Allgemeines über Sicherheitsvorlagen
und Gruppenrichtlinien
Vorwort
Frühe Windows Versionen boten eine Vielzahl von Elementen zur Sicherheitskonfiguration.
Man konnte alles Mögliche konfigurieren: von der Mindestlänge
des Kennworts bis hin zu der Frage, ob ein Anmeldedialog angezeigt werden sollte.
Allerdigns musste man für die Konfiguration dieser Optionen mehrer
verschiedene Programme verwenden. Dies machte die Sicherheitskonfiguration zu
einer mühseligen Aufgabe und führte dazu, dass viele Administratoren
wichtige Sicherheitseinstellungen übersahen. Offensichtlich mussten diese
Programm also vereinfacht werden.
Mit Windows NT 4.0 wurde der Systemrichtlinien-Editor eingeführt,
der eine einheitliche Benutzeroberfläche für die Verwaltung all der
vielen Sicherheits-
einstellungen des Systems bot. Diese Oberfläche machte es für den
Administrator einfach, kritische Entscheidungen zur Systemsicherheit zu treffen.
Insbesondere Administratoren, die mehrere Computer verwalteten, waren begeistert,
denn sie konnten nun Konfigurationen zwischen Systemen in
einem Netzwerk problemlos kopieren und unterschiedliche Einstellungen auf verschiedene
Benutzer und Computer anwenden.
Windows 2000, Windows XP und Windows Server 2003 verwenden
Sicherheitsvorlagen und Gruppenrichtlinien,
um die Systemrichtlinien
(weitestgehend) zu ersetzen. Sicherheitsvorlagen sind Dateien, die die Sicherheitskonfiguration
eines Systems repräsentieren, und Gruppenrichtlinien
stellen eine extrem flexible und robuste Verteilmethode für Sicherheitsvorlagen
dar. Durch gemeinsame Verwendung dieser Komponenten
können Administratoren komplexe Sicherheitskonfigurationen erstellen und
diese Konfigurationen für die verschiedenen Rollen, die Computer in ihren
Organisationen erfüllen, mischen und anpassen. Durch Bereitstellung über
ein Netzwerk ermöglichen Sicherheitsvorlagen Ihnen die Implementierung
konsistenter, skalierbarer und wiederherstellbarer Sicherheitseinstellungen
im gesamten Unternehmen.
Sicherheitsrichtlinien können unter dem Bereich "Sicherheitseinstellungen"
in dem Bereich "Comptuerkonfiguration" einer Gruppenrichlinie bearbeitet
werden.
Es gibt mehrere Möglichkeiten Sicherheitskonfigurationen oder Gruppenrichtlinien
zu erstellen.
Möglichkeiten Gruppenrichtlinien und/oder
Sicherheitsvorlagen zu erstellen:
Lokale Richtlinien
durch aufruf von "gpedit.msc"
Domänenweite
Gruppennrichtlinien mit Hilfe der Konsole Active Directory Benutzer und Computer,
im Eigenschaftenfeld einer Organisationseinheit, bei aktiver
Erweiterter
Ansicht (Menü Ansicht).
Domänenweite
Gruppenrichtlinien mit dem Tool aus dem Microsoft Downloadcenter, Gruppenrichtlinienverwaltung
(GPMC, Group Policy Management Console)
Mit dem
MMC Snap-In Sicherheitskonfiguration & Analyse oder dem Kommandozeilen Tool
Secedi
Sicherheitsvorlagen werden als "INF" Dateien im Pfad "C:\WINDOWS\security\templates"
standardmäßig abgespeichert.
Gruppenrichtliniendateien werden als "ADM" Dateien im Pfad "C:\Windows\INF\"
standardmäßig abgespeichert.
Abarbeitung von Gruppenrichtlinien
Gruppenrichlinien werden immer in der Reihenfolge: Lokal, Standort, Domäne,
OU, abgearbeitet.
Gruppenrichtlinien arbeiten mit Prioritäten. Die letzte abgearbeitete Richtlinie
ist immer jene die zählt. Das bedeutet, erstellen Sie Richtlinien auf einer
OU
Ebene, so ist die letzte Richtlinie auf OU Ebene jene welche aktiv wird. Sollte
beispielsweise die Verwendung eines Programmes auf einer lokalen
Richtlinie verweigert, auf der Standort Richtlinie erlaubt, auf der Domänen
wieder verweigert, und auf der OU wieder erlaubt sein, so ist hiermit die OU
Ebene die letzte angewandte und das Programm ist somit erlaubt.
Eine Rückwirkende Arbarbeitung erhält man mit den Sonderoptionen der
"Loopbackverarbeitung" die bewirkt, dass die Einstellung einer lokalen
Richtlinie
vor den nachfolgenden gestellt wird. Ebenfalls bestehen mit den Funktionen "kein
Vorrang" und "Erzwingen" die Möglichkeiten die Richtlinienkonfiguration
weiter zu verfeinern. Kein Vorrang bedeutet, dass keine Richtlinie, nach der
jeweiligen Richtlinie die mit "Kein Vorrang" markiert wurde, ersetzend
wirkt.
Die Option "Erzwingen" hingegen bewirkt, dass die Einstellungen dieser
Richtlinie auf jeden Fall verwenden werden, ungeachtet der Anwendungsreihenfolge
oder Sonderoptionen wie "Kein Vorrang".
Sollte auf einer OU, einer Domäne oder Objekt mehrer Richtlinien angewendet
werden, können Sie die Reihenfolge der in dem jeweilgen Objekt vorhandenen
Richtlinien selbst ebenfalls bearbeiten.
Webtipp:
Interessante Informationen zu Gruppenrichtlinien und Sicherheitsvorlagen finden
Sie auf der Webseite http://www.gruppenrichtlinien.de
Erstellt von: Haßlinger Stefan
Im: Jahr 2006