Kostenloses eBook: Passwörter im Active Directory mit PowerShell verwalten

    Kompromittierte PasswörterNeben den Gruppen­­richt­linien ist Power­Shell das bevor­zugte Bord­mittel für das Manage­ment der AD-Passwörter. So bietet es Cmdlets für das Ver­walten der Kennwort­­richt­linien oder das Aktua­lisieren von Konten. Eine Stärke von PowerShell liegt in der Ana­lyse von un­­sicheren Accounts, etwa wenn diese kein Kennwort benötigen.

    Auch wenn diverse Systeme immer öfter alternative Verfahren anbieten, so bleibt die Anmeldung mittels Benutzername und Kennwort in den meisten Unternehmen noch lange erhalten. Das gilt besonders für ein reines on-prem Active Directory, das schon länger keine nennenswerten Neuerungen mehr erhielt.

    Umso wichtiger ist es, dass Unternehmen die Verwendung starker Passwörter durchsetzen. Entsprechende Vorgaben lassen sich über Richtlinien definieren, wobei dies meistens über Gruppen­richtlinien erfolgt. PowerShell ist dazu ebenfalls in der Lage und man kann damit auch die Einstellungen von Fine-grained Password Policies sehr einfach abrufen.

    Abfrage der Kennwortrichtlinien im Active Directory mittels PowerShell

    Kontosperren und Kennwortwechsel

    Das Active Directory bietet mit der temporären Sperrung von Konten nach fehlgeschlagenen Anmeldungen einen weiteren Sicherheits­mechanismus. Die Einstellungen dafür lassen sich mit PowerShell abfragen und anpassen, außerdem kann es die Sperre aufheben und vergessene Passwörter zurücksetzen.

    Das maximale Alter von Passwörtern verliert hingegen an Bedeutung, da ein erzwungener Wechsel von Kennwörtern in regelmäßigen Intervallen sich eher als kontraproduktiv erwiesen hat. Wenn Organisationen dieses Feature weiter nutzen, dann lässt sich dieses ebenfalls über PowerShell steuern.

    Unsichere Konten finden

    Cmdlets wie Get-ADuser oder Search-ADAccount sind mit entsprechenden Filtern in der Lage, Benutzer zu finden, die ein Sicherheitsrisiko darstellen. Dazu zählen solche, die keine Passwörter benötigen, diese nie ändern müssen oder gar nicht wechseln dürfen.

    Ein Augenmerk sollten Admins zudem auf User haben, die sich schon lange nicht mehr angemeldet haben. Auch das lässt sich mit PowerShell leicht herausfinden.

    Themen des eBooks

    Das kostenlose eBook von Specops Software geht unter anderem auf folgende Aspekte der AD-Passwort­verwaltung ein:

    • Passwortregeln festlegen, Kennwortregeln der Domäne auslesen, Policy ändern
    • Minimale Passwortlänge erhöhen, MinPasswordLength mit PowerShell setzen, Auditing der Passwortlänge
    • Benutzer, die kein Passwort benötigen
    • Kennwörter ohne Ablaufdatum
    • Wechsel des Passworts erzwingen
    • Wann haben Benutzer ihr Passwort geändert?
    • Passwort-Reset mit PowerShell
    • Sichere Passwörter mit Specops Password Policy

    Sie können das eBook von der Specops-Website herunterladen »

    *Dies ist ein bezahlter Beitrag von Specops Software.