SpecOps Password Policy

SpecOps (Abk. für Special Operations Software) Password Policy, kurz SPP, ist ein Programm zur Kennwortverwaltung für das Active Directory unter Windows auf der Basis von Gruppenrichtlinien. Die Software wurde vom Stockholmer Unternehmen Special Operation Software entwickelt und mit dem Attendee’s Pick Award auf dem TechEd Europe IT-Forum 2006 ausgezeichnet. SPP erlaubt im Active Directory mehrere Passwortrichtlinien einzurichten.

Funktionen[]

Passwortrichtlinien müssen auf der Domänenebene definiert werden. Pro Domäne ist im Active Directory nur eine generelle Passwortrichtlinie für alle Benutzerprofile möglich. Es gibt aber eine Ausnahme für diese Regel. Es können weitere Kontorichtlinien für eine Organisationseinheit konfiguriert werden. Die Einstellungen der Kontorichtlinie für die Organisationseinheit wirken sich auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden. Diese zusätzlichen Konfigurationen werden in einem Passwortfilter definiert. Die Software SSP basiert auf der Technologie der Passwortfilter, ist aber mit einem GUI weit weniger umständlich einzurichten und setzt keine Kenntnisse voraus. SPP auf dem netzwerkeigenen Domain Controller erlaubt es den Administratoren, mehrere Richtlinien unbeschränkter Anzahl einzurichten und diese einzelnen Sicherheitsgruppen, Organisationseinheiten oder einzelnen Benutzerkonten zuzuordnen. Dies hat folgende Vorteile:

Im Active Directory können mehrere Passwortrichtlinien für verschiedene Benutzerkategorien erstellt werden. Für die Administratorengruppe können beispielsweise strengere Regeln definiert werden als für normale Benutzer ohne Administrationsrechte.
Passwortrichtlinien können gemeinsam mit den anderen Gruppenrichtlinien erarbeitet und konfiguriert werden.
Administratoren können die Aufgabe zur Erarbeitung und Konfiguration der Passwortrichtlinien leichter delegieren. Für die Konfiguration der Richtlinien werden keine Domänen Rechte benötigt.
In diesem Sinne dient SPP der Geschäftsprozessoptimierung.
Für jeden User gilt nur eine Passwortrichtlinie. Die Richtlinien können nicht kumuliert werden und gelten jeweils alleinig für die definierten Benutzergruppen.

Die Software bietet über zwanzig Spezifizierungsmöglichkeiten für Passwortrichtlinien. Diese umfassen beispielsweise:

Kombinationen mit Gross-/Kleinschreibung, Sonderzeichen und alphanumerischen Passwörtern
Unterdrückung des Account Namens in Passwörtern
Unterdrückung von Kombinationen anhand von Wortlisten
Minimale sowie maximale Passwort Länge
Erweiterte Kennwort Komplexität
Keine aufsteigenden Passwörter (Passwort1 zu Passwort2)
Zurücksetzungsrichtlinien für Administratoren
Unterschiedliche Passwort Ablaufzeiten

Module[]

SPP besteht aus drei Teilen, der Verwaltung, welche drei Module beinhaltet, dem Richtlinienmodul, das auf jedem Domänencontroller installiert sein muss und der Client Installation.

Sentinel[]

Sentinel ist das Server Modul. Es muss auf jedem Domänen Controller installiert werden. Das Modul Sentinel überprüft die Passwörter beim Wechseln oder Zurücksetzen. Die Fehlermeldungen bei Nicht-Einhaltung der Richtlinien können individuell angepasst oder selbst verfasst werden. Sentinel enthält zusätzlich zwei Log-Funktionen für die Eventlogs und den Passwortverlauf.

GPMC Plug-in[]

In der Gruppenrichtlinien-Verwaltungskonsole (GPMC) wird das SPP Plug-in integriert. Es erscheint in jeder Gruppenrichtlinie. Hier legen die Administratoren fest, welche Restriktionen die jeweilige Benutzergruppe bei der Festlegung der Passwörter zu befolgen hat. Dieses Plug-in basiert auf den Gruppenrichtlinien der Benutzer und Benutzergruppen, nicht auf der Ebene der Computer.

Domain Administration[]

Im Administrationstool auf dem definierten Applikationsserver für SPP können domänenübergreifende Einstellungen gemacht werden. Diese Applikation kann nach der Installation aus dem Startmenü aufgerufen werden. Auf diesem Interface kann beispielsweise SPP für die ganze Domäne aus- oder eingeschaltet oder Templates der Passwortrichtlinien verändert werden. Hier findet sich auch eine Übersicht aller definierten Passwortrichtlinien.

Active Directory Benutzer Konfiguration[]

Dieses Modul wird in der Active Directory Benutzer- und Computerverwaltung integriert. Jedes Objekt erhält im Untermenü (Rechtsklick auf Benutzer oder Computer) einen neuen Menüeintrag SpecOps Password Policy. Hier können alle Richtlinien eingesehen werden, die für dieses Objekt gelten, jedoch können diese Richtlinien nicht verändert werden. Dies geschieht im GPMC Plug-in.

Client[]

Die Client Installation ist ein kleines Programm, das die Einhaltung der Richtlinien beim Benutzer überprüft. Ist die Einhaltung der Restriktionen nicht gewährt, erscheint eine Fehlermeldung mit den verletzten Richtlinien. Es informiert den Benutzer darüber, dass sein gewähltes Passwort anders aufgebaut werden muss, zum Beispiel dass es zusätzlich eine Zahl oder einen Grossbuchstaben enthalten sollte. Diese Fehlermeldungen können von den Administratoren individuell angepasst werden.

Erweiterungen[]

SPP ist in vollem Umfang scriptfähig. Das bedeutet, dass Scripts zur Ausführung und Konfiguration der Richtlinien geschrieben und beispielsweise über den Taskplaner automatisch ausgeführt werden können. Die Scripts können über das Windows Server GUI, über .NET oder einen Kommandozeileninterpreter (Betriebssystem-Shell) mit den eigens integrierten Windows PowerShell Cmdlets angepasst werden. Dazu muss zunächst das Cmdlet Helpfile in das SPP Programmverzeichnis kopiert werden.

Versionen[]

Version 1.0: 16. Januar 2006
Version 1.2: 26. April 2006
Version 2.0: Januar 2007
Version 2.1.1.7228: 17. Oktober 2007

Weblinks[]

Im Wikidata-Objekt Q2308130 befinden sich offene Daten zum Thema und Links zu Wikimedia-Projekten.

Dieser Wikipedia-Artikel wurde gemäß GFDL bzw. CC-by-sa mit allen Versionen importiert.