Fine-grained Password Policy: Kennwortregeln für AD-Gruppen festlegen

In der Vergangen­heit konnten im Active Directory die Regeln zur Pass­wort-Sicher­heit nur auf Domänen-Ebene defi­niert werden. Mit Windows Server 2008 führte Microsoft die Unter­stützung für die so genannte Fine-grained Passord Policy ein, die es erlaubt, spezi­fische Vor­gaben für einzelne User oder Gruppen zu machen. Bis dato haperte es jedoch bei den Tools zur Konfi­guration dieses Features. Diese Lücke schloss Microsoft mit Windows Server 2012 bzw. mit RSAT für Windows 8.

Es ist keineswegs eine abwegige Anforderung, für verschiedene Benutzer­gruppen jeweils eigene Passwort-Regeln zu wollen. Wenn jemand ständig mit sensiblen Informationen zu tun hat, werden hier die Vorgaben strenger sein als bei Usern, die kaum Zugang zu kritischen Systemen und Daten haben.

In der Vergangen­heit hätte man für bestimmte Benutzer­gruppen eigene Kennwort-Policies nur festlegen können, indem man für sie eine eigene Domäne einrichtet, weil die Regeln auf kleinere Einheiten des AD nicht anzuwenden waren.

Keine Zuweisung von Passwortregeln zu OUs

Problematisch an der Vergabe von Passwort-Richtlinien ist bis heute, dass sich ein dafür zuständiges GPO ohne weiteres auch einer OU zuweisen lässt. Der Administrator mag sich danach im Glauben dünken, er hätte nun die Regeln für eine bestimmte Organisationseinheit festgelegt - das ist jedoch nicht der Fall.

Möchte man unter Windows Server 2008 (R2) oder 2012 eine differenzierte Regelung für Passwörter umsetzen, dann lässt sich diese nicht über OUs realisieren, sondern nur für einzelne User oder Security Groups. Auf Computer-Konten lassen sich Fine-grained Password Policies ebenfalls nicht anwenden. Voraussetzung für die Nutzung dieses Features ist, dass das Active Directory mindestens auf die Funktionsebene von Windows Server 2008 gebracht wurde.

Separate Definition von PSOs

Da die gängigen Tools für das AD-Management (Gruppenrichtlinienverwaltung, Active-Directory-Verwaltungscenter) unter Windows 7 und Server 2008 (R2) kein Password Settings Object (PSO) erstellen können, muss man zu diesem Zweck auf den ADSI-Editor, das Kommandozeilen-Tool ldifde oder PowerShell zurückgreifen.

Für die meisten Admins dürfte der grafische ADSI-Editor noch am freundlichsten zu benutzen sein. Falls unterhalb der Wurzel ("ADSI-Editor") im linken Fenster des Tools die betreffenden Domäne noch nicht eingetragen ist, dann führt man im Menü den Befehl Aktion => Verbindung herstellen aus.

Dort trägt man unter Name die Domäne in der Notation DC=contoso,DC=com ein. Anschließend navigiert man im Baum zu CN=System und öffnet im mittleren Fenster das Kontextmenü des Eintrags CN=Password Settings Container. Dort führt man den Befehl Neu => Objekt aus.

Mühselige Eingabe von Attributwerten

Im anschließenden Wizard kann man Schritt für Schritt die Vorgaben für die Passwortsicherheit eingeben, von der Mindestlänge über die Gültigkeitsdauer bis zur Anzahl der tolerierten ungültigen Eingaben.

Der ADSI-Editor zeigt als Bezeichnung die Namen der Attribute an (z.B. msDS-PasswordComplexityEnabled) und verlangt die Werte in einer Form, die vom Datentyp anhängt (z.B. Zeitangaben im Format 00:00:00:00).

Von der Online-Hilfe des Editors ist hier keine Unterstützung zu erwarten, aber eine Tabelle im folgenden TechNet-Artikel erleichtert den Durchlauf durch den Wizard.

Hat man alle Richtlinien für die Passwörter festgelegt, dann kann man nach Abschluss des Wizards über die Schaltfläche Weitere Attribute die eben eingerichteten Policies gleich den gewünschten User-Objekten zuweisen. Einfacher geht es jedoch über Active Directory-Benutzer und -Computer oder das neue Active Directory-Verwaltungscenter.

Regeln über das AD-Verwaltungscenter zuweisen

Entscheidet man sich für Letzteres (dsac.exe), dann wählt man im linken Fenster die gewünschte Domäne aus und öffnet anschließend im mittleren Fenster den Eintrag System. Dort findet sich der Eintrag Password Setting Container, er sollte das neu erstellte Password Settings Object enthalten. Aus seinem Kontextmenü führt man den Befehl Eigenschaften aus.

Der anschließende Dialog enthält einen Abschnitt namens Erweiterungen. In dem dort eingebetteten Fenster wechselt man zur Registerkarte Attribut-Editor. In der dann folgenden Liste bearbeitet man das Attribut msDS-PSOAppliesTo und ordnet dem neuen Regelsatz über Windows-Konto hinzufügen die gewünschten User und Gruppen zu.

Vereinfachtes Management ab Windows 8

Das Active Directory-Verwaltungscenter ist unter Windows Server 2012 und RSAT für Windows 8 der Schlüssel zu einer einfacheren Verwaltung von Fine-grained Password Policy. Das Tool eignet sich wohlgemerkt auch für die Konfiguration von gruppenspezifischen Kennwortregeln, wenn das AD noch auf der Funktionsebene von Windows Server 2008 ist, also auch wenn die DCs noch unter dem alten Betriebssystem laufen.

Das Vorgehen ist ganz ähnlich wie bei der Version für Windows Server 2008 R2, nur mit dem großen Unterschied, dass man die Passwort-Einstellungen nicht mehr vorher im ADSI-Editor definieren muss, sondern alle Aufgaben an einem Ort erledigen kann.

Alle Einstellungen an einem Platz

Zu diesem Zweck wählt man im linken Fenster die betreffende Domäne aus und navigiert zu System => Password Settings Container. Über den Befehl Neu => Kenn­wort­ein­stellungen im rechten Fenster gelangt man zu einem Dialog, indem man sowohl die Richtlinien für Passwörter festlegen als auch diese gleich bestimmte AD-Objekten zuordnen kann.