UCS 3.x - Passwort-Ablaufintervall für bestimmte Benutzer

german

#1

Hallo Zusammen,

Im Einsatz ist UCS 3.02 (mit Samba Version 4) mit allen Hotfixes. Wenn eine Passwortrichtlinie eingerichtet ist, gilt diese für alle Benutzerkonten. Es gibt jedoch Benutzer, für die das Passwort nicht ablaufen darf (Services). Es gibt auch in der UMC ein Feld für das Ablaufdatum des Passworts, nur ist dieses Feld ausgegraut und nicht beschreibbar.
In älteren UCS-Versionen 2.x gab das Script “update_sambaPwdLastSet” (wiki.univention.de/index.php?tit … ichtlinien), mit welchem solche Benutzer-PW von der PW-Richtlinie abweichend eingestellt werden konnten.

Wie können bei UCS 3.x bestimmten Benutzern eine sehr lange Passwortperiode vergeben werden?
Können evtl. mehrere Passwort-Richtlinien erstellt werden?

Vielen Dank für einen Hinweis.

MfG
Frank Rentsch


Samba4 Passwort Richtlinie
#2

Hallo,

UCS Passwortrichtlinien können Sie ja bereits direkt mit bestimmten Containern oder Benutzern verbinden. Im Samba 4 AD sollten die Einstellungen über entsprechende Gruppenrichtlinien abgebildet werden können.
Hinweise dazu finden Sie z.B. im MS-Technet:
Apply or modify password policy
AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide

Mit freundlichen Grüßen
Janis Meybohm


#3

Das klingt gut, funktioniert aber nicht.


#4

Hallo,

Diese Richtlinie ist aber unter “Computerconfiguration” zu finden, und somit kann ich dieses nicht auf Benutzer- Ebene Regeln, korrekt?

Dieses unterstützt aber nicht Samba4, oder?


#5

Hallo,

Das scheint immer so zu sein. Ich denke, deswegen ist die Prozedur, eine FineGrainedPolicy zu erstellen, eben auch so kompliziert.

[quote=“DBGTMaster”]

Dieses unterstützt aber nicht Samba4, oder?[/quote]
Zumindest der Weg über das New-ADFineGrainedPasswordPolicy cmdlet funktioniert nicht von einer Maschine mit RSAT.

Fehler: “Es wurde kein Standardserver gefunden, auf denen die Active Directory-Webdienste ausgeführt werden.”

Ich versuch mal, über ADSI-Edit weiterzukommen.

Viele Grüße,
Dirk


#6

Also ich denke, dass die Fine-Grained Policy hier nicht funktioniert.

Folgender Test wurde durchgeführt:

  • Erzeugen einer PSO mit ADSIEdit gemäß Technet
  • Zuweisen der PSO auf eine globale Security Group und auf ein User Objekt
  • jeweilige Überprüfung mit dsget (siehe Technet)

Die Ausgabe von dsget war jeweils “dsget war erfolgreich”. Laut Dokumentation heißt das, die Default Domain Policy gilt.


#7

Ich habe nun für einen Kunden ein Skript geschrieben, welches via Crontab 1x am Abend alle Benutzer einer bestimmten Gruppe überprüft, wann zuletzt das Passwort geändert wurde. Wenn ein bestimmter Zeitraum eintrifft, wird beim Benutzer gesetzt, er muss das Kennwort ändern.