15666 mal gelesen
Ausgangssituation: In einer Schule läuft ein Windows-Server mit Active Directory-Domäne. Es gibt zwei Benutzergruppen, Lehrer und Schüler. Die Lehrer sollen zur Verwendung sicherer Passwörter gezwungen werden, die Schüler sollen es dagegen so einfach wie möglich haben.
In den Gruppenrichtlinien des Windows-Servers gibt es dafür die Option „Kennwort muss Komplexitätsvoraussetzungen entsprechen“ – die ist aber nur dann wirksam, wenn sie der „Default Domain Policy“ zugeordnet wird, und dann gilt sie für alle Domänenbenutzer – auch die lieben Kleinen müssten sich dann mit komplexen Passwörtern herumschlagen.
Seit dem Windows Server 2008 gibt es jedoch die Option der „Fine Grained Password Policy“. Diese „feinkörnige“ Einstellung ermöglicht uns, den Lehrern sichere und den Schülern einfache Passwörter zu verpassen. Wie’s mit Bordmitteln geht, steht hier, macht aber keinen Spaß.
Viel besser ist das passende GUI. Es gibt einige verschiedene kostenlose Programme, ich habe das „Fine Grain Password Policy Tool 1.0“ erfolgreich verwendet:
- Backup bzw. Snapshot machen!
- Quick Start Guide lesen!
- Tool auf dem Server installieren und starten
- Neue Richtlinie erstellen; die Optionen werden hier beschrieben.
- Richtlinie einer AD-Gruppe zuteilen; es reicht hierbei, nur eine „scharfe“ Richtlinie für die Lehrer zu erstellen.
- Testen!
- Den Kollegen schonend beibringen, was kommen wird; einen Zeitplan zur Umsetzung erstellen und am „Change Day“ alle Benutzerkonten auf „Passwort muss bei nächster Anmeldung geändert werden“ setzen.
Viel Erfolg!