Sicherheitsrichtlinieneinstellungen

  • Artikel

In diesem Referenzthema werden allgemeine Szenarien, die Architektur und Prozesse für Sicherheitseinstellungen beschrieben.

Sicherheitsrichtlinieneinstellungen sind Regeln, die Administratoren auf einem Computer oder auf mehreren Geräten zum Schutz von Ressourcen auf einem Gerät oder in einem Netzwerk konfigurieren. Mit der Sicherheitseinstellungserweiterung des Snap-Ins „Editor für lokale Gruppenrichtlinien“ können Sie Sicherheitskonfigurationen als Teil eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) definieren. GPOs sind mit Active Directory-Containern, z. B. Websites, Domänen oder Organisationseinheiten, verknüpft und bieten Ihnen die Möglichkeit, Sicherheitseinstellungen für mehrere Geräte von einem beliebigen Gerät in der Domäne zu verwalten. Sicherheitseinstellungsrichtlinien werden im Rahmen Ihrer gesamten Sicherheitsimplementierung verwendet, um Domänencontroller, Server, Clients und andere Ressourcen in Ihrer Organisation zu schützen.

Sicherheitseinstellungen können Folgendes steuern:

  • Benutzerauthentifizierung bei einem Netzwerk oder Gerät.

  • Die Ressourcen, auf die Benutzer zugreifen dürfen.

  • Ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden.

  • Mitgliedschaft in einer Gruppe.

Zum Verwalten der Sicherheitskonfigurationen mehrerer Geräte können Sie eine der folgenden Optionen verwenden:

  • Bearbeiten Sie spezifische Sicherheitseinstellungen in einem GPO.

  • Verwenden Sie das Sicherheitsvorlagen-Snap-In, um eine Sicherheitsvorlage zu erstellen, die die anzuwendenden Sicherheitsrichtlinien enthält. Importieren Sie dann die Sicherheitsvorlage in ein Gruppenrichtlinienobjekt. Eine Sicherheitsvorlage ist eine Datei, die eine Sicherheitskonfiguration darstellt. Sie kann in ein GPO importiert, auf ein lokales Gerät angewendet oder für Sicherheitsanalysen verwendet werden.

Weitere Informationen zum Verwalten von Sicherheitskonfigurationen finden Sie unter Verwalten von Sicherheitsrichtlinieneinstellungen.

Die Sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien umfasst die folgenden Arten von Sicherheitsrichtlinien:

  • Kontorichtlinien. Diese Richtlinien werden auf Geräten definiert und wirken sich auf die Art und Weise aus, wie Benutzerkonten mit dem Computer oder der Domäne interagieren können. Kontorichtlinien umfassen die folgenden Arten von Richtlinien:

    • Kennwortrichtlinie. Diese Richtlinien bestimmen Einstellungen für Kennwörter, z. B. Erzwingungseinstellungen und die Lebensdauer. Kennwortrichtlinien werden für Domänenkonten verwendet.

    • Kontosperrungsrichtlinie. Diese Richtlinien bestimmen die Bedingungen, unter denen ein Konto aus dem System ausgeschlossen wird, und die Dauer. Kontosperrungsrichtlinien werden für Domänenkonten oder lokale Benutzerkonten verwendet.

    • Kerberos-Richtlinie. Diese Richtlinien werden für Domänenbenutzerkonten verwendet. Sie bestimmen Kerberos-bezogene Einstellungen, z. B. die Lebensdauer und Erzwingung von Tickets.

  • Lokale Richtlinien. Diese Richtlinien werden auf einen Computer angewendet und enthalten die folgenden Arten von Richtlinieneinstellungen:

    • Überwachungsrichtlinie. Gibt Sicherheitseinstellungen an, die die Protokollierung von Sicherheitsereignissen im Sicherheitsprotokoll auf dem Computer steuern, und die zu protokollierenden Sicherheitsereignistypen (Erfolg, Fehler oder beide).

      Hinweis  

      Für Geräte mit Windows 7 und höher empfehlen wir, die Einstellungen unter „Erweiterte Überwachungsrichtlinienkonfiguration“ anstelle der Überwachungsrichtlinien unter „Lokale Richtlinien“ zu verwenden.

       

    • Zuweisen von Benutzerrechten. Gibt die Benutzer oder Gruppen an, die über Anmelderechte oder -berechtigungen auf einem Gerät verfügen.

    • Sicherheitsoptionen. Gibt Sicherheitseinstellungen für den Computer an, z. B. Namen von Administrator- und Gastkonten, Zugriff auf Disketten- und CD-ROM-Laufwerke, Installation von Treibern, Anmeldeaufforderungen usw.

  • Windows-Firewall mit erweiterter Sicherheit. Legt Einstellungen zum Schutz der Geräte im Netzwerk fest. Dazu wird eine zustandsbehaftete Firewall verwendet, mit der Sie bestimmen können, welcher Netzwerkdatenverkehr zwischen Ihrem Gerät und dem Netzwerk übertragen werden darf.

  • Netzwerklisten-Manager-Richtlinien. Legt Einstellungen fest, mit denen Sie verschiedene Aspekte der Auflistung und Anzeige von Netzwerken auf einem oder mehreren Geräten konfigurieren können

  • Richtlinien für öffentliche Schlüssel. Gibt Einstellungen an, um neben bestimmten Zertifikatpfaden und Diensteinstellungen das verschlüsselnde Dateisystem, den Schutz von Daten und die BitLocker-Laufwerkverschlüsselung zu steuern.

  • Richtlinien für Softwareeinschränkung. Gibt Einstellungen an, um Software zu identifizieren und deren Fähigkeit zu steuern, auf dem lokalen Gerät, in Organisationseinheiten, in Domänen oder an Standorten zu laufen.

  • Anwendungssteuerungsrichtlinien. Gibt Einstellungen an, um zu steuern, welche Benutzer oder Gruppen bestimmte Anwendungen in Ihrer Organisation auf Grundlage eindeutiger Identitäten von Dateien ausführen dürfen.

  • IP-Sicherheitsrichtlinien auf „Lokaler Computer“. Gibt Einstellungen an, die gewährleisten, dass die private Kommunikation über IP-Netzwerke durch die Verwendung kryptografischer Sicherheitsdienste sicher verläuft. Die Vertrauensstellung und Sicherheit zwischen einer IP-Quelladresse und IP-Zieladresse wird durch IPsec hergestellt.

  • Erweiterte Überwachungsrichtlinienkonfiguration. Gibt Einstellungen an, die die Protokollierung der Sicherheitsereignisse im Sicherheitsprotokoll auf dem Gerät steuern. Mit den Einstellungen unter „Erweiterte Überwachungsrichtlinienkonfiguration“ kann im Gegensatz zu den Einstellungen für die Überwachungsrichtlinie unter „Lokale Richtlinien“ genauer gesteuert werden, welche Aktivitäten überwacht werden sollen.

Verwaltung richtlinienbasierter Sicherheitseinstellungen

Die Sicherheitseinstellungserweiterung für Gruppenrichtlinien bietet eine integrierte richtlinienbasierte Verwaltungsinfrastruktur, die die Verwaltung und Durchsetzung von Sicherheitsrichtlinien unterstützt.

Sie können Sicherheitseinstellungsrichtlinien für Benutzer, Gruppen, Netzwerkserver und -clients mithilfe von Gruppenrichtlinien und Active Directory-Domänendiensten (AD DS) definieren und anwenden. Sie können eine Servergruppe mit denselben Funktionen erstellen (z. B. einen Microsoft-Webserver (IIS-Server)). Anschließend können mithilfe von Gruppenrichtlinienobjekten allgemeine Sicherheitseinstellungen auf die Gruppe angewendet werden. Wenn dieser Gruppe später weitere Server hinzugefügt werden, werden viele allgemeingültige Sicherheitseinstellungen automatisch angewendet, was den Bereitstellungs- und Verwaltungsaufwand reduziert.

Häufige Szenarien für die Verwendung von Sicherheitseinstellungsrichtlinien

Mit Sicherheitseinstellungsrichtlinien werden die folgenden Sicherheitsaspekte verwaltet: Kontorichtlinie, lokale Richtlinie, Zuweisen von Benutzerrechten, Registrierungswerte, Zugriffssteuerungslisten (ACLs) für Dateien und die Registrierung, Dienststartmodi u. a.

Im Rahmen Ihrer Sicherheitsstrategie können Sie GPOs mit Sicherheitseinstellungsrichtlinien erstellen, die speziell für die verschiedenen Rollen in Ihrer Organisation konfiguriert sind, z. B. für Domänencontroller, Dateiserver, Mitgliedsserver, Clients usw.

Sie können eine OE-Struktur (Organisationseinheit) erstellen, in der Geräte nach ihren Rollen gruppiert sind. OEs bieten die beste Methode, um bestimmte Sicherheitsanforderungen für die verschiedenen Rollen in Ihrem Netzwerk zu trennen. Mit diesem Ansatz können Sie auch benutzerdefinierte Sicherheitsvorlagen auf die einzelnen Server- oder Computerklassen anwenden. Nach dem Erstellen der Sicherheitsvorlagen erstellen Sie für jede OE ein neues GPO und importieren dann die Sicherheitsvorlage (INF-Datei) in das neue GPO.

Durch das Importieren einer Sicherheitsvorlage in ein GPO wird sichergestellt, dass alle Konten auf die das GPO angewendet wird, automatisch die Sicherheitseinstellungen der Vorlage erhalten, wenn die Gruppenrichtlinieneinstellungen aktualisiert werden. Auf einer Arbeitsstation oder einem Server werden die Sicherheitseinstellungen in regelmäßigen Abständen (mit einem zufälligen Versatz von höchstens 30 Minuten) aktualisiert. Auf einem Domänencontroller erfolgt die Aktualisierung alle paar Minuten, wenn an den geltenden GPO-Einstellungen Änderungen vorgenommen wurden. Die Einstellungen werden außerdem unabhängig davon, ob Änderungen aufgetreten sind, alle 16 Stunden aktualisiert.

Hinweis  

Die Aktualisierungseinstellungen variieren je nach Betriebssystemversion und können konfiguriert werden.

 

Durch die Verwendung von Sicherheitskonfigurationen, die auf Gruppenrichtlinien basieren, und das gleichzeitige Delegieren von Verwaltungsaufgaben können Sie sicherstellen, dass bestimmte Sicherheitseinstellungen, Rechte und Verhaltensweisen auf alle Server und Computer innerhalb einer OE angewendet werden. Durch diesen Ansatz kann eine Anzahl von Servern künftig auf einfache Weise mit zusätzlichen Änderungen aktualisiert werden.

Abhängigkeiten von anderen Betriebssystemtechnologien

Bei Geräten, die einer Windows Server 2008-Domäne oder höher angehören, sind Sicherheitseinstellungsrichtlinien von folgenden Technologien abhängig:

  • Active Directory-Domänendienste (AD DS)

    Der Windows-basierte Verzeichnisdienst AD DS speichert Informationen zu Objekten in einem Netzwerk und stellt sie Administratoren und Benutzern zur Verfügung. Mithilfe von AD DS können Sie Netzwerkobjekte im Netzwerk von einem zentralen Ort aus anzeigen und verwalten, und Benutzer können mit einer einmaligen Anmeldung auf zulässige Netzwerkressourcen zugreifen.

  • Gruppenrichtlinie

    Die Infrastruktur innerhalb von AD DS, die die verzeichnisbasierte Konfigurationsverwaltung von Benutzer- und Computereinstellungen auf Geräten unter Windows Server-Betriebssystemen ermöglicht. Mithilfe von Gruppenrichtlinien können Sie Konfigurationen für Benutzer- und Computergruppen definieren, einschließlich Richtlinieneinstellungen, registrierungsbasierter Richtlinien, Softwareinstallation, Skripts, Ordnerumleitung, Remoteinstallationsdienste, Internet Explorer-Wartung und Sicherheit.

  • Domain Name System (DNS)

    Ein hierarchisches Namenssystem, das zum Ermitteln von Domänennamen im Internet und in privaten TCP/IP-Netzwerken verwendet wird. DNS bietet einen Dienst zum Zuordnen von DNS-Domänennamen zu IP-Adressen und IP-Adressen zu Domänennamen. Dadurch können Benutzer, Computer und Anwendungen DNS-Abfragen ausführen, um Remotesysteme anhand vollqualifizierter Domänennamen anstatt der IP-Adressen anzugeben.

  • Windows-Anmeldung

    Ein Teil des Windows-Betriebssystems, das Unterstützung für die interaktive Anmeldung bietet. Die Windows-Anmeldung baut auf einem interaktiven Anmeldemodell auf, das drei Komponenten umfasst: die ausführbare Datei für die Windows-Anmeldung, einen Anmeldeinformationsanbieter und eine beliebige Anzahl von Netzwerkanbietern.

  • Setup

    Während einer Neuinstallation oder eines Upgrades von früheren Windows Server-Versionen interagiert die Sicherheitskonfiguration mit dem Setupprozess des Betriebssystems.

  • Sicherheitskontenverwaltung (SAM)

    Ein Windows-Dienst, der während des Anmeldevorgangs verwendet wird. SAM verwaltet Benutzerkontoinformationen, einschließlich der Gruppen, denen ein Benutzer angehört.

  • Lokale Sicherheitsautorität (LSA)

    Ein geschütztes Subsystem, das Benutzer beim lokalen System authentifiziert und anmeldet. LSA verwaltet auch Informationen zu allen Aspekten der lokalen Sicherheit auf einem System, die zusammenfassend auch als lokale Sicherheitsrichtlinie des Systems bezeichnet werden.

  • Windows-Verwaltungsinstrumentation (WMI)

    WMI ist ein Feature des Microsoft Windows-Betriebssystems und stellt die Microsoft-Implementierung von Web-Based Enterprise Management (WBEM) dar, einer Brancheninitiative zum Entwickeln einer Standardtechnologie für den Zugriff auf Verwaltungsinformationen in einer Unternehmensumgebung. WMI bietet Zugriff auf Informationen zu Objekten in einer verwalteten Umgebung. Über WMI und die WMI-Anwendungsprogrammierschnittstelle (API) können Anwendungen statische Informationen im CIM (Common Information Model)-Repository und dynamische Informationen abfragen und ändern, die von den verschiedenen Anbietertypen verwaltet werden.

  • Richtlinienergebnissatz (RSoP)

    Eine erweiterte Gruppenrichtlinieninfrastruktur, die WMI nutzt, um das Planen und Debuggen von Richtlinieneinstellungen zu vereinfachen. Der Richtlinienergebnissatz bietet öffentliche Methoden, die darlegen, welche Auswirkungen eine Erweiterung von Gruppenrichtlinien in einer Was-wäre-wenn-Situation hätte und was die Erweiterung in einer tatsächlichen Situation bewirkt hat. Dadurch können Administratoren auf einfache Weise die Kombination von Richtlinieneinstellungen bestimmen, die auf einen Benutzer oder Gerät anwendbar ist oder zukünftig angewendet wird.

  • Dienststeuerungs-Manager (SCM)

    Wird für die Konfiguration der Startmodi von Diensten und der Sicherheit verwendet.

  • Registrierung

    Wird für die Konfiguration der Registrierungswerte und Sicherheit verwendet.

  • Dateisystem

    Wird für die Konfiguration der Sicherheit verwendet.

  • Dateisystemkonvertierungen

    Die Sicherheit wird festgelegt, wenn ein Administrator ein Dateisystem von FAT in NTFS konvertiert.

  • Microsoft Management Console (MMC)

    Die Benutzeroberfläche für das Tool „Sicherheitseinstellungen“ ist eine Erweiterung des MMC-Snap-Ins „Editor für lokale Gruppenrichtlinien“.

Sicherheitseinstellungsrichtlinien und Gruppenrichtlinien

Die Sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien ist Teil des Sicherheitskonfigurations-Manager-Toolsets. Die folgenden Komponenten sind den Sicherheitseinstellungen zugeordnet: ein Konfigurationsmodul, ein Analysemodul, eine Vorlagen- und Datenbank-Schnittstellenebene, Integrationslogik für Setup und das Befehlszeilentool „secedit.exe“. Das Sicherheitskonfigurationsmodul ist in dem System, in dem es ausgeführt wird, für die Verarbeitung von Sicherheitsanforderungen im Zusammenhang mit dem Sicherheitskonfigurations-Editor verantwortlich. Das Analysemodul analysiert die Systemsicherheit für eine bestimmte Konfiguration und speichert das Ergebnis. Die Vorlagen- und Datenbank-Schnittstellenebene verarbeitet Lese- und Schreibanforderungen, die an die Vorlage oder Datenbank gerichtet sind (zur internen Speicherung). Die Sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien ist für die Gruppenrichtlinien eines domänenbasierten oder lokalen Geräts zuständig. Die Logik der Sicherheitskonfiguration wird in Setup integriert und verwaltet die Systemsicherheit für Neuinstallationen oder Upgrades auf ein neueres Windows-Betriebssystem. Sicherheitsinformationen werden in Vorlagen (INF-Dateien) oder in der Datenbank „Secedit.sdb“ gespeichert.

Das folgende Diagramm zeigt Sicherheitseinstellungen und verwandte Features.

Sicherheitseinstellungsrichtlinien und verwandte Features

Auf Sicherheitsrichtlinien bezogene Komponenten

  • Scesrv.dll

    Stellt die Kernfunktionen des Sicherheitsmoduls bereit.

  • Scecli.dll

    Stellt die clientseitigen Schnittstellen für das Sicherheitskonfigurationsmodul und Daten für den Richtlinienergebnissatz (RSoP) bereit.

  • Wsecedit.dll

    Die Sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien. „scecli.dll“ wird zur Unterstützung der Benutzeroberfläche für Sicherheitseinstellungen in „wsecedit.dll“ geladen.

  • Gpedit.dll

    Das MMC-Snap-In „Editor für lokale Gruppenrichtlinien“.

Architektur der Sicherheitseinstellungserweiterung

Die Sicherheitseinstellungserweiterung des Editors für lokale Gruppenrichtlinien ist Teil der Sicherheitskonfigurations-Manager-Tools, wie im folgenden Diagramm dargestellt.

Architektur der Sicherheitseinstellungen

Architektur der Sicherheitsrichtlinieneinstellungen

Die Konfigurations- und Analysetools für Sicherheitseinstellungen umfassen ein Sicherheitskonfigurationsmodul, das die Konfiguration und Analyse der Sicherheitseinstellungsrichtlinien auf Grundlage des lokalen Computers (kein Domänenmitglied) und der Gruppenrichtlinien ermöglicht. Das Sicherheitskonfigurationsmodul unterstützt auch die Erstellung von Sicherheitsrichtliniendateien. Die primären Features des Sicherheitskonfigurationsmoduls sind „scecli.dll“ und „scesrv.dll“.

In der folgenden Liste werden diese primären Features des Sicherheitskonfigurationsmoduls und weitere Features beschrieben, die sich auf die Sicherheitseinstellungen beziehen.

  • scesrv.dll

    Diese DLL-Datei wird in „services.exe“ gehostet und im lokalen Systemkontext ausgeführt. „scesrv.dll“ umfasst die Kernfunktionen des Sicherheitskonfigurations-Managers, z. B. Import, Konfiguration, Analyse und Richtlinienpropagierung.

    „Scesrv.dll“ führt die Konfiguration und Analyse verschiedener sicherheitsbezogener Systemparameter durch, indem die entsprechenden System-APIs aufgerufen werden, einschließlich LSA, SAM und Registrierung.

    „Scesrv.dll“ macht z. B. APIs zum Importieren, Exportieren, Konfigurieren und Analysieren verfügbar. Das Feature überprüft, ob die Anforderung über LRPC (Windows XP) erfolgt. Falls nicht, verursacht der Aufruf einen Fehler.

    Für die Kommunikation zwischen den Bestandteilen der Sicherheitseinstellungserweiterung werden folgende Methoden verwendet:

    • COM (Component Object Model)-Aufrufe

    • Lokaler Remoteprozeduraufruf (LRPC)

    • Lightweight Directory Access-Protokoll (LDAP)

    • Active Directory Service Interfaces (ADSI)

    • Server Message Block (SMB)

    • Win32-APIs

    • WMI (Windows-Verwaltungsinstrumentation)-Aufrufe

    Auf Domänencontrollern empfängt „scesrv.dll“ Benachrichtigungen zu SAM- und LSA-Änderungen, die übergreifend für alle Domänencontroller synchronisiert werden müssen. „scesrv.dll“ integriert diese Änderungen in das GPO für die Standarddomänencontrollerrichtlinie mithilfe von In-Process-APIs für die Vorlagenänderung von „scecli.dll“.

    „Scesrv.dll“ führt auch Konfigurations- und Analysevorgänge aus.

  • Scecli.dll

    Dies ist die clientseitige Schnittstelle bzw. der Wrapper für „scesrv.dll“. „scecli.dll“ wird zur Unterstützung von MMC-Snap-Ins in „Wsecedit.dll“ geladen. Sie wird von Setup zum Konfigurieren der standardmäßigen Systemsicherheit und der Sicherheit von Dateien, Registrierungsschlüsseln und Diensten verwendet, die durch die die INF-Dateien der Setup-API installiert werden.

    Die Befehlszeilenversion der Benutzeroberflächen für Sicherheitskonfiguration und -analyse „secedit.exe“ verwendet „scecli.dll“.

    „Scecli.dll“ implementiert die clientseitige Erweiterung für Gruppenrichtlinien.

    „Scesrv.dll“ verwendet „scecli.dll“, um anwendbare Gruppenrichtliniendateien von SYSVOL herunterzuladen und Sicherheitseinstellungen von Gruppenrichtlinien auf das lokale Gerät anzuwenden.

    „Scecli.dll“ protokolliert die Anwendung von Sicherheitsrichtlinien in WMI (RSoP).

    Der Richtlinienfilter von „Scesrv.dll“ verwendet „scecli.dll“, um das GPO für die Standarddomänencontrollerrichtlinie bei SAM- und LSA-Änderungen zu aktualisieren.

  • Wsecedit.dll

    Die Sicherheitseinstellungserweiterung des Snap-Ins „Gruppenrichtlinienobjekt-Editor“. Sie verwenden dieses Tool, um Sicherheitseinstellungen in einem Gruppenrichtlinienobjekt für einen Standort, eine Domäne oder Organisationseinheit zu konfigurieren. Mithilfe von Sicherheitseinstellungen können Sie auch Sicherheitsvorlagen in ein GPO importieren.

  • Secedit.sdb

    Dies ist eine permanente Systemdatenbank, die für die Richtlinienpropagierung einschließlich einer Tabelle dauerhafter Einstellungen für Rollbacks verwendet wird.

  • Benutzerdatenbanken

    Eine Benutzerdatenbank ist eine Datenbank, die keine von Administratoren für die Sicherheitskonfiguration oder -analyse erstellte Systemdatenbank darstellt.

  • INF-Vorlagen

    Dies sind Textdateien, die deklarative Sicherheitseinstellungen enthalten. Sie werden vor der Konfiguration oder Analyse in eine Datenbank geladen. Die Sicherheitsrichtlinien von Gruppenrichtlinien werden in INF-Dateien im Ordner SYSVOL auf Domänencontrollern gespeichert. Dort werden sie (durch Dateikopiervorgänge) heruntergeladen und während der Richtlinienpropagierung in der Systemdatenbank zusammengeführt.

Prozesse und Interaktionen von Sicherheitseinstellungsrichtlinien

Bei einem in die Domäne eingebundenen Gerät, auf dem Gruppenrichtlinien verwaltet werden, werden Sicherheitseinstellungen in Verbindung mit den Gruppenrichtlinien verarbeitet. Nicht alle Einstellungen können konfiguriert werden.

Verarbeitung von Gruppenrichtlinien

Wenn ein Computer gestartet wird und ein Benutzer sich anmeldet, werden Computerrichtlinie und Benutzerrichtlinie in der folgenden Reihenfolge angewendet:

  1. Das Netzwerk wird gestartet. Remote Procedure Call System Service (RPCSS) und Multiple Universal Naming Convention Provider (MUP) werden gestartet.

  2. Für das Gerät wird eine sortierte Liste der Gruppenrichtlinienobjekte abgerufen. Die Liste kann von folgenden Faktoren abhängen:

    • Ob das Gerät einer Domäne angehört und daher einer durch Active Directory angewendeten Gruppenrichtlinie unterliegt.

    • Die Position des Geräts in Active Directory.

    • Ob die Liste der Gruppenrichtlinienobjekte geändert wurde. Ob die Liste der Gruppenrichtlinienobjekte nicht geändert wurde, keine Verarbeitung erfolgt ist.

  3. Die Computerrichtlinie wird angewendet. Dies sind die Einstellungen aus der gesammelten Liste unter „Computerkonfiguration“. Dabei handelt es sich standardmäßig um einen synchronen Prozess, der folgende Reihenfolge aufweist: lokal, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung von Computerrichtlinien wird keine Benutzeroberfläche angezeigt.

  4. Startskripts werden ausgeführt. Dieser synchrone Vorgang läuft standardmäßig verborgen ab. Jedes Skript muss abgeschlossen werden oder ein Timeout verursachen, bevor das nächste startet. Das Standardtimeout beträgt 600 Sekunden. Sie können dieses Verhalten mit mehreren Richtlinieneinstellungen ändern.

  5. Der Benutzer drückt STRG+ALT+ENTF, um sich anzumelden.

  6. Nach der Überprüfung des Benutzers wird das Benutzerprofil geladen. Es unterliegt den gerade wirksamen Richtlinieneinstellungen.

  7. Für den Benutzer wird eine sortierte Liste der Gruppenrichtlinienobjekte abgerufen. Die Liste kann von folgenden Faktoren abhängen:

    • Ob der Benutzer einer Domäne angehört und daher einer durch Active Directory angewendeten Gruppenrichtlinie unterliegt.

    • Ob die Loopback-Richtlinienverarbeitung aktiviert ist, und falls ja, der Status („Zusammenführen“ oder „Ersetzen“) der Loopback-Richtlinieneinstellung.

    • Die Position des Benutzers in Active Directory.

    • Ob die Liste der Gruppenrichtlinienobjekte geändert wurde. Ob die Liste der Gruppenrichtlinienobjekte nicht geändert wurde, keine Verarbeitung erfolgt ist.

  8. Die Benutzerrichtlinie wird angewendet. Dies sind die Einstellungen aus der gesammelten Liste unter „Benutzerkonfiguration“. Dabei handelt es sich standardmäßig um einen synchronen Prozess, der folgende Reihenfolge aufweist: lokal, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung von Benutzerrichtlinien wird keine Benutzeroberfläche angezeigt.

  9. Anmeldeskripts werden ausgeführt. Gruppenrichtlinienbasierte Anmeldeskripts sind standardmäßig verborgen und asynchron. Das Benutzerobjektskript wird zuletzt ausgeführt.

  10. Die durch Gruppenrichtlinien vorgegebene Betriebssystem-Benutzeroberfläche wird angezeigt.

Speicherung von Gruppenrichtlinienobjekten

Ein Gruppenrichtlinienobjekt ist ein virtuelles Objekt, das durch eine GUID (Globally Unique Identifier) identifiziert und auf Domänenebene gespeichert wird. Die Informationen zu Richtlinieneinstellungen eines GPOs werden an folgenden beiden Orten gespeichert:

  • Gruppenrichtliniencontainer in Active Directory

    Der Gruppenrichtliniencontainer ist ein Active Directory-Container, der GPO-Eigenschaften wie Versionsinformationen und den GPO-Status sowie eine Liste weiterer Komponenteneinstellungen enthält.

  • Gruppenrichtlinienvorlagen im Systemvolumeordner (SYSVOL) einer Domäne

    Die Gruppenrichtlinienvorlage ist ein Dateisystemordner, der durch ADMX-Dateien angegebene Richtliniendaten, Sicherheitseinstellungen, Skriptdateien und Informationen zu den für die Installation verfügbaren Anwendungen enthält. Die Gruppenrichtlinienvorlage befindet sich im Ordner SYSVOL im Unterordner „domain\Policies“.

Die GROUP_POLICY_OBJECT-Struktur enthält Informationen zu einem GPO in einer GPO-Liste, darunter die Versionsnummer des GPOs, ein Zeiger auf eine Zeichenfolge, die den Active Directory-Teil des GPOs angibt, und ein Zeiger auf eine Zeichenfolge, die den Pfad zum Dateisystemteil des GPOs angibt.

Verarbeitungsreihenfolge von Gruppenrichtlinien

Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:

  1. Lokales Gruppenrichtlinienobjekt

    Jedes Gerät, auf dem ein Windows-Betriebssystem ab Windows XP ausgeführt wird, verfügt über genau ein lokal gespeichertes Gruppenrichtlinienobjekt.

  2. Standort

    Alle mit dem Standort verknüpften Gruppenrichtlinienobjekte werden als Nächstes verarbeitet. Die Verarbeitung erfolgt synchron in der von Ihnen festgelegten Reihenfolge.

  3. Domäne

    Die Verarbeitung mehrerer, mit der Domäne verknüpfter Gruppenrichtlinienobjekte erfolgt synchron und in einer von Ihnen festgelegten Reihenfolge.

  4. Organisationseinheiten

    Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, die sich an der obersten Position in der Active Directory-Hierarchie befindet, werden zuerst verarbeitet. Anschließend werden Gruppenrichtlinienobjekte verarbeitet, die mit der jeweiligen untergeordneten Organisationseinheit verknüpft sind, usw. Zuletzt werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder das Gerät enthält.

Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können Sie eines, mehrere oder kein Gruppenrichtlinienobjekt verknüpfen. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, werden sie synchron und in einer von Ihnen festgelegten Reihenfolge verarbeitet.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, der der Computer oder Benutzer direkt angehört, werden zuletzt verarbeitet, wodurch die früheren Gruppenrichtlinienobjekte überschrieben werden.

Dies ist die Standardverarbeitungsreihenfolge, Administratoren können jedoch davon abweichen. Ein Gruppenrichtlinienobjekt, das mit einem Standort, einer Domäne oder Organisationseinheit (keinem lokalen Gruppenrichtlinienobjekt) verknüpft ist, kann in Bezug auf den Standort, die Domäne oder Organisationseinheit auf Erzwungen festgelegt werden, sodass keine der zugehörigen Richtlinieneinstellungen außer Kraft gesetzt werden kann. Sie können die Gruppenrichtlinienvererbung für beliebige Standorte, Domänen oder Organisationseinheiten selektiv mit Vererbung deaktivieren kennzeichnen. Gruppenrichtlinienobjekt-Verknüpfungen, die auf Erzwungen festgelegt sind, werden allerdings immer angewendet und können nicht deaktiviert werden.

Verarbeitung von Sicherheitseinstellungsrichtlinien

Die Sicherheitseinstellungsrichtlinie wird im Kontext der Gruppenrichtlinienverarbeitung in der folgenden Reihenfolge verarbeitet.

  1. Während der Gruppenrichtlinienverarbeitung bestimmt das Gruppenrichtlinienmodul, welche Sicherheitseinstellungsrichtlinien angewendet werden.

  2. Wenn Sicherheitseinstellungsrichtlinien in einem GPO enthalten sind, wird durch Gruppenrichtlinien die clientseitige Erweiterung der Sicherheitseinstellungen aufgerufen.

  3. Die Sicherheitseinstellungserweiterung lädt die Richtlinie vom entsprechenden Speicherort herunter, z. B. einem bestimmten Domänencontroller.

  4. Die Sicherheitseinstellungserweiterung führt alle Sicherheitseinstellungsrichtlinien entsprechend den Rangfolgeregeln zusammen. Die Verarbeitung erfolgt gemäß der Verarbeitungsreihenfolge für Gruppenrichtlinien, wie weiter oben im Abschnitt „Verarbeitungsreihenfolge von Gruppenrichtlinien“ beschrieben: lokal und dann nach Standort, Domäne und Organisationseinheit. Wenn mehrere GPOs für ein bestimmtes Gerät wirksam sind und zwischen Richtlinien keine Konflikte bestehen, sind Richtlinien kumulativ und werden zusammengeführt.

    In diesem Beispiel wird die Active Directory-Struktur verwendet, die in der folgenden Abbildung dargestellt ist. Ein bestimmten Computer ist Mitglied von OE2, mit der das GroupMembershipPolGPO-GPO verknüpft ist. Dieser Computer unterliegt auch dem UserRightsPolGPO-GPO, das mit OE1 weiter oben in der Hierarchie verknüpft ist. Da in diesem Fall keine Konflikte zwischen Richtlinien bestehen, werden auf den Geräten alle Richtlinien angewendet, d. h., sowohl die im UserRightsPolGPO-GPO als auch die im -GPO.

    Mehrere GPOs und Zusammenführen von Sicherheitsrichtlinien

    Mehrere GPOs und Zusammenführen von Sicherheitsrichtlinien

  5. Die resultierenden Sicherheitsrichtlinien werden in der Datenbank für Sicherheitseinstellungen „secedit.sdb“ gespeichert. Das Sicherheitsmodul ruft die Sicherheitsvorlagendateien ab und importiert sie in „secedit.sdb“.

  6. Die Sicherheitseinstellungsrichtlinien werden auf Geräte angewendet.

Die folgende Abbildung veranschaulicht die Verarbeitung der Sicherheitseinstellungsrichtlinien.

Verarbeitung von Sicherheitseinstellungsrichtlinien

Prozesse und Interaktionen von Sicherheitsrichtlinieneinstellungen

Zusammenführen von Sicherheitsrichtlinien auf Domänencontrollern

Kennwortrichtlinien, Kerberos und einige Sicherheitsoptionen werden nur aus GPOs zusammengeführt, die auf Stammebene in der Domäne verknüpft sind. Dies geschieht, damit diese Einstellungen für alle Domänencontroller in der Domäne synchron bleiben. Die folgenden Sicherheitsoptionen werden zusammengeführt:

  • Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen

  • Konten: Administratorkontostatus

  • Konten: Gastkontenstatus

  • Konten: Administrator umbenennen

  • Konten: Gastkonto umbenennen

Mithilfe eines weiteren Mechanismus können von Administratoren vorgenommene Änderungen an Sicherheitsrichtlinien unter Verwendung von „net accounts“ im GPO „Standarddomänenrichtlinie“ zusammengeführt werden. Änderungen an Benutzerrechten, die mit APIs der lokalen Sicherheitsautorität (LSA) vorgenommen wurden, werden in das GPO „Standarddomänencontroller-Richtlinie“ gefiltert.

Besondere Überlegungen zu Domänencontrollern

Wenn eine Anwendung auf einem primären Domänencontroller (PDC) mit der Funktion des Betriebsmasters (auch als flexible einzelne Mastervorgänge oder FSMO bezeichnet) installiert ist und die Anwendung Änderungen an Benutzerrechten oder der Kennwortrichtlinie vornimmt, müssen diese Änderungen kommuniziert werden, damit für alle Domänencontroller eine Synchronisierung erfolgt. „Scesrv.dll“ empfängt zu jeder Änderung an der Sicherheitskontenverwaltung (SAM) und LSA, die domänencontrollerübergreifend synchronisiert werden muss, eine Benachrichtigung und integriert die Änderungen dann mithilfe der APIs für die Vorlagenänderung von „scecli.dll“ in das GPO für die Standarddomänencontrollerrichtlinie.

Wann werden Sicherheitseinstellungen angewendet?

Nachdem Sie die Sicherheitseinstellungsrichtlinien bearbeitet haben, werden die Einstellungen auf den Computern in der Organisationseinheit, die mit dem Gruppenrichtlinienobjekt verknüpft ist, in den folgenden Fällen aktualisiert:

  • Wenn ein Gerät neu gestartet wird.

  • Auf einer Arbeitsstation oder einem Server alle 90 Minuten und auf einem Domänencontroller alle 5 Minuten. Dieses Aktualisierungsintervall ist konfigurierbar.

  • Standardmäßig werden die durch Gruppenrichtlinien bereitgestellten Sicherheitsrichtlinieneinstellungen auch alle 16 Stunden (960 Minuten) angewendet, selbst wenn ein GPO nicht geändert wurde.

Beibehaltung von Sicherheitseinstellungsrichtlinien

Sicherheitseinstellungen können selbst dann beibehalten werden, wenn eine Einstellung nicht mehr in der Richtlinie definiert ist, durch die sie ursprünglich angewendet wurde.

Sicherheitseinstellungen können in folgenden Fällen beibehalten werden:

  • Die Einstellung wurde zuvor nicht für das Gerät definiert.

  • Die Einstellung bezieht sich auf ein Objekt für die Registrierungssicherheit.

  • Die Einstellungen beziehen sich auf ein Objekt für die Dateisystemsicherheit.

Alle über eine lokale Richtlinie oder über ein Gruppenrichtlinienobjekt angewendeten Einstellungen werden in einer lokalen Datenbank auf dem Computer gespeichert. Wenn eine Sicherheitsrichtlinie geändert wird, speichert der Computer den Wert der Sicherheitseinstellung in der lokalen Datenbank, die den Verlauf aller Einstellungen nachverfolgt, die auf den Computer angewendet wurden. Wenn durch eine Richtlinie zuerst eine Sicherheitseinstellung definiert und die Definition der Einstellung dann aufgehoben wird, übernimmt die Einstellung den vorherigen Wert in der Datenbank. Wenn in der Datenbank kein vorheriger Wert vorhanden ist, kann die Einstellung keinen solchen Wert annehmen und bleibt unverändert. Dieses Verhalten wird manchmal als „Tattooing“ bezeichnet.

Registrierungs- und Dateisicherheitseinstellungen behalten die durch Gruppenrichtlinien angewendeten Werte bei, bis diese Einstellung auf andere Werte festgelegt wird.

Für das Anwenden einer Richtlinie erforderliche Berechtigungen

Damit die Einstellungen eines Gruppenrichtlinienobjekts auf Benutzer oder Gruppen und Computer angewendet werden, ist sowohl eine Berechtigung zum Anwenden von Gruppenrichtlinien als auch eine Leseberechtigung erforderlich.

Filtern von Sicherheitsrichtlinien

Standardmäßig verfügen alle GPOs für die Gruppe „Authentifizierte Benutzer“ über die Berechtigung zum Anwenden von Gruppenrichtlinien und die Leseberechtigung. Die Gruppe „Authentifizierte Benutzer“ umfasst Benutzer und Computer. Sicherheitseinstellungsrichtlinien sind computerbasiert. Um anzugeben, auf welche Clientcomputer ein Gruppenrichtlinienobjekt angewendet wird oder nicht, können Sie ihnen die Berechtigung „Gruppenrichtlinie übernehmen“ oder „Lesen“ für das jeweilige Gruppenrichtlinienobjekt verweigern. Wenn Sie diese Berechtigungen ändern, können Sie den Geltungsbereich des GPOs auf eine bestimmte Gruppe von Computern innerhalb eines Standorts, einer Domäne oder einer OE begrenzen.

Hinweis  

Die Filterung von Sicherheitsrichtlinien sollte nicht auf einem Domänencontroller verwendet werden. Dadurch wird verhindert, dass die Sicherheitsrichtlinie auf ihn angewendet wird.

 

Migrieren von GPOs, die Sicherheitseinstellungen enthalten

In einigen Situationen möchten Sie GPOs u. U. von einer Domänenumgebung zu einer anderen migrieren. Die beiden häufigsten Szenarien sind die Test-zu-Produktion- und Produktion-zu-Produktion-Migration. Der GPO-Kopiervorgang wirkt sich auf einige Arten von Sicherheitseinstellungen aus.

Daten für ein einzelnes GPO werden an mehreren Orten und in verschiedenen Formaten gespeichert. Einige Daten sind in Active Directory enthalten und andere auf der SYSVOL-Freigabe auf den Domänencontrollern gespeichert. Bestimmte Richtliniendaten können in einer Domäne gültig sein, während sie in der Domäne, in die das GPO kopiert wird, u. U. ungültig sind. In Sicherheitsrichtlinieneinstellungen gespeicherte Sicherheits-IDs (SIDs) sind häufig domänenspezifisch. Daher beschränkt sich das Kopieren von GPOs nicht nur auf das einfache Kopieren eines Ordners von einem Gerät auf ein anderes.

Die folgenden Sicherheitsrichtlinien können Sicherheitsprinzipale enthalten und erfordern u. U. zusätzliche Arbeitsschritte, damit sie erfolgreich von einer Domäne in eine andere übernommen werden können.

  • Zuweisen von Benutzerrechten

  • Eingeschränkte Gruppen

  • Dienste

  • Dateisystem

  • Registrierung

  • Die GPO-DACL, wenn Sie sie während eines Kopiervorgangs beibehalten wird

Um sicherzustellen, dass Daten ordnungsgemäß kopiert werden, können Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden. Bei der Migration von GPOs von einer Domäne zu einer anderen gewährleistet die GPMC, dass alle relevanten Daten ordnungsgemäß kopiert werden. Die GPMC bietet auch Migrationstabellen, mit deren Hilfe domänenspezifische Daten im Rahmen des Migrationsprozesses auf neue Werte aktualisiert werden können. Die GPMC verbirgt einen Großteil der Komplexität bei der GPO-Migration und bietet einfache und zuverlässige Mechanismen für Vorgänge wie das Kopieren und Sichern von GPOs.

Inhalt dieses Abschnitts

Thema Beschreibung

Verwalten von Sicherheitsrichtlinieneinstellungen

In diesem Artikel werden verschiedene Verwaltungsmethoden für Sicherheitsrichtlinieneinstellungen auf einem lokalen Gerät oder in einer kleinen oder mittleren Organisation beschrieben.

Konfigurieren von Sicherheitsrichtlinieneinstellungen

Hier werden Schritte zum Konfigurieren einer Sicherheitsrichtlinieneinstellung auf dem lokalen Gerät, auf einem Gerät in einer Domäne und auf einem Domänencontroller beschrieben.

Referenz zu den Sicherheitsrichtlinieneinstellungen

Diese Referenz für Sicherheitseinstellungen enthält Informationen zur Implementierung und Verwaltung von Sicherheitsrichtlinien und umfasst auch Einstellungsoptionen und Sicherheitsaspekte.