Neben den Gruppenrichtlinien ist PowerShell das bevorzugte Bordmittel für das Management der AD-Passwörter. So bietet es Cmdlets für das Verwalten der Kennwortrichtlinien oder das Aktualisieren von Konten. Eine Stärke von PowerShell liegt in der Analyse von unsicheren Accounts, etwa wenn diese kein Kennwort benötigen.
Auch wenn diverse Systeme immer öfter alternative Verfahren anbieten, so bleibt die Anmeldung mittels Benutzername und Kennwort in den meisten Unternehmen noch lange erhalten. Das gilt besonders für ein reines on-prem Active Directory, das schon länger keine nennenswerten Neuerungen mehr erhielt.
Umso wichtiger ist es, dass Unternehmen die Verwendung starker Passwörter durchsetzen. Entsprechende Vorgaben lassen sich über Richtlinien definieren, wobei dies meistens über Gruppenrichtlinien erfolgt. PowerShell ist dazu ebenfalls in der Lage und man kann damit auch die Einstellungen von Fine-grained Password Policies sehr einfach abrufen.
Kontosperren und Kennwortwechsel
Das Active Directory bietet mit der temporären Sperrung von Konten nach fehlgeschlagenen Anmeldungen einen weiteren Sicherheitsmechanismus. Die Einstellungen dafür lassen sich mit PowerShell abfragen und anpassen, außerdem kann es die Sperre aufheben und vergessene Passwörter zurücksetzen.
Das maximale Alter von Passwörtern verliert hingegen an Bedeutung, da ein erzwungener Wechsel von Kennwörtern in regelmäßigen Intervallen sich eher als kontraproduktiv erwiesen hat. Wenn Organisationen dieses Feature weiter nutzen, dann lässt sich dieses ebenfalls über PowerShell steuern.
Unsichere Konten finden
Cmdlets wie Get-ADuser oder Search-ADAccount sind mit entsprechenden Filtern in der Lage, Benutzer zu finden, die ein Sicherheitsrisiko darstellen. Dazu zählen solche, die keine Passwörter benötigen, diese nie ändern müssen oder gar nicht wechseln dürfen.
Ein Augenmerk sollten Admins zudem auf User haben, die sich schon lange nicht mehr angemeldet haben. Auch das lässt sich mit PowerShell leicht herausfinden.
Themen des eBooks
Das kostenlose eBook von Specops Software geht unter anderem auf folgende Aspekte der AD-Passwortverwaltung ein:
- Passwortregeln festlegen, Kennwortregeln der Domäne auslesen, Policy ändern
- Minimale Passwortlänge erhöhen, MinPasswordLength mit PowerShell setzen, Auditing der Passwortlänge
- Benutzer, die kein Passwort benötigen
- Kennwörter ohne Ablaufdatum
- Wechsel des Passworts erzwingen
- Wann haben Benutzer ihr Passwort geändert?
- Passwort-Reset mit PowerShell
- Sichere Passwörter mit Specops Password Policy
Sie können das eBook von der Specops-Website herunterladen »
*Dies ist ein bezahlter Beitrag von Specops Software.