Windows Server 2012 R2: Kennwörter per Richtlinien regeln

Windows Server 2012 R2 bringt in Sachen Kennwörter und Gruppenrichtlinien einige Neuerungen mit. Dieser Praxisbeitrag widmet sich detailliert den Einstellungen für entsprechende Vorgaben.
Bildergalerie
Funktioniert mit: Windows Server 2012 R2
Foto: 360b_shutterstock

03Einstellungen festlegen

Im ersten Schritt geben Sie einen Namen für die Einstellung ein und legen danach die notwendigen Einstellungen fest:

Kennwort muss Komplexitätsvoraussetzungen entsprechen - Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Es darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein:

o Großbuchstaben (A bis Z)

o Klein geschriebene Buchstaben (a bis z)

o Ziffern (0 bis 9)

o Sonderzeichen (zum Beispiel !, &, /, %)

o Unicodezeichen (€, @, ®)

Kennwortchronik erzwingen - Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert bleiben sollen, die ein Anwender bisher bereits verwendet hat. Wenn Sie diese Option, wie empfohlen, auf 24 setzen, darf sich ein Kennwort erst nach 24 Änderungen wiederholen.

Kennwörter mit umkehrbarer Verschlüsselung speichern - Bei dieser Option speichert Windows die Kennwörter so, dass die Administratoren sie auslesen können. Sie sollten diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und diese auf Deaktiviert setzen.

Maximales Kennwortalter - Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss.

Minimale Kennwortlänge - Der Wert bestimmt, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen.

Minimales Kennwortalter - Hier steuern Sie, wann ein Anwender ein Kennwort frühestens ändern darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2.

Außerdem steuern Sie über das Active Directory die Kontosperrungsrichtlinie. Auch hier stehen Ihnen verschiedene Möglichkeiten offen. Haben Sie festlegt, welche Einstellungen Sie nutzen wollen, weisen Sie der Richtlinie im unteren Bereich eine Benutzergruppe zu. Künftig müssen Benutzer in dieser Gruppe die fixen Einstellungen nutzen.