Die Verwaltung von Passwortrichtlinien in Active Directory ist zwar keine Raketenwissenschaft, aber manchmal hat man das Gefühl, Windows hätte extra ein paar zusätzliche Rätsel eingebaut, um einen auf Trab zu halten. Wenn Benutzer Probleme mit dem Zurücksetzen von Passwörtern haben oder Sie einfach die Sicherheit erhöhen möchten, ohne ständig ausgesperrt zu werden, ist das Verständnis und die Anpassung dieser Richtlinien entscheidend. Dieser Leitfaden stellt Ihnen bewährte Methoden zum Festlegen, Überprüfen und Verwalten Ihrer AD-Passwortregeln vor – denn seien wir ehrlich: Eine starke Passwortrichtlinie hält Hacker fern und schont die Systemadministratoren.
Wie man Active Directory-Kennwortrichtlinien so repariert, dass sie tatsächlich funktionieren
Konfigurieren der Kennworteinstellungen in der Standarddomänenrichtlinie
In den meisten Fällen werden Kennworteinstellungen über die Standarddomänenrichtlinie gesteuert. Sie benötigen Zugriff auf die Gruppenrichtlinienverwaltungskonsole ( gpmc.msc ) – ein Verwaltungstool, das auf den meisten Servern standardmäßig installiert ist. Falls es nicht vorhanden ist, müssen Sie möglicherweise die Gruppenrichtlinienverwaltung installieren. Sobald Sie diese geöffnet haben:
- Navigieren Sie zu Gesamtstruktur > Domänen > Ihr Domänenname.
- Klicken Sie mit der rechten Maustaste auf „Standarddomänenrichtlinie“ und wählen Sie „Bearbeiten“.
Von dort aus geht es weiter zu:
Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
Hier geschieht die Magie. Sie sehen sechs wichtige Einstellungen, wie Mindestlänge, Komplexität und Passwortverlauf. Um diese anzupassen, doppelklicken Sie einfach darauf und legen Sie die gewünschten Optionen fest. Wenn Passwörter beispielsweise mindestens 8 Zeichen lang sein sollen, stellen Sie die Mindestpasswortlänge auf 8 ein. Denken Sie daran, dass Sie nach der Änderung eine Aktualisierung der Gruppenrichtlinie auf Ihren Domänencontrollern erzwingen müssen:
gpupdate /force
Bei manchen Konfigurationen kann es etwas dauern, bis die neuen Einstellungen wirksam werden. Ein Neustart oder eine Aktualisierung der Gruppenrichtlinien auf den Client-Rechnern kann diesen Vorgang beschleunigen. Nach der Aktualisierung müssen sich alle Benutzer an die neuen Regeln halten.
Verständnis der Kennwortrichtlinieneinstellungen in AD
Die sechs Haupteinstellungen steuern, wie sicher Passwörter sein müssen und wie oft Benutzer sie ändern müssen. Hier ist die Funktion jeder einzelnen Einstellung:
- Passwortverlauf erzwingen : Verhindert die Wiederverwendung alter Passwörter. Standardmäßig werden die 24 vorherigen Passwörter gespeichert, sodass Benutzer die zuletzt verwendeten Passwörter nicht wiederverwenden können.
- Maximale Gültigkeitsdauer von Passwörtern : Wie oft Passwörter ablaufen – standardmäßig beispielsweise alle 42 Tage. Sobald diese Frist abgelaufen ist, fordert Windows ein neues Passwort an.
- Mindestpasswortlänge : Erzwingt eine Länge von typischerweise 8 Zeichen, um extrem schwache Passwörter zu vermeiden.
- Mindestgültigkeitsdauer von Passwörtern : Wie schnell Benutzer ihr Passwort ändern können. Verhindert, dass Benutzer Passwörter in schneller Folge ändern, um das System auszutricksen.
- Das Passwort muss Komplexitätsanforderungen erfüllen : Es muss Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten. Dadurch werden wörterbuchbasierte Passwörter verhindert.
- Passwörter mit reversibler Verschlüsselung speichern : Normalerweise deaktiviert – denn wer möchte schon, dass Passwörter so gespeichert werden, dass Schadsoftware oder Hacker sie leicht abgreifen können?
Wenn ein Benutzer versucht, ein schwaches oder nicht konformes Passwort festzulegen, erhält er eine Fehlermeldung wie: „Das Passwort konnte nicht aktualisiert werden. Der angegebene Wert für das neue Passwort erfüllt nicht die Längen-, Komplexitäts- oder Verlaufsanforderungen der Domäne.“
Standardmäßig sehen die Richtlinieneinstellungen typischerweise wie folgt aus:
| Politik | Standardwert |
| Passwortverlauf erzwingen | 24 Passwörter |
| Maximales Passwortalter | 42 Tage |
| Mindestalter für Passwörter | 1 Tag |
| Mindestpasswortlänge | 7 |
| Das Passwort muss bestimmte Komplexitätsanforderungen erfüllen. | Ermöglicht |
| Speichern Sie Passwörter mithilfe reversibler Verschlüsselung. | Deaktiviert |
Verwenden von PowerShell zum Anzeigen und Ändern von Kennwortrichtlinien
Wenn Sie lieber mit der Kommandozeile arbeiten, ist PowerShell genau das Richtige für Sie. Das Get-ADDefaultDomainPasswordPolicyCmdlet ist sehr praktisch, um die aktuellen Einstellungen zu überprüfen:
Get-ADDefaultDomainPasswordPolicy
Hier werden die aktuellen Richtlinien angezeigt, z. B.maximales Alter, Mindestlänge und ob die Passwortkomplexität aktiviert ist. Wenn Sie etwas ändern möchten – beispielsweise die Mindestpasswortlänge auf 10 Zeichen erhöhen – können Sie dies mit folgendem Befehl tun:
Set-ADDefaultDomainPasswordPolicy -Identity "yourdomain.com" -MinPasswordLength 10
Hinweis: Sie müssen PowerShell als Administrator mit importiertem Active Directory-Modul ausführen. Die Ausführung net accountsin der Eingabeaufforderung ermöglicht zwar manchmal einen schnellen Überblick über lokale Kennwortrichtlinien, für domänenweite Einstellungen ist PowerShell oder die Gruppenrichtlinienverwaltungskonsole (GPMC) jedoch besser geeignet.
Feingranulare Passwortrichtlinien (FGPP) – Weil eine Einheitslösung nicht für alle passt
Jetzt wird es etwas komplizierter. Standard-Gruppenrichtlinienobjekte (GPOs) wenden eine einzige Richtlinie auf die gesamte Domäne an. Wenn Sie unterschiedliche Regeln für verschiedene Gruppen wünschen – beispielsweise strengere für Administratoren oder weniger strenge für externe Mitarbeiter –, müssen Sie differenzierte Kennwortrichtlinien verwenden ( weitere Informationen finden Sie hier ).
So richten Sie diese ein:
- Öffnen Sie das Active Directory-Verwaltungscenter (führen Sie den Befehl aus
dsac.exe). - Gehen Sie zu System > Passworteinstellungen-Container.
- Erstellen Sie ein neues Kennworteinstellungsobjekt und weisen Sie es bestimmten Benutzern oder Gruppen zu.
Prüfen Sie mit dem Befehl, welche Richtlinien für einen Benutzer gelten Get-ADUserResultantPasswordPolicy -Identity username. Seltsamerweise zeigt dieser Befehl an, was basierend auf den verschiedenen FGPPs tatsächlich für ihn durchgesetzt wird.
Und wie immer kann es bei manchen Einstellungen etwas dauern, bis sie wirksam werden. Starten Sie den Computer neu, führen Sie den Befehl aus gpupdate /forceoder warten Sie einfach den nächsten Domänenreplikationszyklus ab. Denn Windows muss es natürlich unnötig kompliziert machen.
Zusammenfassung
Mittlerweile sollten die Passwortrichtlinien deutlich klarer und einfacher zu handhaben sein. Ob über die grafische Benutzeroberfläche, PowerShell oder durch die Feinabstimmung der Richtlinien für verschiedene Gruppen – es ist entscheidend, dass Passwörter nicht nur als Spielerei betrachtet werden. Denken Sie daran: Es geht darum, Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen. Starke Passwörter sind nutzlos, wenn Benutzer sie nach Verlassen des Büros sofort wieder vergessen.
Zusammenfassung
- Überprüfen und optimieren Sie Ihre AD-Kennwortrichtlinien mit gpmc.msc oder PowerShell – ganz nach Ihren Vorlieben.
- Denken Sie daran, die Gruppenrichtlinienobjekte (GPOs) zu aktualisieren, um
gpupdate /forcedie Änderungen zu übernehmen. - Verwenden Sie fein abgestufte Kennwortrichtlinien, wenn Sie unterschiedliche Einstellungen für verschiedene Gruppen benötigen.
- Testen Sie die neuen Einstellungen zunächst mit ein oder zwei Benutzerkonten, bevor Sie sie flächendeckend einführen.
Ich drücke die Daumen, dass es hilft.
Die Verwaltung von Active Directory-Kennwortrichtlinien ist nicht immer einfach, aber mit den richtigen Einstellungen durchaus machbar. Hoffentlich erspart Ihnen dieser kurze Crashkurs stundenlanges Herumprobieren mit den Standardeinstellungen oder das mühsame Ausprobieren der richtigen Konfiguration. Viel Erfolg und bleiben Sie sicher!