden Kennworten werden aus dem Active Directory ausgelesen und anhand des vordefinierten Wertes der Passwortrichtlinie benachrichtigt. Die Benachrichtigung erfolgt dabei mittels SMTP. Ist kein Exchange-Server im Einsatz, so sind die Emailadressen der Nutzer manuell in das Active Directory einzupflegen, damit die Benachrichtigung durch Password Reminder Pro zugestellt werden kann.

Der Hersteller bietet eine 60-Tage-Testphase ohne Funktionseinschränkungen an. Diese ist über die Registrierung auf der Webseite anzufordern http://www.sysoptools.com/customerform.aspx. Nachdem man seine Aktivierung erhalten hat, kann das Programm heruntergeladen werden. Dabei fällt sofort auf, dass das ganze sehr „schlank“ gehalten wurde (Dateigröße 1,08 MB).

Die Software läuft als Dienst auf einem Server oder Workstation in der Domäne. Auch ein DC ist kein Problem. Das Setup erfordert kaum Einstellungen. Nachdem das Setup abgeschlossen ist, ist noch eine Änderung an der Dienstekonfiguration durchzuführen: Der Dienst darf nicht als LocalSystem ausgeführt werden, sondern benötigt einen Benutzeraccount, um die Benachrichtigungs-Emails zu versenden. Dazu wird das Recht „Ausführen als Dienst“ benötigt sowie Schreibrechte für diesen Account auf den Registrypfad:
HKEY_LOCAL_MACHINE\SOFTWARE\SysopTools.

Im Programm selbst sind nun die Konfigurationen vorzunehmen: Registrierungsschlüssel, Mailserver (über den die Benachrichtigungen verschickt werden), Absendername und seine Emailadresse und natürlich das maximale Kennwortalter, welches identisch zur Einstellung in der Domänenkennwortrichtlinie sein sollte.

Abbildung 2: Password Reminder Pro Programmfenster

Der Benutzer wird insgesamt drei Mal mittels Email aufgefordert sein Kennwort zu ändern. Hierzu lassen sich entsprechend drei verschiedene Templates einbinden, die man selbst editieren kann. Abbildung 3 zeigt ein Beispiel, welches auf der Herstellerseite heruntergeladen werden kann.

Abbildung 3: Beispielvorlage für eine Benachrichtigungsemail

Auch der Zeitpunkt, wann die Benachrichtigungen versandt werden, kann definiert werden.

Damit die Benutzer nicht fälschlicherweise benachrichtigt werden, kann das Programm in einen Testmodus versetzt werden, in dem noch keine Nachrichten an die Benutzer versandt werden, sondern nur an den Administrator. Über die PRPConsole ist es möglich, einen Report und die einzelnen Benachrichtigungen zu erhalten.

Abbildung 4: Password Reminder Pro Console

Mit der Reportkonsole (siehe Abbildung 2) kann man die lizenzierten Benutzer, demnächst ablaufende Benutzerkonten, deaktivierte Benutzerkonten usw. anzeigen. Auch der Export z.B. nach Excel ist möglich.

Abbildung 5: Reportkonsole mit Exportmöglichkeit

Lizenzierung:
Lizenziert werden Benutzerobjekte, welche ein ablaufendes Kennwort besitzen. Benutzerobjekte, die kein ablaufendes Kennwort besitzen, oder die deaktiviert sind, müssen nicht lizenziert werden. Die kleinste Lizenzierung pro Domain beinhaltet 100 und die größte 2500 lizenzierungspflichtige Objekte. Domänen mit mehr als 2500 lizenzierungspflichtigen Objekten werden als „unlimited users license“ behandelt.

Beispielstaffelung der Lizenzkosten:

100 user, single domain w/ annual maintenance  ~ 300$
600 user, single domain w/ annual maintenance  ~ 800$
1500 user, single domain w/ annual maintenance ~ 1500$

Die jährliche Wartungspauschale (Maintenance) ist nicht zwingend erforderlich, wird jedoch dringend empfohlen. Sie beinhaltet bspw. die versionsübergreifenden Programmupdates (1.3 > 2.0). Versionsupdates von bspw. 1.3 nach 1.4 sind auch ohne diese Maintenance möglich.
Um sich vor der Testphase einen Überblick zu verschaffen, wie viele Lizenzen benötigt würden, kann das folgende Tool genutzt werden.
http://www.sysoptools.com/support/files/PRPLicenseRequirements.zip

Abbildung 6: Lizenzcheck-Tool

Genaue Preise und Bedingungen für Ihre Umgebung sollten Sie beim Hersteller erfragen.

Achtung!

Falls Userkonten mittels Script angelegt oder aus NT4 migriert wurden, kann es dazu kommen, dass das UserAccountControl Attribut nicht korrekt gesetzt wurde. Dies führt dazu, dass diese Konten nicht von Password Reminder Pro bei Ablauf des Passwortes beachtet werden und der Nutzer keine Email erhält. Die Lösung hierfür steht im Whitepaper „Fixing user accounts flagged as system accounts – the UserAccountControl AD attribute“

Fazit

Das Programm erweist sich als erstaunlich einfach und praktisch im Alltag, und wird jedem Administrator, der die obige Ausgangssituation kennt, eine Menge an Telefonanrufen ersparen. Mein bisheriger Kontakt mit dem Produktsupport über Email erfolgte schnell und unkompliziert. Nach Aussage der Entwickler werden Kunden ermutigt, Vorschläge und Kritikpunkte einzureichen, um diese in das Produkt mit einfließen zu lassen. Auch die Lizenzkosten bewegen sich in einem Rahmen, der die Eigenentwicklung mittels Skript durchaus kostenintensiver werden lassen kann, sollte man diese oder ähnliche Funktionalitäten im Skript mit abdecken müssen.

Ein paar kleine Kritikpunkte muss ich trotzdem loswerden.

1. Das manuelle Einsetzen des Diensteaccounts sollte meiner Meinung nach direkt im Setup erfolgen. Genau wie die Berechtigungsanpassung in der Registry.
2. Das Setzen des maximalen Kennwortalters sollte nicht manuell erfolgen, sondern vom Programm automatisch aus dem AD ausgelesen werden. Zumindest bis zum Erscheinen von Windows Server 2008 sollte das relativ einfach zu implementieren sein.
3. Das Programm hat Probleme bei der Darstellung der deutschen Umlaute. Laut Support wird an diesem Problem bereits gearbeitet und soll in Version 2.0 behoben werden.

Herstellerwebseite:
http://www.sysoptools.com/
Support über die Webseite:
http://www.sysoptools.com/support.html
Beispieltemplates: http://www.sysoptools.com/support/files/Custom_Email_Templates_12162006.zip