Ultieme gids voor het configureren van standaardwachtwoordbeleid in Active Directory – Beste praktijken en tips. Standaard, Active Directory is geconfigureerd met een standaard domeinwachtwoordbeleid. Dit beleid definieert de wachtwoordvereisten voor Active Directory-gebruikersaccounts, zoals de wachtwoordlengte, leeftijd, enzovoort.
Instellingen voor wachtwoordbeleid
Wachtwoordgeschiedenis afdwingen:
Deze instelling bepaalt hoeveel unieke wachtwoorden er moeten worden gebruikt voordat een oud wachtwoord opnieuw kan worden gebruikt. Bijvoorbeeld, als mijn huidige wachtwoord “Th334goore0!', dan kan ik dat wachtwoord pas opnieuw gebruiken nadat ik mijn wachtwoord heb gewijzigd 24 keer (of op welk nummer het beleid ook is ingesteld). Deze instelling is handig zodat gebruikers niet steeds hetzelfde wachtwoord hoeven te gebruiken. De standaardinstelling is 24
Maximale wachtwoordleeftijd:
Deze instelling bepaalt hoe lang in dagen een wachtwoord kan worden gebruikt voordat het moet worden gewijzigd. De standaardinstelling is 42 dagen
Minimale wachtwoordleeftijd
Deze instelling bepaalt hoe lang een wachtwoord moet worden gebruikt voordat het kan worden gewijzigd. De standaardinstelling is 1 dag
Minimale wachtwoordlengte
Deze instelling bepaalt hoeveel tekens een wachtwoord moet hebben. De standaardwaarde is 7. Dit betekent dat mijn wachtwoord minimaal moet bevatten 7 karakters.
Het wachtwoord moet voldoen aan de complexiteitsvereisten
Indien ingeschakeld, moeten wachtwoorden aan deze vereisten voldoen:
- Mag de accountnaam van de gebruiker of delen van de volledige naam van de gebruiker niet bevatten die langer zijn dan twee opeenvolgende tekens
- Wees minimaal zes tekens lang
- Bevat karakters uit drie van de volgende vier categorieën:
- Engelse hoofdletters (A tot en met Z)
- Engelse kleine letters (a tot en met z)
- Baseren 10 cijfers (0 door 9)
- Niet-alfabetische tekens (Bijvoorbeeld, !, $, #, %)
Dit is standaard ingeschakeld
Bewaar wachtwoorden met behulp van omkeerbare codering
Deze instelling bepaalt of het besturingssysteem het wachtwoord opslaat met behulp van omkeerbare codering. Dit is in wezen hetzelfde als het opslaan van de meest recente versies van wachtwoorden. Dit beleid mag NOOIT worden ingeschakeld, tenzij u een aantal zeer specifieke toepassingsvereisten heeft.
Wijzig het standaarddomeinwachtwoordbeleid
1. Log in op uw domeincontroller (of gebruik een Windows-client met geïnstalleerde RSAT). Klik op de Begin knop en zoek in de lijst met apps Windows-beheerprogramma's;
2. Klik op Groepsbeleidsmanagement;
3. Vinden Standaarddomeinbeleid (BosDomeinen<Domeinnaam>\Groepsbeleidsobjecten);
Als u enkele instellingen in het Standaard domeinbeleid GPO, Het wordt aanbevolen dat u hiervoor een nieuw groepsbeleidsobject maakt, koppel deze aan het domein, en stel de Afdwingen keuze.
TechNet: GPO's koppelen
Wijzig het standaarddomeinbeleid of het standaarddomeincontrollerbeleid niet, tenzij dit noodzakelijk is. In plaats van, maak een nieuw groepsbeleidsobject op domeinniveau en stel dit zo in dat de standaardinstellingen in het standaardbeleid worden overschreven.
TechNet: Operationele richtlijnen voor groepsbeleid opstellen
4. Rechter muis knop Klik op Standaarddomeinbeleid en selecteer Bewerking;
5. Ga naar Wachtwoordbeleid (ComputerconfiguratieBeleidWindows-instellingenBeveiligingsinstellingenWachtwoordbeleid) en configureerde de instellingen voor het wachtwoordbeleid naar de gewenste configuratie;
6. Wachtwoordgeschiedenis afdwingen – hoeveel wachtwoorden het systeem zal onthouden. Hoeveel unieke wachtwoorden de gebruiker moet gebruiken wanneer hij elke keer het wachtwoord opnieuw instelt;
7. Maximale wachtwoordleeftijd – hoe lang blijft het wachtwoord geldig. Na deze periode gebruiker, wordt gevraagd het wachtwoord opnieuw in te stellen. (U kunt instellen “0" voor "onbeperkt'leeftijd tijd);
8. Minimale wachtwoordleeftijd – de gebruiker kan na deze periode het wachtwoord wijzigen. (U kunt instellen “0" voor "onbeperkt'leeftijd tijd);
9. Minimale wachtwoordlengte – hoe lang zullen uw wachtwoorden zijn, maar niet minder dan deze waarde;
10. Het wachtwoord moet voldoen aan de complexiteitsvereisten – u kunt deze parameter instellen als u zeer sterke wachtwoorden nodig heeft (klein "A" en Groot "A" brieven, cijfers “1” en speciale symbolen “!“);
11. Bewaar wachtwoorden met behulp van omkeerbare codering – standaard niet gebruikt in het domein, alleen als de toepassing dit vereist.
U kunt ook het standaardwachtwoordbeleid bekijken met Windows Powershell:
Get-ADDefaultDomainPasswordPolicy
TIP: Zorg ervoor dat u al uw gebruikers op de hoogte stelt wanneer u dit gaat doen, omdat dit ertoe kan leiden dat ze hun wachtwoord wijzigen de volgende keer dat ze zich aanmelden.
OPMERKING: Zelfs als u het wachtwoordbeleid toepast op de OE “Domeincontrollers”, wordt het wachtwoordbeleid van het domein niet gewijzigd. Voor zover ik weet, dit is de enige uitzondering op de regel over hoe GPO's op objecten van toepassing zijn.