Beste Praxis zur Passwortrichtlinien mit UCS als AD-Master

UCS - Univention Corporate Server
#1

Hallo Forum,

bei mir herrscht leider immer noch Verwirrung in Bezug auf Passwortrichtlinien bei der Verwendung von UCS 4.0 mit Samba4 als AD-Master.

Mir sind bisher folgende Stellen bekannt, die etwas damit zu tun haben:
[ul]
[li]Feld “Konto-Ablaufdatum” in der UMC am Benutzerobjekt[/li]
[li]Richtlinie im Univention LDAP[/li]
[li]Einstellungen zum Passwort am Samba-Objekt im Univention-LDAP (Maximales Passwortalter usw.)[/li]
[li]Richtlinien die per AD-Gruppenrichtline erstellt werden.[/li]
[li]Samba Einstellungen die per samba-tool vergenommen werden.[/li][/ul]
Ich möchte gerne für die meisten User eine regelmäßige Passwortänderung bei der Anmeldung am Windows-PC erzwingen, für manche jedoch nicht.

Am liebsten wäre es mir, wenn ich alles per UMC, also per Univention-Richtlinie geregelt werden könnte.

Kann ich das erreichen?

Beste Grüße

Gerd Wilhelm

Passwort Richtlinie mit Samba4
#2

Soweit ich weiß, ist aufgrund von Bugs/noch nicht implementierten Features in Samba 4 eine Verwaltung dieser Einstellungen über UCS-Richtlinien momentan nicht möglich. Dazu gibt es bereits mehrere Bug-Einträge, u.a. 38748 und 38749.

Was jetzt genau alles geht und was nicht, das ist mir leider auch nicht so ganz klar. AD-Richtlinien sollten aber funktionieren.

#3

Hi Moritz,

danke für Deine Hilfe. Hab schon an mir gezweifelt, aber ich scheine ja nicht allein mit dem Problem zu sein.

Bei mir klappt das nicht.

Ich habe folgendes gemacht:
[ol]
[li]In der Gruppenrichtlinenverwaltung für Domänen die “Default Domain Policy” bearbeitet[/li]
[li]Dort “Computerkonfiguration” -> “Windows-Einstellungen” -> “Sicherheitseinstellungen” -> “Kontorichtlinien” -> “Kennwortrichtlinien” -> “Maximales Kennwortalter” auf 3 Tage gesetzt[/li]
[li]am Client “gpupdate /Force /Wait:0” ausgeführt.[/li]
[li]am Client und am Server Software und Hardware Uhr 4 Tage vorgestellt (Ist natürlich in Testsystem ;-)[/li][/ol]

Ergebnis: Anmeldung ist weiterhin möglich, keine Aufforderung zur Kennwortänderung. Wenn ich in der lokalen Gruppenrichtlinie mit gpedit.msc nachschaue, dann ist die AD-Richtline korrekt übernommen worden.

Was mache ich da falsch?

Die Einstellung per Samba-Tool kann ich nicht verwenden, da sonst z.B. auch das Kennwort vom OPSI-User pcpatch regelmäßig abläuft und OPSI dann nicht mehr funktioniert (bis der Admin dass dann wieder repariert hat).

Beste Grüße

Gerd

#4

Sorry, aber da kann ich nicht wirklich weiter helfen. Ich habe nur von Leuten gehört, die das angeblich nutzen, aber ich selber nutze keine AD-Passwort-Richtlinien.

Mastodon