Lokaler Benutzer mit nie ablaufendem Passwort

Hallo

Ich richte auf diversen PCs in unserem Netzwerk einen lokalen Benutzer
ein, der externen oder internen Mitarbeitern dazu dient, sich anmelden
zu können, wenn sie kein eigenes Login haben, oder wenn sie sich an
einem anderen Standort anmelden müssen und sie nicht genug Zeit haben,
bis das Roaming-Profile von einem anderen Standort abgerufen wurde.

Diesen lokalen Benutzer will ich nicht auf jedem Gerät von Hand
einrichten müssen und das Passwort dieses Users sollte nie ablaufen und
es sollte nicht geändert werden können. Mit unserer Softwareverteilung
lasse ich also ein Script ablaufen:

net accounts /maxpwage:unlimited
net user XXX YYY /add /expires:never /passwordchg:no

Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
sich herausgestellt hat, da das maximale Passwortalter "leider" von
unseren Domain-Policies überschrieben werden.

Gibt es irgendeine Möglichkeit, dies zu umgehen für den lokalen
Benutzer, ohne das ich manuell eingreifen muss, sprich das Häkchen bei
"Kennwort läuft nie ab" setze?

PS: XP mit Flup...

TIA
Florian

Hi,

Florian Spisla schrieb:
> net accounts /maxpwage:unlimited
> net user XXX YYY /add /expires:never /passwordchg:no
> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
> sich herausgestellt hat, da das maximale Passwortalter "leider" von
> unseren Domain-Policies überschrieben werden.

Dann editiere/erstelle die Kennworttichtlinie in einer GPO auf
Computerebene, denn diese ist effektiv für die lokalen Benutzerkonten,
so sie denn existieren.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Moin,

Florian Spisla schrieb:
> Ich richte auf diversen PCs in unserem Netzwerk einen lokalen Benutzer
> ein

die Idee halte ich nicht für gut.

> Diesen lokalen Benutzer will ich nicht auf jedem Gerät von Hand
> einrichten müssen und das Passwort dieses Users sollte nie ablaufen und
> es sollte nicht geändert werden können.

Die Idee halte ich für noch schlechter. Sicherheit ist dir egal?

> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
> sich herausgestellt hat, da das maximale Passwortalter "leider" von
> unseren Domain-Policies überschrieben werden.

Das ist ja auch gut so.

> Gibt es irgendeine Möglichkeit, dies zu umgehen für den lokalen
> Benutzer, ohne das ich manuell eingreifen muss, sprich das Häkchen bei
> "Kennwort läuft nie ab" setze?

Wenn das Kennwort nie abläuft, läuft es nie ab. Wozu dann überhaupt die
lokale Policy manipulieren?


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

"Florian Spisla" <individual@nurfuerspam.de> schrieb
Hi,

> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
> sich herausgestellt hat, da das maximale Passwortalter "leider" von
> unseren Domain-Policies überschrieben werden.

Und wo ist dein Problem? Es geht um lokale Userkonten, also leg einfach
ein GPO für diese Computer an und definiere ein nicht ablaufendes
Kennwort in der Kennwortrichtlinie dieses GPOs.

Bye
Norbert

Hallo

Nils Kaczenski [MVP] wrote:
>> Ich richte auf diversen PCs in unserem Netzwerk einen lokalen Benutzer
>> ein
> die Idee halte ich nicht für gut.

Nun, ich bin offen für andere Ideen! Wie können sich User mit einem
Roaming Profile >80MB über eine Standleitung von 2Mbit anmelden, ohne
stundenlang warten zu müssen? Macht es mehr Sinn, wenn externe Besucher
an einem PC mit den Rechten eines Domain-Users angemeldet werden, nur
weil sie im Sitzungszimmer eine PowerPoint-Präsentation vorführen?

>> Diesen lokalen Benutzer will ich nicht auf jedem Gerät von Hand
>> einrichten müssen und das Passwort dieses Users sollte nie ablaufen
>> und es sollte nicht geändert werden können.
> Die Idee halte ich für noch schlechter. Sicherheit ist dir egal?

X Leute benutzen diesen lokalen Benutzer um sich an diesem PC
anzumelden. Diesen Benutzer gibts auf ca. 10 PC in unserem Netzwerk. Das
Passwort läuft ab und ein Benutzer ändert es... Gibt auf Dauer ein ganz
schönes Chaos!

>> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
>> sich herausgestellt hat, da das maximale Passwortalter "leider" von
>> unseren Domain-Policies überschrieben werden.
> Das ist ja auch gut so.

Finde ich nicht. Ich finde es unlogisch, das Domain-Policies für lokale
Accounts greifen.

>> Gibt es irgendeine Möglichkeit, dies zu umgehen für den lokalen
>> Benutzer, ohne das ich manuell eingreifen muss, sprich das Häkchen bei
>> "Kennwort läuft nie ab" setze?
> Wenn das Kennwort nie abläuft, läuft es nie ab. Wozu dann überhaupt die
> lokale Policy manipulieren?

Hä? Es läuft ja ab. Und ich will ja nicht, das es abläuft!

Gruss
Florian

"Florian Spisla" <individual@nurfuerspam.de> schrieb
Hi,

> Nun, ich bin offen für andere Ideen! Wie können sich User mit einem
> Roaming Profile >80MB über eine Standleitung von 2Mbit anmelden, ohne
> stundenlang warten zu müssen?

Gegenfrage: Warum überhaupt Roaming Profiles?
Zu deiner Frage: Schau dir Ordnerumleitung usw. an, damit kannst du die
Größe der Profile drastisch reduzieren. Das Ganze dann in Verbindung mit
Offline Dateien /kann/ sinnvoll funktionieren.

> Macht es mehr Sinn, wenn externe Besucher an einem PC mit den Rechten
> eines Domain-Users angemeldet werden, nur weil sie im Sitzungszimmer eine
> PowerPoint-Präsentation vorführen?

Ja macht es. Dafür gibts dann einen Funktionsaccount dessen Passwort
regelmässig geändert wird.

Bye
Norbert

Moin,

Florian Spisla schrieb:
> Hä? Es läuft ja ab. Und ich will ja nicht, das es abläuft!

dafür setzt du doch die Option "/expires:never". Oder missverstehe ich
da jetzt was?


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

On 31 Mrz., 10:31, Florian Spisla <individ...@nurfuerspam.de> wrote:
> Hallo
>
> Ich richte auf diversen PCs in unserem Netzwerk einen lokalen Benutzer
> ein, der externen oder internen Mitarbeitern dazu dient, sich anmelden
> zu können, wenn sie kein eigenes Login haben, oder wenn sie sich an
> einem anderen Standort anmelden müssen und sie nicht genug Zeit haben,
> bis das Roaming-Profile von einem anderen Standort abgerufen wurde.
>
> Diesen lokalen Benutzer will ich nicht auf jedem Gerät von Hand
> einrichten müssen und das Passwort dieses Users sollte nie ablaufen und
> es sollte nicht geändert werden können. Mit unserer Softwareverteilung
> lasse ich also ein Script ablaufen:
>
> net accounts /maxpwage:unlimited
> net user XXX YYY /add /expires:never /passwordchg:no
>
> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
> sich herausgestellt hat, da das maximale Passwortalter "leider" von
> unseren Domain-Policies überschrieben werden.
>
> Gibt es irgendeine Möglichkeit, dies zu umgehen für den lokalen
> Benutzer, ohne das ich manuell eingreifen muss, sprich das Häkchen bei
> "Kennwort läuft nie ab" setze?
>
> PS: XP mit Flup...
>
> TIA
> Florian

Hi,
so als erster schnellschuß ein kleines VB Script


Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000


strComputer = "DEINE WORKSTATION"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
Set objUser = colAccounts.Create("user", "DEIN BENUTZERNAME")
objUser.SetPassword "DEIN PASSWORT"
objUser.SetInfo
objUserFlags = objUser.Get("UserFlags")
objPasswordExpirationFlag = objUserFlags Or ADS_UF_DONT_EXPIRE_PASSWD
objUser.Put "userFlags", objPasswordExpirationFlag
objUser.SetInfo

Gruß
Frank

On 31 Mrz., 10:31, Florian Spisla <individ...@nurfuerspam.de> wrote:
> Hallo
>
> Ich richte auf diversen PCs in unserem Netzwerk einen lokalen Benutzer
> ein, der externen oder internen Mitarbeitern dazu dient, sich anmelden
> zu können, wenn sie kein eigenes Login haben, oder wenn sie sich an
> einem anderen Standort anmelden müssen und sie nicht genug Zeit haben,
> bis das Roaming-Profile von einem anderen Standort abgerufen wurde.
>
> Diesen lokalen Benutzer will ich nicht auf jedem Gerät von Hand
> einrichten müssen und das Passwort dieses Users sollte nie ablaufen und
> es sollte nicht geändert werden können. Mit unserer Softwareverteilung
> lasse ich also ein Script ablaufen:
>
> net accounts /maxpwage:unlimited
> net user XXX YYY /add /expires:never /passwordchg:no
>
> Funktioniert auch wunderbar. Nur das die erste Zeile sinnlos ist, wie
> sich herausgestellt hat, da das maximale Passwortalter "leider" von
> unseren Domain-Policies überschrieben werden.
>
> Gibt es irgendeine Möglichkeit, dies zu umgehen für den lokalen
> Benutzer, ohne das ich manuell eingreifen muss, sprich das Häkchen bei
> "Kennwort läuft nie ab" setze?
>
> PS: XP mit Flup...
>
> TIA
> Florian

Hi,
hier mal ein kleines VBScript zur Anlage eines Benutzers mit nie
ablaufendem Kennwort.


Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000


strComputer = "DEINE WORKSTATION"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
Set objUser = colAccounts.Create("user", "DEIN BENUTZERNAME")
objUser.SetPassword "DEIN PASSWORT"
objUser.SetInfo
objUserFlags = objUser.Get("UserFlags")
objPasswordExpirationFlag = objUserFlags Or ADS_UF_DONT_EXPIRE_PASSWD
objUser.Put "userFlags", objPasswordExpirationFlag
objUser.SetInfo

Gruß
Frank

Hallo Florian,

Es sieht so aus als müsstest du jedes Notebook anfassen und das Häcken
setzen... Ich habe mal auf meinen Systemen etwas rumgespielt und keinen
Erfolg gehabt, das /expires:never angenommen zu bekommen...

Vielleicht hast du ja bereits einen Weg gefunden?


Frank