O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Lektion 2: Verwalten der Netzwerkauthentifizierung 141
Lektion 2: Verwalten der Netzwerkauthentifizierung
In gut abgesicherten Umgebungen müssen Clients nicht nur Anmeldeinformationen zur
Authentifizierung angeben, bevor sie auf Netzwerkdienste zugreifen und zum Beispiel frei-
gegebene Ordner oder Drucker benutzen können, Anmeldeinformationen müssen auch an
Switches übermittelt werden, bevor der Zugang zum Netzwerk gestattet wird. Zu den An-
meldeinformationen können digitale Zertifikate gehören, wie sie zum Beispiel auf Smart-
cards zu finden sind oder in anderer Form für Benutzer- und Computerkonten ausgestellt
werden. Es ist auch möglich, herkömmliche Benutzernamen und Kennwörter zu verwenden.
Wenn Sie in Ihrer Umgebung mit Benutzernamen und Kennwörtern arbeiten, sollten Sie
dafür sorgen, dass strenge Kennwortrichtlinien gelten und dass Benutzer ihre Kennwörter
regelmäßig ändern.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
Verwalten der LAN-Authentifizierung mit NTLMv2 und Kerberos
Verwalten der WLAN-Authentifizierung mit 802.1x
Veranschlagte Zeit für diese Lektion: 40 Minuten
Konfigurieren von Kennwortrichtlinien
Die Eigenschaften von Benutzerkennwörtern in Ihrer Windows Server 2008-Active Direc-
tory-Umgebung können Sie mit Kennwortrichtlinien festlegen. Die Grundmenge der Kenn-
wortrichtlinien finden Sie im Knoten Computerkonfiguration\Richtlinien\Windows-Ein-
stellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien eines Gruppen-
richtlinienobjekts (Group Policy Object, GPO). Abbildung 3.20 zeigt, welche Richtlinien
in diesem Knoten enthalten sind.
Abbildung 3.20 Kennwortrichtlinien
Kennwortrichtlinien werden im Standarddomänen-GPO festgelegt. In einer Domäne gilt nur
ein Satz dieser Kennwortrichtlinien. Eine Ausnahme stellen abgestimmte Kennwortricht-
linien dar, die im Verlauf dieser Lektion noch besprochen werden. Kennwortrichtlinien
kontrollieren folgende Einstellungen:
142 Kapitel 3: Konfiguration des Netzwerkzugriffs
Kennwortchronik erzwingen Diese Richtlinie legt fest, wie viele der bisherigen
Kennwörter eines Benutzers in AD DS gespeichert werden. Mit dieser Richtlinie kön-
nen Sie Benutzer daran hindern, immer wieder dieselbe kurze Liste von Kennwörtern
zu verwenden. Standardmäßig werden die letzten 24 Kennwörter gespeichert.
Maximales Kennwortalter Diese Richtlinie legt fest, wie lange ein Benutzer das-
selbe Kennwort verwenden kann. Die Standardeinstellung beträgt 42 Tage. Die Richt-
linie wird unwirksam, wenn Sie in den Eigenschaften eines Active Directory-Kontos
festlegen, dass ein Kennwort nie abläuft.
Minimales Kennwortalter Diese Richtlinie legt fest, wie lange ein Benutzer ein
Kennwort verwenden muss, bevor er oder sie es ändern kann. Diese Richtlinie verhin-
dert, das Benutzer beim Ablauf ihres Kennworts ihre Kennwortliste abarbeiten und
dann wieder das alte Kennwort festlegen. Sie hindert einen Benutzer zum Beispiel da-
ran, sein Kennwort alle 42 Tage 25 mal hintereinander zu ändern, damit er wieder zum
alten Kennwort zurückkehren kann. Die Standardeinstellung zwingt den Benutzer nach
einer Kennwortänderung dazu, bis zur nächsten Kennwortänderung einen Tag zu war-
ten.
Minimale Kennwortlänge Diese Richtlinie legt die Mindestlänge eines Kennworts
fest, das in einer Active Directory-Umgebung festgelegt werden kann. Nach der Stan-
dardeinstellung muss ein Kennwort aus mindestens 7 Zeichen bestehen.
Kennwort muss Komplexitätsvoraussetzungen entsprechen Diese Richtlinie ist
standardmäßig aktiviert und schreibt vor, dass alle Kennwörter mindestens 6 Zeichen
lang sein müssen, keinen Teil des Benutzer- oder Kontonamens enthalten dürfen und
dass die Zeichen aus mindestens drei der folgenden Zeichengruppen stammen: Groß-
buchstaben, Kleinbuchstaben, Ziffern und bestimmte nichtalphanumerische Zeichen
(wie !, $, # und %).
Kennwörter mit umkehrbarer Verschlüsselung speichern Diese Richtlinie legt
fest, ob das Betriebssystem Kennwörter mit umkehrbarer Verschlüsselung speichern
darf. Sie ist nur für ältere Anwendungen und Authentifizierungsprotokolle erforderlich.
Die Aktivierung dieser Richtlinie führt allerdings zu einer deutlichen Abschwächung
der Sicherheit der Kennwörter. Standardmäßig ist diese Richtlinie daher nicht aktiviert.
Kennwortrichtlinien wirken nur während der Änderung von Kennwörtern. Wenn Sie wollen,
dass eine neue Kennwortrichtlinie sofort wirksam wird, müssen Sie die Benutzer dazu zwin-
gen, ihre Kennwörter zu ändern. Mit einem entsprechenden Microsoft PowerShell-Skript
können Sie alle Benutzer aus einer Organisationseinheit (Organizational Unit, OU) dazu
zwingen, ihre Kennwörter zu ändern. Wird zum Beispiel das folgende PowerShell-Skript mit
hinreichend hohen Rechten ausgeführt, zwingt es jeden Benutzer aus der Organisationsein-
heit Management der Domäne contoso.internal, bei der nächsten Anmeldung sein Kennwort
zu ändern.
Set objOU = GetObject("LDAP://ou=Management,dc=contoso,dc=internal")
objOU.Filter = Array("user")
For Each objUser in objOU
objUser.pwdLastSet = 0
objUser.SetInfo
Next

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required