Active-Directory-Passwortänderung

Das regelmäßige Ändern von Passwörtern ist eine gute Angewohnheit, die dazu beiträgt, Cyberangriffe mit gestohlenen Zugangsdaten zu vereiteln. Sicherheitsexperten raten Administratoren, durch effiziente Passwortablaufrichtlinien dafür zu sorgen, dass ihre Anwender ihre Passwörter tatsächlich und regelmäßig ändern.

Anwender können vom Administrator per E-Mail benachrichtigt werden, dass sie ihre Passwörter ändern sollen, da diese in Kürze ablaufen. In vielen Unternehmen können die Benutzer ihre Domänenkennwörter allerdings nur ändern, wenn deren Besitzer mit dem Firmennetzwerk verbunden sind. Was geschieht also, wenn das Passwort eines Anwenders abläuft, aber keine Verbindung zum LAN (bei VPN-/OWA-Nutzern) möglich ist?

Self-Service-Passwortänderung

ADSelfService Plus ist eine webbasierte Self-Service-Lösung zum Ändern von Passwörtern, die ein sicheres Portal bietet, über das Domänenanwender ihre eigenen Passwörter ändern können. Benutzer können im Webportal auf den Reiter „Kennwort ändern“ klicken und ihre Windows-AD-Anmeldepasswörter anschließend gleich selbst ändern. Die Benutzer ändern ihre Kennwörter gemäß der vom Administrator festgelegten Passwortrichtlinie, die beim Festlegen des neuen Kennworts angezeigt wird.

Passwörter remote ändern

Mit ADSelfService Plus können Anwender ihre Domänenkennwörter auch remote ändern. Wird das Domänenpasswort eines Benutzers geändert, wird die Änderungen normalerweise im AD, aber nicht auf dem lokalen Gerät des Anwenders übernommen. Das bedeutet, dass die im Gerät des Anwenders zwischengespeicherten Zugangsdaten ebenfalls aktualisiert werden müssen, da sich der Benutzer sonst nicht mehr am System anmelden kann.

Um dies zu vermeiden, bietet ADSelfService Plus einen Anmeldungsagenten, der direkt auf dem Anmeldebildschirm eine Schaltfläche zum Zurücksetzen des Kennwortes/zum Freischalten des eigenen Kontos platziert. Per Klick auf diese Schaltfläche können Anwender ihre vergessenen Kennwörter direkt über den Anmeldebildschirm zurücksetzen. Nach erfolgreichem Zurücksetzen des Passworts wird das zwischengespeicherte Passwort auf den Geräten des Anwenders aktualisiert.

So ändern Sie Ihr AD-Domänenpasswort mit ADSelfService Plus:

• Melden Sie sich am ADSelfService-Plus-Portal an, wechseln Sie zum Reiter „Kennwort ändern“.
• Geben Sie Ihr aktuelles Active-Directory- oder Domänenkennwort in das Feld „Altes Kennwort“ ein.
• Geben Sie das neue Passwort in das Feld „Neues Kennwort“ ein und bestätigen Sie es durch erneute Eingabe im Feld „Neues Kennwort bestätigen“. Achten Sie darauf, dass Ihr neues Kennwort die Komplexitätsvorgaben erfüllt.
• Klicken Sie auf Kennwort ändern.

Warum sollten Sie ADSelfService Plus für AD-Passwortänderungen einsetzen?

Anwender müssen ihr Passwort in folgenden Fällen ändern:

• Das Passwort des Benutzers läuft in Kürze ab.
• Der Administrator fordert den Benutzer auf, sein Passwort zu Ändern.
• Ein Administrator setzt das Passwort auf den Standardwert zurück.

Passwort ändern vs. Passwort zurücksetzen

Das Zurücksetzen eines Passworts bedeutet, dass das Kennwort aktualisiert wird, wenn das aktuelle Kennwort vergessen wurde. ADSelfService Plus ermöglicht Domänenbenutzern, ihr Passwort über ein spezielles Self-Service-Portal selbständig zurückzusetzen. Dabei wird die Identität des Benutzers mit mehreren Authentifizierungsmethoden geprüft, die bei der Registrierung eingerichtet wurden.

Bei der Passwortänderung ist keine Prüfung oder Bestätigung erforderlich. Dazu muss sich der Benutzer lediglich am Anwenderportal von ADSelfService Plus anmelden. Wenn Benutzer ihre Kennwörter ändern, müssen sie das alte Passwort und das neue Passwort angeben. Wenn das alte Kennwort stimmt und das neue Kennwort den Vorgaben der Kennwortrichtlinie entspricht, wird das Kennwort erfolgreich geändert.

Datenschutzbestimmungen durch Kennwortrichtlinien einhalten

Die Sicherheit von Passwörtern ist beim Schutz von Unternehmensdaten unerlässlich. ADSelfService Plus unterstützt Sie dabei, Kennwort- und Authentifizierungsanforderungen von IT-Vorschriften wie HIPAA, GDPR, NIST, CJIS und PCI DSS mit folgenden Funktionen einzuhalten:

• Passwortrichtlinien erzwingen: Konfigurieren Sie zusätzlich zu den Standardvorgaben für Domänenpasswörter erweiterte Passwortvorgaben und nutzen Sie die granulare Kennwortrichtlinie, die Active Directory bei Passwortänderungen bietet. Bei den erweiterten Kennwortrichtlinien können unter anderem diese Anforderungen aktiviert werden:
  1. Begriffe aus dem Wörterbuch und Tastenfolgen ausschließen
  2. Die Verwendung aufeinanderfolgender Zeichen aus Benutzernamen und alten Kennwörtern unterbinden.
  3. Palindrome ausschließen.
  4. Zwingende Vorgabe bestimmter Zeichen als erstem Zeichen.
• Integration mit „Have I Been Pwned?“: Prüfen Sie alle Kennwörter, die beim Ändern oder Zurücksetzen über ADSelfService Plus erstellt wurden, mit der „Have I Been Pwned?“-Datenbank, in der bereits offengelegte Passwörter gespeichert sind. Falls sich das neue Kennwort in der Datenbank befindet, wird der Anwender daran gehindert, es zu verwenden.
• Multi-Faktor-Authentifizierung: Konfigurieren Sie neben Benutzernamen und Kennwort weitere Authentifizierungsmethoden, um die Identität der Benutzer bei Anmeldungen und Passwortänderungen zu überprüfen. Administratoren können aus 18 unterstützten Authentifizierungsmethoden wählen, darunter Yubico Authenticator, Google Authenticator, TOTP, Biometrie und mehr.