Tags: Sicherheit, Active Directory, Authentifizierung
In der Vergangenheit konnten im Active Directory die Regeln zur Passwort-Sicherheit nur auf Domänen-Ebene definiert werden. Mit Windows Server 2008 führte Microsoft die Unterstützung für die so genannte Fine-grained Passord Policy ein, die es erlaubt, spezifische Vorgaben für einzelne User oder Gruppen zu machen. Bis dato haperte es jedoch bei den Tools zur Konfiguration dieses Features. Diese Lücke schloss Microsoft mit Windows Server 2012 bzw. mit RSAT für Windows 8.
Es ist keineswegs eine abwegige Anforderung, für verschiedene Benutzergruppen jeweils eigene Passwort-Regeln zu wollen. Wenn jemand ständig mit sensiblen Informationen zu tun hat, werden hier die Vorgaben strenger sein als bei Usern, die kaum Zugang zu kritischen Systemen und Daten haben.
In der Vergangenheit hätte man für bestimmte Benutzergruppen eigene Kennwort-Policies nur festlegen können, indem man für sie eine eigene Domäne einrichtet, weil die Regeln auf kleinere Einheiten des AD nicht anzuwenden waren.
Keine Zuweisung von Passwortregeln zu OUs
Problematisch an der Vergabe von Passwort-Richtlinien ist bis heute, dass sich ein dafür zuständiges GPO ohne weiteres auch einer OU zuweisen lässt. Der Administrator mag sich danach im Glauben dünken, er hätte nun die Regeln für eine bestimmte Organisationseinheit festgelegt - das ist jedoch nicht der Fall.
Möchte man unter Windows Server 2008 (R2) oder 2012 eine differenzierte Regelung für Passwörter umsetzen, dann lässt sich diese nicht über OUs realisieren, sondern nur für einzelne User oder Security Groups. Auf Computer-Konten lassen sich Fine-grained Password Policies ebenfalls nicht anwenden. Voraussetzung für die Nutzung dieses Features ist, dass das Active Directory mindestens auf die Funktionsebene von Windows Server 2008 gebracht wurde.
Separate Definition von PSOs
Da die gängigen Tools für das AD-Management (Gruppenrichtlinienverwaltung, Active-Directory-Verwaltungscenter) unter Windows 7 und Server 2008 (R2) kein Password Settings Object (PSO) erstellen können, muss man zu diesem Zweck auf den ADSI-Editor, das Kommandozeilen-Tool ldifde oder PowerShell zurückgreifen.
Für die meisten Admins dürfte der grafische ADSI-Editor noch am freundlichsten zu benutzen sein. Falls unterhalb der Wurzel ("ADSI-Editor") im linken Fenster des Tools die betreffenden Domäne noch nicht eingetragen ist, dann führt man im Menü den Befehl Aktion => Verbindung herstellen aus.
Dort trägt man unter Name die Domäne in der Notation DC=contoso,DC=com ein. Anschließend navigiert man im Baum zu CN=System und öffnet im mittleren Fenster das Kontextmenü des Eintrags CN=Password Settings Container. Dort führt man den Befehl Neu => Objekt aus.
Mühselige Eingabe von Attributwerten
Im anschließenden Wizard kann man Schritt für Schritt die Vorgaben für die Passwortsicherheit eingeben, von der Mindestlänge über die Gültigkeitsdauer bis zur Anzahl der tolerierten ungültigen Eingaben.
Der ADSI-Editor zeigt als Bezeichnung die Namen der Attribute an (z.B. msDS-PasswordComplexityEnabled) und verlangt die Werte in einer Form, die vom Datentyp anhängt (z.B. Zeitangaben im Format 00:00:00:00).
Von der Online-Hilfe des Editors ist hier keine Unterstützung zu erwarten, aber eine Tabelle im folgenden TechNet-Artikel erleichtert den Durchlauf durch den Wizard.
Hat man alle Richtlinien für die Passwörter festgelegt, dann kann man nach Abschluss des Wizards über die Schaltfläche Weitere Attribute die eben eingerichteten Policies gleich den gewünschten User-Objekten zuweisen. Einfacher geht es jedoch über Active Directory-Benutzer und -Computer oder das neue Active Directory-Verwaltungscenter.
Regeln über das AD-Verwaltungscenter zuweisen
Entscheidet man sich für Letzteres (dsac.exe), dann wählt man im linken Fenster die gewünschte Domäne aus und öffnet anschließend im mittleren Fenster den Eintrag System. Dort findet sich der Eintrag Password Setting Container, er sollte das neu erstellte Password Settings Object enthalten. Aus seinem Kontextmenü führt man den Befehl Eigenschaften aus.
Der anschließende Dialog enthält einen Abschnitt namens Erweiterungen. In dem dort eingebetteten Fenster wechselt man zur Registerkarte Attribut-Editor. In der dann folgenden Liste bearbeitet man das Attribut msDS-PSOAppliesTo und ordnet dem neuen Regelsatz über Windows-Konto hinzufügen die gewünschten User und Gruppen zu.
Vereinfachtes Management ab Windows 8
Das Active Directory-Verwaltungscenter ist unter Windows Server 2012 und RSAT für Windows 8 der Schlüssel zu einer einfacheren Verwaltung von Fine-grained Password Policy. Das Tool eignet sich wohlgemerkt auch für die Konfiguration von gruppenspezifischen Kennwortregeln, wenn das AD noch auf der Funktionsebene von Windows Server 2008 ist, also auch wenn die DCs noch unter dem alten Betriebssystem laufen.
Das Vorgehen ist ganz ähnlich wie bei der Version für Windows Server 2008 R2, nur mit dem großen Unterschied, dass man die Passwort-Einstellungen nicht mehr vorher im ADSI-Editor definieren muss, sondern alle Aufgaben an einem Ort erledigen kann.
Alle Einstellungen an einem Platz
Zu diesem Zweck wählt man im linken Fenster die betreffende Domäne aus und navigiert zu System => Password Settings Container. Über den Befehl Neu => Kennworteinstellungen im rechten Fenster gelangt man zu einem Dialog, indem man sowohl die Richtlinien für Passwörter festlegen als auch diese gleich bestimmte AD-Objekten zuordnen kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- SpecOps Password Policy: Sichere Passwörter für das Active Directory
- Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor
Weitere Links
7 Kommentare
Wir nutzen für Windows2008 Specops Password Policy Basic: http://www.specopssoft.com/documentation/specops-password-policy-basic-d...
Ist zwar jetzt nicht das hübscheste Tool, aber immer noch erheblich besser als es "manuell" hinzufummeln.
Christian, danke für den Tipp, ich schau mir das Tool an.
Ist dieses Tool kostenlos? Geht nicht direkt hervor...
danke für den tollen Artikel!
Wo kann ich die Kennwortkomplexität definieren ohne dass alle AD User betroffen sind?
danke Franz
Das sollte aus diesem Artikel hervorgehen :-)
Danke Wolfgang für den Hinweis.
Was ich wissen will, habe ich zum Beispiel eine Einfluss ob im Kennwort ein Sonderzeichen oder wieviel Ziffern oder ob ein Großbuchstabe enthalten sein muss.
Gruß Franz
Ok, verstehe. Die Komplexitätsanforderungen sind vorgegeben:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Man kann bei der Definition einer Policy dann festlegen, ob die Kennwörter dieser Vorgabe entsprechen müssen oder nicht.