Fine-Grained Passwort Policy erstellen und zuweisen
Ab Windows Server 2008 ist es möglich über die Fine-Grained Password Policies einzelnen Benutzern oder Gruppen eine eigene Passwort Richtlinie zuzuweisen um z.B. die Passwort Einstellungen von Administratoren restriktiver zu gestalten.
Fine-Grained Password Policy erstellen
Mit dem Cmdlet New-ADFineGrainedPasswordPolicy
aus den PowerShell AD Modulen lege ich im folgenden Beispiel eine Password Policy an, die folgende Kriterien erfüllen soll:
- Name: PSO Administrators
- Complexity: Passwort Komplexität aktiviert
- Lockout Duration: automatische Entsperrung nach 12 Stunden
- Lockout Observation: nach 15 Minuten werden die fehlgeschlagenen Anmeldeversuche zurückgesetzt
- Lockout Threshold: 10 fehlgeschlagene Anmeldeversuche
- Max. Password Age: Passwortänderung alle 30 Tage
- Min. Password Age: Passwortänderung max. 1 Mal pro Tag
- Min. Passwort Länge: 12 Zeichen
- Password History: die letzten 6 Passwörter können nicht erneut vergeben werden
New-ADFineGrainedPasswordPolicy -Name "PSO Administrators" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for Administrators" -DisplayName "PSO Administrators" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10 -MaxPasswordAge "30.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 12 -PasswordHistoryCount 6 -ReversibleEncryptionEnabled $false
Fine-Grained Password Policy zuweisen
Die erstellte Policy lässt sich nun einer AD Gruppe zuweisen (in diesem Beispiel die Domain Administrators Gruppe):
Add-ADFineGrainedPasswordPolicySubject 'PSO Administrators' -Subject 'Domain Administrators'
Erhält nur ein bestimmter Benutzer die Policy zugewiesen, kann dessen samAccountName auch explizit angegeben werden (in diesem Beispiel Admin01 und Admin02) – mehrere per Komma getrennt:
Add-ADFineGrainedPasswordPolicySubject 'PSO Administrators' -Subject Admin01,Admin02
Überprüfung der Einstellungen
Die Überprüfung der Einstellungen lässt sich auf 2 Wegen durchführen.
Ausgabe aller Gruppen und Benutzer, für die die Policy angewendet wird:
Get-ADFineGrainedPasswordPolicy 'PSO Administrators' | ft AppliesTo -A
Ausgabe aller Passwort Einstellungen die für einen bestimmten Benutzer (in diesen Beispiel Admin01) angewendet wird:
Get-ADUserResultantPasswortPolicy Admin01
Hallo,
danke dafür. In dem Befehl sind 2 Schreibfehler: LockoutObservervationWindow und MinPasswordLenght
Danke für die vielen Tipps auf der Webseite
Gruß Frank
Hallo Frank. Danke für den Hinweis, ist korrigiert.