Windows-Sicherheit Dialog Passwort ändern auf Server 2008 aufrufen

  • Kann mir jemand verraten, wie ich den Windows-Sicherheit Dialog auf einem Server 2008 aufgerufen bekommen?

    Hintergrund ist der, dass ich über Autoit die Ablaufdauer des Passwortes für den angemeldeten Benutzer abfrage und ihn dann bequem über einen "Jetzt ändern"-Knopf direkt zum Windows-Sicherheits Passwort ändern Dialog leiten möchte.

    Warum das ganze? Weil das kleine Bubble, dass das Passwort in den nächsten Tagen abläuft einfach von den Usern übersehen wird und ich ständig die Passwörter reseten muss.

  • Mhh, es scheint keinen direkten rundll32 Aufruf oder ähnliches zu geben.

    Ich hab das mal (vor so 8 Jahren) mal anders gelöst. Der Benutzer musste das ganze in die von mir erstellte GUI eingeben,
    die hat nach Prüfung dann das Programm pspasswd.exe von der kostenlosen Sysinternals Tools Suite aufgerufen.
    Das hatte ich aber so umständlich gemacht weil die Benutzer aus Domäne A ihre Kennwörter in der neuen Domäne B setzen sollten.

    Du könntest auch mit der Active Directory UDF das Kennwort aus dem Programm selbst ändern: Active Directory Funktionen - Neue Version 1.4.6.0 freigegeben!

    Oder du rufst lokal net user Benutzername NeuesPasswort /domain auf.
    Der Admin darf das für alle Benutzer, ein Benutzer zumindest für sich selbst.

    Die ganze Prüfung ob das ganze den Anforderungen entspricht musst du dann natürlich selbst machen.
    net use teilt dir aber über den Rückgabecode mit ob es geklappt hat oder nicht, 0 ist ok und alles andere ein Fehler

  • Ja wird er, allerdings darf der User (aus welchen Gründen auch immer, ich habe keine Ahnung warum) dass Passwort dann nicht mehr ändern.

    Wird eine Domänenrichtlinie / Gruppenrichtlinie sein => Minimum Password Age
    Die steht oft auf 1 Tag. Wenn die auf 0 ist darf man sofort wieder das Kennwort ändern. Ansonsten 24h warten.

  • Ja wird er, allerdings darf der User (aus welchen Gründen auch immer, ich habe keine Ahnung warum) dass Passwort dann nicht mehr ändern.

    Das würde ich mir einfach mal vom nächsten Benutzer zeigen lassen. Das ist eigentlich eine vorhandene Funktionalität von Microsoft. Den Umweg über ein AutoIt-Skript würde ich an dieser Stelle nicht gehen. Im Gegenteil würde ich das Problem analysieren, da es sicherlich nicht "normal" ist.

    Grüße Yaerox

    Grüne Hölle

  • Wird eine Domänenrichtlinie / Gruppenrichtlinie sein => Minimum Password AgeDie steht oft auf 1 Tag. Wenn die auf 0 ist darf man sofort wieder das Kennwort ändern. Ansonsten 24h warten.

    Minimales Kennwortalter ist bei 0

    Das würde ich mir einfach mal vom nächsten Benutzer zeigen lassen. Das ist eigentlich eine vorhandene Funktionalität von Microsoft. Den Umweg über ein AutoIt-Skript würde ich an dieser Stelle nicht gehen. Im Gegenteil würde ich das Problem analysieren, da es sicherlich nicht "normal" ist.

    Vielleicht liegt das Problem an der AD Farm 2003 und Server 2008er Server?

    Das Problem gäbe es garnicht erst, wenn dieser scheiß Bubble von MS a) größer wäre und b) länger sichtbar wäre (dieser verschwindet nach ca. 3s)

  • Vielleicht liegt das Problem an der AD Farm 2003 und Server 2008er Server?

    Das Problem gäbe es garnicht erst, wenn dieser scheiß Bubble von MS a) größer wäre und b) länger sichtbar wäre (dieser verschwindet nach ca. 3s)

    Das ist Spekulation. Du hast gesagt, dass die User die Kennwortänderung umgehen können. Lass dir das zeigen.

    Über das Darstellungsverhalten kann man nun streiten. Wie gesagt, ich tendiere schlichtweg eher dazu, das Verhalten zu analysieren, da es eine Standardfunktionalität des ADs ist.
    Ich sage das auch nicht ohne Grund, oder weil ich keinen AutoIt Ansatz zeigen möchte, sondern da wir mal ein Problem hatten, dass uns ziemlich viel Zeit gekostet hat. Wenn du z.B. Web-Services nutzt, die sich mit dem AD authentifizieren, und die Konten abgelaufen sind, kann es zu erheblichen Problemen kommen.

    Grüße Yaerox

    Grüne Hölle

  • Minimales Kennwortalter ist bei 0

    Woher hast du den Wert?

    Ich würde nur der Ausgabe von

    gpresult /h Ergebnis.html

    trauen. Der Befehl erstellt im aktuellen Verzeichnis eine Html-Datei - sieht aus wie der Bericht in der Gruppenrichtlinienkonsole.
    Und du musst den Befehl als ein betroffener Benutzer ausführen!
    Einen der nicht nebenbei Domänen-Admin ist.


    Das Problem gäbe es garnicht erst, wenn dieser scheiß Bubble von MS a) größer wäre und b) länger sichtbar wäre (dieser verschwindet nach ca. 3s)

    Na, dann in die Hände gespuckt und Programmiert. Du kannst ja das AD abfragen (gibt es bestimmt mehr als eine Möglichkeit) und dann selbst einen Dialog einblenden

  • Das ist Spekulation. Du hast gesagt, dass die User die Kennwortänderung umgehen können. Lass dir das zeigen.

    Ich habe lediglich erwähnt, dass die User dass Passwort "aus welchen Gründen auch immer" nicht mehr ändern dürfen. Der Dialog kommt hoch, sie geben dass alte Passwort ein welches ja, aus dem Grund das Kennwort ist abgelaufen, geändert werden muss. Dann suchen sich die User Schick ein neues aus, aber die Änderung wird nicht akzeptiert, dass das Kennwort abgelaufen sei.

    Na, dann in die Hände gespuckt und Programmiert. Du kannst ja das AD abfragen (gibt es bestimmt mehr als eine Möglichkeit) und dann selbst einen Dialog einblenden

    Da wäre fertig, ich würde den verwöhnten Usern nur direkt die Möglichkeit geben wollen, dass Passwort via Knopfdruck über die grafische Windows-Sicherheit "GUI" zu ändern. Alternativ müsste ich dann einfach STRG-ALT-ENTF als Keys senden, käme quasi fast auf selbe heraus, nur dass die dann wieder auf Kennwort Ändern klicken müssen.


    Woher hast du den Wert?

    Der Wert ist der, der auf dem DC in der Policy enthalten ist!

    Trotzdem vielen Dank für die nette Diskussion, ich werde mir gut überlegen, ob ich den Ansatz so weiter verfolgen werde, oder doch lieber beim einblenden einer MsgBox, dass das Kennwort in X Tagen abläuft, bleibe.

    Spoiler anzeigen