So können Sie: Feinkörnige-Passwortrichtlinien über PowerShell verwalten
Passwortrichtlinien sind von zentraler Bedeutung, wenn es darum geht, die Erstellung starker Passwörter durchzusetzen und Benutzer vor Zugangsdaten-basierten Angriffen zu schützen. Die untenstehenden PowerShell-Skripte eignen sich dazu, die Passwortrichtlinie und Standard-Domänenrichtlinie für eine Active-Directory-Domäne feinkörnig zu verwalten. ADSelfService Plus, die Lösung für Identitätssicherheit mit Funktionen für Multifaktor-Authentifizierung, Single Sign-On und SB-Passwortmanagement, ermöglicht erweiterte Passwort-Richtlinieneinstellungen, die gleichermaßen auf On-Premise- und Cloud-Anwendungen angewendet werden können. Hier ein Vergleich der Verwaltung feinkörniger Einstellungen für Passwortrichtlinien mit PowerShell-Skripten oder mit ADSelfService Plus.
Mit PowerShell
Führen Sie die folgenden Skripte in PowerShell aus:
- Erstellen einer neuen, feinkörnigen Passwortrichtlinie für Active Directory
New-ADFineGrainedPasswordPolicy
[-WhatIf]
[-Confirm]
[-AuthType <ADAuthType>]
[-ComplexityEnabled <Boolean>]
[-Credential <PSCredential>]
[-Description <String>]
[-DisplayName <String>]
[-Instance <ADFineGrainedPasswordPolicy>]
[-LockoutDuration <TimeSpan>]
[-LockoutObservationWindow <TimeSpan>]
[-LockoutThreshold <Int32>]
[-MaxPasswordAge <TimeSpan>]
[-MinPasswordAge <TimeSpan>]
[-MinPasswordLength <Int32>]
[-Name] <String>
[-OtherAttributes <Hashtable>]
[-PassThru]
[-PasswordHistoryCount <Int32>]
[-Precedence] <Int32>
[-ProtectedFromAccidentalDeletion <Boolean>]
[-ReversibleEncryptionEnabled <Boolean>]
[-Server <String>]
[<CommonParameters>]
Copied
Zum Kopieren des gesamten Skriptes klicken
- Suche zum Abrufen einer oder mehrerer feinkörniger Passwortrichtlinien
Get-ADFineGrainedPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Identity] <ADFineGrainedPasswordPolicy>
[-Properties <String[]>]
[-Server <String>]
[<CommonParameters>]
- Suche zum Abrufen einer oder mehrerer Standard-Passwortrichtlinien
Get-ADDefaultDomainPasswordPolicy
[-AuthType <ADAuthType>]
[-Credential <PSCredential>]
[-Current <ADCurrentDomainType>]
[-Server <String>]
[<CommonParameters>]
Mit ADSelfService Plus:
- Konfigurieren einer spezifischen Passwortrichtlinie über die Erzwingung von Passwortrichtlinien
- Melden Sie sich beim Admin-Portal von ADSelfService Plus an.
- Wechseln Sie zu Konfiguration > SB > Erzwingung von Passwortrichtlinien..
- Aktivieren Sie „Spezifische Passwortrichtlinie erzwingen“.
- In der Registerkarte Zeichen unterbinden:
- Legen Sie die Anzahl an Sonderzeichen und Ziffern fest, die verwendet werden muss.
- Gestatten Sie die Verwendung von Unicode-Zeichen.
- Schreiben Sie eine Mindestzahl an Klein- und Großbuchstaben vor.
- Verbieten Sie, dass Ziffern am Ende stehen.
- In der Registerkarte Wiederholung unterbinden können Sie Zeichenfolgen aus dem Benutzernamen oder aus alten Passwörtern verbieten und verhindern, dass das gleiche Zeichen mehrmals hintereinander auftritt.
- In der Registerkarte Muster unterbinden können Sie Wörterbucheinträge, schwache Passwörter, Tastatur-Muster und Palindrome verbieten.
- In der Registerkarte Länge beschränken, geben Sie die minimale und maximale Länge für Passwörter an.
- Verwenden Sie die Einstellung Passwort muss mindestens _ dieser Komplexitätsanforderungen erfüllen, damit Benutzer flexibel auswählen können, welchen Regeln sie folgen möchten, ohne dass die Passwortsicherheit darunter leidet.
- Verwenden Sie die Einstellung Alle Komplexitätsregeln überschreiben, wenn Passwortlänge mindestens _ beträgt, um Passwort-Sätze statt Komplexitätsregeln durchzusetzen, wenn die Passwortlänge eine festgelegte Zahl überschreitet.
- Klicken Sie auf Speichern.
Vorteile von ADManager Plus im Vergleich zu PowerShell:
- Die erweiterten Passwort-Richtlinieneinstellungen von ADSelfService Plus verbieten Wörterbucheinträge, schwache Passwörter, Palindrome, Tastatur-Muster und vieles mehr.
- Durch die Integration von ADSelfService Plus mit dem Service „Have I Been Pwned?“ wird sichergestellt, dass Benutzer beim Zurücksetzen und Ändern von Passwörtern keine bereits geknackten Passwörter verwenden.
- Zeigen den Endbenutzern die Passwortanforderungen an, wenn sie im Bildschirm „Strg+Alt+Entf“ ihre Passwörter ändern oder zurücksetzen.
- Setzen Sie spezifische Einstellungen für Passwortrichtlinien durch, sogar auf dem Windows-Anmeldebildschirm (Strg+Alt+Entf) und bei ADUC-Passwortzurücksetzungen.
Praktische Funktionen von ADSelfService Plus
- Abwehr gegen Cyberangriffe:
Stellt sicher, dass Benutzer keine einfach zu knackenden Passwörter wie pass@123 verwenden.
- Verbesserte IT-Sicherheit:
Stellt fortgeschrittene Methoden zur Multifaktor-Authentifizierung bereit, wie Biometrie und YubiKey.
- Universelle Durchsetzung:
Admins können spezifische Passwortrichtlinien für Active-Directory- und Cloud-Anwendungen durchsetzen.
- OE- und gruppenbasierte Durchsetzung:
Admins können sich dazu entscheiden, verschiedene Passwortrichtlinien für Benutzer durchzusetzen, je nachdem, zu welchen OEs oder Gruppen sie gehören.