Windows Server
Deutschland (Deutsch) Anmelden
Homepage Windows Server 2012 Windows Server 2008 R2 Windows Server 2003 Library Foren
2 von 3 fanden dies hilfreich - Dieses Thema bewerten.

AD DS: Abgestimmte Kennwortrichtlinien

Letzte Aktualisierung: Juli 2010

Betrifft: Windows Server 2008

Mit dem Betriebssystem Windows Server® 2008 erhalten Organisationen die Möglichkeit, verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen in einer Domäne zu definieren. In Active Directory-Domänen von Microsoft® Windows® 2000 und Windows Server® 2003 konnte nur eine Kennwortrichtlinie und Kontosperrungsrichtlinie auf alle Benutzer in der Domäne angewendet werden. Diese Richtlinien wurden in der Standarddomänenrichtlinie für die Domäne angegeben. Daher mussten Organisationen, die verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen verwenden wollten, einen Kennwortfilter erstellen oder mehrere Domänen bereitstellen. Beide Optionen sind aus unterschiedlichen Gründen aufwändig.

Was bewirken abgestimmte Kennwortrichtlinien?

Sie können abgestimmte Kennwortrichtlinien verwenden, um mehrere Kennwortrichtlinien in einer einzigen Domäne anzugeben. Sie können abgestimmte Kennwortrichtlinien verwenden, um verschiedene Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzergruppen in einer Domäne anzuwenden.

Sie können z. B. striktere Einstellungen für Konten mit höheren Berechtigungen und weniger strikte Einstellungen für die Konten anderer Benutzer anwenden. In anderen Fällen möchten Sie möglicherweise eine spezielle Kennwortrichtlinie auf Konten anwenden, deren Kennwörter mit anderen Datenquellen synchronisiert werden.

Für wen ist dieses Feature von Interesse?

Die folgenden Personen sollten diese Informationen zu abgestimmten Kennwortrichtlinien lesen:

  • IT-Planer und -Analytiker, die das Produkt technisch bewerten

  • IT-Planer in Unternehmen und Designer für Organisationen

  • Administratoren oder Manager, die für die IT-Sicherheit zuständig sind

Gibt es spezielle Überlegungen?

Abgestimmte Kennwortrichtlinien gelten nur für Benutzerobjekte (oder inetOrgPerson-Objekte, wenn sie anstelle von Benutzerobjekten verwenden werden) und globale Sicherheitsgruppen. Standardmäßig können nur Mitglieder der Gruppe Domänen-Admins abgestimmte Kennwortrichtlinien festlegen. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren. Die Domänenfunktionsebene muss Windows Server 2008 entsprechen.

Abgestimmte Kennwortrichtlinien können nicht direkt auf eine Organisationseinheit angewendet werden. Zum Anwenden einer abgestimmten Kennwortrichtlinie auf Benutzer einer Organisationseinheit können Sie eine Schattengruppe verwenden.

Eine Schattengruppe ist eine globale Sicherheitsgruppe, die einer Organisationseinheit logisch zugeordnet ist, um eine abgestimmte Kennwortrichtlinie zu erzwingen. Sie fügen Benutzer der Organisationseinheit als Mitglieder der neu erstellten Schattengruppe hinzu und wenden dann die abgestimmte Kennwortrichtlinie auf diese Schattengruppe an. Sie können nach Bedarf zusätzliche Schattengruppen für andere Organisationseinheiten erstellen. Wenn Sie einen Benutzer von einer Organisationseinheit in eine andere verschieben, müssen Sie die Mitgliedschaft in den entsprechenden Schattengruppen aktualisieren.

Abgestimmte Kennwortrichtlinien wirken sich nicht auf möglicherweise in der gleichen Domäne verwendete benutzerdefinierte Kennwortfilter aus. Organisationen, die benutzerdefinierte Kennwortfilter für Domänencontroller unter Windows 2000 oder Windows Server 2003 bereitgestellt haben, können diese Kennwortfilter weiterverwenden, um zusätzliche Einschränkungen für Kennwörter zu erzwingen.

Welche neue Funktionalität wird mit diesem Feature bereitgestellt?

Speichern abgestimmter Kennwortrichtlinien

Zum Speichern abgestimmter Kennwortrichtlinien enthält Windows Server 2008 zwei neue Objektklassen im AD DS-Schema (Active Directory Domain Services, Active Directory-Domänendienste):

  • Kennworteinstellungscontainer

  • Kennworteinstellungen

Ein Kennworteinstellungscontainer wird standardmäßig unterhalb des Systemcontainers in der Domäne erstellt. Sie können ihn mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins anzeigen. Dabei müssen die erweiterten Features aktiviert sein. Dort werden die Kennworteinstellungsobjekte für die Domäne gespeichert.

Sie können diesen Container nicht umbenennen, verschieben oder löschen. Sie können zwar zusätzliche benutzerdefinierte Kennworteinstellungsobjekte erstellen, diese werden jedoch nicht berücksichtigt, wenn der Richtlinienergebnissatz (Resultant Set of Policy, RSOP) für ein Objekt berechnet wird. Daher werden sie nicht empfohlen. Weitere Informationen zum Berechnen des Richtlinienergebnissatzes finden Sie unter "RSOP" weiter unten in diesem Thema.

Ein Kennworteinstellungsobjekt hat Attribute für alle Einstellungen, die in der Standarddomänenrichtlinie definiert werden können (mit Ausnahme von Kerberos-Einstellungen). Diese Einstellungen enthalten Attribute für die folgenden Kennworteinstellungen:

  • Kennwortchronik erzwingen

  • Maximales Kennwortalter

  • Minimales Kennwortalter

  • Minimale Kennwortlänge

  • Kennwort muss Komplexitätsvoraussetzungen entsprechen

  • Kennwörter mit umkehrbarer Verschlüsselung speichern

Diese Einstellungen enthalten außerdem Attribute für die folgenden Kontosperrungseinstellungen:

  • Kontosperrdauer

  • Kontensperrungsschwelle

  • Zurücksetzungsdauer des Kontosperrungszählers

Außerdem hat ein Kennworteinstellungsobjekt die folgenden zwei neuen Attribute:

  • Kennworteinstellungsobjekt-Linkattribut. Dies ist ein Mehrfachwertattribut, das mit Benutzern und/oder Gruppenobjekten verknüpft ist.

  • Vorrangattribut. Dies ist ein ganzzahliger Wert, der zum Auflösen von Konflikten verwendet wird, wenn mehrere Kennworteinstellungsobjekte auf einen Benutzer oder ein Gruppenobjekt angewendet sind.

Diese neun Attribute sind mustHave-Attribute. Das heißt, Sie müssen für jedes einen Wert definieren. Es ist nicht möglich, Einstellungen mehrerer Kennworteinstellungsobjekte zusammenzuführen.

Definieren des Bereichs abgestimmter Kennwortrichtlinien

Ein Kennworteinstellungsobjekt kann mit einem Benutzer- (oder inetOrgPerson-) oder Gruppenobjekt verknüpft sein, das sich in der gleichen Domäne befindet wie das Kennworteinstellungsobjekt.

  • Ein Kennworteinstellungsobjekt hat ein Attribut mit dem Namen msDS-PSOAppliesTo, das einen Forwardlink nur für Benutzer- oder Gruppenobjekte enthält. Das msDS-PSOAppliesTo-Attribut ist ein Mehrfachwertattribut, das heißt, Sie können ein Kennworteinstellungsobjekt auf mehrere Benutzer oder Gruppen anwenden. Sie können eine Kennwortrichtlinie erstellen und sie auf verschiedene Gruppen von Benutzern oder Gruppen anwenden.

  • Ein neues Attribut mit dem Namen msDS-PSOApplied wurde den Benutzer- und Gruppenobjekten in Windows Server 2008 hinzugefügt. Das msDS-PSOApplied-Attribut enthält einen Backwardlink mit dem Kennworteinstellungsobjekt. Da das msDS-PSOApplied-Attribut einen Backwardlink hat, können mehrere Kennworteinstellungsobjekte auf einen Benutzer oder eine Gruppe angewendet werden. In diesem Fall werden die angewendeten Einstellungen durch den Richtlinienergebnissatz berechnet. Weitere Informationen finden Sie unter "RSOP" weiter unten in diesem Thema.

Sie können ein Kennworteinstellungsobjekt zusätzlich zu globalen Sicherheitsgruppen mit anderen Gruppenarten verknüpfen. Beim Ermitteln des Richtlinienergebnissatzes für einen Benutzer oder eine Gruppe werden jedoch nur Kennworteinstellungsobjekte berücksichtigt, die mit globalen Sicherheitsgruppen oder Benutzerobjekten verknüpft sind. Kennworteinstellungsobjekte, die mit Verteilergruppen oder anderen Arten von Sicherheitsgruppen verknüpft sind, werden ignoriert.

RSOP

Ein Benutzer- oder Gruppenobjekt kann mit mehreren Kennworteinstellungsobjekten verknüpft sein, entweder aufgrund der Mitgliedschaft in mehreren Gruppen, auf die verschiedene Kennworteinstellungsobjekte angewendet sind, oder weil mehrere Kennworteinstellungsobjekte direkt auf das Objekt angewendet sind. Es kann jedoch nur ein Kennworteinstellungsobjekt als effektive Kennwortrichtlinie angewendet werden. Nur die Einstellungen aus diesem Kennworteinstellungsobjekt können sich auf den Benutzer oder die Gruppe auswirken. Die Einstellungen aus anderen Kennworteinstellungsobjekten, die mit dem Benutzer oder der Gruppe verknüpft sind, können nicht zusammengeführt werden.

Der Richtlinienergebnissatz kann nur für ein Benutzerobjekt berechnet werden. Das Kennworteinstellungsobjekt kann mit einer der folgenden zwei Methoden auf ein Benutzerobjekt angewendet werden:

  1. Direkt: Kennworteinstellungsobjekt ist mit dem Benutzer verknüpft.

  2. Indirekt: Kennworteinstellungsobjekt ist mit Gruppen verknüpft, in denen der Benutzer Mitglied ist.

Jedes Kennworteinstellungsobjekt hat ein zusätzliches Attribut mit dem Namen msDS-PasswordSettingsPrecedence, das an der Berechnung des Richtlinienergebnissatzes beteiligt ist. Das msDS-PasswordSettingsPrecedence-Attribut hat den ganzzahligen Wert 1 oder größer. Ein niedrigerer Wert für das Vorrangattribut gibt an, dass das Kennworteinstellungsobjekt einen höheren Rang oder eine höhere Priorität hat als andere Kennworteinstellungsobjekte. Nehmen Sie z. B. ein Objekt an, mit dem zwei Kennworteinstellungsobjekte verknüpft sind. Ein Kennworteinstellungsobjekt hat den Vorrangwert 2 und das andere den Vorrangwert 4. In diesem Fall hat das Kennworteinstellungsobjekt, das den Vorrangwert 2 hat, einen höheren Rang, und wird daher auf das Objekt angewendet.

Wenn mehrere Kennworteinstellungsobjekte mit einem Benutzer oder einer Gruppe verknüpft sind, wird das resultierende angewendete Kennworteinstellungsobjekt folgendermaßen ermittelt:

  1. Ein Kennworteinstellungsobjekt, das direkt mit dem Benutzerobjekt verknüpft ist, ist das resultierende Kennworteinstellungsobjekt. (Mehrere Kennworteinstellungsobjekte sollten nicht direkt mit einem Benutzerobjekt verknüpft werden.)

  2. Wenn kein Kennworteinstellungsobjekt direkt mit dem Benutzerobjekt verknüpft ist, werden die Mitgliedschaften des Benutzers in globalen Sicherheitsgruppen und alle basierend auf diesen globalen Gruppenmitgliedschaften auf den Benutzer anwendbaren Kennworteinstellungsobjekte verglichen. Das Kennworteinstellungsobjekt mit dem niedrigsten Vorrangwert ist das resultierende Kennworteinstellungsobjekt.

  3. Wenn sich aus den Bedingungen (1) und (2) kein Kennworteinstellungsobjekt ergibt, wird die Standarddomänenrichtlinie angewendet.

Es wird empfohlen, für jedes erstellte Kennworteinstellungsobjekt einen eindeutigen msDS-PasswordSettingsPrecedence-Wert zuzuweisen. Sie können jedoch mehrere Kennworteinstellungsobjekte mit dem gleichen msDS-PasswordSettingsPrecedence-Wert erstellen. Wenn sich aus den Bedingungen (1) und (2) mehrere Kennworteinstellungsobjekte mit dem gleichen msDS-PasswordSettingsPrecedence-Wert für einen Benutzer ergeben, wird das Kennworteinstellungsobjekt mit der kleinsten GUID angewendet.

Ein weiteres neues Attribut mit dem Namen msDS-ResultantPso wurde dem Benutzerobjekt hinzugefügt. Ein Administrator kann dieses Attribut abfragen, um den definierten Namen des Kennworteinstellungsobjekts abzurufen, das letztendlich auf den Benutzer angewendet wird (basierend auf den weiter oben genannten Regeln). Wenn kein direkt oder über die Gruppenmitgliedschaft für den Benutzer geltendes Kennworteinstellungsobjekt vorhanden ist, wird für die Abfrage der Wert NULL zurückgegeben.

Wenn ein bestimmtes Gruppenmitglied einer Richtlinie entsprechen soll, die sich von der der gesamten Gruppe zugewiesenen Richtlinie unterscheidet, können Sie ein spezielles Kennworteinstellungsobjekt erstellen und es direkt mit dem jeweiligen Benutzer verknüpfen. Wenn msDS-ResultantPso für diesen Benutzer berechnet wird, hat das spezielle Kennworteinstellungsobjekt, das direkt mit dem Benutzer verknüpft ist, Vorrang vor allen anderen Kennworteinstellungsobjekten.

Das Benutzerobjekt verfügt über drei Bits, durch die die im resultierenden Kennworteinstellungsobjekt vorhandenen Einstellungen außer Kraft gesetzt werden (ähnlich wie beim Außerkraftsetzen der Einstellungen in der Standarddomänenrichtlinie in Windows 2000 und Windows Server 2003). Sie können diese Bits im userAccountControl-Attribut des Benutzerobjekts festlegen:

  • Umkehrbare Kennwortverschlüsselung erforderlich

  • Kennwort nicht erforderlich

  • Kennwort läuft nicht ab

Diese Bits setzen weiterhin die Einstellungen im auf das Benutzerobjekt angewendeten resultierenden Kennworteinstellungsobjekt außer Kraft.

Sicherheit und Delegierung

Standardmäßig können nur Mitglieder der Gruppe Domänen-Admins Kennworteinstellungsobjekte erstellen. Nur Mitglieder dieser Gruppe verfügen über die Berechtigungen zum Erstellen und Löschen untergeordneter Objekte für das Kennworteinstellungs-Containerobjekt. Außerdem verfügen nur Mitglieder der Gruppe Domänen-Admins standardmäßig über die Berechtigung zum Schreiben von Eigenschaften für das Kennworteinstellungsobjekt. Daher können nur Mitglieder der Gruppe Domänen-Admins ein Kennworteinstellungsobjekt auf eine Gruppe oder einen Benutzer anwenden. Sie können diese Berechtigung an andere Gruppen oder Benutzer delegieren.

Sie benötigen keine Berechtigungen für das Benutzer- oder Gruppenobjekt, um ein Kennworteinstellungsobjekt darauf anzuwenden. Das Vorhandensein von Schreibberechtigungen für das Benutzer- oder Gruppenobjekt gibt Ihnen nicht die Fähigkeit, ein Kennworteinstellungsobjekt mit dem Benutzer oder der Gruppe zu verknüpfen. Der Besitzer einer Gruppe verfügt nicht über die Berechtigung, ein Kennworteinstellungsobjekt mit der Gruppe zu verknüpfen, da sich der Forwardlink im Kennworteinstellungsobjekt befindet. Nur der Besitzer des Kennworteinstellungsobjekts kann dieses mit der Gruppe oder dem Benutzer verknüpfen.

Möglicherweise werden die Einstellungen des Kennworteinstellungsobjekts als vertraulich betrachtet; daher verfügen authentifizierte Benutzer standardmäßig nicht über die Berechtigung zum Lesen der Eigenschaften eines Kennworteinstellungsobjekts. Standardmäßig verfügen nur Mitglieder der Gruppe Domänen-Admins über die Berechtigung zum Lesen der Eigenschaften der Standardsicherheitsbeschreibung des Kennworteinstellungsobjekts im Schema.

Sie können diese Berechtigungen an eine andere Gruppe in der Domäne oder Gesamtstruktur delegieren (z. B. an Helpdeskpersonal oder eine Verwaltungsanwendung). Dadurch kann auch verhindert werden, dass ein Benutzer seine Kennworteinstellungen im Verzeichnis sieht. Der Benutzer kann die Attribute msDS-ResultantPso oder msds-PSOApplied lesen, diese Attribute zeigen jedoch nur den definierten Namen des für den Benutzer geltenden Kennworteinstellungsobjekts an. Der Benutzer kann die Einstellungen in diesem Kennworteinstellungsobjekt nicht sehen.

Wie sollte die Bereitstellung dieses Features vorbereitet werden?

Bevor Sie einen Domänencontroller unter Windows Server 2008 einer vorhandenen Active Directory-Domäne hinzufügen können, müssen Sie adprep ausführen. Wenn Sie adprep ausführen, wird das Active Directory-Schema erweitert, um die neuen Objektklassen einzuschließen, die für abgestimmte Kennwortrichtlinien erforderlich sind.

Wenn Sie nicht abgestimmte Kennwortrichtlinien für verschiedene Benutzergruppen erstellen, gelten die Einstellungen für Standarddomänenrichtlinien genau wie in Windows 2000 und Windows Server 2003 für alle Benutzer in der Domäne.

Ist dieses Feature in allen Editionen von Windows Server 2008 verfügbar?

Abgestimmte Kennwortrichtlinien sind in allen Editionen von Windows Server 2008 verfügbar.

Weitere Verweise

Weitere Informationen zum Implementieren abgestimmter Kennwort- und Kontosperrungsrichtlinien von AD DS, finden Sie in der schrittweisen Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien (http://go.microsoft.com/fwlink/?LinkID=128039).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)

Community-Beiträge

HINZUFÜGEN
© 2013 Microsoft. Alle Rechte vorbehalten.