Cyber Security

Active Directory: Password Settings Objects (PSO)

Eine Fine Grained Password Policy oder auch PSO macht dann Sinn, wenn unterschiedliche Active Directory Kennwortrichtlinien konfiguriert werden sollen. Die Standard Kennwortrichtlinie ist in der Default Domain Policy (gpmc.msc) festgelegt und sie gilt für alle Benutzer der Domäne.

Bild1.png

Die Default Domain Policy kann auch mit Get-ADDefaultDomainPasswordPolicy abgerufen werden:

Get-ADDefaultDomainPasswordPolicy 

Bild1.png

Voraussetzungen für das Verwenden von PSOs

Für das Verwenden von PSOs müssen folgende Voraussetzungen berücksichtigt werden:

  • Domänenfunktionsebene Windows Server 2008 oder höher
  • Nur Domänen-Admins können PSOs erstellen
  • PSOs können nur auf Benutzer oder Gruppen angewendet werden (nicht auf OUs!)
Get-ADDomain | select domainmode | Format-List

Bild1.png

Grafische Überprüfung in dsa.msc (rechte Maustaste auf Domäne und Eigenschaften):

Bild1.png

Sollte die Funktionsebene nicht 2008 oder höher lauten, so kann diese mit set-addomainmode hochgestuft werden. Eine Hochstufung ist nur dann möglich, wenn alle Domaincontroller der Domäne Windows Server 2008 oder höher ausführen. Ist das nicht der Fall schlägt die Hochstufung fehl. Die einzige Lösung ist: ein Upgrade der betroffenen Domaincontroller.

Set-ADDomainMode -Identity pagr.inet -DomainMode Windows2008Domain

Bild1.png

Erstellen von PSOs

Das Erstellen von PSOs kann in ADAC (dsac.exe) unter System – Password Settings Container erfolgen.

Bild1.png

Oder man verwendet die Befehle New-ADFineGrainedPasswordPolicy zum Erzeugen der Richtlinie und Add-ADFineGrainedPasswordPolicy zum Zuweisen der Richtlinie zu einem Benutzer oder einer Gruppe.

Hier wird ein neues PSO mit dem Namen Praktikanten erzeugt:

Bild1.png

Hier wird das PSO mit dem Namen Praktikanten dem Benutzer Praktikant zugewiesen;

Bild1.png

Überprüfen der Einstellungen

Zum Überprüfen der Konfiguration kann ADAC oder auch PowerShell verwendet werden.

ADAC:

Bild1.png

Get-ADUser:

Bild1.png

Get-ADFineGrainedPasswordPolicySubject:

Bild1.png

2 replies »

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.