Besonderheiten der AD-Kennwortrichtlinie

Die Kennworteinstellungen in Active Directory nehmen in der Verarbeitung von Gruppenrichtlinien eine Sonderstellung ein. Zwar ist es in jedem Gruppenrichtlinienobjekt (Group Policy Object, GPO) möglich, Vorgaben für Kennwörter zu hinterlegen. Doch anders, als viele Admins annehmen, wirken sich solche Einstellungen nicht auf Domänenbenutzer aus, wenn man sie auf beliebige OUs verknüpft. In solchen Fällen haben die auf OUs gelegten Kennwortvorgaben nur einen Effekt auf Computerkonten, die in diesen OUs liegen, und konfigurieren dann die Einschränkungen für lokale Benutzerkonten dieser Rechner.

Die einzige Ebene, auf der sich Kennworteinstellungen für Domänenbenutzer festlegen lassen, ist die Domänenebene – damit gelten die Vorgaben immer für die gesamte Domäne. Erst in Windows Server 2008 hat Microsoft mit den “Fine-grained Password Policies” eine Möglichkeit eingeführt, differenziertere Konfigurationen einzusetzen.

Die Besonderheiten gehen aber noch weiter. Entgegen der allgemeinen Empfehlung, die beiden vordefinierten GPOs “Default Domain Policy” und “Default Domain Controllers Policy” nach Möglichkeit unberührt zu lassen und für eigene Richtlinien zusätzliche GPOs zu definieren, sollte man Kennworteinstellungen ausschließlich in der “Default Domain Policy” setzen. Warum ist das so?

Ein wenig bis gar nicht dokumentierter Prozess in Active Directory sorgt dafür, die Kennwortrichtlinien auf die Domäne anzuwenden. Dieser Prozess läuft separat von den normalen GPO-Verarbeitungskomponenten ausschließlich auf dem Domänencontroller mit der Betriebsmasterrolle “PDC Emulator”. Unter anderem überträgt er die Kennworteinstellungen direkt in das Domänenobjekt in Active Directory. Dort kann man sie ohne Zugriff auf die Default Domain Policy direkt auslesen (das Dokumentationswerkzeug José macht sich dies seit Version 3.0 zunutze).

Tatsächlich geht dieser Prozess aber noch einen Schritt weiter. Ändert man auf dem PDC-Emulator die Kennworteinstellungen direkt im Domänenobjekt (dem sog. “Domain Head”), so schreibt Windows die Daten zurück in die Default Domain Policy. Dies ist der einzige bekannte Fall, in dem Windows ein GPO ohne direktes Zutun des Administrators inhaltlich verändert.

Dieser Umstand hat allerdings Folgen, die u.U. unerwünscht sind. Hat man nämlich die effektive Kennworteinstellung nicht über die Default Domain Policy vorgenommen, sondern über ein eigenes GPO, so berücksichtigt der “Rückwärts-Schreibvorgang” dies nicht. Stattdessen überträgt er die Daten in die Default Domain Policy – offenkundig hartkodiert und ohne Logik zur Prüfung, welches GPO denn tatsächlich entscheidend ist.

Damit verschärft sich die Empfehlung: Kennworteinstellungen sollte man ausschließlich in der Default Domain Policy vornehmen!

Referenz:

[Mark Minasi’s Reader Forum – Password Policy and the PDE Emulator]
http://x220.minasi.com/forum/topic.asp?whichpage=1&TOPIC_ID=20647&#93786