Specops Password Notification: Benutzer über das Ablaufen ihrer Active Directory-Passwörter via E-Mail benachrichtigen

Die meisten Firmen defi­nieren eine Richt­linie, die User dazu zwingt, ihre Pass­wörter nach einer be­stimmten Zeit zu ändern. Um zu ver­hindern, dass sie damit bis zur letzten Minute warten und dann wo­möglich den Helpdesk benötigen, kann man sie recht­zeitig mit Specops Password Notifi­cation daran erinnern.

Wenn Mitarbeiter nicht an der Domäne angemeldet sind, dann bekommen sie die Meldung zur Passwortänderung nicht. Nicht selten muss dann der Helpdesk kontaktiert werden.

Das Specops-Tool sendet Benach­richtigungen über das Ablaufen von Pass­wörtern per E-Mail. Auf diese Weise sehen Endbenutzer die Erinnerungen unabhängig davon, ob sie gerade mit dem Unter­nehmens­netzwerk verbunden sind.

Installation und Konfiguration

Der Download der Installations­dateien besteht aus einem selbst­extrahierenden Archiv, das sich entpackt, sobald man die .exe-Datei ausführt. Danach startet der Setup-Assistent, der zuerst nach der Lizenzdatei fragt, die man vom Hersteller erhalten hat.

Klickt man auf den Link Start Installation, dann beginnt das eigentliche Setup. Es bietet zwei Komponenten, nämlich Server und Administrative Tools. Erstere richtet den Service ein, der das Ablaufdatum der Kennwörter für die gewählten Konten prüft und die E-Mails versendet. Die admini­strativen Tools dienen erwartungs­gemäß der Verwaltung der Software.

Die Server-Installation prüft eingangs, ob sie wie erforderlich auf einem Server-OS gestartet wurde und ob der aktuelle User über ausreichende Berechtigungen verfügt. Anschließend wählt man den Account, unter dem der Windows-Dienst laufen soll. Dieser muss nur in der Lage sein, Kennwort­richtlinien oder Mail-Adressen aus dem AD auszulesen.

Über die Option Management Level bestimmt man, ob nur User bestimmter OUs oder der ganzen Domäne benachrichtigt werden sollen. Nach der optionalen Auswahl eines Domain-Controllers kann man die Installation starten.

Die erwähnten administrativen Tools bestehen nur aus einem Snap-in für den Gruppen­richtlinien-Editor, das man entweder auf der gleichen Maschine installieren kann wie den Server-Dienst oder auf einer Workstation.

Die Verwaltung von Specops Password Notification erfolgt über GPOs. Das Snap-in blendet dazu einen neuen Eintrag mit der Bezeichnung Specops Password Notifications unter Benutzer­konfiguration => Richtlinien => Windows-Einstellungen ein.

Wenn Sie auf diesen Knoten klicken, sehen Sie die Schaltfläche Create Configuration. Diese startet einen Wizard, der drei Dialoge durchläuft. Zuerst erstellt man eine Schablone für die E-Mail. Im ersten Feld gibt man die Zahl der Tage an, die bis zum Ablaufen des Passworts verbleiben und an denen die Benutzer die Mail erhalten sollen.

Hier kann man einzelne Werte getrennt durch Komma, oder Bereiche eingeben, die man nach dem Muster "5-2" definiert. Möchte man, dass die Benutzer beispielsweise kurz vor dem endgültigen Erreichen des Ablauf­datums einen anderen Nachrichtentext erhalten als vorher, dann kann man für ein GPO auch mehrere Templates erstellen.

Wie Sie unten sehen können, habe ich das Versenden von Erinnerungen an 15 sowie an 7 Tagen zuvor und dann eine vom fünften bis zum zweiten Tag konfiguriert. Am letzten Tag erhalten die Anwender eine Mail mit hoher Priorität über eine eigene benutzer­definierte Vorlage.

Datumsformat

Die Definition des Datumsformats erlaubt es, ein eigenes GPO für verschiedene Regionen bzw. Länder einzurichten. Die Benutzer erhalten eine Benachrichtigung zum Ablauf des Passworts auf der Grundlage ihrer Zeitzone.

SMTP-Konfiguration

Im Bildschirm SMTP-Konfiguration geben Sie Ihren Server für den Versand der E-Mails an. Das Tool von Specops unterstützt mehrere Modi für die Authentifizierung und auch die Verschlüsselung über TLS, was die Inter­operabilität mit praktische allen Mail-Servern sicherstellen sollte.

Fazit

Das Specops Password Notificationstool ist ein nützliches Programm, mit dem Ihre Organisation die Endbenutzer proaktiv an fällige Wechsel ihrer Passwörter erinnern kann. Die Konfiguration erfolgt über Gruppen­richtlinien, einem Mechanismus, mit dem alle Admins vertraut sind.

Der Einsatz von Mail-Schablonen erlaubt eine flexible Definition der Nachrichten und der Intervalle, zu denen diese versandt werden sollen. International agierende Firmen können die Erinnerungen abhängig von der Zeitzone der Standorte verschicken.

Preis und Verfügbarkeit

Specops Password Notification ist bis zum Ende des Jahres kostenlos. Sie können eine Kopie hier herunter­laden.

Alles, was Sie tun müssen, ist eine gültige Firmen-E-Mail-Adresse anzugeben, um den Download und den bis zum 31. Dezember 2020 gültigen Lizenzschlüssel zu erhalten.