Konten: Microsoft-Konten blockieren
Hier werden bewährte Methoden, Speicherort, Werte, Verwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Konten: Microsoft-Konten blockieren beschrieben.
Referenzen
Diese Richtlinieneinstellung verhindert, dass Benutzer neue Microsoft-Konten auf einem Gerät hinzufügen.
Wenn Sie die Option Benutzer können keine Microsoft-Konten hinzufügen auswählen, können Benutzer weder neue Microsoft-Konten auf einem Computer erstellen noch von einem lokalen Konto zu einem Microsoft-Konto wechseln oder ein Domänenkonto mit einem Microsoft-Konto verbinden. Dies ist die bevorzugte Option, wenn Sie die Verwendung von Microsoft-Konten in Ihrem Unternehmen einschränken möchten.
Wenn Sie die Option Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden auswählen, können sich Benutzer mit einem vorhandenen Microsoft-Konto nicht unter Windows anmelden. Bei dieser Option besteht die Schwierigkeit, dass sich ein vorhandener Administrator möglicherweise nicht bei einem Computer anmelden und das System verwalten kann.
Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren (empfohlen), können Benutzer Microsoft-Konten mit Windows verwenden.
Mögliche Werte
Diese Richtlinie ist deaktiviert.
Benutzer können keine Microsoft-Konten hinzufügen
Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden
Standardmäßig ist diese Einstellung auf Domänencontrollern nicht definiert und auf eigenständigen Servern deaktiviert.
Bewährte Methoden
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können sich Benutzer mit ihrem Microsoft-Konto, lokalen Konto oder Domänenkonto unter Windows anmelden. Benutzer können damit auch ein lokales oder Domänenkonto mit einem Microsoft-Konto verbinden. Dies ist eine praktische Option für Ihre Benutzer.
Wenn Sie die Verwendung von Microsoft-Konten in Ihrer Organisation einschränken möchten, wählen Sie die Option Benutzer können keine Microsoft-Konten hinzufügen, sodass Benutzer weder neue Microsoft-Konten auf einem Computer erstellen noch von einem lokalen Konto zu einem Microsoft-Konto wechseln oder ein Domänenkonto mit einem Microsoft-Konto verbinden können.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration ausnutzen kann, und wie Sie Gegenmaßnahmen implementieren können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Obwohl Microsoft-Konten kennwortgeschützt sind, sind sie außerhalb des Unternehmens trotzdem einem erhöhten Gefahrenpotenzial ausgesetzt. Wenn zudem der Besitzer eines Microsoft-Kontos nur schwer identifizierbar ist, erschwert dies auch die Überwachung und Forensik.
Gegenmaßnahme
Schränken Sie die Verwendung von Microsoft-Konten ein, damit in Ihrem Unternehmen nur Domänenkonten verwendet werden. Wählen Sie die Option Benutzer können keine Microsoft-Konten hinzufügen, sodass Benutzer weder neue Microsoft-Konten auf einem Gerät erstellen noch von einem lokalen Konto zu einem Microsoft-Konto wechseln oder ein Domänenkonto mit einem Microsoft-Konto verbinden können.
Mögliche Auswirkung
Indem Sie die Kontrolle über die Konten in Ihrer Organisation erhöhen, erhalten Sie möglicherweise sicherere Verwaltungsmöglichkeiten. Dies gilt auch für Verfahren zum Zurücksetzen von Kennwörtern.