En god passord policy tvinger brukere til å bytte passord ved jevne mellomrom, og den har ellers strenge krav til utforming av passord. Dette er vel og bra så lenge brukerene får påminnelser om at passordet må byttes.
Det å måtte bytte passord er ikke lenger noen stor overaskelse for dagens data brukere. Overaskelsen er desto større når passordet har løpt ut uten å fått sjanse til å endre passordet på forhånd. Dette kan være spesielt kritisk om vedkommende er ute på reise uten direkte kontakt med LAN.
Her følger et par tips i denne sammenheng som vil hjelpe brukerne å huske passordet.
Windows varsel
For brukere som er koblet på LAN vil Windows varsle når passordet er i ferd med å løpe ut. Dette har vært en lenge kjent funksjon. Problemet var at ved Windows7 så er denne tjenesten som standard skrudd av. Den kan imidlertid fint skrues på igjen i Group Policy under Computer Configuration – Policies – Winodows Settings – Security Settings – Local Policies – Security Options. Der finnes policien Interactive Logon: Prompt user to change password before expiration som kan defineres til et gitt antall dager før passord utløper:
Epost varsel
Dersom det finnes mange brukere som jobber mye utenfor LAN så kan det være fornuftig å sette opp et script som sender epost varsel om passordet som holder på å løpe ut ettersom de ikke vil motta varslene som ble spesifisert over.
Her har jeg et script som er implementert hos et knippe kunder som sender ut passord hver 12, 6, 3 og 1 dag før passordet løper ut. Etter at dette kom på plass har det aldri lenger vært behov for å bistå brukerne der med å sette passord på nytt for brukere som har mistet tilgang som følge av stengt konto mens de har vært på reise.
Mappen med scriptet kopieres enkelt til en passende server og variabler tilpasses (SMTP server, lokal bruker som evt. ha kopi etc). Scriptet kan generere en Log fil som inneholder logg over brukere som har blitt varslet via epost.
Kjøring av scriptet legges inn som en scheduled task på serveren.
No comments:
Post a Comment