Für Active Directory Benutzer Objekte gibt es verschiedene Zustände. Man unterscheidet z.B. zwischen aktivierten, gesperrten oder deaktivierten Accounts. Häufig stellt sich dabei die Frage, was eigentlich der Unterschied zwischen einem gesperrten und einem deaktivierten AD-Benutzerkonto ist.
In diesem Artikel gehen wir auf die einzelnen Zustände von Benutzeraccounts im Active Directory und auch innerhalb der IAM-Lösung tenfold ein.
Die möglichen Stati von Active Directory Benutzern
Im Active Directory kann ein Benutzerkonto neben dem aktiven Standardzustand auch noch einen von drei weiteren Stati haben:
Deaktiviert (Disabled)
Dieser Zustand wird manuell bzw. maschinell getriggert und ist von anhaltender Dauer. Ist ein AD-Benutzer deaktiviert, kann er sich mit seinen Zugangsdaten nicht mehr im Netzwerk anmelden. Die Entsperrung erfolgt nicht automatisch und muss auch wieder manuell durchgeführt werden.
Dieser Zustand wird im Unternehmensumfeld sehr häufig für temporäre Auszeiten von Mitarbeitern oder im Rahmen des Austrittsprozesses verwendet. Im zweiten Fall wird der Account deaktiviert und durch einen automatisierten Prozess in der Regel erst nach einer definierten Anzahl von Tagen endgültig gelöscht.
Ein deaktiviertes Konto kann im Active Directory folgendermaßen eingestellt werden: Konto ⇒ Eigenschaften ⇒ Registerkarte „Konto“ ⇒ Kontooptionen ⇒ Kontrollkästchen „Konto ist deaktiviert“ aktivieren. Außerdem kann man direkt mit einem Rechtsklick auf das Benutzerobjekt über das Kontextmenü den Account sperren.
Laden Sie unser Whitepaper herunter!
Darin erfahren Sie alle notwendigen Schritte zur erfolgreichen Implementierung eines IAM Systems.
Gesperrt (Locked)
AD-Accounts können nur automatisch in diesen Zustand überführt werden. Der Trigger für diesen Zustand ist eine mehrfach falsche Passworteingabe. Dabei wird das Konto im Active Directory tatsächlich auf „gesperrt“ gesetzt.
Wann genau und für wie lange ein Benutzerkonto gesperrt wird, hängt davon ab, wie die Default Domain Policy konfiguriert wurde. In dieser Gruppenrichtlinie (GPO) werden im Bereich der Kontorichtlinien die Optionen für die Kontosperrung eingestellt.
Im Acitve Directory sieht man dem Benutzerobjekt nicht wirklich an, dass es gesperrt ist. Über die PowerShell ist dieser Zustand dagegen sichtbar.
Dort erkennt man anhand des „LockedOut“ Attributs, ob der Benutzer gesperrt ist oder nicht. Dazu können Sie den folgenden Befehl absetzen:
Get-AdUser „username“ -Properties LockedOut.
Manuell kann man einen AD-Account entsperren, in dem man in der „Active Directory Benutzer und Computer“ Konsole das Benutzerobjekt über „Eigenschaften“ ⇒ Registerkarte „Konto“ die Option „Kontosperrung aufheben“ aktiviert.
Abgelaufen (Expired)
Dieser Zustand tritt auf, wenn bei einem AD-Benutzerkonto ein Ablaufdatum gesetzt worden ist. Dies geschieht entweder über das Attribut „accountExpires“ oder über das Kontextmenü des Objektes „Eigenschaften“ ⇒ Registerkarte „Konto“ ⇒ Konto läuft ab ⇒ Am:“.
Am Ende des dort eingestellten Tages läuft das Konto automatisch ab und ist nicht mehr zur Anmeldung an der Windows Domain berechtigt.
Alle Konten verhalten sich nach einer Statusänderung ähnlich: Man kann sich mit Ihnen nirgendwo im Netzwerk anmelden.
Einen Unterschied gibt es beim gesperrten Konto. Hier bleibt das Objekt nur für eine bestimmte Dauer gesperrt und kann nach Ablauf dieser Zeit „automatisch“ entsperrt werden. Diese Zeitdauer wird in der Default Domain Policy konfiguriert. Wird die Dauer auf 0 gesetzt, wird es nie „automatisch“ entsperrt.
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Einführung eines IAM Systems? Sprechen Sie uns gerne an!
Unterschied zwischen tenfold und Active Directory
Mit der Identity- und Access Managementlösung tenfold kann man unter anderem seine AD-Benutzerkonten vollumfänglich steuern. Dazu gehört auch eine temporäre oder dauerhafte Sperrung des Kontos.
In tenfold werden auch die Begriffe Sperrung und Deaktivierung verwendet. Jedoch sind die dahinterliegenden Aktionen unterschiedlich.
Spricht man in tenfold von der Sperrung eines AD-Benutzerkontos, wird dieses innerhalb des Active Directories deaktiviert.
Von einer Deaktivierung eines AD-Kontos innerhalb von tenfold spricht man dagegen nur im Rahmen einer Neubeantragung. Dabei wird der AD-Benutzer im Active Directory ohne Passwort erstellt und damit automatisch vom Domain Controller gesperrt. Zum definierten Zeitpunkt wird ein Passwort gesetzt und damit die Kontosperrung aufgehoben.
Zusammenfassung
Spricht man im Rahmen der Prozesse des Benutzermanagements davon einen Benutzer zu sperren, wird er innerhalb des Active Directories in der Regel deaktiviert.
Dies stellt in der Regel auch die einzige Option dar, um einen Account außer Betrieb zu nehmen und dann auch wieder zu aktivieren. Dies macht im Rahmen eines Prozesses zur handhabe von temporären Abwesenheiten eines Benutzers Sinn (z.B. Krankheit, Elternzeit, Urlaub, etc.).
Sperrt man allerdings sein Konto, weil man sein Passwort mehrfach falsch eingegeben hat, so sollte es dafür ebenfalls einen definierten Prozess geben, welcher die herbeigeführte Sperrung aufhebt und ein neues Passwort vergeben lässt.
Ein AD-Konto läuft in der Regel ab, wenn ein entsprechendes Datum am AD-Account gepflegt und erreicht wurde. Ein Austrittsprozess sollte neben der Sicherstellung des Ablaufs eines AD-Kontos auch noch weitere Aktionen abdecken, die den Austritt eines Mitarbeiters adressieren.
