Fine-grained Password Policy: Kennwortregeln für AD-Gruppen festlegen

    PSO im ADSI-Editor anlegenIn der Vergangen­heit konnten im Active Directory die Regeln zur Pass­wort-Sicher­heit nur auf Domänen-Ebene defi­niert werden. Mit Windows Server 2008 führte Microsoft die Unter­stützung für die so genannte Fine-grained Passord Policy ein, die es erlaubt, spezi­fische Vor­gaben für einzelne User oder Gruppen zu machen. Bis dato haperte es jedoch bei den Tools zur Konfi­guration dieses Features. Diese Lücke schloss Microsoft mit Windows Server 2012 bzw. mit RSAT für Windows 8.

    Es ist keineswegs eine abwegige Anforderung, für verschiedene Benutzergruppen jeweils eigene Passwort-Regeln zu wollen. Wenn jemand ständig mit sensiblen Informationen zu tun hat, werden hier die Vorgaben strenger sein als bei Usern, die kaum Zugang zu kritischen Systemen und Daten haben.

    In der Vergangen­heit hätte man für bestimmte Benutzer­gruppen eigene Kennwort-Policies nur festlegen können, indem man für sie eine eigene Domäne einrichtet, weil die Regeln auf kleinere Einheiten des AD nicht anzuwenden waren.

    Keine Zuweisung von Passwortregeln zu OUs

    Problematisch an der Vergabe von Passwort-Richtlinien ist bis heute, dass sich ein dafür zuständiges GPO ohne weiteres auch einer OU zuweisen lässt. Der Administrator mag sich danach im Glauben dünken, er hätte nun die Regeln für eine bestimmte Organisationseinheit festgelegt - das ist jedoch nicht der Fall.

    Möchte man unter Windows Server 2008 (R2) oder 2012 eine differenzierte Regelung für Passwörter umsetzen, dann lässt sich diese nicht über OUs realisieren, sondern nur für einzelne User oder Security Groups. Auf Computer-Konten lassen sich Fine-grained Password Policies ebenfalls nicht anwenden. Voraussetzung für die Nutzung dieses Features ist, dass das Active Directory mindestens auf die Funktionsebene von Windows Server 2008 gebracht wurde.

    Separate Definition von PSOs

    Da die gängigen Tools für das AD-Management (Gruppenrichtlinienverwaltung, Active-Directory-Verwaltungscenter) unter Windows 7 und Server 2008 (R2) kein Password Settings Object (PSO) erstellen können, muss man zu diesem Zweck auf den ADSI-Editor, das Kommandozeilen-Tool ldifde oder PowerShell zurückgreifen.

    Für die meisten Admins dürfte der grafische ADSI-Editor noch am freundlichsten zu benutzen sein. Falls unterhalb der Wurzel ("ADSI-Editor") im linken Fenster des Tools die betreffenden Domäne noch nicht eingetragen ist, dann führt man im Menü den Befehl Aktion => Verbindung herstellen aus.

    Der Wizard zur Definition eines PSO startet aus dem Kontextmenü des Password Settings Container.

    Dort trägt man unter Name die Domäne in der Notation DC=contoso,DC=com ein. Anschließend navigiert man im Baum zu CN=System und öffnet im mittleren Fenster das Kontextmenü des Eintrags CN=Password Settings Container. Dort führt man den Befehl Neu => Objekt aus.

    Mühselige Eingabe von Attributwerten

    Im anschließenden Wizard kann man Schritt für Schritt die Vorgaben für die Passwortsicherheit eingeben, von der Mindestlänge über die Gültigkeitsdauer bis zur Anzahl der tolerierten ungültigen Eingaben. Der ADSI-Editor zeigt als Bezeichnung die Namen der Attribute an (z.B. msDS-PasswordComplexityEnabled) und verlangt die Werte in einer Form, die vom Datentyp anhängt (z.B. Zeitangaben im Format 00:00:00:00). Von der Online-Hilfe des Editors ist hier keine Unterstützung zu erwarten, aber eine Tabelle im folgenden TechNet-Artikel erleichtert den Durchlauf durch den Wizard.

    Bei der Eingabe der Regeln hat man es direkt mit den Attributnamen und deren Datentypen zu tun.

    Hat man alle Richtlinien für die Passwörter festgelegt, dann kann man nach Abschluss des Wizards über die Schaltfläche Weitere Attribute die eben eingerichteten Policies gleich den gewünschten User-Objekten zuweisen. Einfacher geht es jedoch über Active Directory-Benutzer und -Computer oder das neue Active Directory-Verwaltungscenter.

    Regeln über das AD-Verwaltungscenter zuweisen

    Entscheidet man sich für Letzteres (dsac.exe), dann wählt man im linken Fenster die gewünschte Domäne aus und öffnet anschließend im mittleren Fenster den Eintrag System. Dort findet sich der Eintrag Password Setting Container, er sollte das neu erstellte Password Settings Object enthalten. Aus seinem Kontextmenü führt man den Befehl Eigenschaften aus.

    Das im ADSI-Editor angelegte Regelwerk kann man in AD-Verwaltungscenter den Usern und Gruppen zuordnen.

    Der anschließende Dialog enthält einen Abschnitt namens Erweiterungen. In dem dort eingebetteten Fenster wechselt man zur Registerkarte Attribut-Editor. In der dann folgenden Liste bearbeitet man das Attribut msDS-PSOAppliesTo und ordnet dem neuen Regelsatz über Windows-Konto hinzufügen die gewünschten User und Gruppen zu.

    Vereinfachtes Management ab Windows 8

    Das Active Directory-Verwaltungscenter ist unter Windows Server 2012 und RSAT für Windows 8 der Schlüssel zu einer einfacheren Verwaltung von Fine-grained Password Policy. Das Tool eignet sich wohlgemerkt auch für die Konfiguration von gruppenspezifischen Kennwortregeln, wenn das AD noch auf der Funktionsebene von Windows Server 2008 ist, also auch wenn die DCs noch unter dem alten Betriebssystem laufen.

    Das AD-Verwaltungscenter unter Windows 8 erlaubt die komplette Definition und Zuweisung von Regeln an einem Platz.

    Das Vorgehen ist ganz ähnlich wie bei der Version für Windows Server 2008 R2, nur mit dem großen Unterschied, dass man die Passwort-Einstellungen nicht mehr vorher im ADSI-Editor definieren muss, sondern alle Aufgaben an einem Ort erledigen kann.

    Alle Einstellungen an einem Platz

    Zu diesem Zweck wählt man im linken Fenster die betreffende Domäne aus und navigiert zu System => Password Settings Container. Über den Befehl Neu => Kenn­wort­ein­stellungen im rechten Fenster gelangt man zu einem Dialog, indem man sowohl die Richtlinien für Passwörter festlegen als auch diese gleich bestimmte AD-Objekten zuordnen kann.

    6 Kommentare

    Bild von Christian Wimmer
    Christian Wimmer sagt:
    20. Juli 2012 - 10:09

    Wir nutzen für Windows2008 Specops Password Policy Basic: http://www.specopssoft.com/documentation/specops-password-policy-basic-d...

    Ist zwar jetzt nicht das hübscheste Tool, aber immer noch erheblich besser als es "manuell" hinzufummeln.

    Bild von Wolfgang Sommergut
    20. Juli 2012 - 10:38

    Christian, danke für den Tipp, ich schau mir das Tool an.

    Bild von Franz
    Franz sagt:
    18. Mai 2018 - 11:30

    danke für den tollen Artikel!
    Wo kann ich die Kennwortkomplexität definieren ohne dass alle AD User betroffen sind?

    danke Franz

    Bild von Wolfgang Sommergut
    18. Mai 2018 - 11:42

    Das sollte aus diesem Artikel hervorgehen :-)

    Bild von Franz
    Franz sagt:
    18. Mai 2018 - 11:52

    Danke Wolfgang für den Hinweis.
    Was ich wissen will, habe ich zum Beispiel eine Einfluss ob im Kennwort ein Sonderzeichen oder wieviel Ziffern oder ob ein Großbuchstabe enthalten sein muss.

    Gruß Franz

    Bild von Wolfgang Sommergut
    18. Mai 2018 - 12:07

    Ok, verstehe. Die Komplexitäts­anforderungen sind vorgegeben:

    • Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
    • Das Kennwort muss mindestens sechs Zeichen lang sein.
    • Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
      Großbuchstaben (A bis Z)
      Kleinbuchstaben (a bis z)
      Zahlen zur Basis 10 (0 bis 9)
      Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)

    Man kann bei der Definition einer Policy dann festlegen, ob die Kennwörter dieser Vorgabe entsprechen müssen oder nicht.