Active Directory Problem mit 15 Zeichen Passwort

Mindestlänge auf 14 Zeichen begrenzt

Über die Default Domain Policy lässt sich die Mindestlänge individuell bestimmen. Wer die Policy auf eine Mindestlänge von 15 Zeichen setzt, fällt automatisch auf 7 Zeichen zurück und hat somit ein Sicherheitsproblem!

Die Mindestlänge darf somit aktuell maximal auf nur 14 Zeichen gesetzt werden.

Ich setze in der Default Domain Policy die Kennwortlänge auf eine Mindestlänge von 15 Zeichen und ein Mindestalter von 0 Tagen, so dass ich mit dem Benutzer noch etwas ausgiebiger testen kann.
Setze nun das Kennwort des Benutzers Jörn Walter zurück, und vergebe ein Kennwort mit nur einer Länge von 8 Zeichen. Siehe selbst!

Default Domain Password Policy15 Signs

Nun setze ich in der Default Domain Policy die Kennwortmindestlänge auf 14 Zeichen.
Setze das Kennwort des Benutzers Jörn Walter zurück, und versuche ein neues Kennwort mit weniger als 14 Zeichen zu vergeben. Das ist nun nicht erlaubt, weil die Mindestlänge von 14 Zeichen nicht erfüllt wurde und die Policy valide ist.

Das zeigt ganz klar auf, das sobald man eine Mindestlänge von 15 Zeichen wählt, die Richtlinie so gut wie keine Wirkung mehr hat und auf den Defaultwert von 7 Zeichen zurückfällt.

Das Thema habe ich von Günter Born aufgegriffen weil ich es nicht glauben konnte.

Server 2016 – Fine-Grained Password Policy

15 Zeichen Active Directory Kennwortrichtlinie Lösung