TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Accountbeleid en lokaal beleid

Accountbeleid en lokaal beleid

Beveiligingsbeleid is altijd gebaseerd op computers. In deze sectie worden accountbeleid en lokaal beleid uitgelegd.

Accountbeleid

Accountbeleid wordt op een computer gedefinieerd, maar is van invloed op de wisselwerking tussen gebruikersaccounts en de computer of het domein. Accountbeleid omvat drie deelverzamelingen:

  • Wachtwoordbeleid. Wordt gebruikt voor domeinen of lokale gebruikersaccounts. Hiermee worden instellingen voor wachtwoorden bepaald, zoals bekrachtiging en levensduur.
  • Accountvergrendelingsbeleid. Dit beleid wordt gebruikt voor gebruikersaccounts voor domeinen of lokale gebruikersaccounts. Hiermee worden de omstandigheden en de tijdsduur bepaald waarmee een account in het systeem wordt vergrendeld.
  • Kerberos-beleid. Dit beleid wordt gebruikt voor gebruikersaccount voor domeinen. Hiermee worden de instellingen voor Kerberos vastgelegd, zoals de levensduur van tickets en bekrachtiging. Kerberos-beleid wordt niet in lokaal computerbeleid opgenomen.

Voor domeinaccounts moet het accountbeleid worden gedefinieerd in het groepsbeleidsobject Standaarddomeinbeleid of in een nieuw groepsbeleidsobject dat is gekoppeld aan de hoofdmap van het domein en dat voorrang heeft op het groepsbeleidsobject Standaarddomeinbeleid, dat wordt afgedwongen door de domeincontrollers die samen het domein vormen. Als er meer dan een groepsbeleidsobject met accountbeleidsinstellingen is gekoppeld op het domeinniveau, bestaat het accountbeleid van het domein uit de cumulatieve beleidsinstellingen van alle aan het domein gekoppelde groepsbeleidsinstellingen.

Een domeincontroller krijgt altijd het accountbeleid van een groepsbeleidsobject dat is gekoppeld aan het domein. Dit is standaard het groepsbeleidsobject Standaarddomeinbeleid. Dit is ook het geval als er een ander accountbeleid is toegepast op de organisatie-eenheid die de domeincontroller bevat. Werkstations en servers die in een domein worden opgenomen (zoals lidcomputers), ontvangen ook hetzelfde accountbeleid voor de lokale accounts. Het lokale accountbeleid voor lidcomputers kan echter afwijken van het domeinaccountbeleid als er een accountbeleid wordt ingesteld voor de organisatie-eenheid waarvan de lidcomputers deel uitmaken.

Belangrijk

  • Het wordt niet aangeraden het Standaarddomeinbeleid te wijzigen. Als u accountbeleidsregels moet instellen die afwijken van de regels in het groepsbeleidsobject Standaarddomeinbeleid, kunt u een nieuw groepsbeleidsobject maken, dit koppelen aan de hoofdmap van het domein, het beleid instellen dat u wilt gebruiken en hieraan een hogere prioriteit geven dan aan het groepsbeleidsobject Standaarddomeinbeleid.

Binnen Beveiligingsopties zijn er twee soorten beleid dat vergelijkbaar is met accountbeleid. Hierbij gaat het om:

  • Netwerktoegang: anonieme SID/naam-vertaling toestaan
  • Netwerkbeveiliging: gebruikers automatisch afmelden als aanmeldingstijd verstrijkt

Lokaal beleid

Dit beleid is van toepassing op een computer en bevat de volgende deelverzamelingen:

  • Controlebeleid. Hiermee wordt bepaald of beveiligingsgebeurtenissen worden vastgelegd in het beveiligingslogboek op de computer. Hiermee wordt tevens bepaald of alleen geslaagde pogingen, alleen mislukte pogingen of beide worden vastgelegd. (Het Beveiligingslogboek is onderdeel van Logboeken)
  • Toewijzing van gebruikersrechten. Hiermee bepaalt u welke gebruikers of groepen aanmeldingsrechten of -bevoegdheden krijgen voor de computer.
  • Beveiligingsopties. Hiermee kunnen gebruikers beveiligingsinstellingen in- of uitschakelen voor de computer, zoals het digitaal ondertekenen van gegevens, de accountnamen Administrator en Gast, de toegang tot diskette- en cd-rom-stations, het installeren van stuurprogramma's, en aanmeldingsprompts.

Omdat er op een computer meer dan een beleid kan worden toegepast, kunnen er conflicten optreden in de instellingen voor het beveiligingsbeleid. De volgorde voor de voorrang, van de hoogste tot de laagste voorrang, is organisatie-eenheid, domein en lokale computer. Zie Beveiligingsinstellingen toepassen voor meer informatie.

Community-inhoud

Weergeven:
© 2016 Microsoft