Wichtige Besonderheiten bei Richtlinien für AD-Passwörter

Legt man bestimmte Richtlinien für AD-Passwörter fest wie etwa ein minimales und maximales Alter oder spezifische Komplexitätsanforderungen, ist dies auf den ersten Blick ein Satz von Gruppen­richt­linien wie jeder andere auch. Intern werden Passwort-Richtlinien jedoch von Active Directory anders gehandhabt als „gewöhnliche“. Da man sie aber in jedem beliebigen Gruppen­richt­linien­objekt festlegen und einer beliebigen OU zuordnen kann, ohne dass es deswegen Fehlermeldungen gibt, fällt dies eventuell erst dann auf, wenn man andere als die erwarteten Ergebnisse erhält.

Standard-Passwort-Richtlinien wirken nur domänenweit

Die im Gruppen­richt­linien-Editor einstellbaren Passwort-Richtlinien gelten stets einheitlich für eine Domäne und müssen auch auf Domänenebene definiert werden. Verknüpft man sie mit anderen OUs, wirken sie auf die dort befindlichen lokalen Konten, jedoch nicht auf die von der Domäne. Dies ist im TechNet dokumentiert, etwa in der Einleitung zur Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien.

Die Lösung für das Problem, verschiedene Richtlinien für unterschiedliche Benutzergruppen innerhalb einer Domäne anzuwenden, besteht in besagten abgestimmten Kennwortrichtlinien, die allerdings nicht bequem im GPO-Editor, sondern mit dem ADSI-Editor oder ldifde.exe. Diese Möglichkeit gibt es seit Windows Server 2008; und die Domäne muss hierzu auf der Funktionsebene von Windows Server 2008 sein.

Passwort-Richtlinien werden in der Default Domain Policy gesetzt

Eine zweite Besonderheit ist weniger gut dokumentiert. Die AD-Passwortrichtlinien für die Domäne sollten an einem Ort gesetzt werden, der normalerweise tabu ist: der Default Domain Policy. Der Grund ist, dass passwortbezogene Richtlinien vom PDC-Emulator an den normalen GPO-Replizierungsmechanismen vorbei verarbeitet und angewendet werden.

Hier sorgt nun ein fest codierter Mechanismus dafür, dass von anderen Quellen stammende Änderungen der AD-Passwort-Richtlinien in die Default Domain Policy zurückgeschrieben werden. Dies dient offensichtlich dazu, direkt am PDC-Emulator getroffene Änderungen in zumindest einem Gruppen­richt­linien­objekt sichtbar zu machen, da sie ja wegen der Besonderheit bei ihrer Verarbeitung nicht zwangsläufig aus einem solchen stammen müssen. Sie direkt in der Default Domain Policy vorzunehmen ist der deshalb der einzige Weg, die Informationen über die bestehenden Passwort-Richtlinien konsistent zu halten.

Referenzen

• faq-o-matic.net
• Mark Minasi's Reader Forum