Sicherheitsrichtlinieneinstellungen

Gilt für

  • Windows 10
  • Windows 11

In diesem Referenzthema werden die allgemeinen Szenarien, architektur und Prozesse für Sicherheitseinstellungen beschrieben.

Sicherheitsrichtlinieneinstellungen sind Regeln, die Administratoren auf einem Computer oder auf mehreren Geräten zum Schutz von Ressourcen auf einem Gerät oder Netzwerk konfigurieren. Mit der Erweiterung "Sicherheitseinstellungen" des Snap-Ins "Lokaler Gruppenrichtlinie-Editor" können Sie Sicherheitskonfigurationen als Teil eines Gruppenrichtlinie-Objekts (GPO) definieren. Die GRUPPENRICHTLINIENobjekte sind mit Active Directory-Containern wie Websites, Domänen oder Organisationseinheiten verknüpft und ermöglichen es Ihnen, Sicherheitseinstellungen für mehrere Geräte von jedem Gerät aus zu verwalten, das der Domäne beigetreten ist. Sicherheitseinstellungsrichtlinien werden als Teil Ihrer allgemeinen Sicherheitsimplementierung verwendet, um Domänencontroller, Server, Clients und andere Ressourcen in Ihrer Organisation zu schützen.

Sicherheitseinstellungen können Folgendes steuern:

  • Benutzerauthentifizierung bei einem Netzwerk oder Gerät.
  • Die Ressourcen, auf die Benutzer zugreifen dürfen.
  • Gibt an, ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden sollen.
  • Mitgliedschaft in einer Gruppe.

Um Sicherheitskonfigurationen für mehrere Geräte zu verwalten, können Sie eine der folgenden Optionen verwenden:

  • Bearbeiten sie bestimmte Sicherheitseinstellungen in einem Gruppenrichtlinienobjekt.
  • Verwenden Sie das Sicherheitsvorlagen-Snap-In, um eine Sicherheitsvorlage zu erstellen, die die anzuwendenden Sicherheitsrichtlinien enthält, und importieren Sie dann die Sicherheitsvorlage in ein Gruppenrichtlinie-Objekt. Eine Sicherheitsvorlage ist eine Datei, die eine Sicherheitskonfiguration darstellt, und sie kann in ein Gruppenrichtlinienobjekt importiert, auf ein lokales Gerät angewendet oder zur Analyse der Sicherheit verwendet werden.

Weitere Informationen zum Verwalten von Sicherheitskonfigurationen finden Sie unter Verwalten von Sicherheitsrichtlinieneinstellungen.

Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinie umfasst die folgenden Arten von Sicherheitsrichtlinien:

  • Kontorichtlinien. Diese Richtlinien werden auf Geräten definiert. sie beeinflussen, wie Benutzerkonten mit dem Computer oder der Domäne interagieren können. Kontorichtlinien umfassen die folgenden Richtlinientypen:

    • Kennwortrichtlinie. Diese Richtlinien bestimmen die Einstellungen für Kennwörter, z. B. Erzwingung und Lebensdauer. Kennwortrichtlinien werden für Domänenkonten verwendet.
    • Kontosperrrichtlinie. Diese Richtlinien bestimmen die Bedingungen und die Dauer, in der ein Konto aus dem System gesperrt wird. Kontosperrrichtlinien werden für Domänen- oder lokale Benutzerkonten verwendet.
    • Kerberos-Richtlinie. Diese Richtlinien werden für Domänenbenutzerkonten verwendet. sie bestimmen Kerberos-bezogene Einstellungen, z. B. Ticketlebensdauer und Erzwingung.
  • Lokale Richtlinien. Diese Richtlinien gelten für einen Computer und umfassen die folgenden Typen von Richtlinieneinstellungen:

    • Überwachungsrichtlinie. Geben Sie Sicherheitseinstellungen an, die die Protokollierung von Sicherheitsereignissen im Sicherheitsprotokoll auf dem Computer steuern, und geben Sie an, welche Arten von Sicherheitsereignissen protokolliert werden sollen (Erfolg, Fehler oder beides).

      Hinweis

      Für Geräte unter Windows 7 und höher empfehlen wir, die Einstellungen unter "Erweiterte Überwachungsrichtlinienkonfiguration" anstelle der Überwachungsrichtlinieneinstellungen unter "Lokale Richtlinien" zu verwenden.

    • Zuweisung von Benutzerrechten. Angeben der Benutzer oder Gruppen, die über Anmelderechte oder -berechtigungen auf einem Gerät verfügen

    • Sicherheitsoptionen. Sicherheitseinstellungen für den Computer angeben, z. B. Administrator- und Gastkontonamen; Zugriff auf Diskettenlaufwerke und CD-ROM-Laufwerke; Installation von Treibern; Anmeldeaufforderungen; Und so weiter.

  • Windows-Firewall mit erweiterter Sicherheit. Geben Sie Einstellungen zum Schutz des Geräts in Ihrem Netzwerk an, indem Sie eine zustandsbehaftete Firewall verwenden, mit der Sie ermitteln können, welcher Netzwerkdatenverkehr zwischen Ihrem Gerät und dem Netzwerk übergeben werden darf.

  • Netzwerklisten-Manager-Richtlinien. Geben Sie Einstellungen an, die Sie verwenden können, um verschiedene Aspekte der Anzeige von Netzwerken auf einem Gerät oder auf vielen Geräten zu konfigurieren.

  • Richtlinien für öffentliche Schlüssel. Geben Sie zusätzlich zu bestimmten Zertifikatpfaden und Diensteinstellungen Einstellungen zum Steuern des verschlüsselnden Dateisystems, des Datenschutzes und der BitLocker-Laufwerkverschlüsselung an.

  • Richtlinien für Softwareeinschränkung. Geben Sie Einstellungen an, um Software zu identifizieren und deren Ausführung auf Ihrem lokalen Gerät, Ihrer Organisationseinheit, Domäne oder Website zu steuern.

  • Anwendungssteuerungsrichtlinien. Geben Sie Einstellungen an, um zu steuern, welche Benutzer oder Gruppen bestimmte Anwendungen in Ihrer Organisation basierend auf eindeutigen Identitäten von Dateien ausführen können.

  • IP-Sicherheitsrichtlinien auf dem lokalen Computer. Geben Sie Einstellungen an, um die private, sichere Kommunikation über IP-Netzwerke mithilfe kryptografischer Sicherheitsdienste sicherzustellen. IPsec richtet die Vertrauensstellung und Sicherheit von einer Quell-IP-Adresse zu einer Ziel-IP-Adresse ein.

  • Erweiterte Überwachungsrichtlinienkonfiguration. Geben Sie Einstellungen an, die die Protokollierung von Sicherheitsereignissen im Sicherheitsprotokoll auf dem Gerät steuern. Die Einstellungen unter "Erweiterte Überwachungsrichtlinienkonfiguration" bieten eine genauere Kontrolle darüber, welche Aktivitäten überwacht werden sollen, im Gegensatz zu den Überwachungsrichtlinieneinstellungen unter "Lokale Richtlinien".

Richtlinienbasierte Verwaltung von Sicherheitseinstellungen

Die Erweiterung "Sicherheitseinstellungen" für Gruppenrichtlinie bietet eine integrierte richtlinienbasierte Verwaltungsinfrastruktur, die Ihnen bei der Verwaltung und Durchsetzung Ihrer Sicherheitsrichtlinien hilft.

Sie können Sicherheitseinstellungsrichtlinien über Gruppenrichtlinie und Active Directory Domain Services (AD DS) für Benutzer, Gruppen und Netzwerkserver und -clients definieren und anwenden. Eine Gruppe von Servern mit derselben Funktionalität kann erstellt werden (z. B. ein Microsoft Web (IIS)-Server), und dann kann Gruppenrichtlinie Objekte verwendet werden, um allgemeine Sicherheitseinstellungen auf die Gruppe anzuwenden. Wenn dieser Gruppe später weitere Server hinzugefügt werden, werden viele der allgemeinen Sicherheitseinstellungen automatisch angewendet, wodurch die Bereitstellung und der Verwaltungsaufwand reduziert werden.

Allgemeine Szenarien für die Verwendung von Sicherheitseinstellungenrichtlinien

Richtlinien für Sicherheitseinstellungen werden verwendet, um die folgenden Sicherheitsaspekte zu verwalten: Kontorichtlinie, lokale Richtlinie, Zuweisung von Benutzerrechten, Registrierungswerte, Datei- und Registrierungs- Access Control Listen (ACLs), Dienststartmodi und vieles mehr.

Im Rahmen Ihrer Sicherheitsstrategie können Sie Gruppenrichtlinien mit Sicherheitseinstellungen erstellen, die speziell für die verschiedenen Rollen in Ihrer Organisation konfiguriert sind, z. B. Domänencontroller, Dateiserver, Mitgliedsserver, Clients usw.

Sie können eine Organisationseinheitsstruktur (OU) erstellen, die Geräte nach ihren Rollen gruppiert. Die Verwendung von OUs ist die beste Methode zum Trennen bestimmter Sicherheitsanforderungen für die verschiedenen Rollen in Ihrem Netzwerk. Mit diesem Ansatz können Sie auch angepasste Sicherheitsvorlagen auf jede Server- oder Computerklasse anwenden. Nachdem Sie die Sicherheitsvorlagen erstellt haben, erstellen Sie ein neues Gruppenrichtlinienobjekt für jede der OUs und importieren dann die Sicherheitsvorlage (INF-Datei) in das neue Gruppenrichtlinienobjekt.

Durch das Importieren einer Sicherheitsvorlage in ein Gruppenrichtlinienobjekt wird sichergestellt, dass alle Konten, auf die das Gruppenrichtlinienobjekt angewendet wird, automatisch die Sicherheitseinstellungen der Vorlage erhalten, wenn die Gruppenrichtlinie Einstellungen aktualisiert werden. Auf einer Arbeitsstation oder einem Server werden die Sicherheitseinstellungen in regelmäßigen Abständen aktualisiert (mit einem zufälligen Offset von höchstens 30 Minuten), und auf einem Domänencontroller erfolgt dieser Vorgang alle paar Minuten, wenn Änderungen an den zutreffenden GPO-Einstellungen vorgenommen wurden. Die Einstellungen werden auch alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen vorgenommen wurden.

Hinweis

Diese Aktualisierungseinstellungen variieren zwischen versionen des Betriebssystems und können konfiguriert werden.

Durch die Verwendung von Gruppenrichtlinie-basierten Sicherheitskonfigurationen in Verbindung mit der Delegierung der Verwaltung können Sie sicherstellen, dass bestimmte Sicherheitseinstellungen, -rechte und -verhalten auf alle Server und Computer innerhalb einer Organisationseinheit angewendet werden. Bei diesem Ansatz ist es einfach, viele Server mit allen anderen Änderungen zu aktualisieren, die in Zukunft erforderlich sind.

Abhängigkeiten von anderen Betriebssystemtechnologien

Für Geräte, die Mitglieder einer Windows Server 2008- oder höher-Domäne sind, hängen Sicherheitseinstellungen von den folgenden Technologien ab:

  • Active Directory-Domänendienste (AD DS)

    Der Windows-basierte Verzeichnisdienst AD DS speichert Informationen zu Objekten in einem Netzwerk und stellt diese Informationen Administratoren und Benutzern zur Verfügung. Mithilfe von AD DS können Sie Netzwerkobjekte im Netzwerk von einem einzigen Ort aus anzeigen und verwalten, und Benutzer können über eine einmalige Anmeldung auf zulässige Netzwerkressourcen zugreifen.

  • Gruppenrichtlinie

    Die Infrastruktur in AD DS, die die verzeichnisbasierte Konfigurationsverwaltung von Benutzer- und Computereinstellungen auf Geräten unter Windows Server ermöglicht. Mithilfe von Gruppenrichtlinie können Sie Konfigurationen für Gruppen von Benutzern und Computern definieren, einschließlich Richtlinieneinstellungen, registrierungsbasierte Richtlinien, Softwareinstallation, Skripts, Ordnerumleitung, Remoteinstallationsdienste, Internet Explorer-Wartung und Sicherheit.

  • Domain Name System (DNS)

    Ein hierarchisches Benennungssystem, das zum Auffinden von Domänennamen im Internet und in privaten TCP/IP-Netzwerken verwendet wird. DNS stellt einen Dienst zum Zuordnen von DNS-Domänennamen zu IP-Adressen und IP-Adressen zu Domänennamen bereit. Dieser Dienst ermöglicht Es Benutzern, Computern und Anwendungen, DNS abzufragen, um Remotesysteme nach vollqualifizierten Domänennamen und nicht nach IP-Adressen anzugeben.

  • Winlogon

    Ein Teil des Windows-Betriebssystems, das interaktive Anmeldeunterstützung bietet. Winlogon basiert auf einem interaktiven Anmeldemodell, das aus drei Komponenten besteht: der ausführbaren Datei Winlogon, einem Anmeldeinformationsanbieter und einer beliebigen Anzahl von Netzwerkanbietern.

  • Setup

    Die Sicherheitskonfiguration interagiert während einer Neuinstallation oder eines Upgrades von früheren Versionen von Windows Server mit dem Setupprozess des Betriebssystems.

  • Sicherheitskonten-Manager (SAM)

    Ein Windows-Dienst, der während des Anmeldevorgangs verwendet wird. SAM verwaltet Benutzerkontoinformationen, einschließlich Gruppen, zu denen ein Benutzer gehört.

  • Lokale Sicherheitsbehörde (LSA)

    Ein geschütztes Subsystem, das Benutzer beim lokalen System authentifiziert und anmeldet. LSA verwaltet auch Informationen über alle Aspekte der lokalen Sicherheit in einem System, zusammenfassend als lokale Sicherheitsrichtlinie des Systems bezeichnet.

  • Windows-Verwaltungsinstrumentation (WMI)

    Ein Feature des Microsoft Windows-Betriebssystems WMI ist die Microsoft-Implementierung von Web-Based Enterprise Management (WBEM), die eine Brancheninitiative zur Entwicklung einer Standardtechnologie für den Zugriff auf Verwaltungsinformationen in einer Unternehmensumgebung ist. WMI bietet Zugriff auf Informationen zu Objekten in einer verwalteten Umgebung. Über WMI und die WMI-Api (Application Programming Interface) können Anwendungen statische Informationen im CIM-Repository (Common Information Model) abfragen und Änderungen daran vornehmen sowie dynamische Informationen, die von den verschiedenen Anbietertypen verwaltet werden.

  • Resultant Set of Policy (RSoP)

    Eine erweiterte Gruppenrichtlinie Infrastruktur, die WMI verwendet, um das Planen und Debuggen von Richtlinieneinstellungen zu vereinfachen. RSoP bietet öffentliche Methoden, die offenlegen, was eine Erweiterung für Gruppenrichtlinie in einer Was-wäre-wenn-Situation tun würde und was die Erweiterung in einer tatsächlichen Situation getan hat. Mit diesen öffentlichen Methoden können Administratoren die Kombination von Richtlinieneinstellungen, die für einen Benutzer oder ein Gerät gelten oder für sie gelten, ganz einfach ermitteln.

  • Service Control Manager (SCM)

    Wird für die Konfiguration von Dienststartmodi und Sicherheit verwendet.

  • Registrierung

    Wird für die Konfiguration von Registrierungswerten und Sicherheit verwendet.

  • Dateisystem

    Wird für die Konfiguration der Sicherheit verwendet.

  • Dateisystemkonvertierungen

    Die Sicherheit wird festgelegt, wenn ein Administrator ein Dateisystem von FAT in NTFS konvertiert.

  • Microsoft Management Console (MMC)

    Die Benutzeroberfläche für das Tool "Sicherheitseinstellungen" ist eine Erweiterung des MMC-Snap-Ins "Local Gruppenrichtlinie Editor".

Sicherheitseinstellungen und Gruppenrichtlinie

Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinie ist Teil des Security Configuration Manager-Toolsatzes. Die folgenden Komponenten sind den Sicherheitseinstellungen zugeordnet: ein Konfigurationsmodul; ein Analysemodul; eine Vorlagen- und Datenbankschnittstellenebene; Setup-Integrationslogik; und das Befehlszeilentool secedit.exe. Das Sicherheitskonfigurationsmodul ist für die Verarbeitung von Sicherheitskonfigurations-Editor-bezogenen Sicherheitsanforderungen für das System verantwortlich, auf dem es ausgeführt wird. Das Analysemodul analysiert die Systemsicherheit für eine bestimmte Konfiguration und speichert das Ergebnis. Die Vorlagen- und Datenbankschnittstellenebene verarbeitet Lese- und Schreibanforderungen von und an die Vorlage oder Datenbank (für den internen Speicher). Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinie behandelt Gruppenrichtlinie von einem domänenbasierten oder lokalen Gerät aus. Die Sicherheitskonfigurationslogik lässt sich in setup integrieren und verwaltet die Systemsicherheit für eine Neuinstallation oder ein Upgrade auf ein neueres Windows-Betriebssystem. Sicherheitsinformationen werden in Vorlagen (INF-Dateien) oder in der Secedit.sdb-Datenbank gespeichert.

Das folgende Diagramm zeigt Sicherheitseinstellungen und zugehörige Features.

Sicherheitseinstellungenrichtlinien und zugehörige Features

Komponenten im Zusammenhang mit Sicherheitsrichtlinien.

  • Scesrv.dll

    Stellt die wichtigsten Sicherheitsmodulfunktionen bereit.

  • Scecli.dll

    Stellt die clientseitigen Schnittstellen zum Sicherheitskonfigurationsmodul bereit und stellt Daten für resultant Set of Policy (RSoP) bereit.

  • Wsecedit.dll

    Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinie. scecli.dll wird in wsecedit.dll geladen, um die Benutzeroberfläche der Sicherheitseinstellungen zu unterstützen.

  • Gpedit.dll

    Das MMC-Snap-In "Local Gruppenrichtlinie Editor".

Architektur der Sicherheitseinstellungenerweiterung

Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinie ist Teil der Sicherheitstools Configuration Manager, wie im folgenden Diagramm dargestellt.

Architektur der Sicherheitseinstellungen

Architektur der Sicherheitsrichtlinieneinstellungen.

Die Konfigurations- und Analysetools für Sicherheitseinstellungen umfassen ein Sicherheitskonfigurationsmodul, das lokalen Computer (Nicht-Domänenmitglied) sowie Gruppenrichtlinie-basierte Konfiguration und Analyse von Sicherheitseinstellungsrichtlinien bereitstellt. Das Sicherheitskonfigurationsmodul unterstützt auch die Erstellung von Sicherheitsrichtliniendateien. Die wichtigsten Features des Sicherheitskonfigurationsmoduls sind scecli.dll und scesrv.dll.

In der folgenden Liste werden diese primären Features des Sicherheitskonfigurationsmoduls und anderer Sicherheitseinstellungen–bezogene Features beschrieben.

  • scesrv.dll

    Diese .dll Datei wird in services.exe gehostet und im lokalen Systemkontext ausgeführt. scesrv.dll bietet die wichtigsten Funktionen der Sicherheits- Configuration Manager, z. B. Importieren, Konfigurieren, Analysieren und Richtlinienverteilung.

    Scesrv.dll führt die Konfiguration und Analyse verschiedener sicherheitsbezogener Systemparameter durch, indem entsprechende System-APIs wie LSA, SAM und die Registrierung aufgerufen werden.

    Scesrv.dll macht APIs wie Importieren, Exportieren, Konfigurieren und Analysieren verfügbar. Es überprüft, ob die Anforderung über LRPC (Windows XP) erfolgt, und schlägt den Aufruf fehl, wenn dies nicht der Der Typ ist.

    Die Kommunikation zwischen Teilen der Erweiterung "Sicherheitseinstellungen" erfolgt mithilfe der folgenden Methoden:

    • COM-Aufrufe (Component Object Model)
    • Lokaler Remoteprozeduraufruf (LRPC)
    • Lightweight Directory Access Protocol (LDAP)
    • Active Directory Service Interfaces (ADSI)
    • Servernachrichtenblock (Server Message Block, SMB)
    • Win32-APIs
    • Aufrufe der Windows-Verwaltungsinstrumentation (WMI)

    Auf Domänencontrollern empfängt scesrv.dll Benachrichtigungen über Änderungen an SAM und der LSA, die über Domänencontroller hinweg synchronisiert werden müssen. Scesrv.dll integriert diese Änderungen in das Standardrichtlinien-GPO für Domänencontroller mithilfe von In-Process-scecli.dll Vorlagenänderungs-APIs. Scesrv.dll führt auch Konfigurations- und Analysevorgänge aus.

  • Scecli.dll

    Dieser Scecli.dll ist die clientseitige Schnittstelle oder der Wrapper für scesrv.dll. scecli.dll wird in Wsecedit.dll geladen, um MMC-Snap-Ins zu unterstützen. Es wird von Setup verwendet, um die Standardmäßige Systemsicherheit von Dateien, Registrierungsschlüsseln und Diensten zu konfigurieren, die von den INF-Dateien der Setup-API installiert werden.

    Die Befehlszeilenversion der Benutzeroberflächen für die Sicherheitskonfiguration und -analyse, secedit.exe, verwendet scecli.dll.

    Scecli.dll implementiert die clientseitige Erweiterung für Gruppenrichtlinie.

    Scesrv.dll verwendet scecli.dll, um anwendbare Gruppenrichtlinie Dateien von SYSVOL herunterzuladen, um Gruppenrichtlinie Sicherheitseinstellungen auf das lokale Gerät anzuwenden.

    Scecli.dll protokolliert die Anwendung von Sicherheitsrichtlinien in WMI (RSoP).

    Scesrv.dll Richtlinienfilter verwendet scecli.dll, um das Standardrichtlinien-GPO für Domänencontroller zu aktualisieren, wenn Änderungen an SAM und LSA vorgenommen werden.

  • Wsecedit.dll

    Die Erweiterung "Sicherheitseinstellungen" des Gruppenrichtlinie-Objekt-Editor-Snap-Ins. Sie verwenden dieses Tool, um Sicherheitseinstellungen in einem Gruppenrichtlinie-Objekt für eine Website, Domäne oder Organisationseinheit zu konfigurieren. Sie können sicherheitseinstellungen auch verwenden, um Sicherheitsvorlagen in ein Gruppenrichtlinienobjekt zu importieren.

  • Secedit.sdb

    Diese Secedit.sdb ist eine permanente Systemdatenbank, die für die Richtlinienverteilung verwendet wird, einschließlich einer Tabelle mit persistenten Einstellungen für Rollbackzwecke.

  • Benutzerdatenbanken

    Eine Benutzerdatenbank ist eine andere Datenbank als die Systemdatenbank, die von Administratoren zum Zwecke der Konfiguration oder Analyse der Sicherheit erstellt wurde.

  • . Inf-Vorlagen

    Diese Vorlagen sind Textdateien, die deklarative Sicherheitseinstellungen enthalten. Sie werden vor der Konfiguration oder Analyse in eine Datenbank geladen. Gruppenrichtlinie Sicherheitsrichtlinien werden in INF-Dateien im SYSVOL-Ordner der Domänencontroller gespeichert, wo sie (mithilfe einer Dateikopie) heruntergeladen und während der Richtlinienverteilung mit der Systemdatenbank zusammengeführt werden.

Prozesse und Interaktionen von Sicherheitseinstellungenrichtlinien

Bei einem in die Domäne eingebundenen Gerät, auf dem Gruppenrichtlinie verwaltet wird, werden Sicherheitseinstellungen in Verbindung mit Gruppenrichtlinie verarbeitet. Nicht alle Einstellungen sind konfigurierbar.

Gruppenrichtlinie Verarbeitung

Wenn ein Computer gestartet wird und sich ein Benutzer anmeldet, werden Computerrichtlinie und Benutzerrichtlinie gemäß der folgenden Reihenfolge angewendet:

  1. Das Netzwerk wird gestartet. Remote Procedure Call System Service (RPCSS) und Multiple Universal Naming Convention Provider (MUP) werden gestartet.

  2. Eine sortierte Liste der Gruppenrichtlinie Objekte wird für das Gerät abgerufen. Die Liste kann von folgenden Faktoren abhängig sein:

    • Gibt an, ob das Gerät Teil einer Domäne ist und daher Gruppenrichtlinie über Active Directory unterliegt.
    • Der Speicherort des Geräts in Active Directory.
    • Gibt an, ob sich die Liste der Gruppenrichtlinie Objekte geändert hat. Wenn die Liste der Gruppenrichtlinie Objekte nicht geändert wurde, erfolgt keine Verarbeitung.
  3. Die Computerrichtlinie wird angewendet. Diese Einstellungen sind die Einstellungen unter "Computerkonfiguration" aus der gesammelten Liste. Dieser Prozess ist standardmäßig synchron und tritt in der folgenden Reihenfolge auf: lokal, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung von Computerrichtlinien wird keine Benutzeroberfläche angezeigt.

  4. Startskripts werden ausgeführt. Diese Skripts sind standardmäßig ausgeblendet und synchron. Jedes Skript muss abgeschlossen sein oder ein Timeout vor dem Nächsten beginnen. Das Standardtimeout beträgt 600 Sekunden. Sie können mehrere Richtlinieneinstellungen verwenden, um dieses Verhalten zu ändern.

  5. Der Benutzer drückt STRG+ALT+ENTF, um sich anzumelden.

  6. Nachdem der Benutzer überprüft wurde, wird das Benutzerprofil geladen. sie unterliegt den geltenden Richtlinieneinstellungen.

  7. Eine sortierte Liste der Gruppenrichtlinie Objekte wird für den Benutzer abgerufen. Die Liste kann von folgenden Faktoren abhängig sein:

    • Gibt an, ob der Benutzer Teil einer Domäne ist und daher Gruppenrichtlinie über Active Directory unterliegt.
    • Gibt an, ob die Loopbackrichtlinienverarbeitung aktiviert ist und falls ja, der Status (Zusammenführen oder Ersetzen) der Loopback-Richtlinieneinstellung.
    • Der Speicherort des Benutzers in Active Directory.
    • Gibt an, ob sich die Liste der Gruppenrichtlinie Objekte geändert hat. Wenn die Liste der Gruppenrichtlinie Objekte nicht geändert wurde, erfolgt keine Verarbeitung.
  8. Die Benutzerrichtlinie wird angewendet. Diese Einstellungen sind die Einstellungen unter "Benutzerkonfiguration" aus der gesammelten Liste. Diese Einstellungen sind standardmäßig synchron und in der folgenden Reihenfolge: lokal, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung von Benutzerrichtlinien wird keine Benutzeroberfläche angezeigt.

  9. Anmeldeskripts werden ausgeführt. Gruppenrichtlinie-basierte Anmeldeskripts sind standardmäßig ausgeblendet und asynchron. Das Benutzerobjektskript wird zuletzt ausgeführt.

  10. Die von Gruppenrichtlinie vorgeschriebene Benutzeroberfläche des Betriebssystems wird angezeigt.

speicher Gruppenrichtlinie Objekte

Ein Gruppenrichtlinie-Objekt (GPO) ist ein virtuelles Objekt, das durch eine GUID (Globally Unique Identifier) identifiziert und auf Domänenebene gespeichert wird. Die Richtlinieneinstellungsinformationen eines Gruppenrichtlinienobjekts werden an den folgenden beiden Speicherorten gespeichert:

  • Gruppenrichtlinie Container in Active Directory.

    Der Gruppenrichtlinie Container ist ein Active Directory-Container, der GPO-Eigenschaften enthält, z. B. Versionsinformationen, GPO-Status sowie eine Liste anderer Komponenteneinstellungen.

  • Gruppenrichtlinie Vorlagen im Systemvolumeordner (SYSVOL) einer Domäne.

    Die vorlage Gruppenrichtlinie ist ein Dateisystemordner, der Richtliniendaten enthält, die durch ADMX-Dateien, Sicherheitseinstellungen, Skriptdateien und Informationen zu Anwendungen angegeben werden, die für die Installation verfügbar sind. Die Gruppenrichtlinie Vorlage befindet sich im Ordner "SYSVOL" im <domain>Unterordner "\Policies".

Die Struktur GROUP_POLICY_OBJECT enthält Informationen zu einem Gruppenrichtlinienobjekt in einer GPO-Liste, einschließlich der Versionsnummer des Gruppenrichtlinienobjekts, eines Zeigers auf eine Zeichenfolge, die den Active Directory-Teil des Gruppenrichtlinienobjekts angibt, und eines Zeigers auf eine Zeichenfolge, die den Pfad zum Dateisystemteil des Gruppenrichtlinienobjekts angibt.

Gruppenrichtlinie Verarbeitungsauftrag

Gruppenrichtlinie Einstellungen werden in der folgenden Reihenfolge verarbeitet:

  1. Lokales Gruppenrichtlinie-Objekt.

    Jedes Gerät, auf dem ein Windows-Betriebssystem ab Windows XP ausgeführt wird, verfügt über genau ein Gruppenrichtlinie Objekt, das lokal gespeichert ist.

  2. Website.

    Alle Gruppenrichtlinie Objekte, die mit der Website verknüpft wurden, werden als Nächstes verarbeitet. Die Verarbeitung erfolgt synchron und in einer von Ihnen angegebenen Reihenfolge.

  3. Domäne.

    Die Verarbeitung mehrerer domänenverknüpfte Gruppenrichtlinie Objekte erfolgt synchron und in einer von Ihnen angegebenen Reihenfolge.

  4. Organisationseinheiten.

    Gruppenrichtlinie Objekte, die mit der Organisationseinheit verknüpft sind, die in der Active Directory-Hierarchie am höchsten ist, werden zuerst verarbeitet, dann Gruppenrichtlinie Objekte, die mit der untergeordneten Organisationseinheit verknüpft sind usw. Schließlich werden die Gruppenrichtlinie Objekte verarbeitet, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder das Gerät enthält.

Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchie können ein, viele oder keine Gruppenrichtlinie Objekte verknüpft werden. Wenn mehrere Gruppenrichtlinie Objekte mit einer Organisationseinheit verknüpft sind, erfolgt deren Verarbeitung synchron und in einer von Ihnen angegebenen Reihenfolge.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinie-Objekt zuerst verarbeitet wird, und Gruppenrichtlinie Objekte, die mit der Organisationseinheit verknüpft sind, von der der Computer oder Benutzer ein direktes Mitglied ist, zuletzt verarbeitet werden, wodurch die früheren Gruppenrichtlinie Objekte überschrieben werden.

Diese Reihenfolge ist die Standardverarbeitungsreihenfolge, und Administratoren können Ausnahmen für diese Reihenfolge angeben. Ein Gruppenrichtlinie-Objekt, das mit einer Website, Domäne oder Organisationseinheit (kein lokales Gruppenrichtlinie Objekt) verknüpft ist, kann in Bezug auf diese Website, Domäne oder Organisationseinheit auf "Erzwungen" festgelegt werden, sodass keine ihrer Richtlinieneinstellungen außer Kraft gesetzt werden kann. An jeder Website, Domäne oder Organisationseinheit können Sie Gruppenrichtlinie Vererbung selektiv als "Vererbung blockieren" markieren. Gruppenrichtlinie Objektlinks, die auf "Erzwungen" festgelegt sind, werden jedoch immer angewendet und können nicht blockiert werden. Weitere Informationen finden Sie unter Gruppenrichtlinie Grundlagen – Teil 2: Grundlegendes zu den anzuwendenden GPOs.

Verarbeitung von Sicherheitseinstellungenrichtlinien

Im Rahmen Gruppenrichtlinie Verarbeitung wird die Sicherheitseinstellungsrichtlinie in der folgenden Reihenfolge verarbeitet.

  1. Während Gruppenrichtlinie Verarbeitung bestimmt das Gruppenrichtlinie-Modul, welche Sicherheitseinstellungsrichtlinien angewendet werden sollen.

  2. Wenn Sicherheitseinstellungsrichtlinien in einem Gruppenrichtlinienobjekt vorhanden sind, ruft Gruppenrichtlinie die clientseitige Erweiterung "Sicherheitseinstellungen" auf.

  3. Die Erweiterung "Sicherheitseinstellungen" lädt die Richtlinie vom entsprechenden Speicherort herunter, z. B. einem bestimmten Domänencontroller.

  4. Die Erweiterung "Sicherheitseinstellungen" führt alle Sicherheitseinstellungen gemäß den Rangfolgeregeln zusammen. Die Verarbeitung erfolgt gemäß der Gruppenrichtlinie Verarbeitungsreihenfolge der lokalen, Website-, Domänen- und Organisationseinheit (OU), wie weiter oben im Abschnitt "Gruppenrichtlinie Verarbeitungsauftrag" beschrieben. Wenn mehrere GRUPPENRICHTLINIEN für ein bestimmtes Gerät in Kraft sind und keine widersprüchlichen Richtlinien vorhanden sind, sind die Richtlinien kumulativ und werden zusammengeführt.

    In diesem Beispiel wird die in der folgenden Abbildung gezeigte Active Directory-Struktur verwendet. Ein bestimmter Computer ist Mitglied der OU2, mit der das Gruppenrichtlinienobjekt "GroupMembershipPolGPO " verknüpft ist. Dieser Computer unterliegt auch dem UserRightsPolGPO-GPO , das mit OU1 verknüpft ist, weiter oben in der Hierarchie. In diesem Fall sind keine widersprüchlichen Richtlinien vorhanden, sodass das Gerät alle Richtlinien empfängt, die sowohl in den GpOs "UserRightsPolGPO " als auch in " GroupMembershipPolGPO " enthalten sind.

    Mehrere GPOs und Zusammenführen von Sicherheitsrichtlinien

    mehrere gpos und Zusammenführen von Sicherheitsrichtlinien.

  5. Die resultierenden Sicherheitsrichtlinien werden in secedit.sdb, der Datenbank für Sicherheitseinstellungen, gespeichert. Das Sicherheitsmodul ruft die Sicherheitsvorlagendateien ab und importiert sie in "secedit.sdb".

  6. Die Sicherheitseinstellungsrichtlinien werden auf Geräte angewendet. Die folgende Abbildung veranschaulicht die Verarbeitung von Sicherheitseinstellungenrichtlinien.

Verarbeitung von Sicherheitseinstellungenrichtlinien

Prozess und Interaktionen von Sicherheitsrichtlinieneinstellungen.

Zusammenführen von Sicherheitsrichtlinien auf Domänencontrollern

Kennwortrichtlinien, Kerberos und einige Sicherheitsoptionen werden nur aus GPOs zusammengeführt, die auf der Stammebene der Domäne verknüpft sind. Durch diese Zusammenführung werden diese Einstellungen über alle Domänencontroller in der Domäne synchronisiert. Die folgenden Sicherheitsoptionen werden zusammengeführt:

  • Netzwerksicherheit: Erzwingen der Abmeldung, wenn die Anmeldezeiten ablaufen
  • Konten: Administratorkontostatus
  • Konten: Gastkontenstatus
  • Konten: Administrator umbenennen
  • Konten: Gastkonto umbenennen

Es gibt einen weiteren Mechanismus, mit dem Sicherheitsrichtlinienänderungen, die von Administratoren mithilfe von Nettokonten vorgenommen wurden, mit dem Standard-Domänenrichtlinien-GPO zusammengeführt werden können. Änderungen an Benutzerrechten, die mithilfe von LSA-APIs (Local Security Authority) vorgenommen werden, werden in das Standardrichtlinien-GPO für Domänencontroller gefiltert.

Besondere Überlegungen für Domänencontroller

Wenn eine Anwendung auf einem primären Domänencontroller (PDC) mit der Hauptrolle für Vorgänge (auch als flexible Einzelmastervorgänge oder FSMO bezeichnet) installiert ist und die Anwendung Änderungen an Benutzerrechten oder Kennwortrichtlinien vornimmt, müssen diese Änderungen mitgeteilt werden, um sicherzustellen, dass die Synchronisierung über Domänencontroller hinweg erfolgt. Scesrv.dll erhält eine Benachrichtigung über alle Änderungen am Security Account Manager (SAM) und der LSA, die über Domänencontroller hinweg synchronisiert werden müssen, und integriert die Änderungen dann mithilfe scecli.dll Vorlagenänderungs-APIs in das Standard-Domänencontrollerrichtlinien-GPO.

Wenn Sicherheitseinstellungen angewendet werden

Nachdem Sie die Sicherheitseinstellungsrichtlinien bearbeitet haben, werden die Einstellungen auf den Computern in der Organisationseinheit, die mit Ihrem Gruppenrichtlinie-Objekt verknüpft sind, in den folgenden Instanzen aktualisiert:

  • Wenn ein Gerät neu gestartet wird.
  • Alle 90 Minuten auf einer Arbeitsstation oder einem Server und alle 5 Minuten auf einem Domänencontroller. Dieses Aktualisierungsintervall ist konfigurierbar.
  • Standardmäßig werden von Gruppenrichtlinie bereitgestellte Sicherheitsrichtlinieneinstellungen auch alle 16 Stunden (960 Minuten) angewendet, auch wenn sich ein Gruppenrichtlinienobjekt nicht geändert hat.

Persistenz der Richtlinie für Sicherheitseinstellungen

Sicherheitseinstellungen können auch dann beibehalten werden, wenn eine Einstellung in der Richtlinie, die sie ursprünglich angewendet hat, nicht mehr definiert ist.

Sicherheitseinstellungen können in den folgenden Fällen beibehalten werden:

  • Die Einstellung wurde noch nicht für das Gerät definiert.
  • Die Einstellung gilt für ein Registrierungssicherheitsobjekt.
  • Die Einstellungen gelten für ein Dateisystemsicherheitsobjekt.

Alle Einstellungen, die über eine lokale Richtlinie oder über ein Gruppenrichtlinie-Objekt angewendet werden, werden in einer lokalen Datenbank auf Ihrem Computer gespeichert. Wenn eine Sicherheitseinstellung geändert wird, speichert der Computer den Wert der Sicherheitseinstellung in der lokalen Datenbank, in der ein Verlauf aller Einstellungen beibehalten wird, die auf den Computer angewendet wurden. Wenn eine Richtlinie zuerst eine Sicherheitseinstellung definiert und diese Einstellung dann nicht mehr definiert, übernimmt die Einstellung den vorherigen Wert in der Datenbank. Wenn in der Datenbank kein vorheriger Wert vorhanden ist, wird die Einstellung nicht wiederhergestellt und bleibt unverändert definiert. Dieses Verhalten wird manchmal als "Tattooing" bezeichnet.

Die Registrierungs- und Dateisicherheitseinstellungen behalten die über Gruppenrichtlinie angewendeten Werte bei, bis diese Einstellung auf andere Werte festgelegt ist.

Berechtigungen, die für die Anwendung der Richtlinie erforderlich sind

Sowohl Gruppenrichtlinie- als auch Leseberechtigungen sind erforderlich, damit die Einstellungen eines Gruppenrichtlinie-Objekts für Benutzer oder Gruppen und Computer gelten.

Filtern von Sicherheitsrichtlinien

Standardmäßig verfügen alle Gruppenrichtlinienobjekte über Lese- und Anwendung Gruppenrichtlinie beide für die Gruppe "Authentifizierte Benutzer" zulässig. Die Gruppe "Authentifizierte Benutzer" umfasst sowohl Benutzer als auch Computer. Sicherheitseinstellungsrichtlinien sind computerbasiert. Um anzugeben, auf welche Clientcomputer ein Gruppenrichtlinie-Objekt angewendet wird oder nicht, können Sie ihnen entweder die Berechtigung "Gruppenrichtlinie übernehmen" oder "Lesen" für dieses Gruppenrichtlinie-Objekt verweigern. Wenn Sie diese Berechtigungen ändern, können Sie den Umfang des Gruppenrichtlinienobjekts auf eine bestimmte Gruppe von Computern innerhalb eines Standorts, einer Domäne oder einer OE beschränken.

Hinweis

Verwenden Sie keine Sicherheitsrichtlinienfilterung auf einem Domänencontroller, da dies die Anwendung von Sicherheitsrichtlinien verhindern würde.

Migration von GPOs, die Sicherheitseinstellungen enthalten

In einigen Situationen möchten Sie gpOs möglicherweise aus einer Domänenumgebung in eine andere Umgebung migrieren. Die beiden am häufigsten verwendeten Szenarien sind die Migration von Test-zu-Produktion und Migration von Produktion zu Produktion. Der GPO-Kopiervorgang hat Auswirkungen auf einige Arten von Sicherheitseinstellungen.

Daten für ein einzelnes Gruppenrichtlinienobjekt werden an mehreren Speicherorten und in verschiedenen Formaten gespeichert. einige Daten sind in Active Directory enthalten, und andere Daten werden auf der SYSVOL-Freigabe auf den Domänencontrollern gespeichert. Bestimmte Richtliniendaten sind möglicherweise in einer Domäne gültig, in der Domäne, in die das Gruppenrichtlinienobjekt kopiert wird, ungültig. Beispielsweise sind in sicherheitsrichtlinieneinstellungen gespeicherte Sicherheits-IDs (Security Identifiers, SIDs) häufig domänenspezifisch. Das Kopieren von GPOs ist also nicht so einfach wie das Erstellen eines Ordners und das Kopieren von einem Gerät auf ein anderes.

Die folgenden Sicherheitsrichtlinien können Sicherheitsprinzipale enthalten und erfordern möglicherweise mehr Arbeit, um sie erfolgreich von einer Domäne in eine andere zu verschieben.

  • Zuweisung von Benutzerrechten
  • Eingeschränkte Gruppen
  • Dienste
  • Dateisystem
  • Registrierung
  • GPO DACL, wenn Sie es während eines Kopiervorgangs beibehalten möchten

Um sicherzustellen, dass Daten ordnungsgemäß kopiert werden, können Sie Gruppenrichtlinie Management Console (GPMC) verwenden. Wenn eine Migration eines Gruppenrichtlinienobjekts von einer Domäne in eine andere erfolgt, stellt die Gruppenrichtlinien-Verwaltungskonsole sicher, dass alle relevanten Daten ordnungsgemäß kopiert werden. Die GPMC bietet auch Migrationstabellen an, die verwendet werden können, um domänenspezifische Daten im Rahmen des Migrationsprozesses auf neue Werte zu aktualisieren. Die GRUPPENrichtlinien-Verwaltungskonsole verbirgt einen Großteil der Komplexität, die bei der Migration von GPO-Vorgängen beteiligt ist, und bietet einfache und zuverlässige Mechanismen zum Ausführen von Vorgängen wie kopieren und sichern von GRUPPENRICHTLINIEN.

Inhalt dieses Abschnitts

Thema Beschreibung
Verwalten von Sicherheitsrichtlinieneinstellungen In diesem Artikel werden verschiedene Methoden zum Verwalten von Sicherheitsrichtlinieneinstellungen auf einem lokalen Gerät oder in einer kleinen oder mittleren Organisation erläutert.
Konfigurieren von Sicherheitsrichtlinieneinstellungen Beschreibt die Schritte zum Konfigurieren einer Sicherheitsrichtlinieneinstellung auf dem lokalen Gerät, auf einem in die Domäne eingebundenen Gerät und auf einem Domänencontroller.
Referenz zu den Sicherheitsrichtlinieneinstellungen Dieser Verweis auf Sicherheitseinstellungen enthält Informationen zum Implementieren und Verwalten von Sicherheitsrichtlinien, einschließlich Einstellungsoptionen und Sicherheitsüberlegungen.