Teil 1 - Password Policies unter Windows Server 2008 - Die Grundlagen

Autor: olc, MCSEboard.de

Kleiner Wermutstropfen gleich zu Beginn: Erst wenn das Functional Level einer Domäne auf Windows Server 2008 angehoben ist, können die Password Policies eingesetzt werden. Das heißt alle Domänencontroller der entsprechenden Domäne müssen unter Windows Server 2008 laufen. Hintergrund sind die notwendigen Schemaerweiterungen und die Möglichkeit der Domänencontroller, diese auch zu „interpretieren“. Auf den Domänenclients hingegen ist keine Änderung notwendig – die Anwendung der Policies erfolgt auf ausschließlich auf den Domänencontroller, etwa bei Kennwortänderungen oder beim Zurücksetzen eines Kennworts durch Administratoren.

Kennwortrichtlinien können direkt auf Benutzerobjekte angewendet werden, als auch auf Globale Gruppen. Die Anwendung der Richtlinien auf andere Objekte oder Gruppentypen als auch auf Organisationseinheiten ist nicht möglich.

Es können weiterhin auch mehrere Richtlinien auf einen Benutzer oder eine Gruppe wirken. Die Richtlinien werden jedoch nicht gemerged (verschmolzen), so wie es beispielsweise bei Group Policies der Fall ist. Vielmehr zählt bei den Kennwortrichtlinien folgende Reihenfolge der Anwendung:

Die Domänenrichtlinie wird zuerst angewendet. Ist auf den Domänenbenutzer- oder Gruppenobjekten keine weitere Policy angewendet, ist diese Domänenrichtlinie autorativ.
Ist nur eine Policy neben der Domänenrichtlinie angewendet, wird diese angewendet.
Sind mehrere Kennwortrichtlinien direkt auf ein Objekt (Benutzer oder Gruppe) verlinkt, wird die Richtlinie angewendet, die die niedrigste Priorität hat (engl. „precedence“), ähnlich wie bei MX-Einträgen für Mailserver.
Sind die Prioritäten zweier angewendeter Policies gleich, „gewinnt“ die Policy mit der niedrigeren „objectGUID“.
Die letzte Regel betrifft die „implizite“ und die „explizite“ Anwendung: Ist auf einem Benutzerobjekt eine Policy direkt verlinkt, also explizit, das diese Vorrang vor auf Gruppen verlinkte Richtlinien, den sogenannten impliziten Richtlinien.

Wie auch in der Vergangenheit überschreiben Benutzerflags wie „Password never expires“ (Attribute „accountExpires“) oder „User cannot change password“ (Attribute „msDS-UserPasswordExpiryTimeComputed“) diese Einstellungen, d.h. beispielsweise werden Benutzer mit dem Flag „Password never expires“ trotz Richtlinie nicht gezwungen, das Kennwort nach der in einer Policy festgelegten Zeit zu ändern.

Welche Policy letztendlich nach diesen Regeln auf ein Benutzerobjekt wirken, zeigt beispielsweise ein Ergebnissatz von „gpresult /z“ oder ein GPMC RSOP HTML Report. Es ist jedoch wichtig zu wissen, dass diese Policies ausschließlich als Active Directory Objekte angelegt werden, nicht mehr als Group Policy. Nur die Kennwortrichtlinien der „Default Domain Policy“ werden weiterhin als GPO abgebildet (und ggf. auf OUs verlinkte Policies, die jedoch wie unter Windows Server 2003 dann nur für lokale Benutzer angewendet werden).

Eine der Schemaänderungen im Domänenmodus „Windows Server 2008“ betrifft, wie oben kurz erwähnt, die Password Policies: Zum einen werden Benutzer- und Gruppenobjekte erweitert, um die Links zu den Password Policies abbilden zu können: So werden (neben anderen) etwa die beiden Attribute „msDS-ResultantPSO“ und „msDS-PSOApplied“ auf den Objekten angelegt.

Zum anderen werden zwei komplett neue Schema Objektklassen erzeugt, zu finden im System Container des Domänen Naming Conext: Der sogenannte „Password Settings Container“ (PSC) „CN=Password Settings Container,CN=System,DC=<domain>,DC=<tld>“ ist der „Behälter“, der verschiedene Policies enthalten kann. Unterhalb dieses Containers legt man die gewünschten Policies an. Dies kann graphisch über ADSIEdit oder LDP.EXE geschehen – beides übrigens ab Windows Server 2008 im Vergleich zu Windows Server 2003 in verbesserten Versionen bei der Standardinstallation mit dabei – oder auch über „LDIFDE“. Andere graphische Möglichkeiten wie beispielsweise das Anlegen einer Policy über „Active Directory User & Computer“ gibt es (vorerst) nicht.