So können Sie: GRO-basierte Passwortrichtlinien mit PowerShell verwalten

Die untenstehenden PowerShell-Skripte eignen sich dazu, die Standard-Passwortrichtlinie für eine Active-Directory-Domäne zu verwalten. ADSelfService Plus, die Lösung für SB-Passwortmanagement und Single Sign-On in Active Directory, bietet Ihnen erweiterte Einstellungen für Passwortrichtlinien, die sich für ein hybrides Active Directory anwenden lassen. Nachfolgend ein Vergleich zwischen den auf Gruppenrichtlinienobjekten (GROs) basierenden Einstellungen für Domänenpasswortrichtlinien in Windows Active Directory und in ADSelfService:

Mit PowerShell

  • Ändern der Passwortrichtlinie für eine Active-Directory-Domäne
        Set-ADDefaultDomainPasswordPolicy
       [-WhatIf]
       [-Confirm]
       [-AuthType <ADAuthType>]
       [-ComplexityEnabled <Boolean>]
       [-Credential <PSCredential>]
       [-Identity] <ADDefaultDomainPasswordPolicy>
       [-LockoutDuration <TimeSpan>]
       [-LockoutObservationWindow <TimeSpan>]
       [-LockoutThreshold <Int32>]
       [-MaxPasswordAge <TimeSpan>]
       [-MinPasswordAge <TimeSpan>]
       [-MinPasswordLength <Int32>]
       [-PassThru]
       [-PasswordHistoryCount <Int32>]
       [-ReversibleEncryptionEnabled <Boolean>]
       [-Server <String>]
       [<CommonParameters>]
     Copied
    Zum Kopieren des gesamten Skriptes klicken
  • Abrufen der Standard-Passwortrichtlinie für eine Active-Directory-Domäne.
    Get-ADDefaultDomainPasswordPolicy
       [-AuthType <ADAuthType>]
       [-Credential <PSCredential>]
       [[-Current] <ADCurrentDomainType>]
       [-Server <String>]
       [<CommonParameters>]

Mit ADSelfService Plus

  • Konfigurieren einer spezifischen Passwortrichtlinie über die Erzwingung von Passwortrichtlinien
    • Öffnen Sie das Admin-Portal von ADSelfService Plus.
    • Wechseln Sie zu Konfiguration > SB > Erzwingung von Passwortrichtlinien.
    • Aktivieren Sie „Spezifische Passwortrichtlinie erzwingen“.
      how-to-enforce-password-policy-in-active-directory-using-powershell-script-1
    • Verbieten Sie geleakte oder schwache Passwörter, Tastenfolgen und Palindrome.
    • Verbieten Sie fortlaufend wiederholte Zeichen aus Benutzernamen oder alten Passwörtern sowie häufige Zeichentypen am Anfang oder Ende von Passwörtern.
    • Ermöglichen Sie es Benutzern, Unicode-Zeichen in ihren Passwörtern zu verwenden.
    • Zeigen Sie eine Skala zur Passwortstärke an, wenn Benutzer ihre AD-Passwörter ändern oder zurücksetzen.
    • Setzen Sie Passwort-Sätze durch.
    • Klicken Sie auf Speichern.

Mit welchen Beschränkungen müssen Sie bei Domänen-Passwortrichtlinien rechnen?

  • Diese bieten keine Möglichkeit zur Steuerung von Passwortrichtlinien, um Wörterbucheinträge und schwache Passwörter, Tastenfolgen und Palindrome usw. zu verbieten.
  • Sie lassen sich in hybriden Active-Directory-Umgebungen nicht verwenden.
  • Domänen-Passwortrichtlinien lassen sich nicht gemäß OE und Gruppenmitgliedschaften auf Benutzer anwenden.
  • Keine Möglichkeit um dafür zu sorgen, dass Benutzer beim Ändern und Zurücksetzen keine geknackten Passwörter verwenden können.
  • Außerdem können die Passwortanforderungen den Endbenutzern bei der Änderung nicht angezeigt werden.
Vorteile von ADSelfService Plus:
  • ADSelfService Plus bietet Optionen, mit dem Sie schwache Passwörter, Wörterbucheinträge, Palindrome und Tastenfolgen sperren können, sodass Benutzer starke Passwörter verwenden.

  • Anzeige der Passwortanforderungen für Endbenutzer, wenn sie Passwörter ändern oder zurücksetzen.

  • Durchsetzen von Einstellungen für Passwortrichtlinien über den Windows-Anmeldebildschirm (Strg+Alt+Entf) und sogar beim ADUC-Passwortzurücksetzungen.

  • Durch die Integration mit „Have I Been Pwned? sorgt ADSelfService Plus dafür, dass Benutzer beim Ändern und Zurücksetzen von Passwörtern keine geknackten Passwörter verwenden.

Geplante Benachrichtigungen für AD-Benutzer über den Kontoablauf

 Probieren Sie ADSelfService Plus kostenlos aus!
  • Begeben Sie sich auf Ihre script-free skriptfrei AD Self-Service-Passwortverwaltung mit ADSelfService Plus.
  • Jetzt herunterladen 

ADSelfService Plus vertraut von