Minimales Kennwortalter

Manchmal denkt man, eine Funktion verstanden zu haben, und steht dann völlig ratlos da, wenn etwas nicht wie vorhergesagt funktioniert. So ging es mir mit der Einstellung „Minimales Kennwortalter“ in den Windows GPOs. Wie gesagt ist die Funktion eigentlich klar:

Ein Kennwort muss x Tage alt sein, bevor ein Benutzer es das nächste Mal ändern darf!

Aber was passiert, wenn der Benutzer sein Kennwort vergessen hat und der Helpdesk oder der Admin das Kennwort zurücksetzt? Da entstehen ein paar Fragen, und ich bin gespannt, ob jemand alle davon richtig beantworten kann:

1. Darf der Helpdesk bzw. Admin auch vor Ablauf der Kennwortalter-Frist das Kennwort zurücksetzen?
2. Wie oft darf der Helpdesk bzw. Admin das Kennwort innerhalb der Kennwortalter-Frist ändern?
3. Muss der Benutzer dann einen Tag warten, bevor er es selbst wieder ändern kann?
4. Kann der Helpdesk ein beliebiges Kennwort setzen?
5. Muss ein Benutzer auf die Kennwort-Historie achten?

Und hier die Antworten:

1) Der Helpdesk oder der Admin kann das Kennwort jederzeit zurücksetzen, die Frist gilt hier nicht.

2) Der Helpdesk oder der Admin darf das Kennwort beliebig oft hintereinander setzen, auch hier gilt keine Frist.

3) Und hier scheitern die meisten… Der Benutzer darf sein Kennwort nämlich tatsächlich erst am nächsten Tag wieder ändern. Davor bekommt er eine (wenig hilfreiche) Fehlermeldung bzgl. Komplexitätsanforderungen etc.

Erst wenn der Helpdesk oder der Administrator zusätzlich noch den Haken „Benutzer muss sein Kennwort beim nächsten Anmelden ändern“ setzt, dann gilt die Frist nicht und er darf es selbst und am gleichen Tag noch ändern. Nach dieser einen Änderung gilt aber wieder die eingestellte Frist bis zur nächsten Änderung (Ausnahmen siehe 1. und 2.). Übrigens ist auch dieser Text etwas verwirrend, denn „…beim nächsten Anmelden“ ist nicht korrekt, der Benutzer kann es vielmehr sofort danach ändern, zum Beispiel über Strg-Alt-Entf.

4. Jain, der Helpdesk kann zwar ein beliebiges Kennwort verwenden, allerdings muss es den Komplexitätsanforderungen hinsichtlich Länge und Sonderzeichen entsprechen. Der Helpdesk kann allerdings ein Passwort verwenden, das der Benutzer schon einmal in Verwendung hatte, d. h. die Passwort-Historie des Benutzers wird nicht überprüft. Der Helpdesk kann also auch ein Standard-Initial-Passwort mehrfach bei einem Benutzer verwenden.

5. Der Benutzer muss beim Ändern des Passwortes die Historie beachten, er darf also keines der letzten x Passwörter erneut verwenden (abhängig von der Einstellung in der Default Domain Policy). Allerdings gibt es einen interessanten Fall, wo die Historie nicht berücksichtigt wird: Beim Login. Wird die Policy verwendet, dass ein Account nach einer bestimmten Anzahl von Fehlversuchen automatisch gesperrt wird (Account Lockout Policy), dann zählen Fehlversuche mit alten Passwörtern nicht! Hat ein Benutzer also vergessen,d ass er sein Passwort geändert hat, oder wurde es vom Helpdesk (ohne Wissen des Benutzers) geändert, dann wird der Benutzer weiterhin versuchen, sich mit dem alten Passwort anzumelden. Und das darf er beliebig oft versuchen, ohne dass die Lockout Policy zuschlägt.

Na, alles gewusst?