Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Grundlegendes zu AWS verwalteten Microsoft AD-Kennwortrichtlinien
AWS Mit Managed Microsoft AD können Sie verschiedene Passwort- und Kontosperrrichtlinien (auch als [differenzierte Kennwortrichtlinien](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) bezeichnet) für Benutzergruppen definieren und zuweisen, die Sie in Ihrer AWS verwalteten Microsoft AD-Domäne verwalten. Wenn Sie ein AWS verwaltetes Microsoft AD-Verzeichnis erstellen, wird eine Standard-Domänenrichtlinie erstellt und auf das Active Directory angewendet. Diese Richtlinie enthält folgende Einstellungen:
****
| Richtlinie | Einstellung |
| --- | --- |
| Passwortverlauf erzwingen | 24 gespeicherte Passwörter |
| Maximales Passwortalter | 42 Tage \$1 |
| Minimales Passwortalter | 1 Tag |
| Mindestlänge für Passwörter | 7 Zeichen |
| Das Passwort muss Komplexitätsanforderungen entsprechen | Aktiviert |
| Passwörter unter Verwendung umkehrbarer Verschlüsselung speichern | Disabled |
**Anmerkung**
\$1 Das maximale Kennwortalter von 42 Tagen beinhaltet das Admin-Passwort.
Sie können z. B. eine weniger strenge Richtlinieneinstellung für Mitarbeiter festlegen, die nur Zugriff auf Informationen mit niedriger Empfindlichkeit haben. Für leitende Angestellte, die regelmäßig auf vertrauliche Informationen zugreifen, können Sie strengere Einstellungen festlegen.
Die folgenden Ressourcen bieten weitere Informationen zu den detaillierten Kennwortrichtlinien und Sicherheitsrichtlinien von Microsoft Active Directory:
+ [Konfigurieren Sie die Einstellungen für Sicherheitsrichtlinien](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Anforderungen an die Komplexität von Passwörtern](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Sicherheitsüberlegungen zur Komplexität von Passwörtern](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS bietet eine Reihe detaillierter Kennwortrichtlinien in AWS Managed Microsoft AD, die Sie konfigurieren und Ihren Gruppen zuweisen können. Um die Richtlinien zu konfigurieren, können Sie Microsoft Standardrichtlinientools wie das [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) verwenden. Informationen zu den ersten Schritten mit den Microsoft Richtlinientools finden Sie unter[Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD](ms_ad_install_ad_tools.md).
## Wie werden Passwortrichtlinien angewendet
Je nachdem, ob das Passwort zurückgesetzt oder geändert wurde, gibt es Unterschiede bei der Anwendung der detaillierten Passwortrichtlinien. Domänenbenutzer können ihr eigenes Passwort ändern. Ein Active Directory-Administrator oder ein Benutzer mit den erforderlichen Berechtigungen kann [Benutzerkennwörter zurücksetzen](ms_ad_manage_users_groups_reset_password.md). Weitere Informationen finden Sie in der folgenden Tabelle.
****
| Richtlinie | Passwort zurückgesetzt | Passwort ändern |
| --- | --- | --- |
| Passwortverlauf erzwingen | ![\[No\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Maximales Passwortalter | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Minimales Passwortalter | ![\[No\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Mindestlänge für Passwörter | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
| Das Passwort muss Komplexitätsanforderungen entsprechen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/icon-yes.png) Ja |
Diese Unterschiede haben Auswirkungen auf die Sicherheit. Wenn beispielsweise das Passwort eines Benutzers zurückgesetzt wird, werden die Richtlinien „Kennwortverlauf durchsetzen“ und „Mindestalter für Kennwörter“ nicht durchgesetzt. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu den Sicherheitsüberlegungen im Zusammenhang mit der [Durchsetzung von Richtlinien für den Kennwortverlauf](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) und [das Mindestalter](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations) für Kennwörter.
## Unterstützte Richtlinieneinstellungen
AWS Managed Microsoft AD umfasst fünf detaillierte Richtlinien mit einem nicht bearbeitbaren Prioritätswert. Die Richtlinien umfassen verschiedene Eigenschaften, die Sie konfigurieren können, um die Stärke von Passwörtern und Kontosperrmaßnahmen bei Anmeldefehlern zu verstärken. Sie können die Richtlinien auf null oder mehr Active Directory-Gruppen zuweisen. Wenn ein Endbenutzer Mitglied mehrerer Gruppen ist und mehr als eine Kennwortrichtlinie erhält, erzwingt Active Directory die Richtlinie mit dem niedrigsten Prioritätswert.
### AWS vordefinierte Kennwortrichtlinien
In der folgenden Tabelle sind die fünf Richtlinien aufgeführt, die in Ihrem AWS verwalteten Microsoft AD-Verzeichnis enthalten sind, sowie deren zugewiesener Prioritätswert. Weitere Informationen finden Sie unter [Precedence](#precedence).
****
| Richtlinienname | Precedence |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Eigenschaften der Passwortrichtlinie
Sie können die folgenden Eigenschaften in Ihren Passwortrichtlinien bearbeiten, um konform zu den Compliance-Standards für Ihre geschäftlichen Anforderungen zu arbeiten.
+ Richtlinienname
+ [Passwortverlauf erzwingen](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Mindestlänge für Passwörter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Minimales Passwortalter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Maximales Passwortalter](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Passwörter unter Verwendung umkehrbarer Verschlüsselung speichern](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Das Passwort muss Komplexitätsanforderungen entsprechen](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Sie können die Prioritätswerte für diese Richtlinien nicht ändern. Weitere Informationen dazu, wie sich diese Einstellungen auf die Kennwortdurchsetzung auswirken, finden Sie unter [AD DS: Detaillierte Kennwortrichtlinien](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) auf der * TechNetMicrosoft-Website*. Allgemeine Informationen zu diesen Richtlinien finden Sie unter [Passwortrichtlinie](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) auf der * TechNetMicrosoft-Website*.
### Kontosperrungsrichtlinien
Sie können auch die folgenden Eigenschaften Ihrer Passwortrichtlinien ändern, um anzugeben, ob und wie Active Directory ein Konto sperren soll, wenn es fehlgeschlagene Anmeldeversuche gab:
+ Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche
+ Dauer der Kontosperrung
+ Zurücksetzen der fehlgeschlagene Anmeldeversuche nach einer bestimmten Zeitdauer
Allgemeine Informationen zu diesen Richtlinien finden Sie unter [Kontosperrungsrichtlinie](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) auf der * TechNetMicrosoft-Website*.
### Precedence
Richtlinien mit einem niedrigeren Prioritätswert haben höhere Priorität. Sie weisen Passwortrichtlinien Active Directory-Sicherheitsgruppen zu. Sie sollten einer Sicherheitsgruppe nur eine einzelne Richtlinie zuordnen, während ein einzelner Benutzer mehrere Passwortrichtlinien erhalten kann. Angenommen, `jsmith` ist ein Mitglied der HR-Gruppe und auch ein Mitglied der MANAGERS-Gruppe. Wenn Sie **CustomerPSO-05** (mit einer Priorität von 50) der HR-Gruppe zuordnen, und **CustomerPSO-04** (mit einer Priorität von 40) der MANAGERS-Gruppe, hat **CustomerPSO-04** die höhere Priorität und Active Directory wendet diese Richtlinie auf `jsmith` an.
Wenn Sie einem Benutzer oder einer Gruppe mehrere Richtlinien zuweisen, bestimmt Active Directory die resultierenden Richtlinie wie folgt:
1. Es gilt eine Richtlinie, die Sie direkt dem Benutzerobjekt zuweisen.
1. Wenn dem Benutzerobjekt nicht direkt eine Richtlinie zugewiesen wird, gilt die Richtlinie mit dem niedrigsten Wert aller Prioritäten, die der Benutzer aufgrund einer Gruppenmitgliedschaft erhalten hat.
Weitere Informationen finden Sie unter [AD DS: Detaillierte Kennwortrichtlinien](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) auf der * TechNetMicrosoft-Website*.
**Topics**
+ [Wie werden Passwortrichtlinien angewendet](#how_password_policies_applied)
+ [Unterstützte Richtlinieneinstellungen](#supportedpolicysettings)
+ [Zuweisen von Kennwortrichtlinien zu Ihren AWS verwalteten Microsoft AD-Benutzern](assignpasswordpolicies.md)
+ [Delegieren, wer Ihre AWS verwalteten Microsoft AD-Passwortrichtlinien verwalten kann](delegatepasswordpolicies.md)
**Verwandter Blogartikel zum Thema AWS Sicherheit**
+ [So konfigurieren Sie mit AWS Managed Microsoft AD noch strengere Kennwortrichtlinien, um Ihre Sicherheitsstandards zu erfüllen Directory Service](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Zuweisen von Kennwortrichtlinien zu Ihren AWS verwalteten Microsoft AD-Benutzern
Benutzerkonten, die Mitglied der Sicherheitsgruppe **AWS Delegated Fine Grained Password Policy Administrators** sind, können das folgende Verfahren verwenden, um Benutzern und Sicherheitsgruppen Richtlinien zuzuweisen.
**So weisen Sie Ihren Benutzern Passwortrichtlinien zu**
1. Starten Sie [das Active Directory-Verwaltungscenter (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) von jeder verwalteten EC2-Instance aus, die Sie Ihrer AWS verwalteten Microsoft AD-Domäne hinzugefügt haben.
1. Wechseln Sie in die **Tree View** und öffnen Sie **System\$1Password Settings Container**.
1. Doppelklicken Sie auf die differenzierte Richtlinie, die Sie bearbeiten möchten. Klicken Sie auf **Add**, um die Richtlinieneigenschaften zu bearbeiten und der Richtlinie Benutzer oder Sicherheitsgruppen hinzuzufügen. Weitere Informationen über die standardmäßigen differenzierten Richtlinien in AWS Managed Microsoft AD finden Sie unter [AWS vordefinierte Kennwortrichtlinien](ms_ad_password_policies.md#supportedpwdpolicies).
1. Führen Sie den folgenden PowerShell Befehl aus, um zu überprüfen, ob die Kennwortrichtlinie angewendet wurde:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Anmerkung**
Vermeiden Sie die Verwendung des Befehls `net user`, da seine Ergebnisse ungenau sein könnten.
Wenn Sie keine der fünf Kennwortrichtlinien in Ihrem AWS verwalteten Microsoft AD-Verzeichnis konfigurieren, verwendet Active Directory die Standard-Domänengruppenrichtlinie. Weitere Informationen über die Verwendung von **Password Settings Container** finden Sie in diesem [Microsoft Blog Post](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Delegieren, wer Ihre AWS verwalteten Microsoft AD-Passwortrichtlinien verwalten kann
Sie können Berechtigungen zur Verwaltung von Kennwortrichtlinien an bestimmte Benutzerkonten delegieren, die Sie in Ihrem AWS verwalteten Microsoft AD erstellt haben, indem Sie die Konten der Sicherheitsgruppe **AWS Delegated Fine Grained Password Policy Administrators** hinzufügen. Wenn ein Konto Mitglied dieser Gruppe wird, hat das Konto die Berechtigungen, die [zuvor](ms_ad_password_policies.md#supportedpwdpolicies) aufgelisteten Passwortrichtlinien zu bearbeiten und zu konfigurieren.
**So delegieren Sie, wer Passwortrichtlinien verwalten kann**
1. Starten Sie [das Active Directory-Verwaltungscenter (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) von jeder verwalteten EC2-Instance aus, die Sie Ihrer AWS verwalteten Microsoft AD-Domäne hinzugefügt haben.
1. Wechseln Sie zur **Baumansicht** und gehen Sie zur OU **AWS Delegated Groups**. Weitere Informationen über diese OU finden Sie unter [Was wird mit Ihrem AWS Managed Microsoft AD erstellt](ms_ad_getting_started_what_gets_created.md).
1. Suchen Sie die Benutzergruppe **AWS Delegated Fine Grained Password Policy Administrators**. Fügen Sie dieser Gruppe Benutzer oder Gruppen aus Ihrer Domain hinzu.