Hallo Leutz,

Forefront TMG erlaubt die Verwendung von PraeAuthentifizierung in ausgehenden Firewallregeln und in eingehenden Webserververoeffentlichungsregeln, wenn der Forefront TMG Server Mitglied der Domaene ist oder bei der Verwendung von RADIUS (ein- und ausgehend) oder LDAP (Eingehend) wenn der TMG Server Mitglied einer Arbeitsgruppe ist.
Active Directory verwendet bekanntlich Kennwortrichtlinien fuer Active Directory Benutzer, jedoch werden nicht in jeder Firmenumgebungen strikte Kennwortrichtlinien forciert. Um jetzt die Sicherheit des Systems fuer Benutzer, welche sich aus dem Internet ueber den TMG Server anmelden (z. B. fuer OWA/OA/VPN etc.) nicht zu unterminieren, waere es sinnvoll, im Active Directory eine restriktive Kennwortrichtlinie zu hinterlegen. Wenn das aber aus technischen / politischen Gruenden nicht moeglich ist, kann man mit den fein abgestuften Kennwortrichtlinien (FGPP = Fine Grain Password Policies) (ein Feature seit Windows Server 2008) fuer zusaetzliche Sicherheit sorgen, indem man fuer die Benutzergruppen, welche am Forefront TMG Server hinterlegt sind, staerkere Kennwortrichtlinien verwendet. Somit haben nur die Benutzer, welche sich von Extern anmelden, staerkere Kennwortrichtlinien, alle anderen internen Benutzer nicht.
Link zur Einrichtung der FGPP:
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

Gruss Marc