Tags: Sicherheit, Active Directory, Authentifizierung
Legt man bestimmte Richtlinien für AD-Passwörter fest wie etwa ein minimales und maximales Alter oder spezifische Komplexitätsanforderungen, ist dies auf den ersten Blick ein Satz von Gruppenrichtlinien wie jeder andere auch. Intern werden Passwort-Richtlinien jedoch von Active Directory anders gehandhabt als „gewöhnliche“. Da man sie aber in jedem beliebigen Gruppenrichtlinienobjekt festlegen und einer beliebigen OU zuordnen kann, ohne dass es deswegen Fehlermeldungen gibt, fällt dies eventuell erst dann auf, wenn man andere als die erwarteten Ergebnisse erhält.
Standard-Passwort-Richtlinien wirken nur domänenweit
Die im Gruppenrichtlinien-Editor einstellbaren Passwort-Richtlinien gelten stets einheitlich für eine Domäne und müssen auch auf Domänenebene definiert werden. Verknüpft man sie mit anderen OUs, wirken sie auf die dort befindlichen lokalen Konten, jedoch nicht auf die von der Domäne. Dies ist im TechNet dokumentiert, etwa in der Einleitung zur Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien.
Die Lösung für das Problem, verschiedene Richtlinien für unterschiedliche Benutzergruppen innerhalb einer Domäne anzuwenden, besteht in besagten abgestimmten Kennwortrichtlinien, die allerdings nicht bequem im GPO-Editor, sondern mit dem ADSI-Editor oder ldifde.exe. Diese Möglichkeit gibt es seit Windows Server 2008; und die Domäne muss hierzu auf der Funktionsebene von Windows Server 2008 sein.
Passwort-Richtlinien werden in der Default Domain Policy gesetzt
Eine zweite Besonderheit ist weniger gut dokumentiert. Die AD-Passwortrichtlinien für die Domäne sollten an einem Ort gesetzt werden, der normalerweise tabu ist: der Default Domain Policy. Der Grund ist, dass passwortbezogene Richtlinien vom PDC-Emulator an den normalen GPO-Replizierungsmechanismen vorbei verarbeitet und angewendet werden.
Hier sorgt nun ein fest codierter Mechanismus dafür, dass von anderen Quellen stammende Änderungen der AD-Passwort-Richtlinien in die Default Domain Policy zurückgeschrieben werden. Dies dient offensichtlich dazu, direkt am PDC-Emulator getroffene Änderungen in zumindest einem Gruppenrichtlinienobjekt sichtbar zu machen, da sie ja wegen der Besonderheit bei ihrer Verarbeitung nicht zwangsläufig aus einem solchen stammen müssen. Sie direkt in der Default Domain Policy vorzunehmen ist der deshalb der einzige Weg, die Informationen über die bestehenden Passwort-Richtlinien konsistent zu halten.
Referenzen
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- SpecOps Password Policy: Sichere Passwörter für das Active Directory
- Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor
Weitere Links