CertBase Community
Die Lernplattform für Ihren Erfolg
Abgestimmte Kennwortrichtlinien

In Active Directory Domänen unter Windows 2000 Server und Windows Server 2003 konnte jeweils nur eine einheitliche Kennwortrichtlinie und eine Kontosperrungsrichtlinie für alle Benutzer einer Domäne angewendet werden. Diese Kontorichtlinien wurden in der Standarddomänenrichtlinie der Domäne verbindlich konfiguriert. Unternehmen, die unterschiedliche Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen benötigten, mussten entweder mehrere Domänen bereitstellen oder auf Softwarelösungen von Drittanbietern zurückgreifen.

Mit dem Betriebssystem Windows Server 2008 ist es nun möglich, verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzer oder Benutzergruppen innerhalb einer gemeinsamen Domäne zu definieren.

Abgestimmte Kennwortrichtlinien (Fine grained Password Policies) werden nicht über Gruppenrichtlinienobjekte (GPOs) implementiert, sondern direkt im Active Directory als Kennworteinstellungsobjekte (Password Setting Objects, PSOs) erstellt und mit Gruppen- oder Benutzerkonten verknüpft.

Einschränkungen und Voraussetzungen:

  • Abgestimmte Kennwortrichtlinien können nur auf Benutzerobjekte, Objekte vom Typ InetOrgPerson und auf globale Sicherheitsgruppen angewendet werden.
  • Die Domäne muss in der Funktionsebene Windows Server2008 betrieben werden (dies bedeutet, dass alle Domänencontroller zunächst auf Windows Server 2008 aktualisiert werden müssen).
  • Standardmäßig können nur Mitglieder der Gruppe Domänen-Admins abgestimmte Kennwortrichtlinien festlegen.

Verarbeitungsreihenfolge von Kennworteinstellungsobjekten

Ein Benutzer- oder Gruppenobjekt kann mit mehreren Kennworteinstellungsobjekten verknüpft sein, entweder aufgrund der Mitgliedschaft in mehreren Gruppen, auf die verschiedene Kennworteinstellungsobjekte angewendet sind, oder weil mehrere Kennworteinstellungsobjekte direkt auf das Objekt angewendet sind. Es kann jedoch nur ein Kennworteinstellungsobjekt als effektive Kennwortrichtlinie angewendet werden. Nur die Einstellungen aus diesem Kennworteinstellungsobjekt können sich auf den Benutzer oder die Gruppe auswirken. Die Einstellungen aus anderen Kennworteinstellungsobjekten, die mit dem Benutzer oder der Gruppe verknüpft sind, können nicht zusammengeführt werden.

Der Richtlinienergebnissatz kann nur für ein Benutzerobjekt berechnet werden. Das Kennworteinstellungsobjekt kann mit einer der folgenden zwei Methoden auf ein Benutzerobjekt angewendet werden:

  1. Direkt: Kennworteinstellungsobjekt ist mit dem Benutzer verknüpft.
  2. Indirekt: Kennworteinstellungsobjekt ist mit Gruppen verknüpft, in denen der Benutzer Mitglied ist.

Jedes Kennworteinstellungsobjekt hat ein zusätzliches Attribut mit dem Namen msDS-PasswordSettingsPrecedence, das an der Berechnung des Richtlinienergebnissatzes beteiligt ist. Das msDS-PasswordSettingsPrecedence-Attribut hat den ganzzahligen Wert 1 oder größer. Ein niedrigerer Wert für das Vorrangattribut gibt an, dass das Kennworteinstellungsobjekt einen höheren Rang oder eine höhere Priorität hat als andere Kennworteinstellungsobjekte. Nehmen Sie z. B. ein Objekt an, mit dem zwei Kennworteinstellungsobjekte verknüpft sind. Ein Kennworteinstellungsobjekt hat den Vorrangwert 2 und das andere den Vorrangwert 4. In diesem Fall hat das Kennworteinstellungsobjekt, das den Vorrangwert 2 hat, einen höheren Rang, und wird daher auf das Objekt angewendet.

Wenn mehrere Kennworteinstellungsobjekte mit einem Benutzer oder einer Gruppe verknüpft sind, wird das resultierende angewendete Kennworteinstellungsobjekt folgendermaßen ermittelt:

  1. Ein Kennworteinstellungsobjekt, das direkt mit dem Benutzerobjekt verknüpft ist, ist das resultierende Kennworteinstellungsobjekt. Wenn mehrere Kennworteinstellungsobjekte direkt mit dem Benutzerobjekt verknüpft sind, wird eine Warnmeldung im Ereignisprotokoll protokolliert, und das Kennworteinstellungsobjekt mit dem niedrigsten Vorrangwert ist das resultierende Kennworteinstellungsobjekt.
  2. Wenn kein Kennworteinstellungsobjekt mit dem Benutzerobjekt verknüpft ist, werden die Mitgliedschaften des Benutzers in globalen Sicherheitsgruppen und alle basierend auf diesen globalen Gruppenmitgliedschaften auf den Benutzer anwendbaren Kennworteinstellungsobjekte verglichen. Das Kennworteinstellungsobjekt mit dem niedrigsten Vorrangwert ist das resultierende Kennworteinstellungsobjekt.
  3. Wenn sich aus den Bedingungen (1) und (2) kein Kennworteinstellungsobjekt ergibt, wird die Standarddomänenrichtlinie angewendet.

Es wird empfohlen, für jedes erstellte Kennworteinstellungsobjekt einen eindeutigen msDS-PasswordSettingsPrecedence-Wert zuzuweisen. Sie können jedoch mehrere Kennworteinstellungsobjekte mit dem gleichen msDS-PasswordSettingsPrecedence-Wert erstellen. Wenn sich aus den Bedingungen (1) und (2) mehrere Kennworteinstellungsobjekte mit dem gleichen msDS-PasswordSettingsPrecedence-Wert für einen Benutzer ergeben, wird das Kennworteinstellungsobjekt mit der kleinsten GUID angewendet.

Themen in diesem Artikel

  1. Erstellen und anwenden von Kennworteinstellungsobjekten (PSOs)
  2. Prüfen von Kennworteinstellungsobjekten für einen bestimmten Benutzer
  3. Anwenden von Kennworteinstellungsobjekten auf eine Schattengruppe
  4. Löschen und von Kennworteinstellungsobjekten

 1. Erstellen von Kennworteinstellungsobjekten (PSOs)

Für das Erstellen von Kennworteinstellungsobjekten kann entweder die Konsole ADSI-Editor oder das Befehlszeilenprogramm ldifde.exe verwendet werden. Im folgenden Beispiel verwende ich den ADSI-Editor.

  1. Öffnen Sie den ADSI-Editor und stellen Sie eine Verbindung mit der Domäne her, in der Sie ein neues Kennworteinstellungsobjekt erstellen möchten.
     
  2. Erweitern Sie die Domäne und öffnen Sie den Container CN=System durch einen Doppelklick.


     
  3. Im Container CN=Password Settings Container werden alle zuvor in der Domäne erstellten PSOs angezeigt. Öffnen Sie das Kontextmenü des Containers CN=Password Settings Container und wählen Sie die Option Neu - Objekt...
     

      
  4. Das neue Objekt stellt eine Instanz der Klasse msDS-PasswordSettings dar. Klicken Sie auf Weiter.
     

     
  5. Geben Sie einen Namen für das neue Kennworteinstellungsobjekt ein und klicken Sie auf Weiter.
     

     
  6. Im weiteren Verlauf des Assistenten müssen eine Reihe zusätzlicher Attribute konfiguriert werden. Die Attribute entsprechen den Richtlinien aus den Abschnitten Kennwortrichtlinien und Kontosperrungsrichtlinien der Kontorichtlinien. Die Attribute und Ihre Bedeutung werden nachstehend gelistet:
     
    • Attributname: msDS-PasswordSettingsPrecedence
      Beschreibung: Gibt die Priorität des PSO an. Je kleiner der Wert, desto höher die Priorität.
      Wertebereich: Größer 0
      Beispiel: 10
       
    • Attributname: msDS-PasswordReversibleEncryptionEnabled
      Beschreibung: Gibt an, ob Kennwörter mit umkehrbarer Verschlüsselung gespeichert werden können
      Wertebereich: False, True
      Beispiel: False
       
    • Attributname: msDS-PasswordHistoryLength
      Beschreibung: Entspricht der Kennwortrichtlinie Kennwortchronik erzwingen.
      Wertebereich: 0 bis 1024
      Beispiel: 24
       
    • Attributname: msDS-PasswordComplexityEnabled
      Beschreibung: Entspricht der Kennwortrichtlinie Kennwort muss Komplexitätsvoraussetzungen entsprechen.
      Wertebereich: False, True
      Beispiel: True
       
    • Attributname: msDS-MinimumPasswordLength
      Beschreibung: Gibt die minimale Kennwortlänge an.
      Wertebereich: 1 bis 255
      Beispiel: 8
       
    • Attributname: msDS-MinimumPasswordAge
      Beschreibung: Gibt das minimale Kennwortalter an.
      Wertebereich: nichts oder 00:00:00:00 bis Wert von msDS-MaximumPasswordAge
      Beispiel: 1:00:00:00 (1 Tag)
       
    • Attributname: msDS-MaximumPasswordAge
      Beschreibung: Gibt das maximale Kennwortalter an.
      Wertebereich: nichts oder größer msDS-MinimumPasswordAge
      Beispiel: 14:00:00:00 (14 Tage)
       
    • Attributname: msDS-LockoutThreshold
      Beschreibung: Entspricht der Kontosperrungsrichtlinie Kontosperrungsschwelle.
      Wertebereich: 0 bis 65535
      Beispiel: 3
       
    • Attributname: msDS-LockoutObservationWindow
      Beschreibung: Entspricht der Kontosperrungsrichtlinie Zurücksetzungsdauer des Kontosperrungszählers
      Wertebereich: Nichts oder 00:00:00:00 bis msDS-LockoutDuration
      Beispiel: 0:00:30:00 (30 Minuten)
       
    • Attributname: msDS-LockoutDuration
      Beschreibung: Gibt die Kontosperrdauer an.
      Wertebereich: Nicht oder 0 oder ein Wert größer gleich msDS-LockoutObservationWindow
      Beispiel: 0:00:30:00 (30 Minuten)
       
    • Attributname: msDS-PSOAppliesTo
      Beschreibung: Stellt ein Mehrfachwertattribut dar und verknüpf das PSO mit einem oder mehreren Benutzerkonto bzw. Gruppenkonto.
      Wertebereich: 0 oder mehrere Distuingished Namen (DNs)
      Beispiel: "CN=Hanna Montana,OU=CB_Buchhaltung,DC=cblabs,DC=de"
       
  7. Das Attribut msDS-PSOAppliesTo kann erst im letzten Schritt des Assistenten über die Option Weitere Attribute konfiguriert werden.
     

     
    Wählen Sie unter Anzuzeigende Eigenschaften den Wert Optional oder Beide aus. Anschließend können Sie das Attribut msDS-PSOAppliesTo aus der Liste der Eigenschaften auswählen:
     

     
    Sie können nun ein oder mehrere DNs angeben, auf die das neue Kennworteinstellungsobjekt angewendet werden soll.
     

     

2. Prüfen von Kennworteinstellungsobjekten für einen bestimmten Benutzer

Um zu überprüfen, welches Kennworteinstellungsobjekt auf ein bestimmtes Benutzer- oder Gruppenkonto angewendet wird, gehen Sie wie folgt vor:

  1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer
     
  2. Aktivieren Sie im Menü Ansicht die Option Erweiterte Features
     
  3. Öffnen Sie die Eigenschaften des betreffenden Benutzerkontos und wechseln Sie zum Register Attribut-Editor.
     
  4. Klicken Sie auf die Schaltfläche Filter und stellen Sie sicher, dass die Optionen Attribute-Verbindlich und Schreibgeschützte Attribute anzeigen-Erzeugt markiert sind.
      

     
  5. Suchen Sie nach dem Attribut msDS-ResultantPSO. Falls der Wert des Attributs mit Nicht gesetzt angezeigt wird, finden die Kennwortrichtlinien der Standarddomänenrichtlinie Anwendung.
     

     

3. Anwenden von Kennworteinstellungsobjekten auf eine Schattengruppe

Kennworteinstellungsobjekte können nicht direkt auf die Benutzer innerhalb einer Organisationseinheit (OU) angewendet werden. Mit Hilfe einer Schattengruppe (Shadow Group) ist es jedoch möglich diese Einschränkung zu umgehen.

Eine Schattengruppe stellt eine Sicherheitsgruppe dar, die alle Benutzerkonten einer bestimmten Organisationseinheit enthält und zur besseren Übersicht auch den Namen der Organisationseinheit widerspiegelt. Da bei einem Verschieben von Benutzern in andere Organisationseinheiten jedesmal auch die Mitgliedschaften der Schattengruppen angepasst werden müssen, bietet es sich an diesen Schritt zu automatisieren.

Im folgenden Beispiel sollen die Benutzer der Organisationseinheit CB_Buchhaltung in die Schattengruppe shadow_CB_Buchhaltung aufgenommen werden.

 

Folgender Befehl kann für das Leeren der Gruppe verwendet werden:

dsget group "cn=shadow_CB_Buchhaltung,OU=CB_Buchhaltung,DC=cblabs,DC=de" -members | dsmod group "cn=shadow_CB_Buchhaltung,OU=CB_Buchhaltung,DC=cblabs,DC=de" -rmmbr

Im zweiten Schritt können die Benutzerkonten der Organisationseinheit ermittelt werden und als Mitglied in die Schattengruppe aufgenommen werden:

dsquery user "OU=CB_Buchhaltung,DC=cblabs,DC=de" | dsmod group "cn=shadow_CB_Buchhaltung,OU=CB_Buchhaltung,DC=cblabs,DC=de" -addmbr

Im Anschluss kann der DN der Gruppe in das Attribut msDS-PSOAppliesTo des Kennworteinstellungsobjektes aufgenommen werden:

  1. Verwenden Sie den ADSI-Editor, um die Eigenschaften des Kennworteinstellungsobjekts zu bearbeiten.
     

     
  2. Markieren Sie das Attribut msDS-PSOAppliesTo und klicken Sie auf bearbeiten.
     

     
  3. Klicken Sie auf DN hinzufügen und geben Sie den Distinguished Name in das Dialogfeld Definierten Namen (DN) hinzufügen ein. Klicken Sie anschließend auf OK und schließen Sie den Dialog Editor für mehrwertige definierte Namen mit Sicherheitsprinzipal über die Schaltfläche OK.
     

     

 4. Löschen und von Kennworteinstellungsobjekten

Kennworteinstellungsobjekte können über die Konsole ADSI-Editor aus dem Container CN=Password Settings Container gelöscht werden.
 

 

 Die bestehenden Verknüpfungen mit Benutzer- und Gruppenkonten werden dabei automatisch aus den entsprechenden Objekten entfernt, so dass zukünftig die Einstellungen der Standarddomänenrichtlinie angewendet werden.


Eingetragen Tue, 19. May 2009 20:55 von Maik
CertBase - IT-Prüfungsvorbereitung Online