Erstellen abgestimmter Kennwortrichtlinien (PSO)

 

dient zum Erstellen von Kennwortrichtlinien die von der Standardrichtlinie abweichen

um möglichst wenig Verwaltungsaufwand zu betreiben sollten die PSO auf Schattengruppen (Globale Sicherheitsgruppen denen die Benutzer für die die Richtlinie gelten soll zugeordnet werden, ohne deren Mitgliedschaft in OU’s zu verändern) oder einzelne Benutzer angewandt werden

 

Starten sie den ADSI-Editor über Ausführen > adsiedit.msc oder Programme > Verwaltung >ADSI-Editor

 

 

Stellen sie eine Verbindung zu ihrer Domäne her

rechte Maustaste > Verbindung herstellen

 

 

öffnen sie den Pfad zum Password Settings Container

jeweils Doppelklick auf Domäne, DC=Name der Domäne, CN=System, Passsword Settings Container

 

 

Erstellen sie ein neues Objekt

rechte Maustaste > Neu > Objekt

 

 

Stellen sie sicher das msDS-PasswordSettings ausgewählt ist > Weiter

 

 

Vergeben sie einen Namen für die PSO > Weiter

 

 

Geben sie im nächsten Fenster msDS-PasswordPrecedence einen Wert für die Priorität der Richtlinie ein > Weiter

 

Im Fenster msDS-PasswordReversibleEncryptionEnabled  tragen sie ein, ob die Rückwärtsverschlüsselung aktiviert werden soll ( True oder False)  > Weiter

 

Geben im Fenster msDS-PasswordHistoryLength eine Zahl als Wert für die Anzahl der gespeicherten Kennwörter ein > Weiter

 

Geben sie im Fenster msDS-PasswordComplexityEnabled an, ob Kennwortkomplexitätsanforderungen aktiviert wird (True oder False) > Weiter

 

Im Fenster msDS-MinimumPasswordLength bestimmen sie die minimale Passwortlänge (Zahl) > Weiter

 

Im Fenster msDS-MinimumPasswordAge bestimmen sie das Mindestalter für das Passwort (Format T:HH:MM:SS) > Weiter

 

Im Fenster msDS-MaximumPasswordAge bestimmen sie das Maximalalter für das Passwort (Format T:HH:MM:SS) > Weiter

 

Im Fenster msDS-LockoutTreshold bestimmen sie nach wie vielen Fehlversuchen das Konto gesperrt wird > Weiter

 

Im Fenster msDS-LockoutObservationWindow bestimmen sie die Zurücksetzdauer des Kontosperrungszählers > Weiter

 

Im Fenster msDS-LockoutDuration bestimmen sie für welchen Zeitraum das Konto gesperrt wird > Weiter

 

 

Klicken sie auf Fertig stellen

 

 

Zuordnen der PSO

 

Öffnen sie die Konsole Active Directory-Benutzer und –Computer,

Erweitere Features in Ansicht auswählen

 

 

Pfad Domäne > System > Password Setting Container auswählen

 

 

die PSO auswählen, rechte Maustaste > Eigenschaften > Attribut-Editor > msDS-PSOAppliesTo doppelklicken

 

 

die Gruppe für die diese PSO gelten soll auswählen

 

 

dreimal Ok klicken