Fine-Grained vs. Default Password Policy
Standard Password Policy:
Gilt für ALLE Benutzer der Domain
Einzige Richtlinie (Default Domain Policy)
Fine-Grained Password Policy (PSO):
Gilt für spezifische Benutzer oder Gruppen
Mehrere Richtlinien gleichzeitig möglich
Beispiel KMU:
- Admins: Min. 16 Zeichen, keine Wiederholung
- IT-Team: Min. 12 Zeichen
- Normale Benutzer: Min. 10 Zeichen
- Service-Accounts: 64+ Zeichen (Passwort-Manager)
PSO mit PowerShell erstellen
# PSO fuer Administratoren
New-ADFineGrainedPasswordPolicy `
-Name "PSO-Admins" `
-Precedence 10 `
-MinPasswordLength 16 `
-PasswordHistoryCount 24 `
-MaxPasswordAge (New-TimeSpan -Days 90) `
-MinPasswordAge (New-TimeSpan -Days 1) `
-LockoutThreshold 3 `
-LockoutDuration (New-TimeSpan -Minutes 30) `
-LockoutObservationWindow (New-TimeSpan -Minutes 30) `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false `
-Description "Erweiterte Passwortrichtlinie fuer Administratoren"
# PSO fuer normale Benutzer
New-ADFineGrainedPasswordPolicy `
-Name "PSO-Standard" `
-Precedence 50 `
-MinPasswordLength 10 `
-PasswordHistoryCount 12 `
-MaxPasswordAge (New-TimeSpan -Days 365) `
-MinPasswordAge (New-TimeSpan -Days 1) `
-LockoutThreshold 5 `
-LockoutDuration (New-TimeSpan -Minutes 15) `
-LockoutObservationWindow (New-TimeSpan -Minutes 15) `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false
PSO auf Gruppen anwenden
# PSO an Gruppe "Domain Admins" binden
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO-Admins" `
-Subjects "Domain Admins", "Enterprise Admins", "IT-Administratoren"
# PSO an Gruppe "Mitarbeiter" binden
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO-Standard" `
-Subjects "Mitarbeiter"
# PSOs anzeigen
Get-ADFineGrainedPasswordPolicy -Filter *
# Welche PSO gilt fuer Benutzer?
Get-ADUserResultantPasswordPolicy -Identity max.mustermann
# PSO-Zuweisung anzeigen
Get-ADFineGrainedPasswordPolicySubject -Identity "PSO-Admins"
Service-Account PSO (kein Ablauf, langes Passwort)
# Service-Accounts mit sehr langem Passwort, kein Ablauf
New-ADFineGrainedPasswordPolicy `
-Name "PSO-ServiceAccounts" `
-Precedence 5 `
-MinPasswordLength 64 `
-PasswordHistoryCount 5 `
-MaxPasswordAge (New-TimeSpan -Days 0) `
-MinPasswordAge (New-TimeSpan -Days 0) `
-LockoutThreshold 0 `
-ComplexityEnabled $true `
-ReversibleEncryptionEnabled $false
# Service-Accounts-Gruppe zuweisen
Add-ADFineGrainedPasswordPolicySubject `
-Identity "PSO-ServiceAccounts" `
-Subjects "Service-Accounts"
PSO im ADAC (GUI)
Active Directory Administrative Center:
→ Domain → System → Password Settings Container
→ New → Password Settings
Felder:
Name: PSO-Admins
Precedence: 10
Min Password Length: 16
Directly Applies To: Domain Admins
FAQ
Was passiert wenn ein Benutzer in mehreren PSO-Gruppen ist?
Die PSO mit der niedrigsten Precedence-Nummer "gewinnt" (niedrigste Zahl = hoechste Prioritaet).
Fazit
Fine-Grained Password Policies ermöglichen differenzierte Sicherheitsanforderungen – Admins mit strengeren Regeln, Service-Accounts mit sehr langen rotierenden Passwörtern.
Active Directory für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.