Freigeben über


Kennwort- und Kontosperrrichtlinien für verwaltete Microsoft Entra Domain Services-Domänen

Um die Benutzersicherheit in Microsoft Entra Domain Services zu verwalten, können Sie differenzierte Kennwortrichtlinien definieren, die die Einstellungen für die Kontosperre oder die minimale Kennwortlänge und -komplexität steuern. Eine differenzierte Standardkennwortrichtlinie wird erstellt und auf alle Benutzer*innen in einer verwalteten Domain Services-Domäne angewandt. Um eine differenzierte Steuerung zu gewährleisten und bestimmte Geschäfts- oder Complianceanforderungen zu erfüllen, können zusätzliche Richtlinien erstellt und auf bestimmte Benutzer oder Gruppen angewendet werden.

In diesem Artikel wird das Erstellen und Konfigurieren einer differenzierten Kennwortrichtlinie in Domain Services über das Active Directory Admin Center erläutert.

Hinweis

Kennwortrichtlinien sind nur für verwaltete Domänen verfügbar, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurden.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

Standardeinstellungen von Kennwortrichtlinien

Mit differenzierten Kennwortrichtlinien (FGPP) können Sie bestimmte Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzer in einer Domäne anwenden. Zum Sichern privilegierter Konten können Sie beispielsweise strengere Einstellungen für Kontosperren anwenden als für reguläre Konten, die nicht privilegiert sind. Sie können mehrere FGPPs innerhalb einer verwalteten Domäne erstellen und die Reihenfolge der Priorität festlegen, in der sie auf die Benutzer angewendet werden sollen.

Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln:

Richtlinien werden über die Gruppenzuordnung in einer verwalteten Domäne verteilt. Von Ihnen vorgenommene Änderungen werden bei der nächsten Benutzeranmeldung angewendet. Wenn Sie die Richtlinie ändern, wird ein bereits gesperrtes Benutzerkonto nicht entsperrt.

Kennwortrichtlinien verhalten sich je nachdem, wie das Benutzerkonto erstellt wurde, auf das sie angewendet werden, etwas anders. Es gibt zwei Möglichkeiten, wie ein Benutzerkonto in Domain Services erstellt werden kann:

  • Das Benutzerkonto kann über Microsoft Entra ID synchronisiert werden. Dazu gehören reine Cloudbenutzerkonten, die direkt in Azure erstellt wurden, sowie Hybridbenutzerkonten, die aus einer lokalen AD DS-Umgebung mit Microsoft Entra Connect synchronisiert werden.
    • Der Großteil der Benutzerkonten in Domain Services wird durch den Synchronisierungsprozess von Microsoft Entra ID erstellt.
  • Das Benutzerkonto kann in einer verwalteten Domäne manuell erstellt werden und ist dann in Microsoft Entra ID nicht vorhanden.

Für alle Benutzer*innen (unabhängig davon, wie sie erstellt werden) gelten die folgenden Kontosperrrichtlinien, die von der Standardkennwortrichtlinie in Domain Services angewandt werden:

  • Kontosperrungsdauer: 30
  • Zulässige Anzahl fehlerhafter Anmeldeversuche: 5
  • Anzahl fehlgeschlagener Anmeldeversuche zurücksetzen nach: 2 Minuten
  • Maximales Kennwortalter (Gültigkeitsdauer): 90 Tage

Bei diesen Standardeinstellungen werden Benutzerkonten für 30 Minuten gesperrt, wenn innerhalb von zwei Minuten fünf ungültige Kennwörter verwendet werden. Nach 30 Minuten werden die Konten automatisch wieder entsperrt.

Kontosperrungen erfolgen nur innerhalb der verwalteten Domäne. Benutzerkonten werden nur in Domain Services gesperrt, und zwar nur aufgrund fehlerhafter Anmeldeversuche bei der verwalteten Domäne. Benutzerkonten, die aus Microsoft Entra ID oder lokal synchronisiert wurden, werden nicht in ihren Quellverzeichnissen gesperrt, sondern nur in Domain Services.

Wenn Sie eine Microsoft Entra-Kennwortrichtlinie verwenden, die ein maximales Kennwortalter von mehr als 90 Tagen angibt, wird dieses Kennwortalter auf die Standardrichtlinie in Domain Services angewandt. Sie können eine benutzerdefinierte Kennwortrichtlinie konfigurieren, um ein anderes maximales Kennwortalter in Domain Services zu definieren. Seien Sie vorsichtig, wenn Sie ein kürzeres maximales Kennwortalter in einer Domain Services-Kennwortrichtlinie konfiguriert haben als in Microsoft Entra ID oder einer lokalen AD DS-Umgebung. In diesem Szenario kann das Kennwort von Benutzer*innen in Domain Services ablaufen, bevor sie in Microsoft Entra ID oder einer lokalen AD DS-Umgebung aufgefordert werden, ihr Kennwort zu ändern.

Auf in einer verwalteten Domäne manuell erstellte Benutzerkonten werden auch die folgenden zusätzlichen Kennworteinstellungen aus der Standardrichtlinie angewendet. Diese Einstellungen gelten nicht für Benutzerkonten, die aus Microsoft Entra ID synchronisiert werden, da Benutzer*innen ihr Kennwort nicht direkt in Domain Services aktualisieren können.

  • Minimale Kennwortlänge (Zeichen): 7
  • Kennwörter müssen den Anforderungen an die Komplexität entsprechen

Sie können die Einstellungen für Kontosperrung oder Kennwort nicht in der Standardkennwortrichtlinie ändern. Mitglieder der Gruppe AAD DC-Administratoren können stattdessen benutzerdefinierte Kennwortrichtlinien erstellen und so konfigurieren, dass sie die integrierte Standardrichtlinie außer Kraft setzen, wie im nächsten Abschnitt gezeigt wird.

Erstellen einer benutzerdefinierten Kennwortrichtlinie

Wenn Sie Anwendungen in Azure erstellen und ausführen, sollten Sie eine benutzerdefinierte Kennwortrichtlinie konfigurieren. Beispielsweise können Sie eine Richtlinie erstellen, um unterschiedliche Einstellungen für eine Kontosperrungsrichtlinie festzulegen.

Benutzerdefinierte Kennwortrichtlinien werden auf Gruppen in einer verwalteten Domäne angewendet. Diese Konfiguration überschreibt effektiv die Standardrichtlinie.

Um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, verwenden Sie die Active Directory-Verwaltungstools auf einer in die Domäne eingebundenen VM. Im Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne (einschließlich Organisationseinheiten) anzeigen, bearbeiten und erstellen.

Hinweis

Um eine benutzerdefinierte Kennwortrichtlinie in einer verwalteten Domäne erstellen zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.

  1. Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.

  2. Wählen Sie zum Erstellen und Verwalten von Organisationseinheiten Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.

  3. Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.

  4. Öffnen Sie den Container System und dann den Container Kennworteinstellungen.

    Es wird eine integrierte Kennwortrichtlinie für die verwaltete Domäne angezeigt. Sie können diese integrierte Richtlinie nicht ändern. Erstellen Sie stattdessen eine benutzerdefinierte Kennwortrichtlinie, um die Standardrichtlinie außer Kraft zu setzen.

    Create a password policy in the Active Directory Administrative Center

  5. Wählen Sie im Bereich Tasks auf der rechten Seite Neu > Kennworteinstellungen aus.

  6. Geben Sie im Dialogfeld Kennworteinstellungen erstellen einen Namen für die Richtlinie ein, z. B. MyCustomFGPP.

  7. Wenn mehrere Kennwortrichtlinien vorhanden sind, wird die Richtlinie mit der höchsten Rangfolge oder Priorität auf einen Benutzer angewendet. Je niedriger die Zahl, desto höher die Priorität. Die Standardkennwortrichtlinie weist die Priorität 200 auf.

    Legen Sie die Rangfolge für Ihre benutzerdefinierte Kennwortrichtlinie so fest, dass die Standardeinstellung überschrieben wird, z.B. als 1.

  8. Bearbeiten Sie andere Einstellungen für Kennwortrichtlinien wie gewünscht. Kontosperreinstellungen gelten für alle Benutzer*innen, werden jedoch nur in der verwalteten Domäne und nicht in Microsoft Entra wirksam.

    Create a custom fine-grained password policy

  9. Deaktivieren Sie Vor versehentlichem Löschen schützen. Wenn diese Option aktiviert ist, kann die FGPP nicht gespeichert werden.

  10. Wählen Sie im Abschnitt Direkt anwendbar auf die Schaltfläche Hinzufügen aus. Wählen Sie im Dialogfeld Benutzer oder Gruppen auswählen die Schaltfläche Speicherorte aus.

    Select the users and groups to apply the password policy to

  11. Erweitern Sie im Dialogfeld Speicherorte den Domänennamen (z. B. aaddscontoso.com) und wählen Sie dann eine Organisationseinheit (z. B. AADDC-Benutzer) aus. Wenn Sie über eine benutzerdefinierte Organisationseinheit verfügen, die eine Gruppe von Benutzern enthält, die Sie anwenden möchten, wählen Sie diese Organisationseinheit aus.

    Select the OU that the group belongs to

  12. Geben Sie den Namen des Benutzers oder der Gruppe ein, auf den bzw. die Sie die Richtlinie anwenden möchten. Wählen Sie Namen überprüfen aus, um das Konto zu überprüfen.

    Search for and select the group to apply FGPP

  13. Klicken Sie auf OK, um Ihre benutzerdefinierte Kennwortrichtlinie zu speichern.

Nächste Schritte

Weitere Informationen zu Kennwortrichtlinien und zum Verwenden des Active Directory-Verwaltungscenters finden Sie in den folgenden Artikeln: