Willkommen bei SCHROETER|EDV
headerimage

Beschreibung

diese Kurzbeschreibung soll die Schritte darstellen, wie Sie für eine Active Directory User Gruppe eine eigene Passwort Richtlinie erstellen können.

(Möglicher) Hintergrund: Es Soll einer Bestimmten Usergruppe eine eigene Passwort Richtlinie vergeben werden, um eine höhere Sicherheit zu gewährleisten.
Bsp. Ein administratives Konto soll mehr Zeichen haben. Oder, ein Außendienstmitarbeiter soll öfters sein Kennwort abändern als der normale Inhous User.

FGPP = Kürzel für Fine-Grained Password Policy
PSO = Kürzel für Password Settings Objects

HINWEIS(e):

Es wird empfohlen, ein PSO auf eine AD-Sicherheitsgruppe zu verrechten und nicht auf einen User allein. Technisch ist dies zwar möglich, aber beinhaltet einen erhöten administrativen Aufwand!

Es ist ein Domänen Funktionslevel von min 2008 erforderlich. Sie können dies mittels folgender PowerShell Abfrage einsehen: Get-ADDomain | fl Name,DomainMode


Schritte - Bsp. Kennwortlänge für Admin Konten:

  1. Melden Sie sich am am Domain Controller an.
  2. Öffnen Sie das Verwaltungscenter via: Server Manager > Tools > Active Directory-Verwaltungscenter
  3. Wechseln Sie die Ansicht auf Baumansicht.
  4. Navigieren in das folgende Verzeichnis: <IhreDomäne>(lokal) > System > Password Settings Container
  5. Klicken Sie auf der Rechten Fensterseite auf: NEU > Kennworteinstellungen
  6. Geben Sie der PSO einen eindeutigen Namen: Bsp. PSO-Admin
  7. Vergeben Sie der PSO die Settings, die Sie der Gruppe zurodnen möchten.
    Bsp. Siehe Abbildung <Wird Nachgereicht>
    HINWEIS zum Vorrang! ##
  8. Hinterlegen Sie ein/die AD-Sicherheitsgruppe, auf die die Einstellungen greifen soll.
  9. Klicken Sie auf OK, um die Einstellungen zu Speichern.


Wenn Sie die oben genannten Schritte umgesetzt haben, wurde eine eine FGPP erstellt und dessen PSO auf eine Gruppe und dessen Mitgliedern angewendet.

 

Mittels folgender PowerShell Abfrage, können Sie Prüfen, welche PSO auf den abgefragten User greift: Get-ADUserResultantPasswordPolicy <Name-eines-Users>

Alternativ, können Sie überprüfen, ob Sie dem User ein neues Kennwort vergeben können, welches unter der mind. Länge entspricht, was Sie vergeben haben.

 

HINWEIS zum Vorrang:

Wenn Sie mehrere PSO's verwenden und ein User ist in mehreren hinterlegt, ist nun die Frage welche nun greifen wird. Es wird die mit der niedrigsten Nummer für den User angewendet.

 


Quelle: Introduction to Active Directory Administrative Center Enhancements (Level 100) | Microsoft Learn

Info 1: AD DS: Fine-Grained Password Policies | Microsoft Learn

Info 2: Step-by-Step: Enabling and Using Fine-Grained Password Policies in AD | Microsoft Learn

Info 3: Microsoft Active Directory - Fine Grained Password Policy (differenzierte Kennwortrichtlinien) - YouTube

Info 4: New-ADFineGrainedPasswordPolicy (ActiveDirectory) | Microsoft Learn

Inhaltsverzeichnis

nach oben