Seit Windows Server 2008 können fein
abgestimmte Kennwortrichtlinien (Fine Grained Password Policy’s) angelegt
werden, welche man auf unterschiedliche Gruppen von Benutzern innerhalb einer
einzigen Domäne anwenden kann. Zum Beispiel, um die Sicherheit von
privilegierten Admin-Accounts zu erhöhen, kann man nun strengere Einstellungen
vornehmen, als für unprivilegierte Benutzer-Accounts.
Um Fine Grained Password Policy´s zu
speichern, enthält Windows Server 2008 zwei neue Objektklassen im Active
Directory Domain Services (AD DS)-Schema:
·
Password Settings Container und
·
Password Settings
Die Verwaltung der Fine Grained Password Policy´s war unter
Windows Server 2008 nur mit ADSIEdit und LDIFDE möglich. In dem Container CN=Password Settings
Container,CN=System,DC=Domäne,DC=de der Domänenpartition müssen hierzu
entsprechende Einträge vorgenommen werden. Seit Windows Server 2008 R2 ist
ebenfalls die Verwaltung mit AD-PowerShell möglich. Hierfür hat Microsoft diese
acht Cmdlets zur Verfügung gestellt:
·
Add-ADFineGrainedPasswordPolicySubject
·
Get-ADFineGrainedPasswordPolicy
·
Get-ADFineGrainedPasswordPolicySubject
·
Get-ADUserResultantPasswordPolicy
·
New-ADFineGrainedPasswordPolicy
·
Remove-ADFineGrainedPasswordPolicy
·
Remove-ADFineGrainedPasswordPolicySubject
·
Set-ADFineGrainedPasswordPolicy
Voraussetzung für die Einrichtung von Fine
Grained Password Policy´s ist unter anderem, dass sich der Domänenfunktionsmodus mindestens im
Modus 2008 befindet. Des Weiteren gibt es weitere Voraussetzungen und Abhängigkeiten, welche beachtet werden müssen.
Keine Kommentare:
Kommentar veröffentlichen