Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen Tätigkeit. Entsprechend kann es zu möglichen Sicherheitslücken kommen, obwohl diese gar nicht eingeplant sind.
Wenn ein Benutzer zum Beispiel Mitglied der Gruppe „Kontenoperator“ ist, ist es ihm möglich Passwörter zu zurückzusetzen. Das gilt allerdings dann auch für sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.
In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe „Kontenoperatoren“ oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung „Self“ die folgenden Rechte verweigert bekommen:
- Reset Passwort
- Write Accountexpires
- Write UserAccountControl
Über die Anpassung des Rechtes „Reset Passwort“ kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurücksetzen als Beispiel auf den alten Stand.
Durch die Anpassung des Rechtes „Write Accountexpires“ wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberständig zu editieren.
Mit der Anpassung der Berechtigung „Write UserAccountControl“ wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr abläuft.
Mit diesen Maßnahme ist eine deutliche Verbesserung der Sicherheit für administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.