(0) exportieren Drucken
Alle erweitern

Kontorichtlinien und lokale Richtlinien

Letzte Aktualisierung: Januar 2005

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Kontorichtlinien und lokale Richtlinien

Alle Sicherheitsrichtlinien sind computerbasierte Richtlinien. In diesem Abschnitt werden Kontorichtlinien und lokale Richtlinien erläutert.

Kontorichtlinien

Kontorichtlinien werden auf Computern definiert, wirken sich jedoch auf die Interaktion zwischen Benutzerkonten und dem Computer oder der Domäne aus. Kontorichtlinien enthalten drei Untermengen:

  • Kennwortrichtlinien. Diese werden für Domänen- oder lokale Benutzerkonten verwendet. Damit werden Einstellungen für Kennwörter, wie z. B. Erzwingen und Gültigkeitsdauer, festgelegt.

  • Kontosperrungsrichtlinien. Diese werden für Domänen- oder lokale Benutzerkonten verwendet. Damit werden die Umstände und die Zeitdauer für eine Kontosperre festgelegt.

  • Kerberos-Richtlinie. Diese werden für Domänenbenutzerkonten verwendet. Damit werden auf Kerberos bezogene Einstellungen, wie z. B. die Gültigkeitsdauer von Tickets und Erzwingen, festgelegt. Kerberos-Richtlinien sind nicht in den lokalen Computerrichtlinien vorhanden.

Bei Domänenkonten muss die Kontorichtlinie im Gruppenrichtlinienobjekt der Standarddomänenrichtlinie oder in einem neuen Gruppenrichtlinienobjekt definiert werden, das mit dem Stamm der Domäne verknüpft ist. Sie muss eine höhere Rangfolgenposition als das Gruppenrichtlinienobjekt der Standarddomänenrichtlinie erhalten, und wird durch die Domänencontroller durchgesetzt, aus denen die Domäne besteht. Wenn mehr als ein Gruppenrichtlinienobjekt mit Kontorichtlinieneinstellungen auf Domänenebene verknüpft ist, besteht die Kontorichtlinie der Domäne aus den kumulierten Einstellungen aller mit Domänen verknüpften Gruppenrichtlinienobjekte.

Ein Domänencontroller erhält immer die Kontorichtlinie von einem Gruppenrichtlinienobjekt, das mit der Domäne verknüpft ist; standardmäßig handelt es sich hierbei um das Gruppenrichtlinienobjekt der Standarddomänenrichtlinie. Dieses Verhalten tritt auch dann auf, wenn eine andere Kontorichtlinie auf die Organisationseinheit angewendet wurde, die den Domänencontroller enthält. Standardmäßig erhalten Arbeitsstationen und Server, die einer Domäne angehören (wie z. B. Mitgliedscomputer), dieselbe Kontorichtlinie für ihre lokalen Konten. Lokale Kontorichtlinien für Mitgliedscomputer können jedoch von der Domänenkontorichtlinie unterschieden werden, indem eine Kontorichtlinie für die Organisationseinheit definiert wird, die die Mitgliedscomputer enthält.

Wichtig

  • Es wird davon abgeraten, die die Standarddomänenrichtlinie zu ändern. Wenn Sie eine Kontorichtlinie benötigen, die sich vom Gruppenrichtlinienobjekt der Standarddomänenrichtlinie unterscheidet, können Sie ein neues Gruppenrichtlinienobjekt erstellen und dieses mit dem Stamm der Domäne verknüpfen. Legen Sie dann die Richtlinie fest, die Sie verwenden möchten, und weisen Sie ihr eine höhere Rangfolgenposition als dem Gruppenrichtlinienobjekt der Standarddomänenrichtlinie zu.

Es gibt in den Sicherheitsoptionen zwei Richtlinien, die sich auch wie Kontorichtlinien verhalten. Diese lauten wie folgt:

  • Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen

  • Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

Lokale Richtlinien

Diese Richtlinien gelten für einen Computer und enthalten die folgenden Untermengen:

  • Überwachungsrichtlinie. Hiermit wird bestimmt, ob Sicherheitsereignisse im Sicherheitsprotokoll auf dem Computer protokolliert werden. Es wird ebenso bestimmt, ob erfolgreiche Versuche, fehlgeschlagene Versuche oder beide protokolliert werden. (Das Sicherheitsprotokoll ist Teil der Ereignisanzeige.)

  • Zuweisen von Benutzerrechten. Hiermit wird bestimmt, welche Benutzer oder Gruppen über Anmelderechte oder -berechtigungen auf dem Computer verfügen.

  • Sicherheitsoptionen. Hiermit werden Sicherheitseinstellungen für den Computer aktiviert oder deaktiviert. Hierzu zählen z. B. digitale Signaturen von Daten, Namen von Administrator- und Gastkonten, der Zugriff auf Disketten- und CD-ROM-Laufwerke, Treiberinstallation und Anmeldeaufforderungen.

Da auf einen Computer mehr als eine Richtlinie angewendet werden kann, kann es bei den Sicherheitsrichtlinieneinstellungen zu Konflikten kommen. Die Vorrangsreihenfolge von oben nach unten ist Organisationseinheit, Domäne und lokaler Computer. Weitere Informationen finden Sie unter Anwenden der Sicherheitseinstellungen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft