Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit differenzierten Kennwortrichtlinien können Sie unterschiedliche Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen in einer Domäne definieren. Differenzierte Kennwortrichtlinien können verwendet werden, um mehrere Kennwortrichtlinien innerhalb einer einzelnen Domäne anzugeben. Außerdem können auf verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Einschränkungen für Kennwort- und Kontosperrungsrichtlinien angewendet werden. So könnten zum Beispiel für privilegierte Konten strengere Einstellungen und für die Konten der anderen Benutzer weniger strenge Einstellungen gelten.
Differenzierte Kennwortrichtlinien gelten nur für globale Sicherheitsgruppen und Benutzerobjekte. Standardmäßig können differenzierte Kennwortrichtlinien nur von Mitgliedern der Gruppe „Domänen-Admins“ festgelegt werden. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren.
Voraussetzungen
Um differenzierte Kennwortrichtlinien erstellen zu können, müssen folgende Voraussetzungen erfüllt sein:
Die Domänenfunktionsebene muss Windows Server 2012 oder höher sein.
Sie müssen Mitglied der Gruppe „Domänen-Admins“ sein.
Eines der folgenden Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) muss installiert sein:
- Active Directory Administrative Center (ADAC) oder Active Directory-Modul für Windows PowerShell.
Erstellen einer differenzierten Kennwortrichtlinie
Führen Sie die folgenden Schritte aus, um eine neue differenzierte Kennwortrichtlinie zu erstellen:
So erstellen Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:
Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü Extras der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.
Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.
Öffnen Sie im ADAC-Navigationsbereich den Container System, und wählen Sie den Container Kennworteinstellungen aus.
Wählen Sie im Bereich Aufgaben die Option Neu und anschließend Kennworteinstellungen aus.
Nehmen Sie in den Feldern auf der Eigenschaftenseite die gewünschten Eintragungen oder Änderungen vor, ein neues Objekt für Kennworteinstellungen zu erstellen. Die Felder Name und Rangfolge sind erforderlich.
Wählen Sie unter Direkt anwendbar auf die Option Hinzufügen aus, geben Sie den Namen der Gruppe ein, der die differenzierte Kennwortrichtlinie zugeordnet werden soll, und wählen Sie anschließend OK aus.
Wählen Sie "OK" aus, um die Erstellung zu übermitteln.
Anzeigen der resultierenden Richtlinien für einen Benutzer
Führen Sie die folgenden Schritte aus, um die resultierende Richtlinie anzuzeigen, die für einen bestimmten Benutzer gilt:
So zeigen Sie die resultierende, für einen bestimmten Benutzer geltende Richtlinie mithilfe von ADAC an:
Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.
Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.
Navigieren Sie zu dem Benutzer, für den Sie die resultierenden Richtlinieneinstellungen anzeigen möchten.
Wählen Sie im Bereich Aufgaben die Option Resultierende Kennworteinstellungen anzeigen aus.
Überprüfen Sie die Kennworteinstellungsrichtlinie, und wählen Sie dann Abbrechen aus.
Bearbeiten einer differenzierten Kennwortrichtlinie
Gehen Sie zum Bearbeiten einer differenzierten Kennwortrichtlinie wie folgt vor:
So bearbeiten Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:
Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.
Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.
Erweitern Sie im Navigationsbereich von ADAC das Element System und anschließend den Container Kennworteinstellungen.
Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie anschließend im Bereich Aufgaben die Option Eigenschaften aus.
Ändern Sie die gewünschten Einstellungen, und wählen Sie anschließend OK aus.
Löschen einer differenzierten Kennwortrichtlinie
Führen Sie die folgenden Schritte aus, um eine differenzierte Kennwortrichtlinie zu löschen:
So löschen Sie eine differenzierte Kennwortrichtlinie mithilfe von ADAC:
Öffnen Sie das Active Directory-Verwaltungscenter – entweder über das Menü „Extras“ der Server-Manager-Konsole oder durch Ausführen von dsac.exe in einer PowerShell-Sitzung mit erhöhten Rechten.
Sollte die passende Zieldomäne nicht ausgewählt sein, wählen Sie Verwalten > Navigationsknoten hinzufügen aus. Wählen Sie dann im Dialogfeld Navigationsknoten hinzufügen die passende Zieldomäne und anschließend OK aus.
Erweitern Sie im ADAC-Navigationsbereich das Element System und anschließend den Container Kennworteinstellungen.
Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie entfernen möchten, und wählen Sie anschließend im Bereich Aufgaben die Option Eigenschaften aus.
Deaktivieren Sie das Kontrollkästchen Vor zufälligem Löschen schützen, und wählen Sie OK aus.
Wählen Sie die differenzierte Kennwortrichtlinie und anschließend im Bereich Aufgaben die Option Löschen aus.
Wählen Sie im Bestätigungsdialogfeld die Option OK aus, um die Richtlinie zu löschen.