SID-500

Home » PowerShell » Active Directory: Password Settings Objects (PSO)

Active Directory: Password Settings Objects (PSO)

Eine Fine Grained Password Policy oder auch PSO macht dann Sinn, wenn unterschiedliche Active Directory Kennwortrichtlinien konfiguriert werden sollen. Die Standard Kennwortrichtlinie ist in der Default Domain Policy (gpmc.msc) festgelegt und sie gilt für alle Benutzer der Domäne.

Bild1.png

Die Default Domain Policy kann auch mit Get-ADDefaultDomainPasswordPolicy abgerufen werden:

Get-ADDefaultDomainPasswordPolicy 

Bild1.png

Voraussetzungen für das Verwenden von PSOs

Für das Verwenden von PSOs müssen folgende Voraussetzungen berücksichtigt werden:

  • Domänenfunktionsebene Windows Server 2008 oder höher
  • Nur Domänen-Admins können PSOs erstellen
  • PSOs können nur auf Benutzer oder Gruppen angewendet werden (nicht auf OUs!)
Get-ADDomain | select domainmode | Format-List

Bild1.png

Grafische Überprüfung in dsa.msc (rechte Maustaste auf Domäne und Eigenschaften):

Bild1.png

Sollte die Funktionsebene nicht 2008 oder höher lauten, so kann diese mit set-addomainmode hochgestuft werden. Eine Hochstufung ist nur dann möglich, wenn alle Domaincontroller der Domäne Windows Server 2008 oder höher ausführen. Ist das nicht der Fall schlägt die Hochstufung fehl. Die einzige Lösung ist: ein Upgrade der betroffenen Domaincontroller.

Set-ADDomainMode -Identity pagr.inet -DomainMode Windows2008Domain

Bild1.png

Erstellen von PSOs

Das Erstellen von PSOs kann in ADAC (dsac.exe) unter System – Password Settings Container erfolgen.

Bild1.png

Oder man verwendet die Befehle New-ADFineGrainedPasswordPolicy zum Erzeugen der Richtlinie und Add-ADFineGrainedPasswordPolicy zum Zuweisen der Richtlinie zu einem Benutzer oder einer Gruppe.

Hier wird ein neues PSO mit dem Namen Praktikanten erzeugt:

Bild1.png

Hier wird das PSO mit dem Namen Praktikanten dem Benutzer Praktikant zugewiesen;

Bild1.png

Überprüfen der Einstellungen

Zum Überprüfen der Konfiguration kann ADAC oder auch PowerShell verwendet werden.

ADAC:

Bild1.png

Get-ADUser:

Bild1.png

Get-ADFineGrainedPasswordPolicySubject:

Bild1.png


2 Comments

  1. […] Gesamtstrukturfunktionsebene bestimmt, welche Active Directory Features (z.B. unterschiedliche Kennwortrichtlinien ab Windows Server 2008,  Active Directory Papierkorb ab Windows Server 2008R2, oder zeitgesteuerte […]

    Like

  2. […] Wer sich mit einer Kennwortrichtlinie nicht begnügen möchte, der kann Fein abgestimmte Kennwortrichtlinien konfigurieren: Active Directory: Password Settings Objects (PSO). […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com