Active Directory.pdf - Gattner

510 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit
• Zuweisen von Benutzerrechten Dieser Knoten wird zum Konfigurieren der Rechte verwendet, die
Benutzer auf von dieser Richtlinie betroffenen Computern haben. Sie können zahlreiche Einstellungen
vornehmen, z.B. können Sie festlegen, welche Benutzer Aktionen wie lokale Anmeldung,
Netzwerkzugriff auf den Computer, Sichern von Dateien und Ordnern, Anmeldung als Dienst
usw. durchführen können.
• Sicherheitsoptionen Dieser Knoten wird zum Konfigurieren der Sicherheitsoptionen für von dieser
Richtlinie betroffene Computer verwendet. Sie können Optionen wie die Umbenennung der
lokalen Administrator- oder Gastkonten, die Verwaltung der zum Installieren von Druckertreibern
berechtigten Benutzer, die Steuerung der Genehmigung zum Installieren nicht signierter Treiber
sowie die Art und Weise der Verwaltung der Benutzerkontensteuerung auf Computern konfigurieren.
Die Standarddomänenrichtlinie enthält nur einen kleinen Teilsatz der im Knoten Lokale Richtlinien
definierten Einstellungen. Diese Standardeinstellungen befinden sich im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen
und umfassen die folgenden Einstellungen:
• Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Diese Einstellung ist standardmäßig
definiert und deaktiviert. Ist diese Richtlinie aktiviert, kann ein anonymer Benutzer SID-Informationen
über einen anderen Benutzer anfordern und dann die Sicherheitskennung (Security
Identifier, SID) dazu verwenden, den Namen des Benutzers zu ermitteln. Dies kann zu einem
Sicherheitsproblem werden und dazu führen, dass Informationen zu Verwaltungskonten offengelegt
werden.
• Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Diese
Einstellung ist standardmäßig definiert und aktiviert. Diese Einstellung ist aktiviert, um die
Sicherheit zu steigern und zu verhindern, dass der LM-Hash zum Speichern von Kennwortinformationen
verwendet wird. Beachten Sie, dass diese Einstellung die Fähigkeit zur Kommunikation
mit Windows 95- und Windows 98-Computern beeinträchtigen kann.
• Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Diese Einstellung ist standardmäßig
definiert und deaktiviert. Mit dieser Einstellung werden Benutzer getrennt, die nach
Ablauf ihrer gültigen Anmeldezeiten mit dem lokalen Computer verbunden sind. Ist die Richtlinie
(wie standardmäßig) deaktiviert, kann eine eingerichtete Clientsitzung nach Ablauf der
Anmeldezeiten aufrechterhalten werden.
Denken Sie daran, dass auf Domänenebene konfigurierte Einstellungen alle Computer in der Domäne
betreffen. Die meisten Organisationen benötigen unterschiedliche Überwachungsrichtlinien, Benutzerrechtezuweisungen
oder Sicherheitsoptionen gemäß Rolle oder Typ des Computers. Aus diesem
Grund werden die lokalen Richtlinien in der Regel auf OU-Ebene konfiguriert, damit sie ausschließlich
auf spezifische Computer in der Domäne angewendet werden. Der nächste Abschnitt erläutert,
wie im GPO Default Domain Controllers Policy spezifische lokale Richtlinien konfiguriert werden,
damit diese auf alle Domänencontroller in der Domäne angewendet werden.
Hinweis Für die domänenbasierten Sicherheitseinstellungen sollte ausschließlich die Standarddomänenrichtlinie
(GPO Default Domain Policy) verwendet werden. Falls Sie zusätzliche Richtlinieneinstellungen auf
Domänenebene hinzufügen müssen, erstellen und verknüpfen Sie neue, die erforderlichen Richtlinieneinstellungen
enthaltende GPOs auf Aufgabenebene.