Active Directory »

So können Sie: Feinkörnige-Passwortrichtlinien über PowerShell verwalten

Passwortrichtlinien sind von zentraler Bedeutung, wenn es darum geht, die Erstellung starker Passwörter durchzusetzen und Benutzer vor Zugangsdaten-basierten Angriffen zu schützen. Die untenstehenden PowerShell-Skripte eignen sich dazu, die Passwortrichtlinie und Standard-Domänenrichtlinie für eine Active-Directory-Domäne feinkörnig zu verwalten. ADSelfService Plus, die Lösung für Identitätssicherheit mit Funktionen für Multifaktor-Authentifizierung, Single Sign-On und SB-Passwortmanagement, ermöglicht erweiterte Passwort-Richtlinieneinstellungen, die gleichermaßen auf On-Premise- und Cloud-Anwendungen angewendet werden können. Hier ein Vergleich der Verwaltung feinkörniger Einstellungen für Passwortrichtlinien mit PowerShell-Skripten oder mit ADSelfService Plus.

Mit PowerShell

    Führen Sie die folgenden Skripte in PowerShell aus:
  • Erstellen einer neuen, feinkörnigen Passwortrichtlinie für Active Directory 
        New-ADFineGrainedPasswordPolicy
   [-WhatIf]
   [-Confirm]
   [-AuthType <ADAuthType>]
   [-ComplexityEnabled <Boolean>]
   [-Credential <PSCredential>]
   [-Description <String>]
   [-DisplayName <String>]
   [-Instance <ADFineGrainedPasswordPolicy>]
   [-LockoutDuration <TimeSpan>]
   [-LockoutObservationWindow <TimeSpan>]
   [-LockoutThreshold <Int32>]
   [-MaxPasswordAge <TimeSpan>]
   [-MinPasswordAge <TimeSpan>]
   [-MinPasswordLength <Int32>]
   [-Name] <String>
   [-OtherAttributes <Hashtable>]
   [-PassThru]
   [-PasswordHistoryCount <Int32>]
   [-Precedence] <Int32>
   [-ProtectedFromAccidentalDeletion <Boolean>]
   [-ReversibleEncryptionEnabled <Boolean>]
   [-Server <String>]
   [<CommonParameters>]
     Copied
    Zum Kopieren des gesamten Skriptes klicken
  • Suche zum Abrufen einer oder mehrerer feinkörniger Passwortrichtlinien 
    Get-ADFineGrainedPasswordPolicy
   [-AuthType <ADAuthType>]
   [-Credential <PSCredential>]
   [-Identity] <ADFineGrainedPasswordPolicy>
   [-Properties <String[]>]
   [-Server <String>]
   [<CommonParameters>]
  • Suche zum Abrufen einer oder mehrerer Standard-Passwortrichtlinien 
    Get-ADDefaultDomainPasswordPolicy
   [-AuthType <ADAuthType>]
   [-Credential <PSCredential>]
   [-Current <ADCurrentDomainType>]
   [-Server <String>]
   [<CommonParameters>]

Mit ADSelfService Plus:

  • Konfigurieren einer spezifischen Passwortrichtlinie über die Erzwingung von Passwortrichtlinien
    • Melden Sie sich beim Admin-Portal von ADSelfService Plus an.
    • Wechseln Sie zu Konfiguration > SB > Erzwingung von Passwortrichtlinien..
    • Aktivieren Sie „Spezifische Passwortrichtlinie erzwingen“.
      how-to-get-fine-grained-password-policy-using-powershell-1
    • In der Registerkarte Zeichen unterbinden:
      • Legen Sie die Anzahl an Sonderzeichen und Ziffern fest, die verwendet werden muss.
      • Gestatten Sie die Verwendung von Unicode-Zeichen.
      • Schreiben Sie eine Mindestzahl an Klein- und Großbuchstaben vor.
      • Verbieten Sie, dass Ziffern am Ende stehen.
    • In der Registerkarte Wiederholung unterbinden können Sie Zeichenfolgen aus dem Benutzernamen oder aus alten Passwörtern verbieten und verhindern, dass das gleiche Zeichen mehrmals hintereinander auftritt.
      how-to-get-fine-grained-password-policy-using-powershell-1
    • In der Registerkarte Muster unterbinden können Sie Wörterbucheinträge, schwache Passwörter, Tastatur-Muster und Palindrome verbieten.
      how-to-get-fine-grained-password-policy-using-powershell-1
    • In der Registerkarte Länge beschränken, geben Sie die minimale und maximale Länge für Passwörter an.
      how-to-get-fine-grained-password-policy-using-powershell-1
    • Verwenden Sie die Einstellung Passwort muss mindestens _ dieser Komplexitätsanforderungen erfüllen, damit Benutzer flexibel auswählen können, welchen Regeln sie folgen möchten, ohne dass die Passwortsicherheit darunter leidet.
    • Verwenden Sie die Einstellung Alle Komplexitätsregeln überschreiben, wenn Passwortlänge mindestens _ beträgt, um Passwort-Sätze statt Komplexitätsregeln durchzusetzen, wenn die Passwortlänge eine festgelegte Zahl überschreitet.
    • Klicken Sie auf Speichern.

Vorteile von ADManager Plus im Vergleich zu PowerShell:

  • Die erweiterten Passwort-Richtlinieneinstellungen von ADSelfService Plus verbieten Wörterbucheinträge, schwache Passwörter, Palindrome, Tastatur-Muster und vieles mehr.
  • Durch die Integration von ADSelfService Plus mit dem Service „Have I Been Pwned?“ wird sichergestellt, dass Benutzer beim Zurücksetzen und Ändern von Passwörtern keine bereits geknackten Passwörter verwenden.
  • Zeigen den Endbenutzern die Passwortanforderungen an, wenn sie im Bildschirm „Strg+Alt+Entf“ ihre Passwörter ändern oder zurücksetzen.
  • Setzen Sie spezifische Einstellungen für Passwortrichtlinien durch, sogar auf dem Windows-Anmeldebildschirm (Strg+Alt+Entf) und bei ADUC-Passwortzurücksetzungen.
Praktische Funktionen von ADSelfService Plus
  • Abwehr gegen Cyberangriffe:

    Stellt sicher, dass Benutzer keine einfach zu knackenden Passwörter wie pass@123 verwenden.

  • Verbesserte IT-Sicherheit:

    Stellt fortgeschrittene Methoden zur Multifaktor-Authentifizierung bereit, wie Biometrie und YubiKey.

  • Universelle Durchsetzung:

    Admins können spezifische Passwortrichtlinien für Active-Directory- und Cloud-Anwendungen durchsetzen.

  • OE- und gruppenbasierte Durchsetzung:

    Admins können sich dazu entscheiden, verschiedene Passwortrichtlinien für Benutzer durchzusetzen, je nachdem, zu welchen OEs oder Gruppen sie gehören.

Geplante Benachrichtigungen für AD-Benutzer über den Kontoablauf

 Probieren Sie ADSelfService Plus kostenlos aus!
  • Begeben Sie sich auf Ihre script-free skriptfrei AD Self-Service-Passwortverwaltung mit ADSelfService Plus.
  • Jetzt herunterladen 

ADSelfService Plus vertraut von