Windows Server 2012 R2: Kennwörter per Richtlinien regeln

Windows Server 2012 R2 bringt in Sachen Kennwörter und Gruppenrichtlinien einige Neuerungen mit. Dieser Praxisbeitrag widmet sich detailliert den Einstellungen für entsprechende Vorgaben.
Bildergalerie
Vorkenntnisse:
Funktioniert mit: Windows Server 2012 R2
Foto: 360b_shutterstock

01Kennwortregeln nutzen

Vor Windows Server 2008 konnten Gruppenrichtlinien zum Steuern von Kennwörtern nur für einzelne Domänen zentral gesetzt werden. Ab Windows Server 2008 sind auch mehrere Kennwortregeln möglich. Allerdings war die Verwaltung extrem umständlich. In den Verwaltungs-Tools von Windows 8/8.1 und Windows Server 2012/2012 R2 ist jetzt die Verwendung mehrerer Richtlinien explizit vorgesehen, und die Verwaltung wurde erleichtert.

In Windows Server 2008 mussten Sie die Richtlinien mit ADSI-Edit oder ldifde.exe setzen, die Konfiguration im Gruppenrichtlinieneditor war nicht möglich. Wichtig ist außerdem, dass Sie die Funktionsebene der Domäne auf Windows Server 2008 setzen. Microsoft beschreibt diese Vorgänge im TechNet. Sie können für die Konfiguration in diesem Zusammenhang auch das Tool Specops Password Policy Basic nutzen.

In Domänen mit Windows Server 2012/2012 R2 können Administratoren jetzt effizient verschiedene Vorgaben nutzen, um zu bestimmen welche Kennwortgrundlagen die einzelnen Anwender nutzen sollen. So kann man beispielsweise festlegen, dass Benutzer, die mit besonders heiklen Daten arbeiten, kompliziertere Kennwörter nutzen als Anwender mit weniger wichtigen Daten.

Sie können in Windows Server 2012/2012 R2 weiterhin die Einstellungen für die komplette Domäne vorgeben, indem Sie die Default Domain Policy nutzen, oder Sie geben die Einstellungen über das Active-Directory-Verwaltungscenter vor. In der Default Domain Policy finden Sie die Einstellungen. Navigieren Sie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien. Wie Sie das Active-Directory-Verwaltungscenter zur Einstellung nutzen, zeigen wir Ihnen nachfolgend.

02Gruppenrichtlinien für Kennwörter steuern

Gruppenrichtlinien, die Einstellungen für Kennwörter vorgeben, behandelt Windows anders als andere Einstellungen, die Sie in den Richtlinien setzen. Daher reicht es nicht einfach aus, wenn Sie Kennworteinstellungen vornehmen und diese dann einzelnen Organisationseinheiten zuordnen.

Zentrale: Im Active-Directory-Verwaltungscenter können Sie Richtlinien für Kennwörter vorgeben.
Zentrale: Im Active-Directory-Verwaltungscenter können Sie Richtlinien für Kennwörter vorgeben.

In Windows Server 2012/2012 R2 und Windows 8/8.1 nehmen Sie diese Einstellungen im Active-Directory-Verwaltungscenter vor. Sie können daher die Einstellungen auf den Domänencontrollern oder auf Arbeitsstationen durchführen, auf denen Sie die Remoteserver-Verwaltungstools für Windows 8 installiert haben. Arbeiten Sie mit Windows Server 2012 R2 und Windows 8.1, dann brauchen Sie die RSAT für Windows 8.1 (http://www.microsoft.com/de-de/download/details.aspx?id=39296).

Wenn das Active-Directory-Verwaltungscenter gestartet wurde, finden Sie die Möglichkeit zur Steuerung der Kennwortrichtlinien über <Domäne>\System\Password Settings Container. Haben Sie den Container geöffnet, erstellen Sie mit Neu\Kennworteinstellungen eine neue Kennworteinstellung. Hier haben Sie verschiedene Möglichkeiten, die wir nachfolgend erläutern.