Konfigurieren differenzierter Kennwortrichtlinien für Active Directory Domain Services

Mit differenzierten Kennwortrichtlinien können Sie unterschiedliche Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen in einer Domäne definieren. Differenzierte Kennwortrichtlinien können verwendet werden, um mehrere Kennwortrichtlinien innerhalb einer einzelnen Domäne anzugeben. Außerdem können auf verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Einschränkungen für Kennwort- und Kontosperrungsrichtlinien angewendet werden. So könnten zum Beispiel für privilegierte Konten strengere Einstellungen und für die Konten der anderen Benutzer weniger strenge Einstellungen gelten.

Differenzierte Kennwortrichtlinien gelten nur für globale Sicherheitsgruppen und Benutzerobjekte. Standardmäßig können differenzierte Kennwortrichtlinien nur von Mitgliedern der Gruppe „Domänen-Admins“ festgelegt werden. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren.

Voraussetzungen

Um differenzierte Kennwortrichtlinien erstellen zu können, müssen folgende Voraussetzungen erfüllt sein:

• Die Domänenfunktionsebene muss Windows Server 2012 oder höher sein.

• Sie müssen Mitglied der Gruppe „Domänen-Admins“ sein.

• Eines der folgenden Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) muss installiert sein:

  • Active Directory Administrative Center (ADAC) oder Active Directory-Modul für Windows PowerShell.

Erstellen einer differenzierten Kennwortrichtlinie

Führen Sie die folgenden Schritte aus, um eine neue differenzierte Kennwortrichtlinie zu erstellen:

Active Directory-Verwaltungscenter

So erstellen Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:

1. Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü Extras der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.

2. Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.

3. Öffnen Sie im ADAC-Navigationsbereich den Container System, und wählen Sie den Container Kennworteinstellungen aus.

4. Wählen Sie im Bereich Aufgaben die Option Neu und anschließend Kennworteinstellungen aus.

5. Nehmen Sie in den Feldern auf der Eigenschaftenseite die gewünschten Eintragungen oder Änderungen vor, ein neues Objekt für Kennworteinstellungen zu erstellen. Die Felder Name und Rangfolge sind erforderlich.

6. Wählen Sie unter Direkt anwendbar auf die Option Hinzufügen aus, geben Sie den Namen der Gruppe ein, der die differenzierte Kennwortrichtlinie zugeordnet werden soll, und wählen Sie anschließend OK aus.

7. Wählen Sie "OK" aus, um die Erstellung zu übermitteln.

PowerShell

So erstellen Sie eine differenzierte Kennwortrichtlinie mithilfe des Cmdlets New-ADFineGrainedPasswordPolicy:

1. Klicken Sie zum Öffnen einer PowerShell-Sitzung mit erhöhten Rechten mit der rechten Maustaste auf die Schaltfläche Start, und wählen Sie Windows PowerShell (Admin) aus.

2. Im folgenden Beispiel wird eine differenzierte Kennwortrichtlinie mit dem Namen PasswordPolicy erstellt. Passen Sie die Einstellungen nach Bedarf an, und führen Sie den folgenden Befehl aus:

   $policyParams = @{
       Name = "PasswordPolicy"
       ComplexityEnabled = $true
       LockoutDuration = "00:30:00"
       LockoutObservationWindow = "00:30:00"
       LockoutThreshold = "0"
       MaxPasswordAge = "42.00:00:00"
       MinPasswordAge = "1.00:00:00"
       MinPasswordLength = "7"
       PasswordHistoryCount = "24"
       Precedence = "1"
       ReversibleEncryptionEnabled = $false
       ProtectedFromAccidentalDeletion = $true
   }
   
   New-ADFineGrainedPasswordPolicy @policyParams
   

3. Weisen Sie die neue Richtlinie mithilfe des Cmdlets Add-ADFineGrainedPasswordPolicySubject einer Gruppe zu. Führen Sie also beispielsweise den folgenden Befehl aus, um die Richtlinie PasswordPolicy der Gruppe group1 zuzuweisen:

   Add-ADFineGrainedPasswordPolicySubject PasswordPolicy -Subjects group1
   

Anzeigen der resultierenden Richtlinien für einen Benutzer

Führen Sie die folgenden Schritte aus, um die resultierende Richtlinie anzuzeigen, die für einen bestimmten Benutzer gilt:

Active Directory-Verwaltungscenter

So zeigen Sie die resultierende, für einen bestimmten Benutzer geltende Richtlinie mithilfe von ADAC an:

1. Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.

2. Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.

3. Navigieren Sie zu dem Benutzer, für den Sie die resultierenden Richtlinieneinstellungen anzeigen möchten.

4. Wählen Sie im Bereich Aufgaben die Option Resultierende Kennworteinstellungen anzeigen aus.

5. Überprüfen Sie die Kennworteinstellungsrichtlinie, und wählen Sie dann Abbrechen aus.

PowerShell

So zeigen Sie die für einen bestimmten Benutzer geltende Richtlinie mithilfe des Cmdlets Get-ADUserResultantPasswordPolicy an:

1. Klicken Sie zum Öffnen einer PowerShell-Sitzung mit erhöhten Rechten mit der rechten Maustaste auf die Schaltfläche Start, und wählen Sie Windows PowerShell (Admin) aus.

2. Mithilfe des folgenden Befehls wird die resultierende Richtlinie für user1 angezeigt. Ersetzen Sie user1 durch den gewünschten Benutzer.

   Get-ADUserResultantPasswordPolicy -Identity test1
   

Bearbeiten einer differenzierten Kennwortrichtlinie

Gehen Sie zum Bearbeiten einer differenzierten Kennwortrichtlinie wie folgt vor:

Active Directory-Verwaltungscenter

So bearbeiten Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:

1. Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.

2. Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.

3. Erweitern Sie im Navigationsbereich von ADAC das Element System und anschließend den Container Kennworteinstellungen.

4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie anschließend im Bereich Aufgaben die Option Eigenschaften aus.

5. Ändern Sie die gewünschten Einstellungen, und wählen Sie anschließend OK aus.

PowerShell

So ändern Sie eine bereits vorhandene Richtlinie mithilfe des Cmdlets Set-ADFineGrainedPasswordPolicy:

1. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten, klicken Sie mit der rechten Maustaste auf die Schaltfläche " Start ". Wählen Sie Windows PowerShell (Administrator) aus.

2. Mithilfe des folgenden Befehls wird die Kennwortverlaufseinstellung der Richtlinie PasswordPolicy geändert. Ersetzen Sie PasswordPolicy durch den Namen der gewünschten Richtlinie.

   Set-ADFineGrainedPasswordPolicy PasswordPolicy -PasswordHistoryCount:"30"
   

3. Andere Einstellungen können auf die gleiche Weise geändert werden. Weitere Informationen finden Sie im Referenzartikel zu „Set-ADFineGrainedPasswordPolicy“.

Löschen einer differenzierten Kennwortrichtlinie

Führen Sie die folgenden Schritte aus, um eine differenzierte Kennwortrichtlinie zu löschen:

Active Directory-Verwaltungscenter

So löschen Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:

1. Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.

2. Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.

3. Erweitern Sie im ADAC-Navigationsbereich das Element System und anschließend den Container Kennworteinstellungen.

4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie entfernen möchten, und wählen Sie anschließend im Bereich Aufgaben die Option Eigenschaften aus.

5. Deaktivieren Sie das Kontrollkästchen Vor zufälligem Löschen schützen, und wählen Sie OK aus.

6. Wählen Sie die differenzierte Kennwortrichtlinie und anschließend im Bereich Aufgaben die Option Löschen aus.

7. Wählen Sie im Bestätigungsdialogfeld die Option OK aus, um die Richtlinie zu löschen.

PowerShell

So löschen Sie eine differenzierte Kennwortrichtlinie mithilfe des Cmdlets Remove-ADFineGrainedPasswordPolicy:

1. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf die Schaltfläche Start klicken und Windows PowerShell (Administrator) auswählen.

2. Führen Sie den folgenden Befehl aus, um den Löschschutz aus der Richtlinie zu entfernen. Ersetzen Sie PasswordPolicy durch den Namen der gewünschten Richtlinie.

   Set-ADFineGrainedPasswordPolicy -Identity PasswordPolicy -ProtectedFromAccidentalDeletion $False
   

3. Führen Sie den folgenden Befehl aus, um die Richtlinie zu entfernen. Ersetzen Sie PasswordPolicy durch den Namen der gewünschten Richtlinie.

   Remove-ADFineGrainedPasswordPolicy PasswordPolicy