(0) exportieren Drucken
Alle erweitern

Schrittweise Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien

Letzte Aktualisierung: Juni 2009

Betrifft: Windows Server 2008, Windows Server 2008 R2

Diese schrittweise Anleitung enthält Anweisungen zum Konfigurieren und Anwenden abgestimmter Kennwort- und Kontosperrungsrichtlinien auf unterschiedliche Gruppen von Benutzern in Domänen unter Windows Server® 2008.

In Active Directory-Domänen unter Microsoft® Windows® 2000 und Windows Server 2003 konnte nur eine in der Standarddomänenrichtlinie angegebene Kennwort- und Kontosperrungsrichtlinie auf alle Benutzer in der Domäne angewendet werden. Wer auf verschiedene Gruppen von Benutzern unterschiedliche Kennwort- und Kontosperrungsrichtlinien anwenden wollte, musste daher entweder einen Kennwortfilter erstellen oder mehrere Domänen bereitstellen. Beide Wege waren aus verschiedenen Gründen aufwändig.

In Windows Server 2008 können Sie mithilfe abgestimmter Kennwortrichtlinien mehrere Kennwortrichtlinien angeben und unterschiedliche Kennworteinschränkungen und Kontosperrungsrichtlinien auf unterschiedliche Gruppen von Benutzern innerhalb einer Domäne anwenden. Wenn Sie zum Beispiel die Sicherheit privilegierter Konten erhöhen möchten, können Sie auf diese Konten strengere Einstellungen als auf die Konten der anderen Benutzer anwenden. In einigen Fällen können Sie auch eine spezielle Kennwortrichtlinie auf Konten anwenden, deren Kennwörter mit anderen Datenquellen synchronisiert werden.

Windows Server 2008 besitzt im AD DS-Schema (Active Directory Domain Services, Active Directory-Domänendienste) zwei neue Objektklassen zum Speichern abgestimmter Kennwortrichtlinien:

  • Kennworteinstellungscontainer

  • Kennworteinstellungen

Die PSC-Objektklasse (Password Settings Container, Kennworteinstellungscontainer) wird standardmäßig unterhalb des System-Containers in der Domäne erstellt. In ihr werden die Kennworteinstellungsobjekte (Password Settings Objects, PSOs) für diese Domäne gespeichert. Diesen Container können Sie nicht umbenennen, verschieben oder löschen.

Weitere Informationen finden Sie im Anhang A: Überblick über abgestimmte Kennwort- und Kontosperrungsrichtlinien.

Zielgruppe dieser Anleitung

Diese Anleitung ist für die folgenden Zielgruppen vorgesehen:

  • IT-Planer und -Analytiker, die das Produkt aus technischer Sicht bewerten

  • IT-Planer in Unternehmen und Entwickler für Organisationen

  • Administratoren oder Manager, die für die IT-Sicherheit verantwortlich sind

Szenario (Übersicht)

Definieren Sie die Struktur in Ihrer Organisation

Bevor Sie abgestimmte Kennwort- und Kontosperrungsrichtlinien konfigurieren, müssen Sie die Struktur Ihrer Organisation definieren, indem Sie erforderliche Gruppen erstellen und diesen Gruppen Benutzer hinzufügen bzw. in die Gruppen verschieben. Achten Sie dabei besonders auf Alleinstellungsmerkmale Ihrer Organisation, damit Sie den Einsatz dieses Richtlinienfeatures so effizient wie möglich planen. Wie viele unterschiedliche Kennwortrichtlinien sind erforderlich? Ein typisches Szenario kann 3 bis 10 PSOs und die folgenden Kennwortrichtlinien umfassen:

  • Eine streng festgelegte Kennwortrichtlinie für Administratoren (z. B. Kennwörter laufen alle 14 Tage ab)

  • Eine Kennwortrichtlinie für normale Benutzer, die nicht so streng festgelegt ist (z. B. dass Kennwörter alle 90 Tage ablaufen)

  • Eine Kennwortrichtlinie für Dienstkonten (z. B. mit einer minimalen Kennwortlänge von 32 Zeichen)

Genauso wichtig ist es, die Vorteile der bereits vorhandenen Gruppenstruktur zu nutzen. Was sind die Merkmale dieser Struktur? Sind bereits Administratoren- oder Benutzergruppen vorhanden? Das Ziel besteht darin, die Gruppenstruktur so zu gestalten, dass sie direkt auf die gewünschte Anwendung der neu definierten abgestimmten Kennwort- und Kontosperrungsrichtlinie abgebildet werden kann.

PSOs können nicht direkt auf Organisationseinheiten (OE) angewendet werden. Wenn die Benutzer in Organisationseinheiten verwaltet werden, sollten Sie für diese Einheiten vielleicht "Schattengruppen" erstellen und auf diese dann die neu definierten abgestimmten Kennwort- und Kontosperrungsrichtlinien anwenden. Eine Schattengruppe ist eine globale Sicherheitsgruppe, die einer Organisationseinheit logisch zugeordnet wird, um eine abgestimmte Kennwort- und Kontosperrungsrichtlinie durchzusetzen. Der neu erstellten Schattengruppe fügen Sie Benutzer aus Organisationseinheiten als Mitglieder hinzu und wenden die abgestimmte Kennwort- und Kontosperrungsrichtlinie dann auf diese Schattengruppe an. Wenn ein Benutzer aus einer Organisationseinheit in eine andere wechselt, müssen Sie dessen Mitgliedschaft in den entsprechenden Schattengruppen aktualisieren.

Das direkte Anwenden von PSOs auf globale Sicherheitsgruppen (statt auf Organisationseinheiten) bietet die folgenden Vorteile:

  • Gruppen bieten im Vergleich zu Organisationseinheiten eine höhere Flexibilität beim Verwalten verschiedener Gruppen von Benutzern.

  • In den meisten Active Directory-Bereitstellungen werden die Benutzer mittels einer systematischen Gruppenstruktur organisiert. Außerdem werden von AD DS unter Windows Server 2008 standardmäßig diverse Gruppen für Administratorkonten erstellt: Domänen-Admins, Organisations-Admins, Schema-Admins, Server-Operatoren, Sicherungs-Operatoren und andere.

  • Die Gruppenstruktur ermöglicht eine leichtere Bereitstellung abgestimmter Kennwortrichtlinien, und Sie müssen keine Verzeichnisse umbenennen, indem Sie Organisationseinheiten erstellen. Zum Ändern der organisatorischen Hierarchie ist eine detaillierte Planung erforderlich. Außerdem erhöht sich dabei die Gefahr unnötiger Fehler, da sich solche Änderungen stark auf die Anwendung der Gruppenrichtlinie und die Vererbung der Zugriffssteuerungsliste (Access Control List, ACL) auswirken.

Anforderungen und besondere Überlegungen bei abgestimmten Kennwort- und Kontosperrungsrichtlinien

  • Domänenfunktionsebene:

    ImportantWichtig
    Damit abgestimmte Kennwort- und Kontosperrungsrichtlinien in einer bestimmten Domäne ordnungsgemäß funktionieren, muss die Domänenfunktionsebene dieser Domäne auf Windows Server 2008 festgelegt werden.

  • Berechtigungen: Standardmäßig können PSOs nur von Mitgliedern der Gruppe Domänen-Admins erstellt werden. Nur Mitglieder dieser Gruppe besitzen die Berechtigungen zum Erstellen und zum Löschen untergeordneter Objekte im Kennworteinstellungscontainer-Objekt. Außerdem besitzen nur Mitglieder der Gruppe Domänen-Admins standardmäßig die Berechtigung zum Schreiben von Eigenschaften im PSO-Objekt. Daher können PSOs nur von Mitgliedern der Gruppe Domänen-Admins auf eine Gruppe oder einen Benutzer angewendet werden. Sie müssen nicht über Berechtigungen für das Benutzer- oder Gruppenobjekt verfügen, um ein PSO darauf anzuwenden. Sie müssen dazu jedoch Schreibberechtigungen für das PSO-Objekt besitzen.

  • Berechtigungsdelegierung: Sie können Berechtigungen zum Lesen von Eigenschaften in der Standardsicherheitsbeschreibung des PSO-Objekts aus dem Schema an eine beliebige andere Gruppe (z. B. eine Helpdeskpersonal- oder Verwaltungsanwendung) in der Domäne oder Gesamtstruktur delegieren. Damit können Sie auch unterbinden, dass Benutzer ihre Kennworteinstellungen im Verzeichnis sehen können. Ein Benutzer kann das msDS-ResultantPSO- oder das msDS-PSOApplied-Attribut lesen, die jedoch nur den definierten Namen des für den Benutzer geltenden PSO anzeigen. Die in diesem PSO vorhandenen Einstellungen kann der Benutzer nicht sehen. Weitere Informationen finden Sie im Anhang C: Gruppenbasierte Verwaltung abgestimmter Kennwort- und Kontosperrungsrichtlinien.

  • Speichern abgestimmter Kennwortrichtlinien: Abgestimmte Kennwortrichtlinien gelten nur für Benutzerobjekte (oder inetOrgPerson-Objekte, wenn diese stattdessen verwendet werden) und globale Sicherheitsgruppen. Auf Computerobjekte können sie nicht angewendet werden.

  • Kennwortfilter : Abgestimmte Kennwortrichtlinien überlagern sich nicht mit benutzerdefinierten Kennwortfiltern, die möglicherweise in derselben Domäne verwendet werden. Organisationen, die auf Domänencontrollern unter Windows 2000 oder Windows Server 2003 benutzerdefinierte Kennwortfilter bereitgestellt haben, können diese Filter weiter verwenden, um zusätzliche Einschränkungen für Kennwörter durchzusetzen.

  • Benutzerdefinierte PSCs: Zusätzlich zum Standard-PSC können Administratoren eigene benutzerdefinierte PSCs unterhalb des Systemcontainers erstellen. Davon wird jedoch abgeraten, da PSOs aus solchen benutzerdefinierten PSCs von der Logik für den Richtlinienergebnissatz nicht berücksichtigt werden.

  • Außerordentliche PSOs: Wenn ein bestimmtes Gruppenmitglied eine andere Richtlinie als die einhalten soll, die der gesamten Gruppe zugewiesen ist, können Sie dieses Sonder-PSO diesem Benutzer direkt zuweisen. Wenn Sie ein PSO direkt auf den Benutzer anwenden (d. h., wenn Sie es auf die Gruppe anwenden, zu der der Benutzer gehört), hat es beim Ermitteln von msDS-ResultantPSO für den Benutzer Vorrang vor allen möglicherweise damit verknüpften impliziten PSOs. Wenn für das Benutzerojekt jedoch mehr als zwei Sonder-PSOs direkt gelten (was nicht empfohlen wird), hat das PSO mit der kleinsten GUID Vorrang.

Schritte zum Konfigurieren abgestimmter Kennwort- und Kontosperrungsrichtlinien

Wenn die Gruppenstruktur Ihrer Organisation definiert und implementiert ist, können Sie abgestimmte Kennwort- und Kontosperrungsrichtlinien konfigurieren und auf Benutzer sowie globale Sicherheitsgruppen anwenden. Zur Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien gehören die folgenden Schritte:

ImportantWichtig
Sie können abgestimmte Kennwort- und Kontosperrungsrichtlinien auch verwalten, indem Sie für alle vorhandenen PSOs zugehörige globale Sicherheitsgruppen erstellen und ausgewählten Benutzern oder Gruppen aus Ihrer Organisation (z. B. Supportpersonal) dann entsprechende Berechtigungen für diese globalen Sicherheitsgruppenobjekte zuweisen (delegieren). Weitere Informationen finden Sie im Anhang C: Gruppenbasierte Verwaltung abgestimmter Kennwort- und Kontosperrungsrichtlinien.

Weitere Informationen finden Sie in

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft