Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

Einrichtung

Der erste Schritt findet im ADSI Editor statt.

  • [Win] + [R]
  • adsiedit.msc

FGPP2008-01Der Editor ist zunächst leer. Wir müssen noch eine Verbindung zum DC herstellen.

FGPP2008-02Normalerweise kann man die Standard Einstellungen mit OK bestätigen.

 

FGPP2008-03Im Baum navigiert man von DC=<Domain> über CN=System zu CN=Password Settings Container.

 

FGPP2008-04Man markiert CN=Password Settings Container und generiert dort ein neues Objekt.

 

FGPP2008-05Die Auswahl der möglichen Klassen ist überschaubar. 🙂 Man wählt msDS-PasswordSettings und klickt weiter.

FGPP2008-06Das neue Objekt sollte nun eine aussagekräftigen Namen erhalten. So zum Beispiel “RemoteUser”, “HighRisk” oder ähnliche.

 

FGPP2008-07Die nun folgenden Dialoge bestimmen die Eigenschaften des Objekts.

Vorrang

Dieser Zahlwert entscheidt bei Konflikten die Wertigkeit der Richlinie vor oder nach anderen. Wenn ein Nutzer Mitglied in mehreren Gruppen ist, für die unterschiedliche Richtlinien gelten, so gewinnt die Richtlinie mit der höchsten Vorrang-Nummer. Hier sollte man nicht mit 1 beginnen und zwischen den Richlinien etwas numerischen Abstand lassen, damit später ggf. noch etwas dazwischen passt.

 

FGPP2008-08

 Reversible Verschlüsselung

Sollte in der Regel nicht erlaubt werden.

FGPP2008-09

Password History Length

Wie viele der vorherigen Passwörter soll sich das System merken? Heisst im Klartext: Nach wievielen Änderungen darf der User sein erstes Passwort wieder verwenden?

FGPP2008-10Komplexität des Passwortes

Wird diese Option aktiviert gelten folgende Vorschriften:

  • Das Passwort darf weder den Login Namen noch den Benutzernamen enthalten. Für Benutzer John Doe bedeutet dies, daß weder “john”, noch “doe” im Passwort enthalten sein darf.
  • Das Passwort muss Zeichen aus drei der fünf möglich Kategorien enthalten:
    • Grossbuchstaben A-Z
    • Kleinbuchstaben a-z
    • Ziffern 0-9
    • Sonderzeichen ~!@#$%^&*_-+=`|\(){}[]:;”‘<>,.?/
    • Unicode Zeichen, die weder Groß- noch Kleinbuchstaben sind.

 

FGPP2008-11

Mindestlänge

Minimale Anzahl der Zeichen.

FGPP2008-12

 Mindestalter des Passwortes

Auch wenn dieser Parameter zunächst etwas überflüssig klingt, ergibt er doch einen Sinn. Wenn ich (wie oben) fordere, daß erst nach 5 Wechseln das Passwort wiederholt werden darf, dann könnten schlaue (faule) Nutzer ihr Passwort an einem Tag viermal mit komplexen Passwörten wechseln und dann wieder zu ihrem gewohnetn alten Passwort zurückkehren. Clever! 😉

Die Eingabe erfolgt als Zeitangabe [DD:HH:MM:SS]. In unserem Beispiel 8 Tage.

FGPP2008-13

 Maximales Passwort Alter

Das ist die maximale Gültigkeits des Passwortes. [DD:HH:MM:SS]. Hier 28 Tage.

FGPP2008-14

 Fehlversuche

Die Anzahl an falschen Loginversuchen, bis der Nutzer ausgesperrt wird.

FGPP2008-15

 Überwachungs Zeitfenster

In welchem Zeitfenster werden die Fehlversuche gezählt [DD:HH:MM:SS]. In Unserem Beispiel kann man innerhalb von 5 Minuten 9 falsche Logins eingeben. Erfolgt der 10. Fehlversuch später, wird der Nutzer nicht ausgesperrt.

FGPP2008-16Dauer der Aussperrung

Sperrzeit [DD:SS:MM:SS]

FGPP2008-17

Das waren die Optionen. Das Objekt kann jetzt fertig gestellt werden.

FGPP2008-18

 Zuordnung

Das neue Objekt erscheint unter Password Settings Container. Im Kontextmenü lassen sich dessen Einstellungen bearbeiten. Die Zuordnung zu Nutzergruppen erfolgt im Editor beim Attribut msDS-PSOAppliesTo. Markieren und [Bearbeiten].

FGPP2008-19Hier können nun alle zutreffenden Nutzergruppen hinzugefügt werden.

 

FGPP2008-20Abschließend mit OK bestätigen. In der Übersicht sieht man die SID der Gruppe oder den Klartext Namen.

 

FGPP2008-21

 

 

Links

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert