|
Element
|
Details
|
|
Benutzer-UPN-Anmeldung
|
Geben Sie in das Textfeld auf der linken Seite den Kontonamen für diesen Benutzer ein. Dabei handelt es sich um den vom Benutzer für die Anmeldung an der Active Directory-Domäne verwendeten Namen.
In der Dropdownliste rechts sind die verfügbaren UPN-Suffixe (User Principal Name, Benutzerprinzipalname) aufgelistet, die zum Erstellen des Benutzeranmeldenamens verwendet werden können. Die Liste enthält den DNS-Namen (Domain Name System) der aktuellen Domäne, den vollständigen DNS-Namen der Stammdomäne der aktuellen Gesamtstruktur sowie alternative UPN-Suffixe, die mit Active Directory-Domänen und -Vertrauensstellungen erstellt werden.
|
|
SamAccountName-Anmeldung von Benutzer
|
In dem schreibgeschützten Textfeld auf der linken Seite wird der von Computern unter Prä-Windows 2000-Betriebsystemen verwendete Domänenname angezeigt.
In das Textfeld rechts können Sie den Prä-Windows 2000-Anmeldenamen des Benutzers eingeben.
|
Kontrollkästchen Vor zufälligem Löschen schützen | Aktivieren Sie dieses Kontrollkästchen, um die Sicherheitsbeschreibung für das Objekt sowie möglicherweise für das diesem Objekt übergeordnete Objekt zu aktualisieren, damit dieses Objekt von Administratoren bzw. Benutzern dieser Domäne und dieses Domänencontrollers nicht gelöscht werden kann.  | Hinweis | | Diese Einstellung bietet keinen Schutz vor dem versehentlichen Löschen einer Unterstruktur, die das geschützte Objekt enthält. Daher empfiehlt es sich, diese Einstellung für alle Container des geschützten Objekts bis hinauf zum Namenskontextkopf der Domäne zu aktivieren.
|
|
|
Anmeldezeiten
|
Klicken Sie hier, um die Zeiten zu ändern, zu denen sich dieses ausgewählte Objekt an der Domäne anmelden kann. Standardmäßig ist die Domänenanmeldung 24 Stunden pro Tag und 7 Tage die Woche möglich. Beachten Sie, dass dieses Steuerelement nicht die Möglichkeit des Benutzers beeinträchtigt, sich mithilfe eines lokalen Computerkontos statt eines Domänenkontos lokal an einem Computer anzumelden.
|
|
Anmelden an
|
Klicken Sie hier, um Anmeldeeinschränkungen für Arbeitsstationen anzugeben, sodass dieser Benutzer sich nur an bestimmten Computern in der Domäne anmelden kann. Standardmäßig kann sich ein Benutzer an jedem Arbeitsstationscomputer in der Domäne anmelden. Beachten Sie, dass dieses Steuerelement nicht die Möglichkeit des Benutzers beeinträchtigt, sich mithilfe eines lokalen Computerkontos statt eines Domänenkontos lokal an einem Computer anzumelden.
|
|
Konto läuft ab
|
Legt die Kontoablaufrichtlinie für diesen Benutzer fest. Sie haben die Wahl zwischen folgenden Optionen:
-
Verwenden Sie Nie, um anzugeben, dass das ausgewählte Konto nie abläuft. Diese Option wird als Standardeinstellung für neue Benutzer verwendet.
-
Wählen Sie Am aus, und wählen Sie dann ein Datum aus, wenn das Konto des Benutzers an einem bestimmten Datum ablaufen soll.
|
|
Kennwortoptionen
|
Im Folgenden sind die Kennwortoptionen für ein Active Directory-Benutzerkonto aufgelistet:
-
Benutzer muss Kennwort bei der nächsten Anmeldung ändern: Zwingt die Benutzer, ihr Kennwort zu ändern, wenn sie sich das nächste Mal im Netzwerk anmelden. Aktivieren Sie diese Option, wenn Sie sicherstellen möchten, dass der Benutzer die einzige Person ist, die das Kennwort kennt.
-
Benutzer muss sich mit einer Smartcard anmelden: Macht es erforderlich, dass ein Benutzer eine Smartcard besitzt, um sich interaktiv im Netzwerk anmelden zu können. Der Computer des Benutzers muss zudem über einen Smartkartenleser verfügen, und der Benutzer muss eine gültige Geheimzahl (Personal Identification Number, PIN) für die Smartcard besitzen.
-
Kennwort läuft nie ab: Verhindert, dass die Benutzerkennwörter ablaufen. Es empfiehlt sich, diese Option für Dienstkonten zu aktivieren und für diese Konten sichere Kennwörter zu verwenden.
-
Benutzer kann Kennwort nicht ändern: Verhindert, dass ein Benutzer das eigene Kennwort ändern kann. Aktivieren Sie diese Option, wenn Sie die Kontrolle über ein Benutzerkonto (beispielsweise ein Gastkonto oder ein temporäres Konto) behalten möchten.
|
Verschlüsselungsoptionen | Im Folgenden sind die Verschlüsselungsoptionen für ein Active Directory-Benutzerkonto aufgelistet:
-
Kennwort mit umkehrbarer Verschlüsselung speichern: Ermöglicht es einem Benutzer, sich über einen Apple-Computer in einem Windows-Netzwerk anzumelden. Aktivieren Sie diese Option nicht, wenn sich der Benutzer nicht über einen Apple-Computer anmeldet.
-
Kerberos-DES-Verschlüsselungstypen für dieses Konto: Stellt Unterstützung für den Datenverschlüsselungsstandard (Data Encryption Standard, DES) bereit. DES unterstützt mehrere Ebenen der Verschlüsselung, einschließlich Microsoft Punkt-zu-Punkt-Verschlüsselung (Microsoft Point-to-Point Encryption, MPPE) Standard (40-Bit), MPPE Standard (56-Bit), MPPE stark (128-Bit), Internet Protocol Security (IPsec) DES (40-Bit), IPsec-56-Bit-DES und IPsec Triple DES (3DES).
-
Dieses Konto unterstützt Kerberos-AES-128-Bit-Verschlüsselung
-
Dieses Konto unterstützt Kerberos-AES-256-Bit-Verschlüsselung
| Hinweis | |
Die Kerberos-AES-Verschlüsselungsoptionen (sowohl die 128-Bit- als auch die 256-Bit-Option) sind nur verfügbar, wenn die Domänenfunktionsebene auf Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 festgelegt ist. Der erweiterte Verschlüsselungsstandard (Advanced Encryption Standard, AES) ist ein neuer Verschlüsselungsalgorithmus, der vom National Institute of Standards and Technology (NIST) standardisiert wurde. Weitere Informationen zur Kerberos-Authentifizierung finden Sie in den Erklärungen zu Kerberos unter https://go.microsoft.com/fwlink/?LinkId=85494 (möglicherweise in englischer Sprache).
|
|
Andere Optionen | Im Folgenden sind die zusätzlichen Optionen für ein Active Directory-Benutzerkonto aufgelistet:
-
Konto ist vertraulich und kann nicht delegiert werden: Sie können diese Option verwenden, wenn das Konto (beispielsweise ein Gastkonto oder ein temporäres Konto) nicht für die Delegierung durch ein anderes Konto zugewiesen werden kann. Weitere Informationen finden Sie im Thema zum Aktivieren der delegierten Authentifizierung unter https://go.microsoft.com/fwlink/?LinkId=143007 (möglicherweise in englischer Sprache).
-
Keine Kerberos-Präauthentifizierung erforderlich: Stellt Unterstützung für alternative Implementierungen des Kerberos-Protokolls bereit. Aktivieren Sie diese Option jedoch mit Vorsicht, da mit der Kerberos-Präauthentifizierung zusätzliche Sicherheit bereitgestellt wird und eine Zeitsynchronisierung zwischen dem Client und dem Server erforderlich ist. Weitere Informationen finden Sie in den Erklärungen zu Kerberos unter https://go.microsoft.com/fwlink/?LinkID=120374 (möglicherweise in englischer Sprache).
|