Kennwort-Ablauf

Als Administrator können Sie Ihre Benutzer dazu zwingen, ihre Kennwörter in regelmäßigen Abständen zu erneuern. Sie können festlegen, wie alt ein Kennwort sein darf, bevor es abläuft und erneuert werden muss (z. B. alle 100 Tage).

Die Einstellungen für den Kennwortverlauf werden unter der Registerkarte Allgemeine Einstellungen verwaltet, während die Einstellungen für den Ablauf des Kennworts unter der Registerkarte Ablauf des Kennworts verwaltet werden.

Specops Password Policy-Einstellungen zum Ablauf von Kennwörtern

Zum Festlegen eines maximalen Kennwortalters aktivieren Sie das Kontrollkästchen Maximales Kennwortalter (Tage) und geben Sie die Zeit (in Tagen) ein, die vergehen kann, bevor das Kennwort eines Benutzers abläuft.

Beispiel: Geben Sie 100 ein, wenn ein Kennwort 100 Tage nach der letzten Rücksetzung oder Änderung ablaufen soll.

Längenbasierte Kennwortalterung

Sie können auch eine "längenbasierte Alterung" zusätzlich zur Standard-Ablaufzeit des Kennworts hinzufügen. Die längenbasierte Alterung ermutigt die Benutzer, längere und sicherere Kennwörter zu erstellen, und belohnt sie dafür, indem ihre Kennwörter erst später ablaufen.

Zum Aktivieren der längenbasierten Kennwortalterung aktivieren Sie das Kontrollkästchen Längenbasierte Kennwortalterung.

Dort können Sie Folgendes konfigurieren:

Anzahl der Verfallsstufen: 1 bis 5 Stufen, wobei jede Stufe dem Benutzer mehr Zeit bis zum Ablauf des Kennworts gewährt. Die Länge der einzelnen Stufen wird durch die Einstellung Zeichen pro Stufe bestimmt.
Zeichen pro Stufe: Anzahl der Zeichen für jede Stufe.
Zusätzliche Tage pro Stufe: Wie viele zusätzliche Tage zusätzlich zum Maximalen Kennwortalter für jede Stufe gewährt werden, die der Benutzer erreicht.

HINWEIS

Wenn das maximale Kennwortalter (maximales Kennwortalter + längenbasierte Kennwortalterung) die in der Windows-Domain-Kennwortrichtlinie festgelegte Anzahl von Tagen übersteigt, wird das in der Specops-Kennwortrichtlinie festgelegte maximale Kennwortalter deaktiviert, da der Benutzer durch die integrierte Richtlinie dann aufgefordert würde, sein Kennwort zu ändern, bevor das festgelegte maximale Kennwortalter erreicht ist. Zur Behebung dieses Problems erhöhen Sie die integrierte Kennwortrichtlinie so, dass sie dem in der Specops-Kennwortrichtlinie festgelegten maximalen Kennwortalter entspricht oder dieses übersteigt. Sie können auf die angezeigte Warnung klicken, um den Wert in der integrierten Richtlinie für Domain-Kennwörter zu sehen.

Geben Sie in das Feld Anzahl der Verfallsstufen ein, wie viele Verfallsstufen es geben soll. Eine Ablaufstufe legt fest, wie viele Tage der Benutzer noch Zeit hat, bis sein Kennwort abläuft. Dies hängt davon ab, wie lang das Kennwort des Benutzers ist. Um die Anzahl der Stufen zu erhöhen, bewegen Sie den Schieberegler nach rechts. Sie können maximal 5 Verfallsstufen festlegen.

Geben Sie im Feld Zeichen pro Stufe mit dem Schieberegler den Zeichenbereich pro Stufe an.

Geben Sie im Feld Zusätzliche Tage pro Stufe an, wie viele zusätzliche Verfallstage jede Stufe wert ist.

Beispiel: Sie können das Feld Maximales Kennwortalter (Tage) auf 180 Tage setzen. Sie könnten dann 3 Ablaufstufen mit 3 Zeichen pro Stufe wählen, mit 30 zusätzlichen Tagen pro Stufe:

HINWEIS

Die Mindestlänge des Kennworts beträgt 5 Zeichen.

Dies bedeutet:

Kennwörter mit einer Länge von 5 - 7 Zeichen fallen in die Verfallsstufe 1. Kennwörter der Gültigkeitsstufe 1 verfallen nach 180 Tagen.
Kennwörter mit einer Länge von 8 - 10 Zeichen fallen in die Verfallsstufe 2. Kennwörter der Gültigkeitsstufe 2 laufen nach 210 Tagen ab.
Kennwörter mit einer Länge von 11 - 20 Zeichen fallen in die Verfallsstufe 3. Kennwörter der Gültigkeitsstufe 3 verfallen nach 240 Tagen.

Die Kennwortlänge pro Ablaufstufe hängt davon ab, was Sie in den Feldern Maximale Kennwortlänge und Minimale Kennwortlänge unter der Registerkarte Kennwortregeln angegeben haben.

Die Kennwortlänge für jede Ablaufstufe ändert sich, wenn Sie die Felder Maximale/Minimale Kennwortlänge ändern.

Wenn Sie das Kontrollkästchen Ablauf für die letzte Stufe deaktivieren aktivieren, laufen Kennwörter, die die Anforderungen für die letzte Ablaufstufe in der Liste erfüllen, nicht automatisch ab. Im folgenden Beispiel laufen Kennwörter, die die Anforderungen für Stufe 3 erfüllen, nicht ab.

Grafische Darstellung der Kennwortalterung

Beim Ändern des Kennworts müssen die Benutzer so viele Zeichen eingeben, dass die Mindestlänge des Kennworts erreicht wird. Sie können dann zusätzliche Zeichen zu ihrem Kennwort hinzufügen, die über die vorgeschriebene Mindestzeichenlänge hinausgehen. Wenn Specops Password Policy in Kombination mit Specops uReset (Version 8.4 und höher) verwendet wird, erhalten die Benutzer eine visuelle Rückmeldung über die Länge ihres gewählten Kennworts. Wenn drei Verfallsstufen konfiguriert wurden, sieht der Benutzer drei Kästchen, wobei jedes Kästchen eine Verfallsstufe darstellt. Wenn ein Benutzer genügend Zeichen eingibt, um die Anforderungen für ein Level zu erfüllen, wird das Feld grün.

Verfallswarnungen

Sie können Ihre Benutzer darauf hinweisen, dass ihre Kennwörter ablaufen. Sie können zwei Arten von Warnmeldungen konfigurieren:

Warnung bei der Anmeldung

Sie können eine Warnmeldung konfigurieren, die bei der Ihre Benutzer bei der Anmeldung benachrichtigt, wenn ihr Kennwort bald abläuft, und zwar im Abschnitt Benachrichtigungen bei Ablauf des Kennworts. Um diese Benachrichtigung zu aktivieren, aktivieren Sie das Kontrollkästchen Warnung bei Anmeldung vor Ablauf (Tage) und geben Sie eine Zahl ein. Beispiel: Wenn Sie möchten, dass die Benachrichtigung 1 Tag vor Ablauf des Kennworts eines Benutzers erscheint, geben Sie 1 ein.

Login-Einstellungen für den Specops Password Policy-Kennwortablauf

E-Mail-Warnmeldung

Sie können eine E-Mail-Warnung konfigurieren, die Ihren Benutzern eine bestimmte Anzahl von Tagen vor Ablauf ihres Kennworts zugesandt wird.

Gehen Sie folgendermaßen vor, um eine Warn-E-Mail zu konfigurieren:

HINWEIS

Die SMTP-Einstellungen für alle von Specops Password Policy ausgehenden Mails werden konfiguriert in Password Policy Domain Administration Tool: Domain > Domain-Einstellungen > SMTP-Einstellungen > Bearbeiten

Aktivieren Sie das Kontrollkästchen E-Mail-Warnung senden (Tage) und geben Sie eine Zahl an. Beispiel: Wenn Sie möchten, dass die E-Mail 1 Tag vor Ablauf des Kennworts an Ihre Benutzer gesendet wird, geben Sie 1 ein.
Wählen Sie in der Dropdown-Liste die Sprache für die ausgehenden E-Mails aus.
HINWEIS
Einige Informationen in der ausgehenden E-Mail werden von Password Policy generiert. Hier können Sie die Sprache für diese Informationen einstellen. Die betroffenen Platzhalter sind %DynamicExpirationInfo% und %PasswordRules%. Um zu sehen, welche Sprachdateien in Domain Administration Tool installiert sind, gehen Sie zu Domain > Sprachdateien.
Die Felder Absender-E-Mail und Absendername sind hier nicht zugänglich und werden automatisch durch die in den SMTP-Einstellungen angegebenen Informationen ausgefüllt, insbesondere in den Feldern Standardabsender-E-Mail-Adresse and Standardabsender-Anzeigename.
Geben Sie in das Feld An die E-Mail-Adresse ein, an die die E-Mail gesendet werden soll. Geben Sie den Platzhalter %UserEmail% ein, um die E-Mail an den betroffenen Benutzer zu senden.
Geben Sie in das CC-Feld alle anderen E-Mail-Adressen ein, an die die Benachrichtigung gesendet werden soll. Auch hier können Platzhalter (z. B. %ManagerEmail%) verwendet werden.
Geben Sie in das Feld Betreff einen Betreff für die Benachrichtigungs-E-Mail ein. Sie können Platzhalter verwenden, um eine Betreffzeile zu erstellen, die Informationen für den Benutzer enthält. Weitere Informationen zu diesem Thema finden Sie auf der Seite Benachrichtigungen.
Konfigurieren Sie den Text der E-Mail-Benachrichtigung, indem Sie auf die Schaltfläche Edit klicken. Auch hier können Sie Platzhalter verwenden (diese sind über das %-Symbol in der Multifunktionsleiste zugänglich).
HINWEIS
Die E-Mails können im Rich-Text- oder HTML-Format erstellt werden (klicken Sie in der Multifunktionsleiste auf die Schaltfläche HTML-Ansicht umschalten).