Administratoren sollten sich von Zeit zu Zeit einen Überblick verschaffen, wann Anwender das letzte Mal Ihr Kennwort Ihres Active Directory Accounts geändert haben.

Grundsätzlich ist eine regelmäßige Kennwortänderung durchaus sinnvoll, wenn der Anwender auch wirklich sinnvolle Kennwörter vergibt und Kennwörter nicht für unterschiedliche Dienste mehrfach verwendet. Neueste Untersuchungen haben z.B. gezeigt, dass es der Sicherheit nicht unbedingt zuträglich ist, wenn von Anwender im Netzwerk in kurzen Abständen (z.B. 3 Monaten) eine Kennwortänderung abverlangt wird. In diesem Fall verwenden die Anwender mehr oder weniger immer die gleichen Kennwörter und ändern diese nur geringfügig ab, da sich die meisten Anwender die Masse an Kennwörtern überhaupt nicht mehr merken kann. Aber dieses sollte natürlich in der Verantworter der IT-Abteilung oder der Administratoren liegen.

Auf jeden Fall könnt Ihr Euch über die PowerShell eine schnelle Übersicht verschaffen, wann Anwender Ihr Kennwort im AD das letzte Mal geändert haben und ob der Wert für

Passwortneverexpires (Kennwort läuft nicht ab)

Empfohlener Beitrag

LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser

auf „False“ gesetzt ist. Damit könnt Ihr erkennen, ob die User überhaupt aufgefordert werden, Ihre Kennwörter in regelmäßigen Abständen zu ändern.

Der Befehl um diese Informationen entsprechend von allen Konten des Active Directorys abzurufen lautet wie folgt.

get-aduser -filter * -properties passwordlastset, passwordneverexpires | ft Name, passwordlastset, Passwordneverexpires

Hier nachfolgend seht Ihr den Befehl und deren Ausgabe exemplarisch abgebildet.

Letzte Passwortänderung von AD Konten

Zusätzlich zum User Kontoname wird das Datum der letzten Passwortänderung mit ausgegeben. In der letzten Spalte wird dann noch für jedes AD Konto ausgegeben, ob das Kennwort des AD-Kontos abläuft oder nicht.

Empfohlener Beitrag

LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser

Wenn Ihr die Liste sortiert nach Datum der letzten Kennwortänderung ausgeben möchtet, so lautet der Befehl dann

get-aduser -filter * -properties passwordlastset, passwordneverexpires | sort passwordlastset | ft Name, passwordlastset, Passwordneverexpires

Weitere Beiträge rund um Kennwörter findet Ihr auch hier auf Windows-FAQ.de.

– Windows Kennwort muss bestimmte Kennwortrichtlinien erfüllen – Sicherheit erhöhen
– Minimales und Maximales Kennwortalter bei Windows definieren
– Specops Password Auditor – Überprüfung der Passwörter und Kennwortrichtlinien
– Passwort Auditor – schwache Passwörter erkennen
– Kennwortchronik unter Windows aktivieren – Verwendung immer wieder gleicher Kennwörter verhindern
– Windows Kennwort ändern bei Windows 10
– Minimale Kennwortlänge bei Windows festlegen
– Computer sperren und neu starten nach mehrfacher Eingabe eines falschen Kennwortes
– Windows nach ungültigen Anmeldungen automatisch sperren
– Kennwort Sicherheitsfragen erstellen oder ändern bei Windows 10
– Gespeicherte Kennwörter im Edge Browser verwalten, bearbeiten oder löschen
– Schaltfläche zum Anzeigen des Windows Kennwortes bei Windows 10 ausblenden
– Cookies, Formulardaten und Kennwörter im Edge Browser löschen
– Windows 10 Kennwortabfrage auf Surface nach Drücken der Power Taste deaktivieren
– WLAN Kennwort im Klartext anzeigen per DOS Befehl
– Windows Kennwort einer Hyper-V VM zurücksetzen
– Administrator Kennwort zurücksetzen
– Die Limits der Fine Grained Password Policies in Windows AD
– Set-ADUser – Ändern von Informationen im AD per PowerShell

Empfohlene Beiträge