Hello guys,
For security reasons we don't want the logged-in daily user to be administrator, so we decided to create a local administrator per script for all devices with a default pw which has to be changed by the first login, which can be used for Installations and other stuff.
After changing the pw and setting the flag for "pw never expires" the flag magically disapears after four hours and so the pw has to be set after 42 days. Resetting the flag only takes effect for 4 hours. For testing we created other local accounts manually with administrator and normal rights and they act the same.
We have no Policies in Intune which can affect the local users and our clients are azuread-joined only.
As a workaround we changed the local pw-policy so that the pw only expires after 998 days.
when running the "net user" command it says, that the pw expires in roundabout 3 years, but after 42 days the pw has to be changed (flag to change pw is set). If we again run "net user" it still says, that the pw will expire in 2 years. If we remove the flag, that forces the user to change the pw and try to login we get an error, that the pw is expired.
Question 1: Where can I see the real Information when a pw will be expired?
Question 2: Does anybody else faced this problem before and has an solution how to fix the problem on an Intune managed Device without an on-premise AD
Thanks, Alex
-----------------------------------------------------------------------------------------
Auf deutsch:
Hallo zusammen,
ich bin mit meinem Latein langsam aber sicher am Ende.
Folgender Sachverhalt:
Aus Sicherheitsgründen haben die Accounts auf den Geräten keine Administratorenberechtigungen. Um den Entwicklern dennoch die Möglichkeit zu geben Software zu Installieren/Systemumgebungsvariablen zu setzten, etc. haben wir per Script einen lokalen Administrator mit Standardpasswort auf allen Geräten angelegt (Kennwort muss bei erster Anmeldung geändert werden).
Nachdem das Kennwort geändert wurde sollten die Benutzer das Kennwort auf "läuft nie ab" setzen.
Problem: Nach ca. 4 Stunden wird das Flag "Kennwort läuft nie ab" automatisch entfernt.
Das Betrifft alle lokalen Benutzerkonten, auch die die zu testzwecken manuell angelegt wurden.
Nach 42 Tagen ist das Konto gesperrt und muss neu gesetzt werden, was nicht jedes mal klappt (Fehlermeldung: Zur Verarbeitung dieses Befehls sind nicht genügend Speicherresourcen verfügbar.) -> mega nervig und benötigt einen Administrator um das Kennwort neu zu setzen.
Da wir keinerlei Policies haben die lokale Benutzer betreffen und die Geräte auch nicht an einem on-premise AD hängen und dennoch eine Lösung brauchten, haben wir uns für einen Workaround entschieden, der uns den Ärger nur alle 998+ Tage bescheren sollte.
Workaround: Wir haben die lokale Kennwortablaufrichtlinie von 42 auf 998 Tage angehoben.
Problem: nach ca. 42 Tagen muss der Benutzer erneut das Kennwort ändern.
Diagnose: net user lokaler-admin-benutzername zeigt an, dass das Kennwort noch über zwei Jahre nicht ablaufen sollte.
Probiert: Wenn man man am Benutzer das Flag "Benutzer muss Kennwort bei nächstem Login ändern" entfernt, dann wird beim Loginversuch dennoch angezeigt, dass das Kennwort abgelaufen ist.
Frage 1: Wo kann ich nachschauen wann das Kennwort tatsächlich abläuft, da die Aussage von "net user" scheinbar nicht Korrekt ist, bzw. das System seine Info woanders bezieht?
Frage 2: Kennt jemand das Problem und kann eine Funktionierende Lösung bieten, die mich nicht ständig dazu zwingt von einem Büro zum anderen zu rennen um das Kennwort zu überschreiben?
Viele Grüße
Alex