Registerkarte "Ablaufdatum"

Inhalt
casso13de
HID_password-policies-expiration-tab
Inhalt
Auf der Registerkarte "Ablaufdatum" konfigurieren Sie Ereignisse, die Benutzerkonten deaktivieren. Sie konfigurieren Kriterien für den Ablauf des Kennworts, wie z. B. die maximale Anzahl an fehlgeschlagenen Anmeldeversuchen oder den Zeitraum, den ein Konto inaktiv sein kann, bevor es deaktiviert wird.
Der obere Teil des Dialogfelds enthält folgende Einstellungen:
  • Erfolgreiche Anmeldeversuche verfolgen
    Aktiviert und deaktiviert die Verfolgung von erfolgreichen Anmeldungen, einschließlich der Uhrzeit der letzten Anmeldung. Wenn Sie das Kontrollkästchen aktivieren, schreibt der Richtlinienserver die Anmeldeinformationen in das Benutzerverzeichnis.
    Wenn Sie dieses Kontrollkästchen aktivieren, werden die Felder im Gruppenfeld "Kennwort läuft aufgrund von Inaktivität ab" aktiviert.
    Standard:
    Ausgewählt
  • Nur die erste erfolgreiche Anmeldung verfolgen
    Aktiviert und deaktiviert nur die Verfolgung des ersten erfolgreichen Benutzeranmeldeversuchs.
    Standard:
    Nicht ausgewählt
  • Fehlgeschlagene Anmeldeversuche verfolgen
    Aktiviert und deaktiviert die Verfolgung von fehlgeschlagenen Benutzeranmeldeversuchen. Wenn Sie dieses Kontrollkästchen aktivieren, schreibt der Richtlinienserver die Anmeldeinformationen in das Benutzerverzeichnis.
    Wenn Sie dieses Kontrollkästchen aktivieren, werden die Felder im Gruppenfeld "Falsches Kennwort" aktiviert.
    Standard:
    Ausgewählt
  • Nur die erste fehlgeschlagene Anmeldung verfolgen
    Aktiviert und deaktiviert nur die Verfolgung des ersten fehlgeschlagenen Benutzeranmeldeversuchs.
    Standard:
    Nicht ausgewählt
  • Authentifizierung bei Anmeldeverfolgungsfehler
    Aktiviert und deaktiviert Anmeldungen, wenn die Benutzerverfolgung fehlschlägt. Wenn die Benutzeraktivität nicht in das Benutzerverzeichnis geschrieben werden kann, dürfen Benutzer sich nicht anmelden. Wenn dieses Kontrollkästchen ausgewählt, kann sich der Benutzer auch dann anmelden, wenn keine Kennwortdaten in das Benutzerverzeichnis geschrieben werden können.
    Dieses Kontrollkästchen ist deaktiviert, wenn das Kontrollkästchen "Track Login Details" (Anmeldedetails verfolgen) nicht ausgewählt ist.
    Standard:
    Nicht ausgewählt
Das Kennwort läuft ab, wenn es nicht geändert wird
Im Gruppenfeld "Das Kennwort läuft ab, wenn es nicht geändert wird" können Sie das Verhalten von Kennwörtern konfigurieren, die abgelaufen sind und von ihrem Eigentümer nicht geändert wurden. Optional können Sie festlegen, wie weit im Voraus der Benutzer darüber informiert wird, dass sein Kennwort abläuft.
Dieses Gruppenfeld enthält folgende Einstellungen:
  • Nach Tagen
    Gibt die Anzahl von Tagen an, die
    CA Single Sign-on
    wartet, nachdem ein Kennwort abgelaufen ist, bevor der Benutzer deaktiviert wird oder eine Kennwortänderung erzwungen wird.
    Beschränkung:
    40.000
    Hinweis:
    CA Single Sign-on
    deaktiviert kein Konto, wenn die angegebene Anzahl der Tage erreicht wird. Ein Benutzer muss versuchen, sich beim Konto anzumelden, bevor
    CA Single Sign-on
    es deaktiviert.  
  • Benutzer deaktivieren
    Gibt an, dass
    CA Single Sign-on
    das Konto deaktivieren soll, wenn das Kennwort eines Benutzers abläuft. Deaktivierte Benutzer müssen mithilfe des Dialogfelds der Benutzerverwaltung aktiviert werden.
  • Kennwortänderung erzwingen
    Gibt an, dass
    CA Single Sign-on
    eine Kennwortänderung erzwingen soll, wenn das Kennwort eines Benutzers abläuft. Der Benutzer wird beim nächsten Anmeldeversuch zur Kennwortänderung aufgefordert.
  • Ablaufwarnungen für Tage senden
    Gibt an, wieviele Tage im Voraus ein Benutzer über das Ablaufen des Kennworts benachrichtigt wird
    Hinweis:
    Wenn eine Kennwortrichtlinie aktiviert ist und Benutzer das falsche Kennwort in das optionale Fenster "Kennwort ändern" eingeben, werden sie auf die Anmeldeseite umgeleitet und erhalten keine Fehlermeldung, da ihre aktuelle Sitzung gültig ist. 
Gruppenfeld "Falsches Kennwort"
Im Gruppenfeld "Falsches Kennwort" können Sie festlegen, wie häufig der Anmeldeversuch eines Benutzers fehlschlagen darf, bevor das Benutzerkonto deaktiviert wird. Des Weiteren können Sie die Dauer der Deaktivierung des Kontos bestimmen, bevor der Benutzer einen erneuten Anmeldeversuch unternehmen kann. Dieses Gruppenfeld ist nur verfügbar, wenn das Kontrollkästchen "Track Login Details" (Anmeldedetails verfolgen) aktiviert ist.
  • Das Konto wurde deaktiviert, da mehrmals nacheinander ein falsches Kennwort eingegeben wurde
    Gibt die Anzahl der aufeinanderfolgenden Anmeldeversuche an, die ein Benutzer durchführen kann, bevor das Benutzerkonto deaktiviert wird. Die Beschränkung der Anzahl erfolgloser Anmeldeversuche stellt einen Schutz vor Programmen dar, die so beschaffen sind, dass sie auf Ressourcen zugreifen, indem so lange Kennwörter ausprobiert werden, bis das richtige gefunden wurde. Wenn es einem Benutzer nicht gelingt, sich nach der festgelegten Anzahl der Versuche korrekt anzumelden, dann deaktiviert der Richtlinienserver das Benutzerkonto. Das Konto muss von einem Administrator wieder aktiviert werden.
    Wenn Sie ein Authentifizierungsschema für HTML-Formulare mit der standardmäßigen Vorlage "login.fcc" verwenden, die im Web-Agenten enthalten ist, sollten Sie die Direktive
    smretries
    in der Datei "login.fcc" auf 0 festlegen, sodass die Kennwortrichtlinie die Anzahl der zulässigen Wiederholungen bestimmt, die auf dem Wert basiert, den Sie in dieses Feld eingeben.
    Darüber hinaus können Sie während der Authentifizierung das Cookie "SMTRYNO" verwenden. Dieses Cookie kann eine Meldung verfolgen und anzeigen, die die aktuelle Anzahl der fehlgeschlagenen Anmeldeversuche anzeigt. Wenn Sie das Cookie "SMTRYNO" festgelegt haben, legen Sie die Directive
    smretries
    auf einen Wert fest, der
    höher
    ist als die Anzahl der erlaubten Versuche vor der Deaktivierung des Benutzerkontos. Beispiel: Wenn die Anzahl der Anmeldeversuche in der Kennwortrichtlinie 3 ist, geben Sie
    @smretries=6
    an. Die höhere Nummer für die Direktive stellt sicher, dass ein Benutzer deaktiviert und nicht zur Seite ".unauth" umgeleitet wird. Sie können jedoch immer noch den SMTRYNO-Zähler festlegen.
    Wichtig!
    Legen Sie den Wert für die Kontodeaktivierung vorsichtig fest. Der Richtlinienserver sucht nach Benutzern, indem alle Benutzerverzeichnisse überprüft werden, die an eine Richtlinie gebunden sind. Wenn drei Benutzer mit dem gleichen Benutzernamen in verschiedenen Verzeichnissen vorhanden sind, überprüft der Richtlinienserver das Kennwort mit jedem Benutzernamen, bis eine Übereinstimmung gefunden wird. Für jeden Benutzernamen, mit dem das Kennwort nicht übereinstimmt, verzeichnet der Richtlinienserver einen fehlgeschlagenen Versuch. Wenn die Anzahl der Fehlversuche zu niedrig festgelegt ist, kann der Richtlinienserver ein Konto fälschlicherweise deaktivieren.
  • Nach Minuten
    Legt die Zeit in Minuten fest, die ein Benutzer warten muss, bis er einen erneuten Anmeldeversuch unternehmen kann oder sein Konto erneut aktiviert wird (siehe unten). Wenn der Benutzer ein weiteres falsches Kennwort eingibt, deaktiviert der Richtlinienserver erneut das Konto. Der Benutzer muss die festgelegte Wartezeit einhalten, bis er einen erneuten Anmeldeversuch unternehmen kann.
  • Einen Anmeldeversuch erlauben
    Durch diese Option wird festgelegt, dass ein Benutzer, der ein falsches Kennwort eingibt, nach der angegebenen Anzahl der Minuten einen weiteren Anmeldeversuch durchführen kann.
  • Konto wieder aktivieren
    Durch diese Option wird festgelegt, dass das Konto eines Benutzers, der ein falsches Kennwort eingibt, nach der angegebenen Anzahl der Minuten wieder aktiviert wird.
  • Wenn Sie die Option "Fehlgeschlagene Anmeldeversuche verfolgen" festlegen, legen Sie Optionen im Gruppenfeld "Falsches Kennwort" fest:
    1. Im Feld "Konto deaktiviert nach
      <Anzahl>
      aufeinander folgenden inkorrekten Kennwörtern" müssen Sie die Anzahl der falschen Kennwörter angeben, die ein Benutzer eingeben kann, bevor das Benutzerkonto deaktiviert wird.
    2. Geben Sie im Feld "Nach
      <Anzahl>
      Minuten" die Minutenanzahl an, die sich auf die Bedingung bezieht, die von den beschriebenen Optionsfeldern angezeigt werden. Wählen Sie eines der folgenden Optionsfelder aus, um das Verhalten der Kennwortrichtlinie zu bestimmen, wenn es einem Benutzer nicht gelingt, sich nach der Anzahl der Versuche, die in Schritt 5a angegeben sind, anzumelden:
      • Einen Anmeldeversuch erlauben: Ein Benutzer kann nach der angegebenen Minutenanzahl eine einzige Anmeldung versuchen (Schritt 5b). Für jeden weiteren fehlgeschlagenen Versuch muss der Benutzer die angegebene Minutenanzahl warten, bevor ein weiterer Anmeldeversuch durchgeführt wird. Gehen Sie zum Beispiel von folgenden Werten aus: 3 Versuche in Schritt 5a und 10 Minuten in Schritt 5b. Wenn die Anmeldung des Benutzers dreimal fehlschlägt, kann der Benutzer alle zehn Minuten eine einzelne Anmeldung versuchen, bis eine erfolgreiche Anmeldung erfolgt.
      • Konto wieder aktivieren: Ein Benutzerkonto wird nach der angegebenen Minutenanzahl wieder aktiviert (Schritt 5b). Der Benutzer kann soviele Anmeldungen, wie in Schritt 5a angegeben, versuchen, bevor das Konto des Benutzers deaktiviert wird. Gehen Sie zum Beispiel von folgenden Werten aus: 3 Versuche in Schritt 5a und 10 Minuten in Schritt 5b. Wenn die Anmeldung des Benutzers dreimal fehlschlägt, kann der Benutzer alle zehn Minuten drei Anmeldungen versuchen, bis eine erfolgreiche Anmeldung erfolgt.
Gruppenfeld "Kennwort läuft aufgrund von Inaktivität ab"
Im Gruppenfeld "Kennwort läuft aufgrund von Inaktivität ab" können Sie einen Zeitraum zwischen den Anmeldeversuchen des Benutzers festlegen, nach dessen Überschreiten ein Benutzerkonto als inaktiv betrachtet wird. Des Weiteren können Sie in diesem Gruppenfeld eine Aktion für den Fall bestimmen, dass sich ein Benutzer, dessen Konto als inaktiv gilt, erfolgreich anmeldet.
Hinweis:
Dieses Gruppenfeld ist nur verfügbar, wenn das Kontrollkästchen zur Nachverfolgung von Anmeldungsdetails aktiviert ist.
  • Nach Tagen
    Gibt die Anzahl der Tage an Inaktivität an, nach der das Kennwort eines Benutzers abläuft.
    Beschränkung:
    20.000
  • Benutzer deaktivieren
    Wenn diese Option ausgewählt ist, wird festgelegt, dass der Richtlinienserver den Benutzer deaktiviert, wenn das Kennwort eines Benutzers aufgrund von Inaktivität abläuft. Deaktivierte Benutzer müssen dann mithilfe des Dialogfelds der Benutzerverwaltung aktiviert werden
  • Kennwortänderung erzwingen
    Wenn diese Option ausgewählt ist, wird festgelegt, dass der Richtlinienserver, wenn das Kennwort eines Benutzers aufgrund von Inaktivität abläuft, eine Kennwortänderung erzwingt, wenn der Benutzer einen weiteren Anmeldeversuch durchführt.