Active Directory.pdf - Gattner

518 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit
Mit den Active Directory-Domänendiensten von Windows Server 2008 werden die sogenannten fein
abgestimmten Kennwortrichtlinien eingeführt. Sie können mittels dieser Funktion in einer Domäne
mehrere Kennwortrichtlinien und Kontosperreinstellungen für verschiedene Benutzer oder Sicherheitsgruppen
festlegen. Jetzt ist es möglich, eine striktere Kennwortrichtlinie für einzelne Sicherheitsgruppen
oder Benutzer anzuwenden, ohne die Kennwort- oder Kontosperreinstellungen der Standardbenutzer
in der übrigen Domäne zu ändern.
Planen von fein abgestimmten Kennwortrichtlinien
Um fein abgestimmte Kennwortrichtlinien zu implementieren, sind einige Überlegungen anzustellen:
• Fein abgestimmte Kennwortrichtlinien können sowohl auf Benutzerobjekte als auch auf globale
Sicherheitsgruppen angewendet werden.
• Sie können eine fein abgestimmte Kennwortrichtlinie nicht auf eine Organisationseinheit anwenden.
Es ist jedoch eine gängige Vorgehensweise, eine globale Sicherheitsgruppe zu erstellen, die
denselben Namen und dieselbe Mitgliedschaft wie eine spezifische OU enthält (üblicherweise als
Schattengruppe bezeichnet). Anschließend können Sie die fein abgestimmte Kennwortrichtlinie
auf die Sicherheitsgruppe anwenden.
• Wenn Sie benutzerdefinierte Kennwortfilter in einer Domäne bereitgestellt haben, können Sie
diese Filter weiterhin im Rahmen der zusätzlichen, durch die fein abgestimmten Kennwortrichtlinien
gebotenen Sicherheit verwenden.
• Die Funktionsebene der Domäne muss auf Windows Server 2008 festgelegt werden.
Darüber hinaus sollten Sie einen dokumentierten Plan entwickeln, der folgende Fragen behandelt:
• Wie viele verschiedene Kennwortrichtlinien sind erforderlich? Dies ist nicht nur zur Bestimmung der
zusätzlichen Sicherheitsgruppen wichtig, die möglicherweise in ihrer Active Directory-Umgebung
erstellt werden müssen, sondern spielt außerdem für die Anwendungsreihenfolge eine Rolle,
wenn mehrere Kennwortrichtlinien für einen spezifischen Benutzer ausgewertet werden.
• Welche spezifischen Kennwort- und Kontosperreinstellungen sind erforderlich? Im Rahmen der Konfiguration
der Kennwortrichtlinie werden Sie gemäß der Liste in Tabelle 13.6 zur Eingabe verschiedener
Attribute aufgefordert.
• Welche Sicherheitsgruppen werden mit den neuen Kennwortrichtlinien verknüpft? Sie müssen spezifische
Sicherheitsgruppen mit den Benutzern erstellen, die eindeutige Kennwortrichtlinien benötigen.
Implementieren fein abgestimmter Kennwortrichtlinien
Zur Unterstützung fein abgestimmter Kennwortrichtlinien enthält Windows Server 2008 Active
Directory zwei zusätzliche Objekttypen:
• Container für Kennworteinstellungen Dieser standardmäßig erstellte Container trägt den Namen
Password Settings Container und kann unterhalb des Containers System in der Domäne angezeigt
werden. Er wird zum Speichern der Kennworteinstellungsobjekte verwendet, die Sie erstellen und
mit globalen Sicherheitsgruppen oder Benutzern verknüpfen.
• Kennworteinstellungsobjekt Kennworteinstellungsobjekte (Password Settings Objects, PSOs)
werden von Mitgliedern der Gruppe Domänen-Admins erstellt und zum Definieren spezifischer
Kennwort- und Kontosperreinstellungen verwendet, die mit einer spezifischen Sicherheitsgruppe
oder einem spezifischen Benutzer verknüpft werden.