Mehrere Kennwortrichtlinien in einer Domäne erstellen

Schlüssel
CC0 | Pixabay.com

Im ADSI-Editor mehrere Kennwortrichtlinien in einer Domäne erstellen und über AD-Sicherheitsgruppen zuweisen.

Vorbereitung

Für jede Kennwortrichtlinie wird in Active Directory Benutzer- und Computer eine Sicherheitsgruppe benötigt. Von dieser Sicherheitsgruppe wird später der DN (= Distinguished Name) für die Richtlinien-Erstellung bzw. Zuweisung benötigt!

Im Normalfall sollten die geplanten/gewünschten Kennwortrichtlinien bzw. Einstellungen vorab mit den IT-Entscheidern/Verantwortlichen definiert werden.

Die Zeitwerte in der Kennwortrichtlinie werden in Nanosekunden festgelegt. Z.B. ein Tag wird wie folgt berechnet -24*60*60*(10ˆ7) = -864000000000.
Typische Zeitwerte zum Kopieren/Hochrechnen:

  • 1 Stunde: -36000000000
  • 1 Tag: -864000000000
  • 1 Woche: -6048000000000
  • 1 Monat (30 Tage): -25920000000000
  • 1 Jahr (365 Tage): -315360000000000

Kennwortrichtlinie im ADSI-Editor erstellen

ADSI Editor öffnen:

ADSI-Editor öffnen

Verbindung herstellen:

ADSI-Editor: Verbindung herstellen

Bekannten Namenskontext auswählen: „Standardmäßiger Namenskontext“ → OK:

ADSI-Editor: Verbindungseinstellungen

Domäne ausklappen und zu CN=System → CN=Password Settings Container navigieren. Rechtsklick → Neu → Objekt…:

Mehrere Kennwortrichtlinien in einer Domäne erstellen (ADSI-Editor: CN=System - CN=Password Settings Container)

Weiter:

ADSI-Editor: Kennwortrichtlinie erstellen

cn (Namen für neue Kennwortrichtlinie vergeben): z.B. „Organisation“ → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: cn (Common-Name)

msDS-PasswordSettingsPrecedence (Kennwortrichtlinienpriorität): 1 → Weiter

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-PasswordSettingsPrecedence (Kennwortrichtlinienpriorität)

msDS-PasswordReversibleEncryptionEnabled (Kennwort mit umkehrbarer Verschlüsselung speichern): FALSE (= deaktiviert) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-PasswordReversibleEncryptionEnabled (Kennwort mit umkehrbarer Verschlüsselung speichern)

msDS-PasswordHistoryLength (Kennwortchronik erzwingen): 10 (= 10 Passwörter speichern) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-PasswordHistoryLength (Kennwortchronik erzwingen)

msDS-PasswordComplexityEnabled (Kennwort muss Komplexitätsvoraussetzungen entsprechen): TRUE → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-PasswordComplexityEnabled (Kennwort muss Komplexitätsvoraussetzungen entsprechen)

msDS-MinimumPasswordLength (minimale Kennwortlänge): 6 (oder besser 8) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-MinimumPasswordLength (minimale Kennwortlänge)

msDS-MinimumPasswordAge (minimales Kennwortalter): -864000000000 (= 1 Tag) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-MinimumPasswordAge (minimales Kennwortalter)

msDS-MaximumPasswordAge (maximales Kennwortalter): z.B.: -315360000000000 (= 1 Jahr) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-MaximumPasswordAge (maximales Kennwortalter)

msDS-LockoutThreshold („Kontensperrschwelle“, Konto nach 5 falschen Passworteingaben gesperrt): 5 → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-LockoutThreshold (Kontensperrschwelle)

msDS-LockoutObservationWindow (Zurücksetzungsdauer des Kontosperrungszählers): -36000000000 (= 1 Stunde) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-LockoutObservationWindow (Zurücksetzungsdauer des Kontosperrungszählers)

msDS-LockoutDuration (Kontosperrdauer): -72000000000 (= 2 Stunden) → Weiter:

ADSI-Editor - Kennwortrichtlinie erstellen: msDS-LockoutDuration (Kontosperrdauer)

Objekt erstellen → Fertig stellen:

ADSI-Editor - Kennwortrichtlinie erstellen: Objekt erstellen

Eigenschaften der Kennwortrichtlinie öffnen → msDS-PsoAppliesTo → Bearbeiten:

ADSI-Editor - Kennwortrichtlinie erstellen: Eigenschaften der Kennwortrichtlinie - msDS-PsoAppliesTo

Windows-Konto hinzufügen → Distinguished Name der zuvor erstellten Sicherheitsgruppe hinzufügen → OK → OK:

ADSI-Editor - Kennwortrichtlinie erstellen: Windows-Konto hinzufügen

Quelle: FAQ-O-MATIC.net

Mehr Sicherheitstipps

IT-Security-Basics für Unternehmen

nach oben