Zurücksetzen des Kennwortverlaufs im Active Directory auf ein bestimmtes Datum

Question 1

Ich kenne keine Möglichkeit, den Passwortverlauf auf einen festgelegten Zeitpunkt zurückzusetzen. Ich denke (bin mir aber nicht sicher), dass, wenn Sie Ihre Richtlinie ändern, um die letzten drei Passwörter zu speichern, die letzten drei Passwörter erhalten bleiben, die früheren jedoch verworfen werden. Wenn Sie ungefähr wissen, wie oft Ihre Passwörter geändert werden müssen, z. B. wenn eine Richtlinie eine Änderung alle 30 Tage erfordert, können Sie dies verwenden, um den Passwortverlauf auf einen ungefähren Zeitpunkt zurückzusetzen.

JR

Answer

Ich kenne keine Möglichkeit, den Passwortverlauf auf einen festgelegten Zeitpunkt zurückzusetzen. Ich denke (bin mir aber nicht sicher), dass, wenn Sie Ihre Richtlinie ändern, um die letzten drei Passwörter zu speichern, die letzten drei Passwörter erhalten bleiben, die früheren jedoch verworfen werden. Wenn Sie ungefähr wissen, wie oft Ihre Passwörter geändert werden müssen, z. B. wenn eine Richtlinie eine Änderung alle 30 Tage erfordert, können Sie dies verwenden, um den Passwortverlauf auf einen ungefähren Zeitpunkt zurückzusetzen.

JR

Question 2

Es gibt keine integrierte Funktion im Produkt, die das tut, was Sie verlangen. Ich gehe davon aus, dass Sie sich auf die Funktion „Passwortverlauf erzwingen“ beziehen und vorschlagen, dass Sie „rückwirkend“ eine Richtlinie zum Erzwingen des Passwortverlaufs einführen möchten, beginnend mit Passwörtern, die an dem von Ihnen genannten Datum festgelegt wurden.

Wenn dieser Tag in den letzten 60 Tagen lag (standardmäßig, es sei denn, Sie haben die Tombstone-Lebensdauer in Ihrem AD geändert), wäre es möglich, eine autoritative Wiederherstellung eines Teilbaums (oder des gesamten) Verzeichnisses aus einer Sicherung durchzuführen, die am betreffenden Datum erstellt wurde, und dann zu diesem Zeitpunkt die Funktion „Kennwortverlauf erzwingen“ zu aktivieren. Da das von Ihnen erwähnte Datum älter als 60 Tage ist, können Sie standardmäßig keine Sicherung dieses Alters wiederherstellen.

Selbst wenn Sie ein Datum innerhalb des zulässigen Wiederherstellungsfensters hätten, würde ich das nicht empfehlen. Sie würden zunächst alle Änderungen verlieren, die Sie zwischen dem Wiederherstellungsdatum und dem aktuellen Datum an den wiederhergestellten Objekten vorgenommen haben. Zweitens ist die Wiederherstellung des AD kein Prozess, den ich auf die leichte Schulter nehmen würde. Ich habe es schon früher gemacht, viele Male in Labors und glücklicherweise nur ein paar Mal in der Produktion. In einem Produktionsszenario ist es jedes Mal eine ziemlich nervenaufreibende Angelegenheit, um sicherzustellen, dass Sie genau das tun, was Sie wollen (denn alle Änderungen, die Sie vornehmen, werden, wenn sie marktbeherrschend sind, auf alle DCs in den Replikationssätzen der Domäne und des globalen Katalogs repliziert). Ich rate Kunden nur dann, Wiederherstellungen des AD durchzuführen, wenn es die letzte mögliche Option ist.

Answer

Es gibt keine integrierte Funktion im Produkt, die das tut, was Sie verlangen. Ich gehe davon aus, dass Sie sich auf die Funktion „Passwortverlauf erzwingen“ beziehen und vorschlagen, dass Sie „rückwirkend“ eine Richtlinie zum Erzwingen des Passwortverlaufs einführen möchten, beginnend mit Passwörtern, die an dem von Ihnen genannten Datum festgelegt wurden.

Wenn dieser Tag in den letzten 60 Tagen lag (standardmäßig, es sei denn, Sie haben die Tombstone-Lebensdauer in Ihrem AD geändert), wäre es möglich, eine autoritative Wiederherstellung eines Teilbaums (oder des gesamten) Verzeichnisses aus einer Sicherung durchzuführen, die am betreffenden Datum erstellt wurde, und dann zu diesem Zeitpunkt die Funktion „Kennwortverlauf erzwingen“ zu aktivieren. Da das von Ihnen erwähnte Datum älter als 60 Tage ist, können Sie standardmäßig keine Sicherung dieses Alters wiederherstellen.

Selbst wenn Sie ein Datum innerhalb des zulässigen Wiederherstellungsfensters hätten, würde ich das nicht empfehlen. Sie würden zunächst alle Änderungen verlieren, die Sie zwischen dem Wiederherstellungsdatum und dem aktuellen Datum an den wiederhergestellten Objekten vorgenommen haben. Zweitens ist die Wiederherstellung des AD kein Prozess, den ich auf die leichte Schulter nehmen würde. Ich habe es schon früher gemacht, viele Male in Labors und glücklicherweise nur ein paar Mal in der Produktion. In einem Produktionsszenario ist es jedes Mal eine ziemlich nervenaufreibende Angelegenheit, um sicherzustellen, dass Sie genau das tun, was Sie wollen (denn alle Änderungen, die Sie vornehmen, werden, wenn sie marktbeherrschend sind, auf alle DCs in den Replikationssätzen der Domäne und des globalen Katalogs repliziert). Ich rate Kunden nur dann, Wiederherstellungen des AD durchzuführen, wenn es die letzte mögliche Option ist.

Zurücksetzen des Kennwortverlaufs im Active Directory auf ein bestimmtes Datum

Antwort1

Antwort2

verwandte Informationen