Wachtwoordbeleid
Van toepassing op: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Deze beveiliging beleid naslagonderwerp voor IT-professionals biedt een overzicht van het wachtwoordbeleid voor Windows en koppelingen naar informatie voor elke instelling.
In veel besturingssystemen is de meest voorkomende methode voor het verifiëren van de identiteit van een gebruiker met een geheime wachtwoordzin of wachtwoord. Een beveiligde netwerkomgeving moet alle gebruikers sterke wachtwoorden, die een combinatie van letters, cijfers en symbolen bevatten en hebben van ten minste acht tekens gebruiken. Deze wachtwoorden te voorkomen dat de inbreuk op gebruikersaccounts en beheerdersaccounts door onbevoegde gebruikers die handmatige methoden of hulpprogramma's gebruiken om aan te raden zwakke wachtwoorden. Sterke wachtwoorden die regelmatig worden gewijzigd, vermindert het risico van een aanval geslaagde wachtwoord.
Geïntroduceerd in Windows Server 2008 R2 en Windows Server 2008, afzonderlijke wachtwoordbeleid wordt ondersteund. Deze functie biedt organisaties met een manier om een ander wachtwoord en het beleid voor accountvergrendeling voor verschillende sets gebruikers definiëren in een domein. In Windows 2000 Server en Windows Server 2003 Active Directory-domeinen kunnen slechts één wachtwoordbeleid en vergrendelingsbeleid worden toegepast op alle gebruikers in het domein. Afzonderlijke wachtwoordbeleid alleen van toepassing op objecten (of inetOrgPerson objecten als ze worden gebruikt in plaats van gebruikersobjecten) en globale beveiligingsgroepen.
Als u wilt een afzonderlijke wachtwoordbeleid van toepassing op gebruikers van een organisatie-eenheid, kunt u een groep schaduwkopieën. Een groep schaduwkopieën is een globale beveiligingsgroep die logisch is toegewezen aan een organisatie-eenheid aan een afzonderlijke wachtwoordbeleid afdwingen. U gebruikers van de organisatie-eenheid toevoegen als leden van de zojuist gemaakte schaduwgroep en vervolgens de afzonderlijke wachtwoordbeleid aan deze schaduwgroep toepassen. U kunt extra schaduw groepen maken voor andere organisatie-eenheden naar behoefte. Als u een gebruiker uit een organisatie-eenheid naar een andere verplaatst, moet u het lidmaatschap van de bijbehorende schaduw groepen bijwerken.
Afzonderlijke wachtwoordbeleid bevatten kenmerken voor de instellingen die kunnen worden gedefinieerd in het standaardbeleid (met uitzondering van Kerberos-instellingen) naast accountvergrendeling. Wanneer u een afzonderlijke wachtwoordbeleid opgeeft, kunt u al deze instellingen moet opgeven. Standaard kunnen alleen leden van de groep Domeinadministrators fijnmazig wachtwoordbeleid beheren. U kunt de bevoegdheid om dergelijke beleidsregels in te stellen echter ook overdragen aan andere gebruikers. Het domein moet ten minste draaien op Windows Server 2008 R2 of Windows Server 2008 afzonderlijke wachtwoordbeleid gebruiken. Afzonderlijke wachtwoordbeleid kunnen niet rechtstreeks naar een organisatie-eenheid (OE) worden toegepast.
Afzonderlijke wachtwoordbeleid verstoren aangepast wachtwoordfilters die u in hetzelfde domein gebruiken kunt niet. De wachtwoordfilters gebruiken om af te dwingen extra beperkingen voor wachtwoorden kunnen organisaties die geïmplementeerd aangepast wachtwoordfilters op domeincontrollers met Windows 2000 Server of Windows Server 2003 blijven. Zie voor meer informatie over afzonderlijke wachtwoordbeleid AD DS: wachtwoordbeleid configureren van fijnmazig beleid.
U kunt het gebruik van sterke wachtwoorden via een juiste wachtwoordbeleid afdwingen. Er zijn instellingen voor wachtwoordbeleid waarmee de complexiteit en levensduur van wachtwoorden, zoals de wachtwoorden moeten voldoen aan de complexiteitsvereisten beleidsinstelling.
U kunt de instellingen voor wachtwoordbeleid configureren in de volgende locatie via de Console Groepsbeleidsbeheer op uw domeincontroller:
Computerconfiguratie\Windows Settings\Security accountbeleid Policies\Password computerbeleid
Als afzonderlijke groepen nodig hebt voor verschillende wachtwoordbeleid, moeten deze groepen worden onderverdeeld in een ander domein of forest, op basis van aanvullende vereisten.
Zie voor meer informatie over het instellen van beveiligingsbeleid Het configureren van instellingen voor beveiligingsbeleid.
De volgende onderwerpen bieden een discussie van wachtwoord beleid implementatie en best practices overwegingen,, beleidslocatie, standaardwaarden voor de servertype of groepsbeleidsobject, relevante verschillen tussen de versies van besturingssystemen, beveiligingsoverwegingen (met inbegrip van de mogelijke beveiligingsproblemen van elke instelling), tegenmaatregelen dat u uitvoeren kunt en de potentiële gevolgen voor elke instelling.