UCS 3.x - Passwort-Ablaufintervall für bestimmte Benutzer

topucs · February 4, 2013, 12:42pm

Hallo Zusammen,

Im Einsatz ist UCS 3.02 (mit Samba Version 4) mit allen Hotfixes. Wenn eine Passwortrichtlinie eingerichtet ist, gilt diese für alle Benutzerkonten. Es gibt jedoch Benutzer, für die das Passwort nicht ablaufen darf (Services). Es gibt auch in der UMC ein Feld für das Ablaufdatum des Passworts, nur ist dieses Feld ausgegraut und nicht beschreibbar.
In älteren UCS-Versionen 2.x gab das Script “update_sambaPwdLastSet” (wiki.univention.de/index.php?tit … ichtlinien), mit welchem solche Benutzer-PW von der PW-Richtlinie abweichend eingestellt werden konnten.

Wie können bei UCS 3.x bestimmten Benutzern eine sehr lange Passwortperiode vergeben werden?
Können evtl. mehrere Passwort-Richtlinien erstellt werden?

Vielen Dank für einen Hinweis.

MfG
Frank Rentsch

Meybohm · February 12, 2013, 7:34am

Hallo,

UCS Passwortrichtlinien können Sie ja bereits direkt mit bestimmten Containern oder Benutzern verbinden. Im Samba 4 AD sollten die Einstellungen über entsprechende Gruppenrichtlinien abgebildet werden können.
Hinweise dazu finden Sie z.B. im MS-Technet:
Apply or modify password policy
AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide

Mit freundlichen Grüßen
Janis Meybohm

sebald · February 27, 2013, 10:03am

Das klingt gut, funktioniert aber nicht.

DBGTMaster · July 31, 2013, 11:16am

Hallo,

Diese Richtlinie ist aber unter “Computerconfiguration” zu finden, und somit kann ich dieses nicht auf Benutzer- Ebene Regeln, korrekt?

Dieses unterstützt aber nicht Samba4, oder?

ahrnke · August 23, 2013, 9:29am

Hallo,

Das scheint immer so zu sein. Ich denke, deswegen ist die Prozedur, eine FineGrainedPolicy zu erstellen, eben auch so kompliziert.

[quote=“DBGTMaster”]

Dieses unterstützt aber nicht Samba4, oder?[/quote]
Zumindest der Weg über das New-ADFineGrainedPasswordPolicy cmdlet funktioniert nicht von einer Maschine mit RSAT.

Fehler: “Es wurde kein Standardserver gefunden, auf denen die Active Directory-Webdienste ausgeführt werden.”

Ich versuch mal, über ADSI-Edit weiterzukommen.

Viele Grüße,
Dirk

ahrnke · August 23, 2013, 11:46am

Also ich denke, dass die Fine-Grained Policy hier nicht funktioniert.

Folgender Test wurde durchgeführt:

Erzeugen einer PSO mit ADSIEdit gemäß Technet
Zuweisen der PSO auf eine globale Security Group und auf ein User Objekt
jeweilige Überprüfung mit dsget (siehe Technet)

Die Ausgabe von dsget war jeweils “dsget war erfolgreich”. Laut Dokumentation heißt das, die Default Domain Policy gilt.

DBGTMaster · August 23, 2013, 7:13pm

Ich habe nun für einen Kunden ein Skript geschrieben, welches via Crontab 1x am Abend alle Benutzer einer bestimmten Gruppe überprüft, wann zuletzt das Passwort geändert wurde. Wenn ein bestimmter Zeitraum eintrifft, wird beim Benutzer gesetzt, er muss das Kennwort ändern.