Wo finde ich das maximale Passwortalter in Active Directory?

**Das maximale Passwortalter findest du in AD an zwei Stellen: standardmäßig in der Domänen-Passwortrichtlinie des Domänenobjekts, bei Ausnahmen in einer Fine-Grained Password Policy (PSO). Entscheidend ist also nicht nur „wo steht es“, sondern welche Richtlinie für den konkreten Benutzer tatsächlich gilt.** ([learn.microsoft.com](https://learn.microsoft.com/en-us/powershell/module/activedirectory/set-addefaultdomainpasswordpolicy?view=windowsserver2025-ps)) ## Standardfall: Domänenweite Richtlinie Für die normale AD-Struktur liegt das maximale Passwortalter in der **Default Domain Password Policy**. Technisch steckt der Wert am **Domänenobjekt**; per PowerShell liest du ihn am einfachsten mit `Get-ADDefaultDomainPasswordPolicy` aus, dort erscheint er als `MaxPasswordAge`. ([learn.microsoft.com](https://learn.microsoft.com/en-us/powershell/module/activedirectory/set-addefaultdomainpasswordpolicy?view=windowsserver2025-ps)) ```powershell Get-ADDefaultDomainPasswordPolicy | Select MaxPasswordAge ``` Wenn du direkt im Verzeichnis schaust, ist das zugehörige Attribut für Fine-Grained Policies `msDS-MaximumPasswordAge`; bei der klassischen Domänenrichtlinie wird der Passwort-Policy-Wert ebenfalls am Domänenkontext verwaltet, nicht irgendwo „unter den Benutzern“. ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows/win32/adschema/a-msds-maximumpasswordage)) ## Wenn Fine-Grained Password Policies verwendet werden Sobald **Fine-Grained Password Policies** aktiv sind, kann für einzelne Benutzer oder Gruppen ein anderes maximales Passwortalter gelten als in der Default Domain Policy. Diese Richtlinien liegen als **Password Settings Objects (PSO)** im Container **Password Settings Container** und verwenden das Attribut `msDS-MaximumPasswordAge`. ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies)) Per PowerShell: ```powershell Get-ADFineGrainedPasswordPolicy -Filter * | Select Name, MaxPasswordAge, Precedence ``` Der praktische Punkt ist: **Der Wert in der Domänenrichtlinie ist dann nicht automatisch der wirksame Wert für jeden Benutzer.** Genau das wird in vielen knappen Antworten unterschlagen. ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies)) ## Was für einen Benutzer wirklich gilt Wenn du nicht nur den Speicherort, sondern den **effektiv gültigen Wert** wissen willst, ist das die sauberste Abfrage: ```powershell Get-ADUserResultantPasswordPolicy -Identity BENUTZERNAME ``` Damit siehst du die tatsächlich angewendete Passwort-Richtlinie für diesen Benutzer, also inklusive möglicher PSO-Ausnahmen. Das ist in der Praxis meist wichtiger als das bloße Nachsehen in der Default Domain Policy. ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies)) ## Kurz gesagt - **Domänenweit:** `Get-ADDefaultDomainPasswordPolicy` → `MaxPasswordAge` ([learn.microsoft.com](https://learn.microsoft.com/en-us/powershell/module/activedirectory/set-addefaultdomainpasswordpolicy?view=windowsserver2025-ps)) - **Bei PSO/Fine-Grained Policies:** im **Password Settings Container** → `msDS-MaximumPasswordAge` ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies)) - **Für einen konkreten Benutzer:** `Get-ADUserResultantPasswordPolicy` ist die entscheidende Abfrage. ([learn.microsoft.com](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/fine-grained-password-policies))