Montag, 9. Juli 2012

Fine Grained Password Policy´s unter Windows Server 2008 / 2008R2

In Windows 2000 bzw. Windows 2003 Active Directory-Domänen, konnte bisher nur eine Kennwortrichtlinie, die in der Default Domain Policy definiert  wurde, für alle Benutzer in der Domäne erstellt werden. Wenn verschiedene Kennwort-und Kontosperrungsrichtlinien für unterschiedliche Gruppen von Benutzern eingesetzt werden sollten, musste man hierfür mehrere Active Directory-Domänen erstellen. 


Seit Windows Server 2008 können fein abgestimmte Kennwortrichtlinien (Fine Grained Password Policy’s) angelegt werden, welche man auf unterschiedliche Gruppen von Benutzern innerhalb einer einzigen Domäne anwenden kann. Zum Beispiel, um die Sicherheit von privilegierten Admin-Accounts zu erhöhen, kann man nun strengere Einstellungen vornehmen, als für unprivilegierte Benutzer-Accounts. 

Um Fine Grained Password Policy´s zu speichern, enthält Windows Server 2008 zwei neue Objektklassen im Active Directory Domain Services (AD DS)-Schema: 

·         Password Settings Container und
·         Password Settings
 
Die Verwaltung der  Fine Grained Password Policy´s war unter Windows Server 2008 nur mit ADSIEdit und LDIFDE möglich. In dem Container CN=Password Settings Container,CN=System,DC=Domäne,DC=de der Domänenpartition müssen hierzu entsprechende Einträge vorgenommen werden. Seit Windows Server 2008 R2 ist ebenfalls die Verwaltung mit AD-PowerShell möglich. Hierfür hat Microsoft diese acht Cmdlets zur Verfügung gestellt: 

·         Add-ADFineGrainedPasswordPolicySubject

·         Get-ADFineGrainedPasswordPolicy

·         Get-ADFineGrainedPasswordPolicySubject

·         Get-ADUserResultantPasswordPolicy

·         New-ADFineGrainedPasswordPolicy

·         Remove-ADFineGrainedPasswordPolicy

·         Remove-ADFineGrainedPasswordPolicySubject

·         Set-ADFineGrainedPasswordPolicy

Voraussetzung für die Einrichtung von Fine Grained Password Policy´s ist unter anderem, dass sich der Domänenfunktionsmodus mindestens im Modus 2008 befindet. Des Weiteren gibt es weitere Voraussetzungen und Abhängigkeiten, welche beachtet werden müssen.

Keine Kommentare:

Kommentar veröffentlichen