So richten Sie mehrere Kennwort- und Kontosperrrichtlinien ein

Seit Windows Server 2008 ermöglicht Microsoft Administratoren, mehrere password policies für Domänen in Active Directory zu erstellen. In einer modernen, cloud-fähigen Umgebung ist es wichtig, dass höher privilegierte Konten mit Richtlinien abgesichert und regelmäßig überprüft werden.

Hier ist eine Schritt-für-Schritt-Anleitung, wie Sie Mehrfache Passwort- und Kontosperrrichtlinien in Ihrer Umgebung aktivieren können. Dies ist auch als feingranulare Passwortrichtlinie bekannt.

Vergessen Sie nicht, dass Sie immer das kostenlose AD account tool von Netwrix verwenden können, um Benutzerkontosperrungen schneller zu untersuchen.

Bevor Sie dies versuchen, stellen Sie bitte sicher, dass Ihr Domain- und Forest-Funktionslevel mindestens 2008 oder höher ist und dass Sie als Domain-Administrator (oder höher) angemeldet sind.

Active Directory speichert diese neuen Kennwortrichtlinien in einem Password Settings Container (PSC) – hier beginnen wir:

1. Öffnen Sie adsiedit.msc über das Startmenü
2. Klicken Sie mit der rechten Maustaste auf ‘ADSI Edit’ im linken Bereich und wählen Sie ‘Verbinden mit’
3. Geben Sie in das Feld „name“ den Domänennamen ein, auf den Sie dies anwenden möchten, und klicken Sie auf OK
4. Erweitern Sie den Baum auf der linken Seite: DC=Your Domain -> CN=System -> CN= Password Settings Container

1. Klicken Sie mit der rechten Maustaste auf den leeren Bereich rechts und wählen Sie 'Neu' -> 'Objekt' -> msDS-PasswordSettings -> Weiter
2. Geben Sie dieser Richtlinie einen Namen, hier nenne ich sie 'Chief Executives' -> Weiter
3. Geben Sie für jedes Attribut, nach dem der Assistent fragt, einen entsprechenden Wert ein:
   1. Passwortrichtlinien-Priorität – von 0 aufwärts
      • Dies ist die Reihenfolge, in der die Password Policy auf einen Benutzer angewendet wird: eine NIEDRIGERE
        Zahl zeigt eine HÖHERE Priorität an (wird andere überschreiben).
   2. Reversible Encryption Enables – wahr oder falsch
      • Speichern Sie das Passwort mit umkehrbarer Verschlüsselung – nicht empfohlen!
   3. Passworthistorienlänge – 0 bis 1024
      • Wie viele Passwörter werden gemerkt, nachdem Benutzer sie geändert haben.
   4. Passwortkomplexität aktiviert – wahr oder falsch
      • Das Passwort muss Komplexitätsanforderungen erfüllen (d.h. es muss Zahlen, Symbole, Groß- und Kleinbuchstaben enthalten)
   5. Mindestpasswortlänge – 0 bis 255
   6. Mindestpasswortalter – eine Zeitspanne angegeben in dd:hh:mm:ss oder (keine)
      • Wie lange ein Benutzer ein Passwort behalten muss, bevor er es ändern darf (verhindert das Ändern und dann wieder Zurückändern)
   7. Maximales Passwortalter – ein Zeitraum angegeben in Tagen:Stunden:Minuten:Sekunden oder (nie)
   8. Sperrschwellenwert – 0 bis 65535
      • Wie viele Passwörter können falsch eingegeben werden, bevor das Konto gesperrt wird
   9. Sperrbeobachtungszeitraum – ein Zeitraum angegeben in dd:hh:mm:ss oder (keiner)
      • Der Zeitraum, in dem frühere falsche Passwörter betrachtet und bei Bedarf gesperrt werden sollen.
   10. Sperrdauer – ein Zeitraum angegeben in dd:hh:mm:ss oder (nie)
       • Wie lange ein Konto gesperrt werden soll, nachdem die maximale Anzahl an Fehlversuchen erreicht wurde
   11. Klicken Sie auf ‚Fertigstellen‘, dann rechtsklicken Sie auf die neue Passwortrichtlinie und klicken Sie auf ‚Eigenschaften‘
   12. Finden Sie das Attribut 'msDS-PSOAppliesTo' und doppelklicken Sie, dann 'Windows-Konto hinzufügen'

Geben Sie die Gruppen oder Benutzer an, auf die diese Passwortrichtlinie angewendet werden soll:

1. Drücken Sie OK, bis Sie fertig sind!

Sobald Ihre neue Passwortrichtlinie auf andere Domänencontroller repliziert wurde, sollte sie nahezu sofort durchgesetzt werden.

Wenn Sie das Glück haben, über eine Windows Server 2012-Domäne zu verfügen oder einen Computer mit Windows 8 oder höher mit installierten Remote Server Administration Tools, ist dieser Prozess etwas einfacher:

1. Öffnen Sie das Active Directory-Verwaltungscenter und verbinden Sie sich mit Ihrer Domäne
2. Navigieren Sie zum gleichen Ort wie in ADSI: Domain -> System -> Password Settings Container
3. Klicken Sie mit der rechten Maustaste und wählen Sie 'Neu' -> 'Passworteinstellungen'

Ein Dialogfenster wird erscheinen, das größtenteils dieselben Optionen wie oben beschrieben bietet, jedoch mit weniger Kontrolle über einige der Zeiträume (zum Beispiel können Sie keine Dauer in Stunden oder Minuten für das Mindest-/Höchstalter des Passworts festlegen.

1. Legen Sie Ihre Optionen fest und fügen Sie dann die Benutzer/Gruppen hinzu, auf die diese Passwortrichtlinie angewendet werden soll, und drücken Sie dann OK.

Alternativ können Sie alles mit zwei PowerShell-Befehlen wie folgt erledigen…

Erstellen Sie die Password Policy:

Neu – ADFineGrainedPasswordPolicy – ComplexityEnabled: $true -LockoutDuration: „00:30:00“ – LockoutObservationWindow: „00:30:00“ – LockoutThreshold: „5“ – MaxPasswordAge: „42.00:00:00“ -MinPasswordAge: „1.00:00:00“ – MinPasswordLength: „7“ -Name: „FriendlyNameHere“ – PasswordHistoryCount: „24“ – Precedence: „5“ -ReversibleEncryptionEnabled: $false – Server: „domaincontroller.domain.local“

Und wenden Sie es auf eine Gruppe oder einen Benutzer an:

Hinzufügen – ADFineGrainedPasswordPolicySubject – Identity: „CN=FriendlyNameHere, CN=Password Settings Container, CN=System, DC=domain, DC=local“ – Server: „domaincontroller.domain.local“ – Subjects: „DNPathToUserOrGroup“

Wieder sind die Beschreibungen der Attribute oben.

Ich würde dringend empfehlen, Fine-Grained Password Policies einzurichten – hier sind die 4 Ebenen, die wir eingerichtet haben:

• Gast- und 'Wegwerf'-Konten
  – Einfache Passwörter erlaubt, mehr als 5 Zeichen, kein Ablaufdatum
• Reguläres Personal
  – Einfache Passwörter erlaubt, mehr als 12 Zeichen, 30 Tage Ablauf
• Finanz- und Vertrauliches Material Personal
  – Komplexe Passwörter, mehr als 12 Zeichen, 30 Tage Gültigkeit, 12 Passwörter gemerkt
• ICT-Personal und Administratoren
  – Komplexe Passwörter, mehr als 12 Zeichen, 14 Tage Gültigkeit, 12 Passwörter gemerkt