Paßwort-Änderungshinweis bei Anbindung an Active Directory verkürzen

Werden Apple Macintosh Rechner in einem Netzwerk an eine Open Directory oder Active Directory unter Microsoft Windows Server 2012 -2016 angebunden, greifen auch deren Sicherheitsregularien. Eine davon ist die Notwendigkeit eines regelmäßigen Paßwortwechsels seitens des Anwenders. Dafür erhält der Anwender nach Eingabe des Paßwortes an der Loginmaske eine Login Window Notification, die u.a. einen Begrüßungstext oder die Erinnerung zum Paßwortwechsel in X Tagen enthält.

Bis macOS 10.8.x betrug der im macOS Betriebssystem eingestellte Zeitintervall 14 Tage. Heißt, 14 Tage vor Ablauf erhält der Anwender den Reminder zum baldigen Wechsel des Paßwortes. Seit macOS 10.9.x ist dieser Intervall per default auf 30 Tage eingestellt.

Ist die Aufgabe nun, diesen Zeitintervall zu verkürzen, gibt es hier viele Angriffspunkte, die aber in Nicht-Windows-Umgebung nicht greifen.

Ab Windows Server 2012 ist es möglich, einer Active Directory eine Default Domain Policy mitzugeben und darin den Hinweisintervall festzulegen. Alternativ ließ sich schon immer per Gruppenrichtlinie(Group Policy) ein individueller Erinnerungsintervall auf Windows Clients ausrollen. Leider funktionieren beide Methoden, die Default Domain Policy sowie die Group Policy nicht mit Nicht-Windows Clients, also Linux oder macOS Clients.

Für macOS gibt es eine Voreinstellungsdatei unter /Library/Preferences/com.apple.loginwindow.plist die per default keinen Eintrag bzgl. PasswortExpiration enthält. Scheinbar ist diese default Einstellung im System hardcodiert.

Mit einem:

sudo defaults write /Library/Preferences/com.apple.loginwindow.plist PasswordExpirationDays 14

läßt sich ein individueller Wert hinzufügen, der dann augenscheinlich den Standardwert überschreibt.

Alternativ zu 14 kann ein beliebiger Integer-Wert angegeben werden.

Diese Erweiterung der loginwindow.plist kann nun - am Besten mit Apple Remote Desktop - an alle im Netzwerk befindlichen macOS Clients verteilt werden. Nach einem Neustart greift das Überschreiben der Richtlinie mit einem individuellen Wert.