Managed Service Accounts

Active Directory - verwaltete Dienstkonten in der Praxis

20.08.2012
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Kennwortrichtlinien und sichere Kennwörter im Active Directory

Die Kennwortrichtlinie in Active Directory steuern Sie mit der Gruppenrichtlinienverwaltung. Sie haben dazu verschiedene Möglichkeiten. Navigieren Sie in der Richtlinie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien.

Auf Nummer sicher: Die Kennwortrichtlinie steuern Sie mit der Gruppenrichtlinienverwaltung.
Auf Nummer sicher: Die Kennwortrichtlinie steuern Sie mit der Gruppenrichtlinienverwaltung.

Geben Sie für diese Einstellungen jeweils die Option Diese Richtlinieneinstellung definieren und die empfohlenen Werte für sichere Kennwörter ein. In Windows Server 2008 R2 gibt es sechs Einstellungen, die Sie zur Konfiguration von sicheren Kennwörtern verwenden können:

Kennwort muss Komplexitätsvoraussetzungen entsprechen. Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Microsoft empfiehlt, diese Einstellung zu aktivieren. Wenn Sie die Komplexitätsvoraussetzungen für Kennwörter aktivieren, sollten Sie vorher am besten eine E-Mail an alle Mitarbeiter schicken und diese darüber informieren, wie künftig die Kennwörter aufgebaut werden sollen. Dieser Hinweis kann im Intranet hinterlegt werden. Das Kennwort darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:

Großbuchstaben (A bis Z)

Ziffern (0 bis 9)

Sonderzeichen (zum Beispiel !, &, /, %)

Unicodezeichen (€, @, ®)

Kennwortchronik erzwingen. Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert werden sollen, die bisher bereits durch einen Anwender verwendet wurden. Wenn Sie diese Option wie empfohlen auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.

Kennwörter mit umkehrbarer Verschlüsselung speichern. Bei dieser Option werden die Kennwörter so gespeichert, dass die Administratoren sie auslesen können. Diese Option sollte nur verwendet werden, wenn bestimmte Applikationen für Single-Sign-On das benötigen. Ansonsten sollten Sie diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und auf Deaktiviert setzen.

Maximales Kennwortalter. Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss. Microsoft empfiehlt, Kennwörter für 42 Tage zu verwenden und erst danach eine Änderung durchzuführen. Diese Einstellung kann SharePoint auslesen und rechtzeitig vorher das Kennwort ändern.

Minimale Kennwortlänge. Hier wird festgelegt, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.

Minimales Kennwortalter. Hier wird festgelegt, wann ein Kennwort frühestens geändert werden darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2. (TecChannel/ph)