In den letzten 14 Jahren habe ich Administratoren, Auditoren und Sicherheitsexperten auf der ganzen Welt geholfen, die Funktionsweise der Domänenpasswortrichtlinie in Active Directory zu verstehen. Das Standardverhalten hat sich in diesen 14 Jahren nicht geändert, daher können Sie sich vorstellen, wie vielen Menschen ich geholfen habe, ganz zu schweigen davon, wie oft ich darüber gesprochen habe.
Warum also hier erwähnen?, Nun, ich finde immer noch Administratoren und Prüfer, die nicht verstehen, wie die Domain-Passwort-Richtlinie funktioniert, also lassen Sie es mich unten erklären.
Standardmäßig legt die Standarddomänenrichtlinie bei jeder Installation von Active Directory die Domänenpasswortrichtlinie fest (für alle Benutzer, die in Active Directory konfiguriert und gespeichert sind). Abbildung 1 zeigt, wie diese Konfigurationen aussehen und wo Sie sie in der Standarddomänenrichtlinie finden.
Abbildung 1. Standardmäßige Kennwortrichtlinie für Domänenrichtlinien.,
Die Kennwortrichtlinie funktioniert so, dass dieser GPO und die in diesem GPO enthaltenen Einstellungen die Domänencontroller (DCs) und die darauf befindlichen Active Directory-Datenbanken konfigurieren. Es liegt in der Verantwortung der darauf befindlichen DCs und Datenbanken, jedes Kennwort, das versucht wird, in die Datenbank geschrieben zu werden, zu filtern, um sicherzustellen, dass das Kennwort den Kennwortrichtlinieneinstellungen entspricht.
HINWEIS: Bei Verwendung der Gruppenrichtlinie kann es nur eine Kennwortrichtlinie für die Domänenbenutzer geben., Durch Verknüpfen und Konfigurieren eines GPO mit einer OU wird die Kennwortrichtlinie für die Benutzer in dieser OU NICHT anders konfiguriert. Kennwortrichtlinien-Einstellungen betreffen Computer (siehe Abbildung 1), keine Benutzerkonten!
Sie können ein neues GPO erstellen, es mit der Domänenebene verknüpfen und ihm eine höhere Priorität als der Standarddomänenrichtlinie geben. Die Einstellungen in diesem neuen GPO (z. B. legen Sie die minimale Kennwortlänge fest) überschreiben die Einstellungen in der Standarddomänenrichtlinie aufgrund der höheren Priorität. Sie legen den Vorrang im Gruppenrichtlinienverwaltungstool fest, das Sie in Abbildung 2 sehen können.
Abbildung 2., Jeder mit der Domäne verknüpfte GPO hat im Vergleich zu den anderen GPOs Vorrang.
Wenn Sie mehrere Kennwortrichtlinien in derselben Domäne haben möchten, müssen Sie entweder ein Produkt eines Drittanbieters kaufen oder Sie können die feinkörnigen Kennwortrichtlinien verwenden. Feinkörnige Kennwortrichtlinien sind eine Microsoft-Technologie zur Steuerung von Kennwortrichtlinien, verwenden jedoch keine Gruppenrichtlinien als Bereitstellungsmechanismus.,
Um die effektive Domain-Passwort-Richtlinie zu überprüfen, können Sie natürlich nicht nur auf die Standard-Domain-Richtlinie aussehen, weil ein anderer GPO mit der Domäne verknüpft unterschiedliche Passwort-Richtlinie Einstellungen in ihm enthalten haben könnte, die die Standard-Domain-Richtlinie überschreiben. Wie überprüfen Sie die effektive Kennwortrichtlinie für Ihre Domänenbenutzer, die auf Domänencontrollern gespeichert ist, korrekt?
Die Antwort ist einfach und ein eingebautes Werkzeug! Das Werkzeug ist secpol.msc und Sie können dies auf jedem Domänencontroller über die Eingabeaufforderung oder die Schaltfläche Start / Programme und Dateien suchen ausführen., Abbildung 3 zeigt, wie das Ergebnis Aussehen würde.
Abbildung 3. Secpol.msc zeigt die tatsächlichen Einstellungen für den Computer an.
Mit dem secpol.msc-Tool können Sie mit 100% iger Sicherheit überprüfen, was die aktuellen Einstellungen für Kennwortrichtlinien für Ihre Domänenbenutzer sind.
Verwalten und Abrufen von Berichten zu Active Directory – Gruppenrichtlinienobjekten.
Kostenloser Download
Erzwingen Sie granulare, gruppen-/OU-basierte Kennwortrichtlinien für AD-Benutzer.
Kostenloser Download
Verfolgen Sie Änderungen an Anzeigengruppenrichtlinienobjekten in Echtzeit.,
Kostenloser Download