Ultimative Anleitung zur Standardkonfiguration Passwort Politik in Active Directory – Best Practices und Tipps. Standardmäßig, Active Directory ist mit einer Standardeinstellung konfiguriert Domain Passwort Politik. Diese Richtlinie definiert die Passwort Anforderungen an Active Directory Benutzerkonten wie z Passwort Länge, Alter, und so weiter.
Passwortrichtlinieneinstellungen
Passwortverlauf erzwingen:
Diese Einstellung legt fest, wie viele eindeutige Passwörter vor einem alten verwendet werden müssen Passwort kann wiederverwendet werden. Zum Beispiel, wenn meine aktuelle Passwort ist „Th334goore0!„Dann kann ich das nicht wiederverwenden Passwort bis ich meine geändert habe Passwort 24 mal (oder auf welche Zahl auch immer die Richtlinie eingestellt ist). Diese Einstellung ist nützlich, damit Benutzer nicht ständig dasselbe verwenden Passwort. Die Standardeinstellung ist 24
Maximales Passwortalter:
Diese Einstellung legt fest, wie lange in Tagen a Passwort kann verwendet werden, bevor es geändert werden muss. Die Standardeinstellung ist 42 Tage
Mindestalter des Passworts
Diese Einstellung bestimmt, wie lange a Passwort muss verwendet werden, bevor es geändert werden kann. Die Standardeinstellung ist 1 Tag
Mindestlänge des Passworts
Diese Einstellung bestimmt, wie viele Zeichen a Passwort muss haben. Der Standardwert ist 7. Das bedeutet mein Passwort muss mindestens enthalten 7 Charaktere.
Das Passwort muss den Komplexitätsanforderungen genügen
Wenn aktiviert, müssen Passwörter diese Anforderungen erfüllen:
- Sie dürfen weder den Kontonamen des Benutzers noch Teile des vollständigen Namens des Benutzers enthalten, die mehr als zwei aufeinanderfolgende Zeichen umfassen
- Die Länge muss mindestens sechs Zeichen betragen
- Enthält Charaktere aus drei der folgenden vier Kategorien:
- Englische Großbuchstaben (A bis Z)
- Englische Kleinbuchstaben (a bis z)
- Base 10 Ziffern (0 durch 9)
- Nicht alphabetische Zeichen (Zum Beispiel, !, $, #, %)
Dies ist standardmäßig aktiviert
Speichern Sie Passwörter mit umkehrbarer Verschlüsselung
Diese Einstellung bestimmt, ob das Betriebssystem speichert Passwort unter Verwendung reversibler Verschlüsselung. Dies ist im Wesentlichen dasselbe wie das Speichern der neuesten Versionen von Passwörtern. Diese Richtlinie sollte NIEMALS aktiviert werden, es sei denn, Sie haben einige sehr spezifische Anwendungsanforderungen.
Ändern Sie die Standard-Domänenkennwortrichtlinie
1. Protokoll in deine Domain Regler (oder verwenden Sie a Fenster Client mit installiertem RSAT). Klicken Sie auf Start Klicken Sie auf die Schaltfläche und suchen Sie in der Apps-Liste Windows Verwaltungstools;
2. Klicken Sie auf Gruppenrichtlinienverwaltung;
3. Finden Standard Domain Politik (GesamtstrukturDomänen<Domainname>\Gruppenrichtlinienobjekte);
Wenn Sie einige der in der enthaltenen Einstellungen ändern müssen Standard Domain Richtlinien-GPO, Es wird empfohlen, zu diesem Zweck ein neues Gruppenrichtlinienobjekt zu erstellen, Verlinke es mit dem Domain, und stellen Sie die ein Erzwingen Option.
TechNet: GPOs verknüpfen
Ändern Sie die Standardeinstellung nicht Domain Richtlinie oder Standard Domain Controller-Richtlinie, sofern nicht erforderlich. Stattdessen, Erstellen Sie ein neues Gruppenrichtlinienobjekt Domain Ebene und legen Sie fest, dass die Standardeinstellungen in den Standardrichtlinien überschrieben werden.
TechNet: Festlegung von Betriebsrichtlinien für Gruppenrichtlinien
4. Rechte Maustaste klicken Sie auf Standard Domain Politik und auswählen Bearbeiten;
5. Gehe zu Passwort Politik (ComputerkonfigurationRichtlinienWindows-EinstellungenSicherheitseinstellungenPasswortrichtlinie) und konfigurierte die Passwort Passen Sie die Richtlinieneinstellungen der gewünschten Konfiguration an;
6. Erzwingen Passwort Geschichte – wie viele Passwörter sich das System merken wird. Wie viele eindeutige Passwörter muss der Benutzer bei jedem Zurücksetzen verwenden? Passwort;
7. Maximal Passwort Alter – wie lange wird die Passwort Nach diesem Zeitraum lebt der Benutzer, Sie werden aufgefordert, das Gerät zurückzusetzen Passwort. (Sie können „0" für "unbegrenzt” Alterszeit);
8. Minimum Passwort Alter – Der Benutzer kann die ändern Passwort nach diesem Zeitraum. (Sie können „0" für "unbegrenzt” Alterszeit);
9. Minimum Passwort Länge – Wie lang werden Ihre Passwörter sein?, jedoch nicht kleiner als dieser Wert;
10. Passwort muss den Komplexitätsanforderungen genügen – Sie können diesen Parameter festlegen, wenn Sie sehr sichere Passwörter benötigen (klein "A„und groß“A” Buchstaben, Ziffern“1” und Sonderzeichen „!„);
11. Speichern Sie Passwörter mit umkehrbarer Verschlüsselung – standardmäßig nicht in verwendet Domain, nur, wenn die Anwendung dies erfordert.
Sie können auch die Standardeinstellung anzeigen Passwort Politik mit Windows Powershell:
Get-ADDefaultDomainPasswordPolicy
PowerShellTIPP: Stellen Sie sicher, dass Sie alle Ihre Benutzer darüber informieren, wenn Sie dies tun, da dies dazu führen kann, dass sie ihre Einstellungen ändern Passwort das nächste Mal sie Protokoll An.
NOTIZ: Auch wenn Sie das anwenden Passwort Richtlinien für die Organisationseinheit „Domänencontroller“ werden dadurch nicht geändert Passwort Politik. Soweit ich weiß, Dies ist die einzige Ausnahme von der Regel, wie Gruppenrichtlinienobjekte auf Objekte angewendet werden.