Im ADSI-Editor mehrere Kennwortrichtlinien in einer Domäne erstellen und über AD-Sicherheitsgruppen zuweisen.
Inhaltsverzeichnis
Vorbereitung
Für jede Kennwortrichtlinie wird in Active Directory Benutzer- und Computer eine Sicherheitsgruppe benötigt. Von dieser Sicherheitsgruppe wird später der DN (= Distinguished Name) für die Richtlinien-Erstellung bzw. Zuweisung benötigt!
Im Normalfall sollten die geplanten/gewünschten Kennwortrichtlinien bzw. Einstellungen vorab mit den IT-Entscheidern/Verantwortlichen definiert werden.
Die Zeitwerte in der Kennwortrichtlinie werden in Nanosekunden festgelegt. Z.B. ein Tag wird wie folgt berechnet -24*60*60*(10ˆ7) = -864000000000.
Typische Zeitwerte zum Kopieren/Hochrechnen:
- 1 Stunde: -36000000000
- 1 Tag: -864000000000
- 1 Woche: -6048000000000
- 1 Monat (30 Tage): -25920000000000
- 1 Jahr (365 Tage): -315360000000000
Kennwortrichtlinie im ADSI-Editor erstellen
ADSI Editor öffnen:
Verbindung herstellen:
Bekannten Namenskontext auswählen: „Standardmäßiger Namenskontext“ → OK:
Domäne ausklappen und zu CN=System → CN=Password Settings Container navigieren. Rechtsklick → Neu → Objekt…:
Weiter:
cn (Namen für neue Kennwortrichtlinie vergeben): z.B. „Organisation“ → Weiter:
msDS-PasswordSettingsPrecedence (Kennwortrichtlinienpriorität): 1 → Weiter
msDS-PasswordReversibleEncryptionEnabled (Kennwort mit umkehrbarer Verschlüsselung speichern): FALSE (= deaktiviert) → Weiter:
msDS-PasswordHistoryLength (Kennwortchronik erzwingen): 10 (= 10 Passwörter speichern) → Weiter:
msDS-PasswordComplexityEnabled (Kennwort muss Komplexitätsvoraussetzungen entsprechen): TRUE → Weiter:
msDS-MinimumPasswordLength (minimale Kennwortlänge): 6 (oder besser 8) → Weiter:
msDS-MinimumPasswordAge (minimales Kennwortalter): -864000000000 (= 1 Tag) → Weiter:
msDS-MaximumPasswordAge (maximales Kennwortalter): z.B.: -315360000000000 (= 1 Jahr) → Weiter:
msDS-LockoutThreshold („Kontensperrschwelle“, Konto nach 5 falschen Passworteingaben gesperrt): 5 → Weiter:
msDS-LockoutObservationWindow (Zurücksetzungsdauer des Kontosperrungszählers): -36000000000 (= 1 Stunde) → Weiter:
msDS-LockoutDuration (Kontosperrdauer): -72000000000 (= 2 Stunden) → Weiter:
Objekt erstellen → Fertig stellen:
Eigenschaften der Kennwortrichtlinie öffnen → msDS-PsoAppliesTo → Bearbeiten:
Windows-Konto hinzufügen → Distinguished Name der zuvor erstellten Sicherheitsgruppe hinzufügen → OK → OK:
Quelle: FAQ-O-MATIC.net