Konfiguration der Granularen Passwortrichtlinie unter Windows Server 2008 R2

By | January 30, 2015

In Microsoft Windows 2000 und Windows Server 2003 Active Directory-Domänen konnte bisher nur eine Passwort- bzw. Kontosperrungsrichtlinie, die in der Default Domain Policy angegeben wurde, für alle Benutzer in der Domäne angewendet werden. Wenn verschiedene Kennwort-und Kontosperrungsrichtlinien für unterschiedliche Gruppen von Benutzern eingesetzt werden sollten, musste man mehrere Domains hierfür vorsehen.

Ab Windows Server 2008 (R2) können fein abgestimmte Kennwortrichtlinien angelegt werden, welche man auf unterschiedliche Gruppen von Benutzern innerhalb einer einzigen Domäne anwenden kann. Um fein abgestimmte (fine-grained-password-policies) Kennwortrichtlinien zu speichern, enthält Windows Server 2008 zwei neue Objektklassen im Active Directory Domain Services (AD DS)-Schema:

  • Password Settings Container
  • Password Settings

Diese Konfiguration wird mit dem ADSI-Editor vorgenommen.

Im Folgenden wird, Schritt für Schritt die Einrichtung der Passwortrichtlinie beschrieben (Password-Settings-Object), es werden die Werte den jeweiligen Attributen hinzugefügt und zum Schluss einer Active Directory Sicherheitsgruppe zugewiesen.

Voraussetzungen

http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx

Herstellerbeschreibung

Der Domänenfunktionsmodus muss sich mindestens auf der Ebene Windows Server 2008 befinden!

 

Zuerst wird der ADSI Editor gestartet um die Konfigurationen vorzunehmen.

ADSI-Editor

ADSI-Editor

ADSI Verbindungseinstellungen

Nach der Verbindung navigieren zu: DN=<domain> CN=System CN=Passwords Settings und per Rechtsklick ein neues Objekt erstellen. Im darauffolgenden Dialogfenster: msDS-PasswordSettings auswählen. Sollte der Common-Name “System” einmal nicht zu sehen sein, kann man diesen über “Ansicht->erweiterte Features anzeigen” und CN=System sollte als Auswahlmöglichkeit erscheinen.

ADSI-Editor

PasswordSettings-ADSI

Im ersten Dialogfenster wird der Name für die Richtlinie festgelegt. Dieser wird später im Container CN=System CN=Password Settings angezeigt. Es können auch unterschiedliche Richtlinien angelegt werden, daher ist ein entsprechender Name mit kurzer Umschreibung zu wählen.

CN=Password Settings

msDS-PasswordSettingsPrecedence

Unter PasswordSettingsPrecedence wird ein Wert zwischen 0 und 65535 ausgewählt. Je kleiner der Wert, desto eher wird die Passwortrichtlinie später auf die Benutzerkonten angewendet, für den Fall das mehrere Passwortrichtlinien zum Einsatz kommen.

msDS-PasswordSettingsPrecedence

msDS-PasswordReversibleEncryptionEnabled

Übersetzt “Passwort-Rückwärts-Verschlüsselung-eingeschaltet”, korrekt heißt es Kennwörter mit umkehrbarer Verschlüsselung speichern. Dieses Attribut nimmt einen booleschen Wert an. True bedeutet in diesem Fall, dass die Passwörter im Klartext gespeichert werden. Somit versteht sich von selbst, dass man aus Sicherheitsgründen an dieser Stelle den Wert “false” einzugeben hat.

msDS-PasswordReversibleEncryptionEnabled

msDS-PasswordHistoryLength

Dieses Attribut gibt an, wie lange sich Windows alte Passwörter merken soll. Das heißt es darf keines der alten Passwörter als ein neues Passwort verwendet werden. In unserem Fall sind es die letzten 5 Passwörter bevor ein bereits genutztes Kennwort wieder verwendet werden darf.

msDS-PasswordHistoryLength

msDS-PasswordComplexityEnabled

Hiermit wird die Passwortkomplexität ein oder ausgeschaltet. Sollen Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen gemischt verwendet werden oder nicht.

msDS-PasswordComplexityEnabled

 msDS-MinimumPasswordLength

Wie lang das Passwort mindestens sein muss.

msDS-MinimumPasswordLength

 msDS-MinimumPasswordAge

Wie alt muss das Passwort mindestens sein, damit es wieder geändert werden darf. Dabei wird eine Zeitangabe nach folgendem Format abgefragt: “Tage : Stunden : Minuten : Sekunden”.

msDS-MinimumPasswordAge

msDS-MaximumPasswordAge

Wie alt darf das Passwort maximal sein, bevor es abläuft und geändert werden muss. Hierbei wird das gleiche Format wie bei “msDS-MinimumPasswordAge” verwendet.

msDS-MaximumPasswordAge

msDS-Lockout-Threshold

Dieser Wert gibt an, nach wie viel Login-Fehlversuchen das Benutzerkonto gesperrt werden soll.

 msDS-Lockout-Threshold

 msDS-LockoutObservationWindow

Mit der Option bestimmt man wie lange die Anmeldefehlversuche gespeichert werden sollen, ehe der Kontosperrungszähler zurückgesetzt wird.

msDS-LockoutObservationWindow 

msDS-LockoutDuration

Dieses Attribut gibt an, wie lange ein Benutzerkonto nach Login-Fehlversuchen gesperrt bleiben soll, bis es automatisch wieder entsperrt wird. Format: “Tage : Stunden : Minuten : Sekunden” (z.B. für 30 Minuten: “00:00:30:00”)

msDS-LockoutDuration

Die Passwortrichtlinie ist fertig und wird im zweiten Schritt einer Benutzergruppe zugeordnet.

Passwortrichtlinie

Per Doppelklick die Passwortrichtlinie öffnen.

018

AD-PasswordPolicy

 

Die Zuweisung der Richtlinie erfolgt über das folgende Attribut:

msDS-PSOAppliesTo

Mit diesem Attribut wird festgelegt, auf wen die Passwortrichtlinie wirken soll. Die Richtlinie wirkt bei der nächsten Änderung des Passwortes.

msDS-PSOAppliesTo

PasswordPolicy_applies_to

Die Sicherheitsgruppe 21-PasswordPolicy wurde dem Password Setting Object hinzugefügt.

CN-PasswordPolicy

Damit sind die notwendigen Konfigurationen gespeichert, alle Mitglieder der Benutzergruppe 21-PasswordPolicy werden entsprechend der Richtlinie behandelt.