Fine-Grained Passwort Policy erstellen und zuweisen

Ab Windows Server 2008 ist es möglich über die Fine-Grained Password Policies einzelnen Benutzern oder Gruppen eine eigene Passwort Richtlinie zuzuweisen um z.B. die Passwort Einstellungen von Administratoren restriktiver zu gestalten.

Fine-Grained Password Policy erstellen

Mit dem Cmdlet New-ADFineGrainedPasswordPolicy aus den PowerShell AD Modulen lege ich im folgenden Beispiel eine Password Policy an, die folgende Kriterien erfüllen soll:

  • Name: PSO Administrators
  • Complexity: Passwort Komplexität aktiviert
  • Lockout Duration: automatische Entsperrung nach 12 Stunden
  • Lockout Observation: nach 15 Minuten werden die fehlgeschlagenen Anmeldeversuche zurückgesetzt
  • Lockout Threshold: 10 fehlgeschlagene Anmeldeversuche
  • Max. Password Age: Passwortänderung alle 30 Tage
  • Min. Password Age: Passwortänderung max. 1 Mal pro Tag
  • Min. Passwort Länge: 12 Zeichen
  • Password History: die letzten 6 Passwörter können nicht erneut vergeben werden
New-ADFineGrainedPasswordPolicy -Name "PSO Administrators" -Precedence 500 -ComplexityEnabled $true -Description "Password Policy for Administrators" -DisplayName "PSO Administrators" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10 -MaxPasswordAge "30.00:00:0" -MinPasswordAge "1.00:00:00" -MinPasswordLength 12 -PasswordHistoryCount 6 -ReversibleEncryptionEnabled $false

Fine-Grained Password Policy zuweisen

Die erstellte Policy lässt sich nun einer AD Gruppe zuweisen (in diesem Beispiel die Domain Administrators Gruppe):

Add-ADFineGrainedPasswordPolicySubject 'PSO Administrators' -Subject 'Domain Administrators'

Erhält nur ein bestimmter Benutzer die Policy zugewiesen, kann dessen samAccountName auch explizit angegeben werden (in diesem Beispiel Admin01 und Admin02) – mehrere per Komma getrennt:

Add-ADFineGrainedPasswordPolicySubject 'PSO Administrators' -Subject Admin01,Admin02

Überprüfung der Einstellungen

Die Überprüfung der Einstellungen lässt sich auf 2 Wegen durchführen.

Ausgabe aller Gruppen und Benutzer, für die die Policy angewendet wird:

Get-ADFineGrainedPasswordPolicy 'PSO Administrators' | ft AppliesTo -A

Ausgabe aller Passwort Einstellungen die für einen bestimmten Benutzer (in diesen Beispiel Admin01) angewendet wird:

Get-ADUserResultantPasswortPolicy Admin01

2 Antworten

  1. Frank sagt:

    Hallo,
    danke dafür. In dem Befehl sind 2 Schreibfehler: LockoutObservervationWindow und MinPasswordLenght

    Danke für die vielen Tipps auf der Webseite
    Gruß Frank

Schreibe einen Kommentar zu Andreas Schreiner Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.