Richtlinienkonfiguration
Passwortrichtlinien können über das Domain Administration Tool oder in Gruppenrichtlinienobjekten konfiguriert werden (wenn das Gruppenrichtlinien-Snap-In installiert wurde). Das folgende Verfahren beschreibt den Prozess beginnend mit dem Domain Administration Tool.
Konfiguration einer Passwortrichtlinie
Dieses Verfahren beschreibt die Konfiguration einer völlig neuen Passwortrichtlinie, die mit einem neu erstellten GPO verknüpft ist.
Um eine Richtlinie für ein bestehendes GPO zu erstellen, springen Sie zu Schritt 7.
Um bestehende Richtlinien zu bearbeiten, wählen Sie die Richtlinie in der Liste aus, klicken Sie dann auf Bearbeiten und springen Sie zu Schritt 9.
- Im Domain Administration Tool, Passwortrichtlinien klicken Sie auf Neue Passwortrichtlinie erstellen.
- Wählen Sie ein bestehendes GPO aus der Liste aus und klicken Sie auf OK (springen Sie zu Schritt 8), oder klicken Sie auf Neues Gruppenrichtlinienobjekt....
- Geben Sie dem neuen GPO einen Namen.
- Wählen Sie die OU aus der Liste auf der linken Seite aus, wenn die Richtlinie nur für Benutzer in einer bestimmten OU gelten soll.
- Wenn die Richtlinie nur für Benutzer innerhalb der ausgewählten OU gelten soll, die auch Mitglieder einer bestimmten Sicherheitsgruppe sind, klicken Sie in der rechten Spalte auf Hinzufügen. Geben Sie den Namen der Sicherheitsgruppe ein und klicken Sie auf OK. Wählen Sie die Sicherheitsgruppe aus.
- Klicken Sie auf OK.
- Das korrekte GPO ist in der Liste ausgewählt. Klicken Sie auf OK.
- Wählen Sie aus der Liste der Vorlagen (oder wählen Sie Benutzerdefiniert, um mit einer leeren Richtlinie zu beginnen), dann klicken Sie auf Weiter.
- Im Abschnitt Start konfigurieren Sie die Richtlinie zur Verwendung von Passwortregeln, Passphrasen oder beidem.
- Konfigurieren Sie die Allgemeinen Einstellungen.
- Konfigurieren Sie, wann Passwörter ablaufen sollen und welche Benachrichtigungen unter Passwortablauf gesendet werden sollen.
- Konfigurieren Sie, welche Regeln Passwörter einhalten sollen (Länge, erforderliche Zeichen, Wörterbücher usw.) unter Passwortregeln.
- Klicken Sie auf OK.
Hinweis
Für eine detailliertere Beschreibung aller verfügbaren Einstellungen für Richtlinien, siehe bitte den Abschnitt Richtlinieneinstellungen unten.
Richtlinieneinstellungen
Sie können Passwortrichtlinien auf zwei Arten erstellen oder bearbeiten:
Vom Domain Administration Tool
- Öffnen Sie das Domain Administration Tool
- Klicken Sie in der linken Navigation auf Passwortrichtlinien
- Klicken Sie auf Neue Passwortrichtlinie erstellen, oder wählen Sie ein GPO in der Passwortrichtlinienliste aus und klicken Sie dann auf Richtlinie bearbeiten.
Vom Gruppenrichtlinienverwaltungs-Editor
Hinweis
Obwohl es möglich ist, über das Gruppenrichtlinienverwaltungs-Tool auf Passwortrichtlinien zuzugreifen, wird empfohlen, sie über das Domain Administration Tool zuzugreifen.
- Greifen Sie auf den Richtlinienverwaltungs-Editor für das GPO zu, mit dem Sie eine Richtlinie verknüpfen möchten
- Erweitern Sie Benutzerkonfiguration, Richtlinien, Windows-Einstellungen-Knoten und wählen Sie Specops Password Policy.
- Klicken Sie auf Passwortrichtlinie konfigurieren, oder Neue Passwortrichtlinie erstellen (wenn das GPO noch keine Richtlinie zugeordnet hat).
Start
Sie können eine Passwortrichtlinie so konfigurieren, dass klassische Passwortregeln und/oder Passphrasen verwendet werden. Eine Passphrase ist eine spezielle Art von Passwort, das auf einem Satz oder einer Reihe von Wörtern basiert. Die Anforderungen an eine Passphrase sind standardmäßig, dass sie lang sein muss.
Allgemeine Einstellungen
Passwortverlauf
Hinweis
Wenn Sie das Erinnern von Passwörtern aktivieren, wird ein Blattobjekt erstellt, um den Passwortverlauf zu speichern. Standardmäßig ist das Blattobjekt gesperrt und für den Benutzer nicht zugänglich. Mit aktivierten "erinnerten Passwörtern" wird jedes Passwort vor der Speicherung mit bcrypt gesalzen und gehasht.
| Einstellung | Beschreibung |
|---|---|
| Anzahl der erinnerten Passwörter, einschließlich Variationen | Geben Sie an, wie viele frühere Passwörter, einschließlich Variationen, das System sich merken soll. Zum Beispiel bedeutet das Setzen dieses Wertes auf 4, dass Benutzer keines ihrer letzten vier Passwörter wiederverwenden können, selbst mit geringfügigen Änderungen, wie dem Hinzufügen eines Zeichens am Anfang oder Ende des Passworts oder der Änderung der Großschreibung. |
| Mindestalter der Passwörter (Tage) | Geben Sie die Anzahl der Tage an, die vergehen müssen, bevor der Benutzer sein Passwort ändern darf. |
| Inkrementelle Passwörter verbieten (veraltet) | Verhindern Sie, dass Benutzer neue Passwörter auswählen, die sich nur durch das letzte Zeichen vom alten Passwort unterscheiden. Hinweis! Ab Specops Password Policy 7.14 ist diese Regel veraltet und ihre Funktionalität ist in die Regel "Anzahl der erinnerten Passwörter, einschließlich Variationen" integriert. |
| Mindestanzahl geänderter Zeichen | Geben Sie die Anzahl der Zeichen an, die in einem Passwort geändert werden müssen. |
| Wiederverwendung eines Teils des aktuellen Passworts verbieten | Geben Sie die Anzahl der aufeinanderfolgenden Zeichen aus dem alten Passwort an, die im neuen Passwort nicht erlaubt sind. Hinweis: Nach dem Aktivieren dieser Einstellung müssen Sie Ihren PDC-Emulator-DC neu starten, damit die Einstellung wirksam wird. |
Kontosperreinstellungen
| Einstellung | Beschreibung |
|---|---|
| Kontosperre deaktivieren | Verhindern Sie, dass Konten aus Active Directory gesperrt werden. Diese Einstellung wird häufig für Windows-Konten verwendet, die kritische Dienste ausführen. |
Passwortzurücksetzungsoptionen
| Einstellung | Beschreibung |
|---|---|
| Diese Richtlinie bei Passwortzurücksetzung ignorieren | Ignorieren Sie Richtlinieneinstellungen, wenn das Passwort zurückgesetzt wird. Hinweis: Aktivieren Sie diese Einstellung nicht, wenn der Benutzer Passwörter über eine Self-Service-Lösung wie Specops Password Reset zurücksetzen kann. |
| Benutzer auffordern, das Passwort bei der nächsten Anmeldung zu ändern | Fordern Sie den Benutzer auf, sein Passwort bei der nächsten Anmeldung nach dem Zurücksetzen des Passworts zu ändern. |
| Gesperrte Konten automatisch bei Zurücksetzung entsperren | Entsperren Sie Benutzerkonten automatisch, wenn ihre Passwörter zurückgesetzt werden. |
Clientnachricht
Diese Einstellung wird verwendet, um den Inhalt der Nachricht zu steuern, die an die Benutzer gesendet wird, wenn sie ihre Passwortregeln nicht einhalten:
| Einstellung | Beschreibung |
|---|---|
| Sprache der Clientnachricht | Geben Sie die Sprachlokalisierung an, die in der Nachricht verwendet werden soll. |
| Benutzerfeedback bei fehlgeschlagenem Versuch | Zeigen Sie die Richtlinienregeln, fehlgeschlagene Regeln oder eine benutzerdefinierte Nachricht nach einem fehlgeschlagenen Versuch an. |
| Zusätzliche Informationen für Endbenutzer bei Passwortänderung | Geben Sie alle zusätzlichen Informationen an, die Sie den Endbenutzern geben möchten, wenn sie ihre Passwörter ändern. |
Benutzervorgaben
In diesem Abschnitt können Sie die Sprache und den Standard-Ländercode für Mobilnummern festlegen.
Benutzersprache
Diese Einstellung bestimmt, in welcher Sprache die Platzhaltertexte dem Benutzer präsentiert werden. Beachten Sie, dass, wenn dies auf (Standard) gesetzt ist, die Standardsprache des Computers des Benutzers verwendet wird. Falls die Standardsprache des Computers nicht in den Sprachdateien enthalten ist, wird Englisch als Fallback verwendet.
Standard-Ländercode für Mobilnummern
Falls die Mobilnummer im Active Directory (ob diese im Mobilattribut oder einem anderen Attribut gespeichert ist, das über die Benutzerdefinierten Benutzerattribute im Domain Administration Tool referenziert wird) nicht mit einem + (Plus) beginnt, fügt das System automatisch den Standard-Ländercode hinzu, wenn diese Option aktiviert ist. Somit wird 070 123 4567 mit einer Standard-Ländercode für Mobilnummern-Einstellung von +46 in +46 70 123 4567 umgewandelt.
Hinweis
Beachten Sie, dass im Falle, dass das internationale Telefonformat in AD mit einem internationalen Präfix, z.B. 00, geschrieben ist, die Umwandlung nicht richtig funktioniert. Zum Beispiel, wenn die Telefonnummer im obigen Beispiel als 00 46 70 123 4567 eingegeben wurde und die Standard-Ländercode-Option mit einer Einstellung von +46 aktiviert war, würde die resultierende Nummer +46 0 46 70 123 4567 sein, was falsch wäre.
- Aktivieren Sie das Kontrollkästchen Standard-Ländercode für Mobilnummern
- Geben Sie den Ländercode ein, den Sie als Standard verwenden möchten
Passwortablauf
| Einstellung | Beschreibung |
|---|---|
| Maximales Passwortalter (Tage) | Geben Sie die Zeit (in Tagen) an, die vergehen kann, bevor ein Passwort abläuft. |
| Längenbasiertes Passwort-Aging | Schalten Sie das längenbasierte Passwort-Aging ein oder aus. Längenbasiertes Passwort-Aging belohnt Benutzer, die längere Passwörter verwenden, mit einem späteren Passwortablauf. Weitere Informationen zu diesem Thema finden Sie auf der Passwortablauf-Seite. |
| Anzahl der Ablaufstufen | Legt die Anzahl der Ablaufstufen fest. Mehr Stufen ermöglichen mehr Differenzierung und unterschiedliche Ablaufbelohnungen. |
| Zeichen pro Stufe | Wert, der den Passwortlängenbereich für jede Ablaufstufe darstellt. |
| Zusätzliche Tage pro Stufe | Zusätzliche Tage, die über den Standardablauf hinaus belohnt werden, für jede Stufe, die der Benutzer in seiner Passwortlänge erreicht. |
| Ablauf für die letzte Stufe deaktivieren | Deaktiviert den Ablauf für Benutzer, die die Kriterien für die höchste festgelegte Stufe erfüllt haben. |
Benachrichtigungen zum Passwortablauf (Siehe auch: Benachrichtigungen)
| Einstellung | Beschreibung |
|---|---|
| Bei Anmeldung benachrichtigen (Tage vor Ablauf) | Wenn diese Option aktiviert ist, werden Benutzer benachrichtigt, wenn ihr Passwort kurz vor dem Ablauf steht, wenn sie sich bei Windows anmelden |
| E-Mail-Benachrichtigung senden (Tage vor Ablauf) | Gibt an, ob der Benutzer eine E-Mail-Benachrichtigung erhält, dass sein Passwort kurz vor dem Ablauf steht. Benutzer erhalten einmal täglich eine E-Mail, bis sie ihr Passwort ändern. Der Zahlenwert bestimmt die Anzahl der Tage vor dem Ablauf, an denen die Benutzer E-Mails erhalten sollen. |
| Von E-Mail | Absender-E-Mail-Adresse. In den Domaineinstellungen im Domain Administration Tool festgelegt. |
| Von Name | Name des E-Mail-Absenders. |
| An E-Mail | E-Mail-Adresse des Empfängers. %UserEmail% Platzhalter sollte verwendet werden. |
| CC | Optionale CC-E-Mail-Adressen, durch Kommas getrennt. |
| Betreff | Betreffzeile der E-Mail. Platzhalter können verwendet werden. |
| Body | E-Mail-Text. Platzhalter können verwendet werden. |
Hinweis
Für detailliertere Informationen darüber, wie man Passwortablaufeinstellungen verwaltet, einschließlich längenbasiertem Passwort-Aging, besuchen Sie die Passwortablauf-Seite.
Passwortregeln
Passwortlängenanforderungen
| Einstellung | Beschreibung |
|---|---|
| Minimale Passwortlänge | Geben Sie die minimale Anzahl von Zeichen in einem Passwort an. |
| Maximale Passwortlänge | Geben Sie die maximale Anzahl von Zeichen in einem Passwort an. |
Anforderungen an Zeichengruppen
| Einstellung | Beschreibung |
|---|---|
| Anzahl der erforderlichen Zeichengruppen | Geben Sie die Anzahl der Zeichengruppen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und Unicode-Zeichen) an, aus denen das Passwort Zeichen haben muss. |
| Erforderliche Buchstaben | Geben Sie die minimale Anzahl von Buchstaben (A-Z) in einem Passwort an. |
| Erforderliche Großbuchstaben | Geben Sie die minimale Anzahl von Großbuchstaben in einem Passwort an. |
| Erforderliche Kleinbuchstaben | Geben Sie die minimale Anzahl von Kleinbuchstaben in einem Passwort an. |
| Erforderliche Nicht-Buchstaben | Geben Sie die minimale Anzahl von Nicht-Buchstaben (Ziffern, Sonderzeichen, Unicode-Zeichen) in einem Passwort an. |
| Erforderliche Ziffern | Geben Sie die minimale Anzahl von Ziffern (0-9) in einem Passwort an. |
| Erforderliche Sonderzeichen | Geben Sie die minimale Anzahl von Sonderzeichen in einem Passwort an. |
| Erforderliche Unicode-Zeichen | Geben Sie die minimale Anzahl von Unicode-Zeichen an, die im Passwort vorhanden sein müssen. Hinweis: Aktivieren Sie diese Funktion nur, wenn der Benutzer die Möglichkeit hat, Unicode-Zeichen direkt von seiner Tastatur einzugeben. |
Wörterbücher
| Einstellung | Beschreibung |
|---|---|
| Benutzerdefinierte Wörterbücher verwenden | Die Verwendung eines benutzerdefinierten Wörterbuchs ermöglicht es Ihnen, Passwortlisten und Passwort-Hash-Listen hinzuzufügen, zu konfigurieren und zu entfernen. Die Liste wird jedes Mal überprüft, wenn es eine Passwortänderung im Active Directory gibt. Ein neues Passwort wird abgelehnt, wenn es im Wörterbuch gefunden wird. |
| Online-Wörterbücher verwenden | |
| Fehlgeschlagenes Wörterbuchwort dem Benutzer anzeigen | Wenn Wörterbücher verwendet werden und so konfiguriert sind, dass sie eine teilweise Übereinstimmung verwenden, zeigt diese Einstellung den Teil des Passworts an, der nach einem fehlgeschlagenen Passwortänderungsversuch in einem Wörterbuch gefunden wurde. |
Hinweis
Für weitere Informationen zu Wörterbüchern siehe Benutzerdefinierte und Online-Wörterbücher konfigurieren.
Passwortinhaltseinschränkungen
| Einstellung | Beschreibung |
|---|---|
| Benutzername im Passwort verbieten | Verhindern Sie die Verwendung des Benutzernamens im Passwort. |
| Vollständigen Benutzernamen im Passwort verbieten | Verhindern Sie die Verwendung des vollständigen Kontonamens (Vorname, Nachname, Anzeigename) im Passwort. |
| Teil des Benutzernamens im Passwort verbieten | Verhindern Sie die Verwendung von Teilen (drei oder mehr aufeinanderfolgende Zeichen) des Kontonamens (Vorname, Nachname, Anzeigename) im Passwort. |
| Ziffer als erstes Zeichen in einem Passwort verbieten | Verhindern Sie die Verwendung einer Ziffer als erstes Zeichen in einem Passwort. |
| Ziffer als letztes Zeichen in einem Passwort verbieten | Verhindern Sie die Verwendung einer Ziffer als letztes Zeichen in einem Passwort. |
| Aufeinanderfolgende identische Zeichen verbieten | Geben Sie die Anzahl der identischen aufeinanderfolgenden Zeichen an, die in einem Passwort verwendet werden können. |
Reguläre Ausdrücke
| Einstellung | Beschreibung |
|---|---|
| Reguläre Ausdrücke verwenden | Ermöglicht die Verwendung von regulären Ausdrücken (RegEX) zur Zeichenfolgenübereinstimmung gegen das Passwort. |
Entropiebalken
Der Entropiebalken wird auf der linken Seite der Registerkarte Passwortregeln angezeigt. Er ändert sich entsprechend den in diesem Teil des Tools eingegebenen Einstellungen. Es ist eine grafische Darstellung der relativen Komplexität der Richtlinie im mathematischen Sinne. Die Höhe des Balkens entspricht der kombinatorischen Komplexität des schwächsten möglichen Passworts, das die Richtlinie akzeptieren würde.
Dies ist kein absolutes Maß für die Stärke der Richtlinie und sollte hauptsächlich verwendet werden, um zu vergleichen, wie verschiedene Einstellungen in den Passwortregeln die Komplexität beeinflussen.
Passphrase
Passphrasenanforderungen
| Einstellung | Beschreibung |
|---|---|
| Minimale Passphrasenlänge | Die minimale Anzahl von Zeichen in der Passphrase. |
| Erfordern Sie ein oder mehrere Kleinbuchstaben | Ein oder mehrere Kleinbuchstaben in der Passphrase. |
| Erfordern Sie ein oder mehrere Großbuchstaben | Ein oder mehrere Großbuchstaben in der Passphrase. |
| Erfordern Sie eine oder mehrere Ziffern | Eine oder mehrere Ziffern in der Passphrase. |
| Erfordern Sie ein oder mehrere Sonderzeichen | Ein oder mehrere Sonderzeichen in der Passphrase. |
| Passphrasenmeldung | Eine Beschreibung der Richtlinie, die den Endbenutzern beim Ändern ihres Passworts angezeigt wird. Die Nachricht sollte die Richtlinienanforderungen erklären, die die Passphrase erfüllen sollte. |
Benutzerdefinierte Anforderungen
| Einstellung | Beschreibung |
|---|---|
| Benutzerdefinierte reguläre Ausdrücke | Erstellen Sie die regulären Ausdrücke, die zur Validierung von Passphrasen verwendet werden. |
| Beispielpassphrase | Geben Sie eine Beispielpassphrase ein, um sie gegen den regulären Ausdruck zu testen. |
Breached Password Protection (Add-on)
Sie können die Validierung der Breached Password Protection während eines Passwortzurücksetzens und/oder einer Passwortänderung aktivieren.
Erfahren Sie mehr über die Einstellungen der Breached Password Protection.