Kennwortrichtlinie
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Das Security Policy-Referenzthema für IT-Experten bietet einen Überblick über die Kennwortrichtlinien für Windows und Links zu Informationen für jede Einstellung.
Die am häufigsten verwendete Methode zur Authentifizierung der Identität eines Benutzers werden in vielen Betriebssystemen eine geheime Passphrase oder ein Kennwort verwendet. Eine sichere Umgebung erfordert, dass alle Benutzer sichere Kennwörter verwenden, die mindestens acht Zeichen lang sein und eine Kombination von Buchstaben, Zahlen und Symbole. Diese Kennwörter verhindern, dass die Gefährdung von Benutzer- und Administratorkonten von nicht autorisierten Benutzern, die manuelle Methoden oder automatisierte Tools verwenden, um schwache Kennwörter zu erraten. Sichere Kennwörter, die regelmäßig geändert werden, verringern die Wahrscheinlichkeit einer erfolgreichen Kennwort.
Eingeführt Windows Server 2008 R2 und Windows Server 2008, Windows unterstützt fein abgestimmte Kennwortrichtlinien. Diese Funktion bietet Organisationen die Möglichkeit, unterschiedliche Kennwort- und Kontosperrungsrichtlinien für verschiedene Gruppen von Benutzern in einer Domäne zu definieren. In Windows 2000 Server und Windows Server 2003 Active Directory-Domänen können nur eine Kennwort- und Kontosperrungsrichtlinien für alle Benutzer in der Domäne angewendet werden. Fein abgestimmte Kennwortrichtlinien gelten nur für Benutzerobjekte (oder InetOrgPerson-Objekte anstelle von Benutzerobjekten verwendet werden) und globale Sicherheitsgruppen.
Zum Anwenden einer differenzierten Kennwortrichtlinie Benutzern einer Organisationseinheit können Sie eine Gruppe von Schattenkopien. Eine Schattenkopie-Gruppe ist eine globale Sicherheitsgruppe, die logisch mit einer Organisationseinheit zu eine differenzierten Kennwortrichtlinie erzwingen zugeordnet ist. Fügen Sie Benutzer der Organisationseinheit als Mitglieder der Gruppe neu erstellte Schattenkopie und dann die abgestimmte Kennwortrichtlinie Schatten Gruppe anwenden. Sie können für andere Organisationseinheiten nach Bedarf zusätzliche Schatten Gruppen erstellen. Wenn Sie einen Benutzer von einer Organisationseinheit in eine andere verschieben, müssen Sie die Mitgliedschaft der entsprechende Schattenkopie Gruppen aktualisieren.
Fein abgestimmte Kennwortrichtlinien enthalten Attribute für alle Einstellungen, die in der Standarddomänenrichtlinie (mit Ausnahme der Kerberos-Einstellungen) definiert werden können, zusätzlich zu den Einstellungen zur Kontensperrung. Wenn Sie eine differenzierte Kennwortrichtlinie angeben, müssen Sie alle diese Einstellungen angeben. In der Standardeinstellung können differenzierte Kennwortrichtlinien nur von Mitgliedern der Gruppe der Domänen-Admins festgelegt werden. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren. Die Domäne muss ausgeführt werden, mindestens Windows Server 2008 R2 oder Windows Server 2008 fein abgestimmte Kennwortrichtlinien zu verwenden. Fein abgestimmte Kennwortrichtlinien können direkt in eine Organisationseinheit (OU) angewendet werden.
Fein abgestimmte Kennwortrichtlinien beeinträchtigen nicht mit benutzerdefinierten Kennwortfiltern, die Sie in der gleichen Domäne verwenden. Organisationen, die benutzerdefinierten Kennwortfiltern auf Domänencontroller unter Windows 2000 Server oder Windows Server 2003 bereitstellen, können weiterhin die Kennwortfilter verwenden, um zusätzliche Einschränkungen für Kennwörter zu erzwingen. Weitere Informationen zu fein abgestimmte Kennwortrichtlinien, finden Sie unter AD DS: differenzierte Kennwortrichtlinien.
Sie können die Verwendung sicherer Kennwörter über eine entsprechende Kennwortrichtlinie erzwingen. Es gibt Kennwortrichtlinien, die die Komplexität und die Lebensdauer der Kennwörter, z. B. steuern die Kennwort müssen komplexitätsvoraussetzungen entsprechen Einstellung.
Sie können die Kennwortrichtlinien an folgendem Speicherort mithilfe der Gruppenrichtlinien-Verwaltungskonsole auf dem Domänencontroller konfigurieren:
Computerkonfiguration\Windows-Einstellungen\sicherheitseinstellungen\kontenrichtlinien\kennwortrichtlinien
Wenn einzelne Gruppen unterschiedliche Kennwortrichtlinien benötigen, sollten diese Gruppen in einer anderen Domäne oder Gesamtstruktur getrennt werden, basierend auf zusätzlichen Anforderungen.
Informationen zum Festlegen von Sicherheitsrichtlinien finden Sie unter Gewusst wie: Konfigurieren von Sicherheitsrichtlinien.
Die folgenden Themen enthalten eine Beschreibung der Implementierung von Kennwort-Richtlinien und best Practices-Hinweise, Richtlinienspeicherort, Standardwerte für den Servertyp oder das Gruppenrichtlinienobjekt relevanten Unterschiede in Betriebssystemversionen, Sicherheitsaspekte (einschließlich aller möglichen Problemen), Gegenmaßnahmen, dass Sie ergreifen können, und das Potenzial für jede Einstellung auswirken.