Leitfaden zum Durchsetzen der Richtlinien für sichere Kennwörter

Veröffentlicht: 17. Sep 2004

In diesem Leitfaden werden Methoden zum Festlegen von Richtlinien für sichere Kennwörter mithilfe von Gruppenrichtlinienobjekten ausführlich erläutert, um die Sicherheit einer Computerumgebung zu erhöhen.

Auf dieser Seite

Dn308934.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einführung

Dn308934.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Übersicht

Dn308934.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einrichten von Kennwortrichtlinien mithilfe von Gruppenrichtlinienobjekten

Dn308934.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory®. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Der Leitfaden für die Bereitstellung von Windows Server 2003 kann innerhalb einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Die virtuelle Computertechnologie ermöglicht es Kunden, mehrere Betriebssysteme gleichzeitig auf einem einzelnen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Dn308934.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Übersicht

Die meisten Benutzer melden sich auf den lokalen oder Remotecomputer mit einer Kombination aus Benutzername und einem über die Tastatur eingegebenen Kennwort an. Obwohl alternative Technologien für alle gängigen Betriebssysteme zur Authentifizierung zur Verfügung stehen, z. B. Biometrie, Smartcards und Einmalkennwörter, sind die meisten Unternehmen jedoch weiterhin von althergebrachten Kennwörtern abhängig, woran sich voraussichtlich auch in den kommenden Jahren nichts ändern wird. Daher ist es wichtig, dass Unternehmen Kennwortrichtlinien für ihre Computer festlegen und durchsetzen, die die Verwendung sicherer Kennwörter einbeziehen.

Sichere Kennwörter entsprechen einer Reihe von Anforderungen hinsichtlich der Komplexität, einschließlich der Kategorien für Länge und verwendete Zeichen, wodurch die Kennwörter schwerer von Hackern ermittelt werden können. Das Einrichten von Richtlinien für sichere Kennwörter im Unternehmen kann dabei helfen zu vermeiden, dass Hacker sich als andere Personen ausgeben und somit vertrauliche Daten verloren gehen, offen gelegt oder beschädigt werden.

Abhängig davon, ob die Computer im Unternehmen Mitglieder einer Active Directory-Domäne, eigenständige Computer oder beides sind, müssen Sie zum Implementieren von Richtlinien für sichere Kennwörter eine oder beide der folgenden Aufgaben durchführen.

  • Konfigurieren der Einstellungen für die Kennwortrichtlinie in einer Active Directory-Domäne.
  • Konfigurieren der Einstellungen für die Kennwortrichtlinien auf eigenständigen Computern.

In diesem Dokument wird erläutert, wie die Kennwortrichtlinieneinstellungen für Mitglieder einer Active Directory-Domäne über Gruppenrichtlinienobjekte (GPOs) konfiguriert werden.

Nachdem Sie die entsprechenden Einstellungen für die Kennwortrichtlinie konfiguriert haben, sind die Benutzer im Unternehmen nur dann in der Lage neue Kennwörter zu erstellen, wenn die Kennwörter den Anforderungen für sichere Kennwörter hinsichtlich der Länge und Komplexität entsprechen. Außerdem können die Benutzer ihre neuen Kennwörter nicht sofort ändern.

Voraussetzungen

Anforderungen des Leitfadens

  • Anmeldeinformationen: Sie müssen als Mitglied der Gruppe der Domänenadministratoren angemeldete sein, um diese Übungen ausführen zu können.

Dn308934.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Einrichten von Kennwortrichtlinien mithilfe von Gruppenrichtlinienobjekten

Bevor Sie die Kennwortrichtlinien auf den Computern im Netzwerk konfigurieren können, müssen Sie angeben, welche Einstellungen maßgeblich sind, die für diese Einstellungen zu verwendenden Werte bestimmen und verstehen, wie Windows Konfigurationsdaten für Kennwortrichtlinien speichert.

Hinweis: Die Betriebssysteme Windows 95, Windows 98 und Windows Millennium Edition unterstützen erweiterte Sicherheitsfeatures wie Kennwortrichtlinien nicht. Wenn Ihr Netzwerk auch eigenständige Computer einbezieht (Computer, die keiner Domäne angehören), können Sie auf diesen keine Kennwortrichtlinien durchsetzen, wenn sie die zuvor genannten Betriebssysteme ausführen. Wenn Ihr Netzwerk Computer mit diesen Betriebssystemen einbezieht, die Mitglieder einer Active Directory-Domäne sind, können Sie die Kennwortrichtlinien nur auf Domänenebene durchsetzen.

Erkennen von Einstellungen, die sich auf Kennwortrichtlinien beziehen

Für Windows 2000, Windows XP und Windows Server 2003 können sechs Einstellungen konfiguriert werden, die sich auf Kennwortmerkmale beziehen: Kennwortchronik erzwingen, Maximales Kennwortalter, Minimales Kennwortalter, Minimale Kennwortlänge, Kennwort muss Komplexitätsvoraussetzungen entsprechen und Kennwörter mit umkehrbarer Verschlüsselung speichern. Hilfreiche Informationen zum Bestimmen der Werte für diese Einstellungen, die den Geschäftsanforderungen im Unternehmen entsprechen, finden Sie unter Selecting Secure Passwords (nur auf Englisch verfügbar) auf der Microsoft Canada Website "Small Business Corner".

  • Kennwortchronik erzwingen bestimmt die Anzahl der eindeutigen neuen Kennwörter, die ein Benutzer verwenden muss, bevor ein altes Kennwort erneut verwendet werden kann. Der Wert für diese Einstellung kann zwischen 0 und 24 liegen, wobei 0 das Erzwingen der Kennwortchronik deaktiviert. In den meisten Unternehmen sollte dieser Wert auf 24 Kennwörter festgelegt werden.
  • Maximales Kennwortalter bestimmt die Anzahl der Tage, die ein Kennwort verwendet werden kann, bevor der Benutzer es ändern muss. Der Wert für diese Einstellung kann zwischen 0 und 999 liegen, wobei 0 das Ablaufen der Kennwörter deaktiviert. Wenn Sie einen zu kleinen Wert festlegen, kann dies zur Frustration bei den Benutzern führen, während ein zu hoher Wert bzw. das Deaktivieren des Ablaufdatums potenziellen Hackern mehr Zeit zum Ermitteln von Kennwörtern bietet. In den meisten Unternehmen sollte dieser Wert auf 42 Tage festgelegt werden.
  • Minimales Kennwortalter bestimmt die Anzahl der Tage, die ein Kennwort verwendet werden muss, bevor der Benutzer es ändern kann. Diese Einstellung wurde entwickelt, um es den Benutzern in Kombination mit der Einstellung Kennwortchronik erzwingen nicht zu ermöglichen, ihre Kennwörter schnell so häufig zurückzusetzen, wie es mindestens erforderlich ist, um dann wieder das alte Kennwort verwenden zu können. Der Wert für diese Einstellung kann zwischen 0 und 999 liegen, wobei es der Wert 0 den Benutzern ermöglicht, ihre neuen Kennwörter unmittelbar wieder zu ändern. Es wird empfohlen, diese Einstellung auf 2 Tage festzulegen.
  • Minimale Kennwortlänge bestimmt die minimale Anzahl von Zeichen, die ein Kennwort aufweisen muss. Obwohl Windows 2000, Windows XP und Windows Server 2003 Kennwörter mit einer Länge von bis zu 28 Zeichen unterstützen, kann der Wert für diese Einstellung nur zwischen 0 und 14 liegen. Wenn der Wert 0 verwendet wird, können Benutzer leere Kennwörter verwenden, daher sollte dieser Wert vermieden werden. Stattdessen wird für diese Einstellung der Wert 8 empfohlen.
  • Kennwort muss Komplexitätsvoraussetzungen entsprechen bestimmt, ob die Kennwortkomplexität durchgesetzt wird. Wenn diese Einstellung aktiviert ist, müssen Benutzerkennwörter die folgenden Anforderungen erfüllen:
    • Das Kennwort muss mindestens sechs Zeichen lang sein.
    • Das Kennwort enthält Zeichen aus mindestens drei der folgenden fünf Kategorien:
      • Deutsche Großbuchstaben (A - Z)
      • Deutsche Kleinbuchstaben (a - z)
      • Arabische Ziffern (0 - 9)
      • Nicht-alphanumerische Zeichen (Beispiel: !, $, # oder %)
      • Unicode-Zeichen
    • Das Kennwort darf keine drei oder mehr Zeichen aus dem Kontonamen des Benutzers enthalten.
    • Wenn der Kontoname weniger als drei Zeichen umfasst, wird diese Prüfung nicht durchgeführt, da die Rate der abgelehnten Kennwörter dann zu hoch ausfällt. Wenn der vollständige Name des Benutzers überprüft wird, werden verschiedene Zeichen als Trennzeichen behandelt, die den Namen in einzelne Token aufteilen: Kommata, Punkte, Bindestriche, Unterstriche, Leerzeichen, Raute und Tabulatorzeichen. Nach jedem drei oder mehr Zeichen langen Token wird im Kennwort gesucht. Wenn dieses vorhanden ist, wird die Änderung des Kennworts abgelehnt. Der Name "Erin M. Hagens" würde z. B. in drei Token unterteilt: "Erin", "M" und "Hagens". Da das zweite Token nur aus einem Zeichen besteht, wird dieses ignoriert. Daher kann dieser Benutzer kein Kennwort verwenden, dass entweder "erin" oder "hagens" als Teilzeichenfolge an beliebiger Stelle im Kennwort verwendet. Bei allen Prüfungen wird nicht zwischen Groß-/Kleinschreibung unterschieden.
    • Diese Komplexitätsanforderungen werden bei Kennwortänderungen bzw. beim Erstellen neuer Kennwörter erzwungen. Es wird empfohlen, dass Sie diese Einstellung aktivieren.
  • Kennwörter mit umkehrbarer Verschlüsselung speichern bietet die Unterstützung für Anwendungen, die Protokolle verwenden, die für Authentifizierungszwecke das Kennwort des Benutzers kennen müssen. Das Speichern von Kennwörtern mithilfe der umkehrbaren Verschlüsselung ist im Wesentlichen vergleichbar mit dem Speichern unverschlüsselter Versionen der Kennwörter. Aus diesem Grund sollte diese Richtlinie nur dann aktiviert werden, wenn die Anforderungen der Anwendung die Notwendigkeit, Kennwörter zu schützen, überwiegen.
    • Diese Richtlinie ist erforderlich, wenn über RAS- oder IAS-Dienste (Internet Authentication Service oder Internetauthentifizierungsdienst) das Authentifizierungsprotokoll CHAP (Challenge Handshake Authentication Protocol) verwendet wird. Sie ist auch erforderlich, wenn die Digestauthentifizierung in IIS (Internet Information Services) verwendet wird.

Speichern der Kennwortrichtliniendaten

Vor dem Implementieren von Kennwortrichtlinien müssen Sie verstehen, wie die Konfigurationsdaten für die Kennwortrichtlinie gespeichert werden. Der Grund hier für ist, dass die zum Speichern der Kennwortrichtlinie verwendeten Mechanismen die Anzahl der verschiedenen zu implementierenden Kennwortrichtlinien einschränken und sich darauf auswirken, wie Sie die Einstellungen für die Kennwortrichtlinie anwenden.

Für jede Kontendatenbank kann jeweils nur eine einzelne Kennwortrichtlinie verwendet werden. Eine Active Directory-Domäne wird wie die lokale Kontendatenbank auf eigenständigen Computern als einzelne Kontendatenbank betrachtet. Computer, die Mitglieder einer Domäne sind, verfügen auch über eine lokale Kontendatenbank. Die meisten Unternehmen, die Active Directory-Domänen einsetzen, fordern von Ihren Benutzern, dass sie sich auf ihren Computern und im Netzwerk über ihre domänenbasierten Konten anmelden. Folglich müssen alle Benutzer beim Erstellen neuer Kennwörter in der Domäne Kennwörter mit 14 oder mehr Zeichen verwenden, wenn Sie für die Domäne die Kennwortlänge von 14 Zeichen festlegen. Wenn Sie für eine Reihe bestimmter Benutzer unterschiedliche Anforderungen einrichten möchten, müssen Sie für deren Konten eine neue Domäne erstellen.

Active Directory-Domänen verwenden Gruppenrichtlinienobjekte, um eine Vielzahl von Konfigurationsdaten zu speichern, einschließlich der Einstellungen für die Kennwortrichtlinie. Obwohl Active Directory ein hierarchischer Verzeichnisdienst ist, der mehrere Ebenen von Organisationseinheiten (OUs) und mehrere Gruppenrichtlinienobjekte unterstützt, müssen die Einstellungen für die Kennwortrichtlinie der Domäne im Stammcontainer für die Domäne festgelegt werden. Wenn der erste Domänencontroller für eine neue Active Directory-Domäne erstellt wird, werden automatisch zwei Gruppenrichtlinienobjekte erstellt: das Gruppenrichtlinienobjekt für die Standarddomänenrichtlinie und für die Standard-Domänencontrollerrichtlinie. Die Standarddomänenrichtlinie ist mit dem Stammcontainer verknüpft. Sie enthält einige wichtige domänenweite Einstellungen, einschließlich der Standardeinstellungen für die Kennwortrichtlinie. Die Standard-Domänencontrollerrichtlinie ist mit der Organisationseinheit der Domänencontroller verknüpft und enthält anfängliche Sicherheitseinstellungen für Domänencontroller.

Es erweist sich als Best Practice, diese integrierten Gruppenrichtlinienobjekte nicht zu verändern. Wenn Sie Einstellungen für die Kennwortrichtlinie anwenden müssen, die von den Standardeinstellungen abweichen, dann sollten Sie ein neues Gruppenrichtlinienobjekt erstellen und es mit dem Stammcontainer der Domäne oder mit der Organisationseinheit der Domänencontroller verknüpfen und ihm dann eine höhere Priorität zuweisen, als dem integrierten Gruppenrichtlinienobjekt. Wenn zwei Gruppenrichtlinienobjekte mit demselben Container verknüpft werden, die in Konflikt stehende Einstellungen aufweisen, erhält das Objekt mit der höheren Priorität den Vorrang.

Implementieren von Kennwortrichtlinieneinstellungen

In diesem Abschnitt sind schrittweise Anweisungen zum Erweitern der Sicherheit auf den Computern in Ihrem Unternehmen durch Implementieren der Einstellungen für die Kennwortrichtlinie enthalten.

So erstellen Sie ein neues Gruppenrichtlinienobjekt für die Stammdomäne

  1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf AlleProgramme, zeigen Sie auf Verwaltung, und klicken Sie dann auf GPWalkThrough.

    Hinweis


    Die GPWalkThrough MMC (Microsoft Management Console) wurde im Leitfaden zum Verständnis der Gruppenrichtlinienfunktionen erstellt. Wenn Sie die Schritte in diesem Leitfaden nicht abgeschlossen haben, müssen Sie die folgenden Schritte entsprechend ändern.

  2. Erweitern Sie in der GPWalkThrough MMC den Eintrag Active Directory-Benutzer und -Computer, klicken Sie dann mit der rechten Maustaste auf contoso.com, und klicken Sie anschließend auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.

    Hinweis


    Microsoft empfiehlt, dass Sie ein neues Gruppenrichtlinienprojekt erstellen, anstatt das integrierte GPO mit der Bezeichnung Standarddomänenrichtlinie zu bearbeiten. Dadurch gestaltet sich die Wiederherstellung beim Auftreten von Problemen mit den Sicherheitseinstellungen wesentlich leichter. Wenn die neuen Sicherheitseinstellungen Probleme bereiten, können Sie das neue Gruppenrichtlinienobjekt temporär deaktivieren, bis Sie die Einstellungen, die Probleme bereiten, isoliert haben.

  3. Klicken Sie auf Neu, und geben Sie Domain Password Policy für das GPO ein, wie in Abbildung 1 gezeigt.

    Dn308934.92E671C0E3127E24A3CB3F6FF858A25C(de-de,TechNet.10).png

    Abbildung 1. Erstellen eines Stammdomänen-Gruppenrichtlinienobjekts

  4. Drücken Sie die EINGABETASTE.

So setzen Sie das Gruppenrichtlinienobjekt für die Domänenkennwortrichtlinie durch

Hinweis


Eine ausführliche Beschreibung der Gruppenrichtlinienvererbung und weitere Informationen zu den folgenden Schritten finden Sie im Leitfaden zum Verständnis der Gruppenrichtlinienfunktionen.

  1. Klicken Sie auf der Seite Eigenschaften von contoso.com auf Domain Password Policy, und klicken Sie dann auf die Schaltfläche Nach oben.

  2. Klicken Sie auf der Seite Eigenschaften von contoso.com mit der rechten Maustaste auf Domain Password Policy, und klicken Sie dann auf Kein Vorrang. Die Seite Eigenschaften von contoso.com sollte wie in Abbildung 2 angezeigt werden.

    Dn308934.3A5DEDE19C1A63F32CF4664B8EC83E75(de-de,TechNet.10).png

    Abbildung 2. Einrichten der Rangfolge für Gruppenrichtlinienobjekte

So legen Sie Richtlinien zum Verwenden von Kennwörtern fest

  1. Klicken Sie auf der Seite Eigenschaften von contoso.com doppelt auf Domain Password Policy.

  2. Erweitern Sie im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration den Eintrag Windows-Einstellungen, dann Sicherheitseinstellungen, anschließend Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinien.

  3. Klicken Sie im Detailfensterbereich doppelt auf Kennwortchronik erzwingen, aktivieren Sie dann das Kontrollkästchen Diese Richtlinieneinstellung definieren, legen Sie als Wert von Kennwortchronik behalten die Zahl 24 fest, und klicken Sie anschließend auf OK.

  4. Doppelklicken Sie im Detailfensterbereich auf Maximales Kennwortalter, aktivieren Sie dann das Kontrollkästchen Diese Richtlinieneinstellung definieren, legen Sie für den Wert von Kennwort läuft ab in die Einstellung 42 fest, und klicken Sie dann auf OK. Klicken Sie anschließend erneut auf OK, um die empfohlene Wertänderung für Minimales Kennwortalter zu akzeptieren.

  5. Doppelklicken Sie im Detailfensterbereich auf Minimales Kennwortalter, legen Sie für den Wert von Kennwort kann geändert werden nach die Zahl 2 fest, und klicken Sie dann auf OK.

  6. Klicken Sie im Detailfensterbereich doppelt auf Minimale Kennwortlänge, aktivieren Sie dann das Kontrollkästchen Diese Richtlinieneinstellung definieren, legen Sie als Wert von Minimale Kennwortlänge die Zahl 8 fest, und klicken Sie anschließend auf OK.

  7. Klicken Sie im Detailfensterbereich doppelt auf Kennwort muss Komplexitätsvoraussetzungen entsprechen, aktivieren Sie dann das Kontrollkästchen Diese Richtlinieneinstellung in der Vorlage definieren, wählen Sie Aktiviert, und klicken Sie anschließend auf OK.

  8. Klicken Sie im Detailfensterbereich doppelt auf Kennwörter mit umkehrbarer Verschlüsselung speichern, aktivieren Sie dann das Kontrollkästchen Diese Richtlinieneinstellung in der Vorlage definieren, wählen Sie Deaktiviert (Standardeinstellung), und klicken Sie anschließend auf OK. Die Einstellungen sollten wie in Abbildung 3 aussehen.

    Dn308934.9F376D3051204F9BFA7255F1D865CE4B(de-de,TechNet.10).png

    Abbildung 3. Bestätigen von DomänenkennwortrichtlinienBild maximieren

So sind durch Kennwort gesicherte Bildschirmschoner erforderlich

  1. Reduzieren Sie im Gruppenrichtlinienobjekt-Editor den Eintrag Computerkonfiguration, und erweitern Sie unter Benutzerkonfiguration den Eintrag Administrative Vorlagen, anschließend Systemsteuerung, und klicken Sie dann auf Anzeige.

  2. Optionale Einstellungen: Doppelklicken Sie im Detailfensterbereich auf Programmname des Bildschirmschoners, wählen Sie dann Aktiviert und geben Sie anschließend scrnsave.scr für den Programmnamen des Bildschirmschoners ein. Klicken Sie dann auf OK.

    Hinweis


    Das Festlegen des Programmnamens für einen Bildschirmschoner ist eine optionale Einstellung, die hier unter dem Gesichtspunkt der Leistung definiert wird. In Windows Server 2003, wo wichtige Computerdienste bereitgestellt werden, verbrauchen aktivierte Bildschirmschoner möglicherweise anderweitig erforderliche Rechenleistung, wodurch die Ressourcen eingeschränkt werden, die für Verarbeitungsaufgaben im Unternehmen zur Verfügung stehen. Wenn Bildschirmschoner auf Servern bereitgestellt werden sollen, wird empfohlen, dass der schwarze Bildschirm (scrnsave.scr) als Bildschirmschoner verwendet wird. Sie können auch ein weiteres Gruppenrichtlinienobjekt unter dem Container der Domänencontroller erstellen, das die Einstellung Programmname des Bildschirmschoners festlegt.

  3. Doppelklicken Sie im Detailfensterbereich auf Kennwortschutz für den Bildschirmschoner verwenden, wählen Sie dann Aktiviert und geben Sie anschließend scrnsave.scr für den Programmnamen des Bildschirmschoners ein. Klicken Sie dann auf OK. Die Einstellungen sollten wie in Abbildung 4 aussehen.

    Dn308934.CE502E67E299112180C6CFCD45DB5E83(de-de,TechNet.10).png

    Abbildung 4. Bestätigen eines Domänenbildschirmschoners

  4. Klicken Sie im Gruppenrichtlinienobjekt-Editor auf Datei und dann auf Beenden. Klicken Sie auf der Seite Eigenschaften voncontoso.com auf Schließen. Klicken Sie auf Datei und dann auf Beenden, um Active Directory-Benutzer und -Computer zu schließen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja, um die GPWalkThrough MMC zu speichern.

So überprüfen Sie durch Kennwort gesicherte Bildschirmschoner

  1. Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie gpupdate /force ein, und klicken Sie auf OK.

    Hinweis


    Gpupdate aktualisiert lokale und auf Active Directory basierende Gruppenrichtlinieneinstellungen, einschließlich der Sicherheitseinstellungen. Die Option force ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an.

  2. Klicken Sie mit der rechten Maustaste auf den Desktop, klicken Sie dann auf Eigenschaften und anschließend auf die Registerkarte Bildschirmschoner. Der Name des Bildschirmschoners sollte Schwarzer Bildschirm lauten und das Kontrollkästchen Kennworteingabe bei Reaktivierung sollte aktiviert sein. Beide Elemente sollten, wie in Abbildung 5 gezeigt, grau angezeigt sein.

    Dn308934.987A42E33371056CDA88CD6E67F4D101(de-de,TechNet.10).png

    Abbildung 5. Überprüfen eines mit Kennwort gesicherten Bildschirmschoners

  3. Klicken Sie auf Abbrechen.

Dn308934.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Weitere Ressourcen

Weitere Informationen finden Sie in den folgenden Ressourcen:

Dn308934.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community