Sie können Kennwörter für AD LDS-Sicherheitsprinzipale (Active Directory Lightweight Directory Services) über SSL-Verbindungen (Secure Sockets Layer) (mithilfe von Ldp.exe) oder über verschlüsselte Verbindungen ohne SSL (mithilfe des ADSI-Editors oder von Ldp.exe) festlegen und ändern. Zum Einrichten einer SSL-Verbindung mit AD LDS müssen Sie Zertifikate auf dem Computer installieren, auf dem AD LDS ausgeführt wird, sowie auf allen Clients. Zum Herstellen von SSL-Verbindungen mit einer AD LDS-Instanz müssen Sie Ldp.exe verwenden. Der ADSI-Editor unterstützt SSL-Verbindungen nicht.
Standardmäßig erzwingt eine AD LDS-Instanz automatisch alle auf dem lokalen Computer oder in der Domäne vorhandenen Kennwortrichtlinien. Wenn Sie einen neuen AD LDS-Benutzer erstellen und diesem Benutzer ein Kennwort zuweisen, das nicht den Anforderungen der wirksamen Kennwortrichtlinie entspricht, wird der Benutzer deaktiviert.
Standardmäßig werden von AD LDS beispielsweise die folgenden von Windows Server 2008 R2 bereitgestellten Einstellungen für Kennwortrichtlinien und Kontosperrungen unterstützt und erzwungen:
Minimales Alter
Maximales Alter
Komplexität
Verlauf
Zu viele fehlerhafte Anmeldeversuche
Deaktivieren und Aktivieren von Konten
Wenn der Server, auf dem AD LDS ausgeführt wird, Mitglied einer Arbeitsgruppe ist, werden die lokalen Kennwortrichtlinien- und Kontosperrungseinstellungen des Servers implementiert. Wenn der Server, auf dem AD LDS ausgeführt wird, Mitglied einer Domäne ist, werden die Kennwortrichtlinien- und Kontosperrungseinstellungen aus Active Directory-Domänendienste (Active Directory Domain Services, AD DS) implementiert.
Die Mitgliedschaft in der Gruppe Administratoren der AD LDS-Instanz ist mindestens erforderlich, um dieses Verfahren ausführen zu können. Das Sicherheitsprinzipal, das Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition. Weitere Informationen zu AD LDS-Gruppen finden Sie unter Grundlegendes zu AD LDS-Benutzern und -Gruppen.
Festlegen oder Ändern des Kennworts eines AD LDS-Benutzers
Mithilfe des ADSI-Editors
 | So können Sie das Kennwort eines AD LDS-Benutzers mithilfe des ADSI-Editors festlegen oder ändern |
Öffnen Sie den ADSI-Editor.
Stellen Sie eine Verbindung sowie eine Bindung mit der Verzeichnispartition her, die den AD LDS-Benutzer enthält, für den Sie ein Kennwort festlegen bzw. dessen Kennwort Sie ändern möchten. Weitere Informationen finden Sie unter Verwenden des ADSI-Editors zum Verwalten einer AD LDS-Instanz.
Navigieren Sie zu dem Verzeichnisobjekt, das den AD LDS-Benutzer darstellt, und klicken Sie dann mit der rechten Maustaste auf das Verzeichnisobjekt.
Klicken Sie auf Kennwort zurücksetzen, und geben Sie dann in den Feldern Neues Kennwort und Kennwort bestätigen ein Kennwort für den Benutzer ein.
Weitere Überlegungen
-
Zum Öffnen des ADSI-Editors auf einem Computer, auf dem die AD LDS-Serverrolle installiert ist, klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf ADSI-Bearbeitung.
Mithilfe von "Ldp" über eine verschlüsselte Nicht-SSL-Verbindung
| So können Sie das Kennwort eines AD LDS-Benutzers mithilfe von "Ldp" über eine verschlüsselte Nicht-SSL-Verbindung festlegen oder ändern |
Öffnen Sie Ldp.
Klicken Sie im Menü Optionen auf Verbindungsoptionen.
Klicken Sie unter Optionsname auf LDAP_OPT_ENCRYPT.
Geben Sie in das Feld Wert den Wert 1 ein, klicken Sie auf Festlegen, und klicken Sie dann auf Schließen.
Stellen Sie eine Verbindung sowie eine Bindung mit der AD LDS-Instanz her, und zeigen Sie dann die Verzeichnispartition an, die den AD LDS-Benutzer enthält, für den Sie ein Kennwort festlegen möchten. Weitere Informationen finden Sie unter Verwenden von "Ldp.exe" zum Verwalten einer AD LDS-Instanz.
Klicken Sie mit der rechten Maustaste auf den AD LDS-Benutzer, und klicken Sie dann auf Ändern.
Geben Sie userpassword in das Feld Attribut ein, und geben Sie dann in Wert ein Kennwort für das Konto ein.
Klicken Sie auf Eingabe, und klicken Sie anschließend auf Ausführen. Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
Weitere Überlegungen
-
Klicken Sie zum Öffnen von Ldp auf Start, klicken Sie anschließend auf Ausführen, geben Sie ldp ein, und klicken Sie dann auf OK.
-
Sie können auch mithilfe des ADSI-Editors Kennwörter festlegen oder ändern: Klicken Sie mit der rechten Maustaste auf das Verzeichnisobjekt für das AD LDS-Sicherheitsprinzipal im ADSI-Editor, und klicken Sie dann auf Kennwort zurücksetzen.
-
Standardmäßig werden in einer unter Windows Server 2008 R2 ausgeführten AD LDS-Instanz automatisch alle auf dem lokalen Computer oder in der Domäne vorhandenen Kennwortrichtlinien erzwungen. Wenn Sie für einen AD LDS-Benutzer ein Kennwort festlegen, das die Anforderungen der wirksamen Kennwortrichtlinie nicht erfüllt, wird das Benutzerkonto deaktiviert.
-
Der AD LDS-Benutzer, für den Sie das Kennwort festlegen oder ändern, muss bei seiner nächsten Anmeldung das neue Kennwort verwenden.
-
Dieses Verfahren gilt für jede Objektklasse, die als Sicherheitsprinzipal in AD LDS verwendet wird. Jede Objektklasse in AD LDS kann als Sicherheitsprinzipal verwendet werden, solange die Objektklassendefinition die msDS-bindableobject-Erweiterungsklasse und das unicodePwd-Attribut enthält.
-
Die Objektklassen user, person, inetOrgPerson und OrganizationalPerson sind nicht standardmäßig im AD LDS-Schema verfügbar. Sie müssen sie zuerst importieren.
- Sie können die Aufgabe in diesem Verfahren auch mithilfe von Active Directory-Modul für Windows PowerShell ausführen. Zum Öffnen von Active Directory-Modul klicken Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Active Directory-Modul für Windows PowerShell. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Festlegen oder Ändern des Kennworts eines AD LDS-Benutzers (
https://go.microsoft.com/fwlink/?LinkId=137818 ). Weitere Informationen (möglicherweise in englischer Sprache) zu Windows PowerShell finden Sie unter Windows PowerShell (https://go.microsoft.com/fwlink/?LinkID=102372 ).
Mithilfe von "Ldp" über eine SSL-Verbindung
| So können Sie das Kennwort eines AD LDS-Benutzers mithilfe von "Ldp" über eine SSL-Verbindung festlegen oder ändern |
Installieren Sie ein Serverzertifikat auf dem Computer, auf dem die AD LDS-Instanz ausgeführt wird, und installieren Sie ein entsprechendes Clientzertifikat auf dem Computer, von dem aus Sie die AD LDS-Instanz verwalten.
Öffnen Sie Ldp.
Stellen Sie eine Verbindung sowie eine Bindung mit der AD LDS-Instanz her (wählen Sie dazu SSL im Dialogfeld Verbinden aus), in der der Benutzer enthalten ist, für den Sie ein Kennwort festlegen bzw. dessen Kennwort Sie ändern möchten. Weitere Informationen finden Sie unter Verwenden von "Ldp.exe" zum Verwalten einer AD LDS-Instanz.
Klicken Sie mit der rechten Maustaste auf den AD LDS-Benutzer, und klicken Sie dann auf Ändern.
Geben Sie userpassword in das Feld Attribute ein, und geben Sie dann unter Wert ein Kennwort für das Konto ein.
Klicken Sie auf Eingabe, und klicken Sie anschließend auf Ausführen. Im Detailbereich wird eine Meldung ähnlich der folgenden angezeigt:
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
Weitere Überlegungen
-
Klicken Sie zum Öffnen von Ldp auf Start, klicken Sie anschließend auf Ausführen, geben Sie ldp in das Feld Öffnen ein, und klicken Sie dann auf OK.
-
SSL-Verbindungen können nur hergestellt werden, wenn auf dem Server und den Clients Zertifikate vorhanden sind.
-
Standardmäßig werden in einer unter Windows Server 2008 R2 ausgeführten AD LDS-Instanz automatisch alle auf dem lokalen Computer oder in der Domäne vorhandenen Kennwortrichtlinien erzwungen. Wenn Sie für einen AD LDS-Benutzer ein Kennwort festlegen, das die Anforderungen der wirksamen Kennwortrichtlinie nicht erfüllt, wird das Benutzerkonto deaktiviert.
-
Wenn der AD LDS-Benutzer zu diesem Zeitpunkt angemeldet ist, muss er sich abmelden, damit das neue Kennwort wirksam wird.
-
Dieses Verfahren gilt für jede Objektklasse, die als Sicherheitsprinzipal in AD LDS verwendet wird. Jede Objektklasse in AD LDS kann als Sicherheitsprinzipal verwendet werden, solange die Objektklassendefinition die statische SecurityPrincipal-Erweiterungsklasse und das unicodePwd-Attribut enthält.
-
Die Objektklassen user, person, inetOrgPerson und OrganizationalPerson sind nicht standardmäßig im AD LDS-Schema verfügbar. Sie müssen sie zuerst importieren. Weitere Informationen finden Sie unter Importieren der mit AD LDS bereitgestellten Benutzerklassen.