Ik wil zwaardere wachtwoordregels voor admins dan voor gewone users.
Standaard geldt één Default Domain Policy voor wachtwoorden. Met Fine-Grained Password Policies (PSO) kun je per groep strengere regels afdwingen, bijvoorbeeld langere passphrases voor Domain Admins en service accounts.
Probeer dit eerst zelf
- 1Open Active Directory Administrative Center, ga naar je domein, System, Password Settings Container.
- 2Maak een nieuwe Password Settings, geef hem precedence (lager nummer wint) en koppel hem aan een groep zoals Tier-0 Admins of Service Accounts.
- 3Zet zinvolle waarden: minimaal 14 tot 16 tekens voor admins, geen complexity die mensen naar Pa$$w0rd1 duwt, lockout-threshold die brute-force blokkeert maar geen helpdesk-storm geeft.
- 4Test met een proefaccount in de doelgroep: open een nieuwe sessie en probeer een te kort wachtwoord, controleer dat de PSO daadwerkelijk wint via dsget user -effectivepso.
- 5Documenteer welke groep welke PSO heeft, anders blijft het raadsel waarom één account andere regels volgt.
Wanneer ons inschakelen
Combineer dit met een ban op bekende lekwachtwoorden. Microsoft Entra Password Protection kan dat ook on-prem afdwingen via een proxy en agent op je DC's.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.