Eine Fine Grained Password Policy oder auch PSO macht dann Sinn, wenn unterschiedliche Active Directory Kennwortrichtlinien konfiguriert werden sollen. Die Standard Kennwortrichtlinie ist in der Default Domain Policy (gpmc.msc) festgelegt und sie gilt für alle Benutzer der Domäne.

Die Default Domain Policy kann auch mit Get-ADDefaultDomainPasswordPolicy abgerufen werden:

Get-ADDefaultDomainPasswordPolicy 

Voraussetzungen für das Verwenden von PSOs

Für das Verwenden von PSOs müssen folgende Voraussetzungen berücksichtigt werden:

• Domänenfunktionsebene Windows Server 2008 oder höher
• Nur Domänen-Admins können PSOs erstellen
• PSOs können nur auf Benutzer oder Gruppen angewendet werden (nicht auf OUs!)

Get-ADDomain | select domainmode | Format-List

Grafische Überprüfung in dsa.msc (rechte Maustaste auf Domäne und Eigenschaften):

Sollte die Funktionsebene nicht 2008 oder höher lauten, so kann diese mit set-addomainmode hochgestuft werden. Eine Hochstufung ist nur dann möglich, wenn alle Domaincontroller der Domäne Windows Server 2008 oder höher ausführen. Ist das nicht der Fall schlägt die Hochstufung fehl. Die einzige Lösung ist: ein Upgrade der betroffenen Domaincontroller.

Set-ADDomainMode -Identity pagr.inet -DomainMode Windows2008Domain

Erstellen von PSOs

Das Erstellen von PSOs kann in ADAC (dsac.exe) unter System – Password Settings Container erfolgen.

Oder man verwendet die Befehle New-ADFineGrainedPasswordPolicy zum Erzeugen der Richtlinie und Add-ADFineGrainedPasswordPolicy zum Zuweisen der Richtlinie zu einem Benutzer oder einer Gruppe.

Hier wird ein neues PSO mit dem Namen Praktikanten erzeugt:

Hier wird das PSO mit dem Namen Praktikanten dem Benutzer Praktikant zugewiesen;

Überprüfen der Einstellungen

Zum Überprüfen der Konfiguration kann ADAC oder auch PowerShell verwendet werden.

ADAC:

Get-ADUser:

Get-ADFineGrainedPasswordPolicySubject: