Großes Zeitfenster beim Ändern des Passworts in einem ActiveDirectory

Ein Mitarbeiter eines unserer Kunden rief mich vor kurzem an, um mir ein ungewöhnliches Verhalten beim Ändern seines Passwortes zu schildern. Nachdem er sein Passwort mit Hilfe eines unserer WebParts geändert hatte, konnte er sich dennoch weiterhin mit seinem alten Passwort anmelden. Eine Fehlermeldung beim Ändern seines Passworts habe es nicht gegeben. Daraufhin habe er versucht, sich mit seinem neuen (also dem geänderten) Passwort anzumelden und auch mit diesem konnte er sich anmelden. Da er sich sowohl mit altem, als auch mit neuem Passwort anmelden konnte, vermutete er nun einen Fehler in unserem Passwort-Ändern-WebPart.

Unser WebPart zum Ändern von Passwörtern greift auf ein ActiveDirectory zu. Und genau hier liegt die Erklärung zu diesem ungewöhnlichen Verhalten. Nach dem Einspielen des SP1 für Windows Server 2003 verlängert sich das Zeitfenster in dem sowohl das alte, als auch das neue Passwort gültig sind, auf 1 Stunde. Dies bedeutet, dass das alte Passwort unter Umständen noch eine Stunde gültig bleibt, nachdem es bereits vom Benutzer geändert wurde.

Dieses Zeitfenster läßt sich aber durch Änderungen an einem Registry-Key auf 1 Minute verkürzen. Microsoft hat die nötigen Änderungen hier beschrieben: http://support.microsoft.com/kb/906305/en-us

Dieses Problem lies sich also schnell lösen - auch deswegen, weil diese Änderung keinen Neustart des Servers erfordert!

Posted on SharePoint Blogs Del.icio.us | Digg It | Technorati | Blinklist | Furl | reddit | DotNetKicks

Read the complete post at http://www.sharepointblogs.com/wirkus/archive/2008/01/10/gro-223-es-zeitfenster-beim-196-ndern-des-passworts-in-einem-activedirectory.aspx

Published Thursday, January 10, 2008 8:23 AM by SharePoint Blogs
Filed under: , , , ,