Kennwort- und Kontosperrrichtlinien für verwaltete Microsoft Entra Domain Services-Domänen
Um die Benutzersicherheit in Microsoft Entra Domain Services zu verwalten, können Sie differenzierte Kennwortrichtlinien definieren, die die Einstellungen für die Kontosperre oder die minimale Kennwortlänge und -komplexität steuern. Eine differenzierte Standardkennwortrichtlinie wird erstellt und auf alle Benutzer*innen in einer verwalteten Domain Services-Domäne angewandt. Um eine differenzierte Steuerung zu gewährleisten und bestimmte Geschäfts- oder Complianceanforderungen zu erfüllen, können zusätzliche Richtlinien erstellt und auf bestimmte Benutzer oder Gruppen angewendet werden.
In diesem Artikel wird das Erstellen und Konfigurieren einer differenzierten Kennwortrichtlinie in Domain Services über das Active Directory Admin Center erläutert.
Hinweis
Kennwortrichtlinien sind nur für verwaltete Domänen verfügbar, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurden.
Voraussetzungen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
- Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
- Die verwaltete Domäne muss mit dem Azure Resource Manager-Bereitstellungsmodell erstellt worden sein.
- Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domäne eingebunden ist.
- Führen Sie bei Bedarf das Tutorial zum Erstellen eines virtuellen Verwaltungscomputers aus.
- Ein Benutzerkonto, das Mitglied der Gruppe Microsoft Entra DC-Administratoren in Ihrem Microsoft Entra-Mandanten ist.
Standardeinstellungen von Kennwortrichtlinien
Mit differenzierten Kennwortrichtlinien (FGPP) können Sie bestimmte Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzer in einer Domäne anwenden. Zum Sichern privilegierter Konten können Sie beispielsweise strengere Einstellungen für Kontosperren anwenden als für reguläre Konten, die nicht privilegiert sind. Sie können mehrere FGPPs innerhalb einer verwalteten Domäne erstellen und die Reihenfolge der Priorität festlegen, in der sie auf die Benutzer angewendet werden sollen.
Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln:
- Informationen über differenzierte Kennwortrichtlinien
- Konfigurieren differenzierter Kennwortrichtlinien mit dem Active Directory-Verwaltungscenter
Richtlinien werden über die Gruppenzuordnung in einer verwalteten Domäne verteilt. Von Ihnen vorgenommene Änderungen werden bei der nächsten Benutzeranmeldung angewendet. Wenn Sie die Richtlinie ändern, wird ein bereits gesperrtes Benutzerkonto nicht entsperrt.
Kennwortrichtlinien verhalten sich je nachdem, wie das Benutzerkonto erstellt wurde, auf das sie angewendet werden, etwas anders. Es gibt zwei Möglichkeiten, wie ein Benutzerkonto in Domain Services erstellt werden kann:
- Das Benutzerkonto kann über Microsoft Entra ID synchronisiert werden. Dazu gehören reine Cloudbenutzerkonten, die direkt in Azure erstellt wurden, sowie Hybridbenutzerkonten, die aus einer lokalen AD DS-Umgebung mit Microsoft Entra Connect synchronisiert werden.
- Der Großteil der Benutzerkonten in Domain Services wird durch den Synchronisierungsprozess von Microsoft Entra ID erstellt.
- Das Benutzerkonto kann in einer verwalteten Domäne manuell erstellt werden und ist dann in Microsoft Entra ID nicht vorhanden.
Für alle Benutzer*innen (unabhängig davon, wie sie erstellt werden) gelten die folgenden Kontosperrrichtlinien, die von der Standardkennwortrichtlinie in Domain Services angewandt werden:
- Kontosperrungsdauer: 30
- Zulässige Anzahl fehlerhafter Anmeldeversuche: 5
- Anzahl fehlgeschlagener Anmeldeversuche zurücksetzen nach: 2 Minuten
- Maximales Kennwortalter (Gültigkeitsdauer): 90 Tage
Bei diesen Standardeinstellungen werden Benutzerkonten für 30 Minuten gesperrt, wenn innerhalb von zwei Minuten fünf ungültige Kennwörter verwendet werden. Nach 30 Minuten werden die Konten automatisch wieder entsperrt.
Kontosperrungen erfolgen nur innerhalb der verwalteten Domäne. Benutzerkonten werden nur in Domain Services gesperrt, und zwar nur aufgrund fehlerhafter Anmeldeversuche bei der verwalteten Domäne. Benutzerkonten, die aus Microsoft Entra ID oder lokal synchronisiert wurden, werden nicht in ihren Quellverzeichnissen gesperrt, sondern nur in Domain Services.
Wenn Sie eine Microsoft Entra-Kennwortrichtlinie verwenden, die ein maximales Kennwortalter von mehr als 90 Tagen angibt, wird dieses Kennwortalter auf die Standardrichtlinie in Domain Services angewandt. Sie können eine benutzerdefinierte Kennwortrichtlinie konfigurieren, um ein anderes maximales Kennwortalter in Domain Services zu definieren. Seien Sie vorsichtig, wenn Sie ein kürzeres maximales Kennwortalter in einer Domain Services-Kennwortrichtlinie konfiguriert haben als in Microsoft Entra ID oder einer lokalen AD DS-Umgebung. In diesem Szenario kann das Kennwort von Benutzer*innen in Domain Services ablaufen, bevor sie in Microsoft Entra ID oder einer lokalen AD DS-Umgebung aufgefordert werden, ihr Kennwort zu ändern.
Auf in einer verwalteten Domäne manuell erstellte Benutzerkonten werden auch die folgenden zusätzlichen Kennworteinstellungen aus der Standardrichtlinie angewendet. Diese Einstellungen gelten nicht für Benutzerkonten, die aus Microsoft Entra ID synchronisiert werden, da Benutzer*innen ihr Kennwort nicht direkt in Domain Services aktualisieren können.
- Minimale Kennwortlänge (Zeichen): 7
- Kennwörter müssen den Anforderungen an die Komplexität entsprechen
Sie können die Einstellungen für Kontosperrung oder Kennwort nicht in der Standardkennwortrichtlinie ändern. Mitglieder der Gruppe AAD DC-Administratoren können stattdessen benutzerdefinierte Kennwortrichtlinien erstellen und so konfigurieren, dass sie die integrierte Standardrichtlinie außer Kraft setzen, wie im nächsten Abschnitt gezeigt wird.
Erstellen einer benutzerdefinierten Kennwortrichtlinie
Wenn Sie Anwendungen in Azure erstellen und ausführen, sollten Sie eine benutzerdefinierte Kennwortrichtlinie konfigurieren. Beispielsweise können Sie eine Richtlinie erstellen, um unterschiedliche Einstellungen für eine Kontosperrungsrichtlinie festzulegen.
Benutzerdefinierte Kennwortrichtlinien werden auf Gruppen in einer verwalteten Domäne angewendet. Diese Konfiguration überschreibt effektiv die Standardrichtlinie.
Um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, verwenden Sie die Active Directory-Verwaltungstools auf einer in die Domäne eingebundenen VM. Im Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne (einschließlich Organisationseinheiten) anzeigen, bearbeiten und erstellen.
Hinweis
Um eine benutzerdefinierte Kennwortrichtlinie in einer verwalteten Domäne erstellen zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.
Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.
Wählen Sie zum Erstellen und Verwalten von Organisationseinheiten Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.
Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
Öffnen Sie den Container System und dann den Container Kennworteinstellungen.
Es wird eine integrierte Kennwortrichtlinie für die verwaltete Domäne angezeigt. Sie können diese integrierte Richtlinie nicht ändern. Erstellen Sie stattdessen eine benutzerdefinierte Kennwortrichtlinie, um die Standardrichtlinie außer Kraft zu setzen.
Wählen Sie im Bereich Tasks auf der rechten Seite Neu > Kennworteinstellungen aus.
Geben Sie im Dialogfeld Kennworteinstellungen erstellen einen Namen für die Richtlinie ein, z. B. MyCustomFGPP.
Wenn mehrere Kennwortrichtlinien vorhanden sind, wird die Richtlinie mit der höchsten Rangfolge oder Priorität auf einen Benutzer angewendet. Je niedriger die Zahl, desto höher die Priorität. Die Standardkennwortrichtlinie weist die Priorität 200 auf.
Legen Sie die Rangfolge für Ihre benutzerdefinierte Kennwortrichtlinie so fest, dass die Standardeinstellung überschrieben wird, z.B. als 1.
Bearbeiten Sie andere Einstellungen für Kennwortrichtlinien wie gewünscht. Kontosperreinstellungen gelten für alle Benutzer*innen, werden jedoch nur in der verwalteten Domäne und nicht in Microsoft Entra wirksam.
Deaktivieren Sie Vor versehentlichem Löschen schützen. Wenn diese Option aktiviert ist, kann die FGPP nicht gespeichert werden.
Wählen Sie im Abschnitt Direkt anwendbar auf die Schaltfläche Hinzufügen aus. Wählen Sie im Dialogfeld Benutzer oder Gruppen auswählen die Schaltfläche Speicherorte aus.
Erweitern Sie im Dialogfeld Speicherorte den Domänennamen (z. B. aaddscontoso.com) und wählen Sie dann eine Organisationseinheit (z. B. AADDC-Benutzer) aus. Wenn Sie über eine benutzerdefinierte Organisationseinheit verfügen, die eine Gruppe von Benutzern enthält, die Sie anwenden möchten, wählen Sie diese Organisationseinheit aus.
Geben Sie den Namen des Benutzers oder der Gruppe ein, auf den bzw. die Sie die Richtlinie anwenden möchten. Wählen Sie Namen überprüfen aus, um das Konto zu überprüfen.
Klicken Sie auf OK, um Ihre benutzerdefinierte Kennwortrichtlinie zu speichern.
Nächste Schritte
Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln: