Het beheren van wachtwoordbeleid in Active Directory is niet bepaald hogere wiskunde, maar soms voelt het alsof Windows er een paar extra puzzels in heeft gegooid om je scherp te houden. Als gebruikers problemen ondervinden met het resetten van wachtwoorden, of als je de beveiliging wilt verbeteren zonder constant te worden buitengesloten, is het essentieel om dit beleid te begrijpen en aan te passen. Deze handleiding beschrijft een aantal beproefde methoden voor het instellen, controleren en beheren van je AD-wachtwoordregels. Want laten we eerlijk zijn, een sterk wachtwoordbeleid houdt hackers op afstand en systeembeheerders gemoedsrust.
Hoe u Active Directory-wachtwoordbeleid kunt herstellen zodat het wél werkt
De wachtwoordinstellingen configureren in het standaarddomeinbeleid.
Meestal worden wachtwoordinstellingen beheerd via het standaard domeinbeleid. U hebt toegang nodig tot de Group Policy Management Console ( gpmc.msc ) – een beheertool die standaard op de meeste servers is geïnstalleerd. Als deze er niet is, moet u mogelijk de Group Policy Management-functie installeren. Zodra u deze hebt geopend:
- Ga naar Forest > Domeinen > uw domeinnaam.
- Klik met de rechtermuisknop op Standaard domeinbeleid en selecteer Bewerken.
Ga vervolgens naar:
Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password PolicyHier gebeurt de magie. Je ziet zes belangrijke instellingen, zoals minimale lengte, complexiteit en wachtwoordgeschiedenis. Om deze aan te passen, dubbelklik je erop en stel je de opties in. Als je bijvoorbeeld wilt dat wachtwoorden minimaal 8 tekens lang zijn, stel je de minimale wachtwoordlengte in op 8. Vergeet niet dat je na het aanbrengen van wijzigingen een groepsbeleidsupdate op je domeincontrollers moet afdwingen met:
gpupdate /forceIn sommige configuraties kan het even duren voordat de nieuwe instellingen zijn doorgevoerd. Een herstart of een vernieuwing van het groepsbeleid op de clientcomputers kan dit proces versnellen. Zodra de instellingen zijn bijgewerkt, moeten alle gebruikers zich aan de nieuwe regels houden.
Inzicht in wachtwoordbeleidsinstellingen in Active Directory
De zes belangrijkste instellingen bepalen hoe sterk wachtwoorden moeten zijn en hoe vaak gebruikers ze wijzigen. Hieronder wordt uitgelegd wat elke instelling doet:
- Wachtwoordgeschiedenis afdwingen : Voorkomt dat gebruikers oude wachtwoorden hergebruiken. Standaard worden de 24 voorgaande wachtwoorden onthouden, zodat gebruikers geen recente wachtwoorden opnieuw kunnen gebruiken.
- Maximale wachtwoordleeftijd : Hoe vaak wachtwoorden verlopen — bijvoorbeeld standaard elke 42 dagen. Wanneer deze termijn is bereikt, vraagt Windows om een nieuw wachtwoord.
- Minimale wachtwoordlengte : Stelt een lengte vast, meestal 8 tekens, om extreem zwakke wachtwoorden te voorkomen.
- Minimale wachtwoordleeftijd : Hoe snel gebruikers hun wachtwoord opnieuw kunnen wijzigen. Dit voorkomt dat mensen in snel tempo wachtwoorden veranderen om het systeem te omzeilen.
- Wachtwoorden moeten aan complexiteitseisen voldoen : wachtwoorden moeten cijfers, hoofdletters, kleine letters en speciale tekens bevatten. Dit helpt wachtwoorden die gebaseerd zijn op een woordenboek te blokkeren.
- Wachtwoorden opslaan met omkeerbare versleuteling : Meestal uitgeschakeld, want wie wil er nu wachtwoorden opslaan op een manier die makkelijk te onderscheppen is door malware of hackers?
Wanneer een gebruiker een zwak of niet-conform wachtwoord probeert in te stellen, krijgt hij of zij een melding zoals: “Het wachtwoord kan niet worden bijgewerkt. De opgegeven waarde voor het nieuwe wachtwoord voldoet niet aan de lengte-, complexiteits- of geschiedenisvereisten van het domein.”
Standaard zien de beleidsinstellingen er doorgaans als volgt uit:
| Beleid | Standaardwaarde |
| Wachtwoordgeschiedenis afdwingen | 24 wachtwoorden |
| Maximale wachtwoordleeftijd | 42 dagen |
| Minimum wachtwoordleeftijd | 1 dag |
| Minimale wachtwoordlengte | 7 |
| Het wachtwoord moet aan de complexiteitseisen voldoen. | Ingeschakeld |
| Bewaar wachtwoorden met behulp van omkeerbare versleuteling. | Gehandicapt |
PowerShell gebruiken om wachtwoordbeleid te bekijken en te wijzigen
Ben je meer een commandoregeltype? Dan is PowerShell je beste vriend. De Get-ADDefaultDomainPasswordPolicycmdlet is erg handig om de huidige instellingen te controleren:
Get-ADDefaultDomainPasswordPolicyDit geeft het huidige beleid weer, zoals de maximale leeftijd, de minimale lengte en of complexiteit is ingeschakeld. Als u iets wilt wijzigen – bijvoorbeeld de minimale wachtwoordlengte verhogen naar 10 tekens – kunt u dat doen met:
Set-ADDefaultDomainPasswordPolicy -Identity "yourdomain.com" -MinPasswordLength 10Let op: u moet PowerShell als beheerder uitvoeren met de Active Directory-module geïmporteerd. Soms net accountsgeeft het uitvoeren via de opdrachtprompt een snel overzicht van lokaal wachtwoordbeleid, maar voor domeinbrede zaken zijn PowerShell of GPMC beter geschikt.
Gedetailleerde wachtwoordbeleidsregels (FGPP) — Omdat één maat niet voor iedereen geschikt is
En nu wordt het interessant. Standaard GPO’s passen één beleid toe op het hele domein. Als u verschillende regels wilt voor verschillende groepen – bijvoorbeeld strengere regels voor beheerders of soepelere regels voor externe medewerkers – moet u gebruikmaken van gedetailleerde wachtwoordbeleidsregels ( meer informatie hier ).
Om dit in te stellen:
- Open het Active Directory-beheercentrum (voer het commando uit
dsac.exe). - Ga naar Systeem > Container voor wachtwoordinstellingen.
- Maak een nieuw object voor wachtwoordinstellingen aan en wijs dit toe aan specifieke gebruikers of groepen.
Controleer met dit commando welke beleidsregels op een gebruiker van toepassing zijn Get-ADUserResultantPasswordPolicy -Identity username. Opmerkelijk genoeg laat dit commando zien welke beleidsregels daadwerkelijk op hen van toepassing zijn op basis van de verschillende FGPP’s.
En zoals altijd kan het even duren voordat sommige instellingen effect hebben. Herstart de computer, voer het commando uit gpupdate /forceof wacht gewoon op de volgende domeinreplicatiecyclus. Want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig.
Samenvatting
Inmiddels zouden die wachtwoordregels een stuk duidelijker en beter beheersbaar moeten zijn. Of het nu via de grafische gebruikersinterface, PowerShell of door het verfijnen van regels voor verschillende groepen is, het is cruciaal om ervoor te zorgen dat wachtwoorden geen lachertje zijn. Houd er wel rekening mee dat het draait om de juiste balans tussen beveiliging en gebruiksgemak. Sterke wachtwoorden zijn nutteloos als gebruikers ze direct vergeten zodra ze het kantoor verlaten.
Samenvatting
- Controleer en pas uw AD-wachtwoordbeleid aan met gpmc.msc of PowerShell, net wat u het prettigst vindt.
- Vergeet niet om de GPO’s bij te werken om
gpupdate /forcede wijzigingen door te voeren. - Gebruik gedetailleerde wachtwoordbeleidsregels als u verschillende instellingen nodig hebt voor verschillende groepen.
- Test de nieuwe instellingen eerst met een of twee gebruikersaccounts voordat je ze breed uitrolt.
Laten we hopen dat dit helpt.
Het beheren van wachtwoordbeleid in Active Directory is niet altijd even eenvoudig, maar met de juiste aanpassingen is het zeker te doen. Hopelijk bespaart deze korte handleiding iemand urenlang puzzelen met standaardinstellingen of het correct instellen ervan. Veel succes en blijf veilig!