Richtlinienkonfiguration

Passwortrichtlinien können vom Domain-Verwaltungstool oder in Gruppenrichtlinienobjekte konfiguriert werden (wenn das Gruppenrichtlinien-Snap-In installiert ist). Nachstehend wird der Prozess beschrieben, wenn Sie von einem Domain-Verwaltungstool aus starten.

Konfiguration einer Kennwortrichtlinie

Dieses Verfahren beschreibt die Konfiguration einer vollkommen neuen Kennwortrichtlinie, die mit einem neu erstellten GPO verknüpft wird.

Um eine Richtlinie für ein bestehendes GPO zu erstellen, springen Sie zu Schritt 7.

Um bestehende Richtlinien zu bearbeiten, wählen Sie die Richtlinie aus der Liste aus, klicken Sie auf Bearbeiten und springen Sie zu Schritt 9.

    Domain Administration ToolKennwortrichtlinien

  1. Klicken Sie im Domain-Verwaltungstool unter Kennwortrichtlinien auf Neue Kennwortrichtlinie erstellen.
  2. Wählen Sie aus der Liste ein bestehendes GPO aus, klicken Sie auf OK (Wechsel zu Schritt 8), oder klicken Sie auf Neues Gruppenrichtlinienobjekt ....
  3. Geben Sie dem neuen GPO einen Namen.
  4. Wählen Sie aus der Liste auf der linken Seite die OU aus, wenn die Richtlinie nur für Benutzer in einer bestimmten OU gelten soll.
  5. Soll die Richtlinie nur für Benutzer innerhalb der ausgewählten OU gelten, die noch dazu Mitglieder einer bestimmten Sicherheitsgruppe sind, klicken Sie in der rechten Spalte auf Hinzufügen Geben Sie den Namen der Sicherheitsgruppe ein und klicken Sie auf OK. Wählen Sie die Sicherheitsgruppe aus.
  6. Klicken Sie auf OK.
  7. In der Liste wird das richtige GPO ausgewählt. Klicken Sie auf OK.
  8. Treffen Sie Ihre Auswahl aus der Vorlagenliste (oder wählen Sie Benutzerdefiniert, um mit einer leeren Richtlinie zu beginnen) und klicken Sie auf Weiter.
  9. Konfigurieren Sie die Richtlinie im Abschnitt Start so, dass Kennwortregeln, Passphrasen oder beides verwendet werden.
  10. Konfigurieren Sie die allgemeinen Einstellungen.
  11. Konfigurieren Sie unter Ablauf des Kennworts, wann Kennworte ablaufen und welche Benachrichtigungen verschickt werden sollen.
  12. Konfigurieren Sie unter Kennwortregeln, welche Regeln für Kennworte gelten sollen (Länge, erforderliche Zeichen, Wörterbücher, etc.).
  13. Klicken Sie auf OK.
HINWEIS
Eine genauere Beschreibung aller für Richtlinien verfügbaren Einstellungen finden Sie weiter unten im Abschnitt Einstellung der Richtlinie.

Einstellung der Richtlinie

Sie können Kennwortrichtlinien auf zwei Arten erstellen oder bearbeiten:

Über das Domain-Verwaltungstool

    Domain Administration ToolKennwortrichtlinien

  1. Öffnen Sie das Domain-Verwaltungstool
  2. Klicken Sie in der linken Navigation auf Kennwortrichtlinien
  3. Klicken Sie auf Neue Kennwortrichtlinie erstellen, oder wählen Sie ein GPO in der Liste Kennwortrichtlinie aus, und klicken Sie dann auf Richtlinie bearbeiten.

Über den Gruppenrichtlinien-Verwaltungseditor

    Richtlinien-Verwaltungseditor

  1. Rufen Sie den Richtlinien-Verwaltungseditor für das GPO auf, dem Sie eine Richtlinie zuordnen möchten
  2. Erweitern Sie den Knoten Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops-Kennwortrichtlinie.
  3. Klicken Sie auf Kennwortrichtlinie konfigurieren oder Neue Kennwortrichtlinie erstellen (wenn dem GPO noch keine Richtlinie zugeordnet ist).

Start

Sie können eine Kennwortrichtlinie so konfigurieren, dass klassische Kennwortregeln und/oder Passphrasen verwendet werden. Eine Passphrase ist eine Art Kennwort, das aus einer Reihe von Wörtern besteht. Eine Anforderungen an eine Passphrase ist standardmäßig, dass sie lang sein muss.

Allgemeine Einstellungen

Kennwortverlauf

HINWEIS
Wenn Sie die Kennwortspeicherung aktivieren, erstellen wir ein Blattobjekt (leaf object), in dem der Kennwortverlauf gespeichert wird. Standardmäßig ist das Blattobjekt gesperrt und dem Benutzer untergeordnet.
Kennwortverlauf
Einstellung Beschreibung
Anzahl der gespeicherten Kennwörter Gibt Sie die Anzahl Kennwörter an, die sich das System merken soll. Die Benutzer können diese gespeicherten Kennwörter nicht erneut verwenden.
Mindestalter der Kennwörter (Tage) Geben Sie die Anzahl der Tage an, die vergehen müssen, bevor der Benutzer sein Kennwort ändern darf.
Keine inkrementellen Kennwörter zulassen Verhindert, dass Benutzer neue Kennwörter wählen, die sich nur durch das letzte Zeichen vom vorherigen Kennwort unterscheiden.
Mindestanzahl geänderte Zeichen Gibt die Anzahl der Zeichen an, die an einem Kennwort geändert werden müssen.
Verbot der Wiederverwendung eines Teils des aktuellen Kennworts Geben Sie die Anzahl der aufeinander folgenden Zeichen des alten Kennworts an, die im neuen Kennwort nicht zulässig sind.
Hinweis: Nachdem Sie diese Einstellung aktiviert haben, müssen Sie Ihren PDC-Emulator DC neu starten, damit die Einstellung wirksam wird.

Kontosperr-Einstellungen

Kontosperr-Einstellungen
Einstellung Beschreibung
Kontosperrung deaktivieren Verhindert, dass Konten aus Active Directory ausgesperrt werden. Diese Einstellung wird in der Regel für Windows-Konten verwendet, auf denen wichtige Dienste laufen.

Optionen zum Zurücksetzen des Passworts

Optionen zum Zurücksetzen des Passworts
Einstellung Beschreibung
Ignorieren dieser Richtlinie zum Zurücksetzen von Kennwörtern Ignoriert Richtlinieneinstellungen, wenn das Kennwort zurückgesetzt wird.
Hinweis: Aktivieren Sie diese Einstellung nicht, wenn der Benutzer Kennwörter über eine Selbstbedienungslösung wie Specops Password Reset zurücksetzen kann.
Bei der nächsten Anmeldung muss der Benutzer dann das Kennwort ändern. Den Benutzer auffordern, sein Kennwort bei der nächsten Anmeldung zu ändern, nachdem es zurückgesetzt wurde.
Gesperrte Konten beim Zurücksetzen automatisch freischalten Automatische Entsperrung von Benutzerkonten, wenn deren Kennwörter zurückgesetzt werden.

Nachricht an den Kunden

Diese Einstellung dient zum Festlegen des Inhalts der Nachricht an die Benutzer wenn sie ihre Kennwortregeln nicht einhalten:

Nachricht an den Kunden
Einstellung Beschreibung
Sprache der Kundennachricht Geben Sie die Lokalisierungssprache für die Nachricht ein.
Benutzer-Feedback bei gescheiterten Versuchen Anzeige der Richtlinienregeln, fehlgeschlagener Regeln oder einer benutzerdefinierten Meldung nach einem fehlgeschlagenen Versuch.
Zusätzliche Informationen für den Endbenutzer bei einer Kennwortänderung Hier geben Sie alle zusätzlichen Informationen an, die Sie den Endbenutzern beim Ändern ihrer Kennwörter vermitteln möchten.

Benutzer-Standardeinstellungen

In diesem Abschnitt können Sie die Sprache und die Standard-Landesvorwahl für Mobiltelefonnummern einstellen.

Benutzersprache

Diese Einstellung legt fest, in welcher Sprache de Platzhaltertexte für den Benutzer angezeigt werden. Beachten Sie bitte: Wenn hier (Standard) eingestellt ist, wird die für den Computer des Benutzers als Standard eingestellte Sprache verwendet. Sollte die Standardsprache des Computers in den Sprachdateien nicht enthalten sein, kommt als Ausweichlösung Englisch zum Einsatz.

Standard-Landesvorwahl für Mobiltelefonnummern

Falls die Mobiltelefonnummer in Active Directory (unabhängig davon, ob sie im Attribut "Mobile" oder in einem anderen Attribut gespeichert ist, auf das über die benutzerdefinierten Benutzerattribute im Domain-Verwaltungstool verwiesen wird) nicht mit einem + (Plus) beginnt, fügt das System automatisch die Standard-Landesvorwahl hinzu, wenn diese Option aktiviert ist. So wird 070 123 4567 bei Einstellung der Standard-Landesvorwahl auf +46 in +46 70 123 4567 umgewandelt.

HINWEIS
Beachten Sie, dass die Konvertierung nicht richtig funktioniert, wenn das internationale Telefonformat in AD mit einer internationalen Vorwahl, z. B. 00, geschrieben wird. Wenn beispielsweise die Telefonnummer im obigen Beispiel als 00 46 70 123 4567 eingegeben wurde und die Standard-Landesvorwahl auf +46 konfiguriert wurde, wäre die resultierende Nummer +46 0 46 70 123 4567, also falsch.

    Richtlinien-VerwaltungseditorAllgemeine EinstellungenBenutzer-Standardeinstellungen

  1. Setzen Sie den Haken im Feld Standard-Landesvorwahl für Mobiltelefonnummern.
  2. Geben Sie die Landesvorwahl ein, die Sie als Standard verwenden möchten.

Ablauf des Kennworts

Ablauf des Kennworts
Einstellung Beschreibung
Maximales Alter des Kennworts (Tage) Geben Sie die Zeit (in Tagen) an, die vergehen kann, bevor ein Kennwort abläuft.
Längenbasierte Kennwortalterung Schaltet die längenbasierte Kennwortalterung ein oder aus. Die längenbasierte Kennwortalterung belohnt Benutzer, die längere Kennwörter verwenden, mit einem späteren Ablauf des Kennworts. Weitere Informationen zu diesem Thema finden Sie auf der Seite zum Thema Kennwortablauf.
Anzahl der Verfallsstufen Legt die Anzahl der Verfallsstufen fest. Mehr Stufen ermöglichen eine stärkere Differenzierung und unterschiedliche Ablaufprämien.
Zeichen pro Stufe Wert, der den Bereich der Kennwortlänge für jede Ablaufstufe angibt.
Zusätzliche Tage pro Stufe Für jede Stufe, die der Benutzer bei der Länge seines Kennworts erreicht, werden ihm zusätzliche Tage nach Ablauf des Standardkennworts gewährt.
Verfall der letzten Stufe deaktivieren Deaktiviert die Ablauffrist für Benutzer, die die Kriterien für die höchste eingestellte Stufe erfüllen.

Kennwortablaufbenachrichtigungen (Siehe auch: Benachrichtigungen

Benachrichtigungen über den Ablauf von Kennwörtern
Einstellung Beschreibung
Bei der Anmeldung benachrichtigen (Tage vor Ablauf) Wenn diese Option aktiviert ist, werden die Benutzer bei Anmeldung in Windows benachrichtigt, wenn ihr Kennwort bald abläuft
E-Mail-Benachrichtigung senden (Tage vor Ablauf der Gültigkeit) Gibt an, ob der Benutzer eine E-Mail-Benachrichtigung erhält, dass sein Kennwort bald abläuft. Die Nutzer erhalten dann einmal täglich eine E-Mail, bis sie ihr Kennwort ändern. Der Zahlenwert bestimmt die Anzahl der Tage vor Ablauf der Frist, ab der die Benutzer solche E-Mails erhalten.
Von E-Mail Sender-E-Mail-Adresse. Wird in den Domain-Einstellungen im Domain-Verwaltungstool festgelegt.
Von Name Name des E-Mail-Absenders.
An E-Mail E-Mail Adresse des Empfängers. Der Platzhalter %UserEmail% sollte verwendet werden.
CC Optionale CC-E-Mail-Adressen, kommagetrennt.
Betreff Betreffzeile der E-Mail. Es können Platzhalter verwendet werden.
Textkörper Text der E-Mail. Es können Platzhalter verwendet werden.
HINWEIS
Ausführlichere Informationen über die Verwaltung der Einstellungen für den Ablauf von Kennwörtern, einschließlich ihrer Alterung je nach Länge, finden Sie auf der Seite zum Thema Kennwortablauf.

Kennwortregeln

Kennwortlängenanforderungen

Kennwortlängenanforderungen
Einstellung Beschreibung
Mindestlänge der erforderlichen Antwort ist Geben Sie die Mindestanzahl von Zeichen in einem Kennwort an.
Maximale Kennwortlänge Legt die maximale Anzahl von Zeichen eines Kennworts fest.

Anforderungen an Zeichengruppen

Anforderungen an Zeichengruppen
Einstellung Beschreibung
Anzahl der erforderlichen Zeichengruppen Geben Sie die Anzahl der Zeichenarten (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und Unicode-Zeichen) an, die das Kennwort enthalten muss.
Erforderliche Normalbuchstaben Legt die Mindestanzahl Normalbuchstaben (A-Z) in einem Kennwort fest.
Erforderliche Großbuchstaben Legt die Mindestanzahl von Großbuchstaben in einem Kennwort fest.
Erforderliche Kleinbuchstaben Legt die Mindestanzahl von Kleinbuchstaben in einem Kennwort fest.
Erforderliche Nicht-Buchstaben Legt die Mindestanzahl Nicht-Buchstaben (Ziffern, Sonderzeichen, Unicode-Zeichen) in einem Kennwort fest.
Erforderliche Ziffern Legt die Mindestanzahl Ziffern (0-9) in einem Kennwort fest.
Erforderliche Sonderzeichen Legt fest, wie viele Sonderzeichen ein Kennwort mindestens enthalten muss.
Erforderliche Unicode-Zeichen Legt die die Mindestanzahl Unicode-Zeichen in einem Kennwort fest.
Hinweis: Aktivieren Sie diese Funktion nur, wenn der Benutzer die Möglichkeit hat, Unicode-Zeichen direkt über seine Tastatur einzugeben.

Wörterbücher

Wörterbuch
Einstellung Beschreibung
Benutzer-Wörterbücher verwenden Mit einem benutzerdefinierten Wörterbuch können Sie Kennwortlisten und Kennwort-Hash-Listen hinzufügen, konfigurieren und entfernen. Die Liste wird bei jeder Kennwortänderung in Active Directory überprüft. Ein neues Kennwort wird abgelehnt, wenn es im Wörterbuch gefunden wird.
Online-Wörterbücher verwenden
Dem Benutzer unzulässiges Wort aus dem Wörterbuch anzeigen Bei der Verwendung von Wörterbüchern und der Konfiguration der teilweisen Übereinstimmung wird mit dieser Einstellung der Teil des Kennworts angezeigt, der bei einem fehlgeschlagenen Kennwortänderungsversuch in einem Wörterbuch gefunden wurde.
HINWEIS
Weitere Informationen zu den Wörterbüchern finden Sie unter Konfigurieren von benutzerdefinierten und Online-Wörterbüchern.

Einschränkungen des Kennwörterinhalts

Kennwort-Inhaltsbeschränkungen
Einstellung Beschreibung
Benutzernamen im Kennwort nicht zulassen Verhindert die Verwendung des Benutzernamens im Kennwort.
Vollständigen Benutzernamen im Kennwort nicht zulassen Verhindert die Verwendung des vollständigen Kontonamens (Vorname, Nachname, Anzeigename) im Kennwort.
Teile des Benutzernamens im Kennwort nicht zulassen Verhindert die Verwendung von Teilen (drei oder mehr aufeinander folgende Zeichen) des Kontonamens (Vorname, Nachname, Anzeigename) im Kennwort.
Ziffer als erstes Zeichen in einem Kennwort nicht zulassen Verhindert die Verwendung einer Ziffer als erstes Zeichen in einem Kennwort.
Ziffer als letztes Zeichen im Kennwort nicht zulassen Verhindert die Verwendung einer Ziffer als letztes Zeichen in einem Kennwort.
Aufeinander folgende identische Zeichen nicht zulassen Gibt die Anzahl der identischen, aufeinander folgenden Zeichen an, die in einem Kennwort verwendet werden können.

Reguläre Ausdrücke

Reguläre Ausdrücke
Einstellung Beschreibung
Reguläre Ausdrücke verwenden Ermöglicht die Verwendung von regulären Ausdrücken (RegEX) zum Abgleich mit dem Kennwort.

Entropie-Balken

Der Entropie-Balken wird links von der Registerkarte Kennwortregeln angezeigt. Er ändert sich je nach den Einstellungen in diesem Teil des Tools. Dabei handelt es sich um eine grafische Darstellung der relativen mathematischen Komplexität der Richtlinie. Die Höhe des Balkens entspricht der kombinatorischen Komplexität des schwächsten möglichen Kennworts, das die Richtlinie akzeptieren würde.

Dies ist kein absolutes Maß für die Stärke der Richtlinie, sondern sollte hauptsächlich dazu verwendet werden, um zu vergleichen, wie sich verschiedene Einstellungen in den Kennwortregeln auf die Komplexität auswirken.

Passphrase

Anforderungen an die Passphrase

Anforderungen an die Passphrase
Einstellung Beschreibung
Mindestlänge der Passphrase Die Mindestanzahl von Zeichen in der Passphrase.
Ein oder mehrere Kleinbuchstaben sind erforderlich Ein oder mehrere Kleinbuchstaben in der Passphrase.
Ein oder mehrere Großbuchstaben sind erforderlich Ein oder mehrere Großbuchstaben in der Passphrase.
Eine oder mehrere Ziffern sind erforderlich Eine oder mehrere Ziffern in der Passphrase.
Ein oder mehrere Sonderzeichen sind erforderlich Ein oder mehrere Sonderzeichen in der Passphrase.
Passphrase-Nachricht Eine Beschreibung der Richtlinie, die den Endbenutzern beim Ändern ihrer Passphrase angezeigt werden soll. In der Nachricht sollte erläutert werden, welche Anforderungen die Passphrase erfüllen muss.

Kundenspezifische Anforderungen

Kundenspezifische Anforderungen
Einstellung Beschreibung
Benutzerdefinierte reguläre Ausdrücke Erstellen Sie die regulären Ausdrücke, die für die Überprüfung der Passphrasen verwendet werden sollen.
Beispiel-Passphrase Geben Sie eine Beispielpassphrase ein, um sie mit dem regulären Ausdruck zu vergleichen.

Breached Password Protection (Verletzter Kennwortschutz - Add-on)

Sie können die Validierung des Schutzes vor verletzten Kennwörtern beim Zurücksetzen und/oder Ändern eines Kennworts aktivieren.

Weitere Informationen zu den Einstellungen für den Schutz vor verletzten Kennwörtern finden Sie hier.