Ultimate Guide to Configuring Default Password Policy in Active Directory – Best Practices and Tips. Standardmäßig, Active Directory is configured with a default domain password policy. This policy defines the password requirements for Active Directory user accounts such as password length, age, und so weiter.
Passwortrichtlinieneinstellungen
Passwortverlauf erzwingen:
This setting defines how many unique passwords must be used before an old password can be reused. Zum Beispiel, if my current password is “Th334goore0!” then I can’t reuse that password until I’ve changed my password 24 mal (oder auf welche Zahl auch immer die Richtlinie eingestellt ist). This setting is useful so users don’t keep reusing the same password. Die Standardeinstellung ist 24
Maximales Passwortalter:
This setting defines how long in days a password can be used before it needs to be changed. Die Standardeinstellung ist 42 Tage
Mindestalter des Passworts
This setting determines how long a password must be used before it can be changed. Die Standardeinstellung ist 1 Tag
Mindestlänge des Passworts
This setting determines how many characters a password must have. Der Standard ist 7. This means my password must contain at least 7 Charaktere.
Das Passwort muss den Komplexitätsanforderungen genügen
Wenn aktiviert, müssen Passwörter diese Anforderungen erfüllen:
- Sie dürfen weder den Kontonamen des Benutzers noch Teile des vollständigen Namens des Benutzers enthalten, die mehr als zwei aufeinanderfolgende Zeichen umfassen
- Die Länge muss mindestens sechs Zeichen betragen
- Enthält Charaktere aus drei der folgenden vier Kategorien:
- Englische Großbuchstaben (A bis Z)
- Englische Kleinbuchstaben (a bis z)
- Base 10 Ziffern (0 durch 9)
- Nicht alphabetische Zeichen (Zum Beispiel, !, $, #, %)
Dies ist standardmäßig aktiviert
Speichern Sie Passwörter mit umkehrbarer Verschlüsselung
This setting determines if the operating system stores password using reversible encryption. Dies ist im Wesentlichen dasselbe wie das Speichern der neuesten Versionen von Passwörtern. Diese Richtlinie sollte NIEMALS aktiviert werden, es sei denn, Sie haben einige sehr spezifische Anwendungsanforderungen.
Ändern Sie die Standard-Domänenkennwortrichtlinie
1. Log in to your Domain Controller (or use a windows client with installed RSAT). Click on the Start Klicken Sie auf die Schaltfläche und suchen Sie in der Apps-Liste Windows Administrative Tools;
2. Klicken Sie auf Gruppenrichtlinienverwaltung;
3. Finden Default Domain Policy (GesamtstrukturDomänen<Domainname>\Gruppenrichtlinienobjekte);
Wenn Sie einige der in der enthaltenen Einstellungen ändern müssen Default Domain Policy GPO, Es wird empfohlen, zu diesem Zweck ein neues Gruppenrichtlinienobjekt zu erstellen, link it to the domain, und stellen Sie die ein Erzwingen Option.
TechNet: GPOs verknüpfen
Do not modify the default domain policy or default domain controller policy unless necessary. Stattdessen, create a new GPO at the domain level and set it to override the default settings in the default policies.
TechNet: Festlegung von Betriebsrichtlinien für Gruppenrichtlinien
4. Rechte Maustaste click on Default Domain Policy und auswählen Bearbeiten;
5. Gehe zu Password Policy (ComputerkonfigurationRichtlinienWindows-EinstellungenSicherheitseinstellungenPasswortrichtlinie) and configured the password policies settings to the configuration you desire;
6. Passwortverlauf erzwingen – wie viele Passwörter sich das System merken wird. How many unique passwords user must use when every time reset the password;
7. Maximum Password Age – how long will the password lives After this period user, will be prompted to reset the password. (Sie können „0" für "unbegrenzt” Alterszeit);
8. Minimum Password Age – the user may change the password after this period. (Sie können „0" für "unbegrenzt” Alterszeit);
9. Minimum Password Length – Wie lang werden Ihre Passwörter sein?, jedoch nicht kleiner als dieser Wert;
10. Das Passwort muss den Komplexitätsanforderungen genügen – Sie können diesen Parameter festlegen, wenn Sie sehr sichere Passwörter benötigen (klein "A„und groß“A” Buchstaben, Ziffern“1” und Sonderzeichen „!„);
11. Speichern Sie Passwörter mit umkehrbarer Verschlüsselung – by default not used in the domain, nur, wenn die Anwendung dies erfordert.
You can also view the default password policy with Windows Powershell:
Get-ADDefaultDomainPasswordPolicyTIPP: Make sure you inform all your users when you are going to do this as it may trigger them to change their password the next time they log on.
NOTIZ: Even if you apply the password policies to the “Domain Controllers” OU it will not modify the domain’s password policy. Soweit ich weiß, Dies ist die einzige Ausnahme von der Regel, wie Gruppenrichtlinienobjekte auf Objekte angewendet werden.
