In der Windows-Authentifizierung verwendete Gruppenrichtlinien
In diesem Referenzthema für IT-Experten werden die Verwendung und die Auswirkungen von Gruppenrichtlinieneinstellungen im Authentifizierungsprozess beschrieben.
Sie können die Authentifizierung in Windows-Betriebssystemen verwalten, indem Sie Benutzer-, Computer- und Dienstkonten zu Gruppen hinzufügen und dann Authentifizierungsrichtlinien auf diese Gruppen anwenden. Diese Richtlinien werden als lokale Sicherheitsrichtlinien und als administrative Vorlagen definiert, die auch als Gruppenrichtlinieneinstellungen bezeichnet werden. Beide Sätze können mithilfe von Gruppenrichtlinien konfiguriert und in Ihrer Organisation verteilt werden.
Hinweis
Mit den in Windows Server 2012 R2 eingeführten Features können Sie Authentifizierungsrichtlinien für Zieldienste oder Zielanwendungen, häufig als Authentifizierungssilos bezeichnet, mithilfe geschützter Konten konfigurieren. Informationen dazu, wie Sie dies in Active Directory vornehmen, finden Sie unter Konfigurieren geschützter Konten.
Beispielsweise können Sie die folgenden Richtlinien auf Gruppen basierend auf deren Funktion in der Organisation anwenden:
Lokales Anmelden oder Anmelden bei einer Domäne
Anmelden über ein Netzwerk
Zurücksetzen von Konten
Erstellen von Konten
Die folgende Tabelle enthält Richtliniengruppen, die für die Authentifizierung relevant sind, sowie Links zu Dokumentationen, die Ihnen beim Konfigurieren dieser Richtlinien helfen können.
| Richtliniengruppe | Standort | BESCHREIBUNG |
|---|---|---|
| Kennwortrichtlinie | Richtlinie für „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien | Kennwortrichtlinien wirken sich auf die Merkmale und das Verhalten von Kennwörtern aus. Kennwortrichtlinien werden für Domänenkonten oder lokale Benutzerkonten verwendet. Sie bestimmen Einstellungen für Kennwörter, z. B. Erzwingungseinstellungen und die Lebensdauer. Informationen zu bestimmten Einstellungen finden Sie unter Kennwortrichtlinie. |
| Kontosperrungsrichtlinie | Richtlinie für „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien | Mit den Optionen für Kontosperrungsrichtlinien werden Konten nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche deaktiviert. Mithilfe dieser Optionen können Sie Versuche, Kennwörter zu erraten, erkennen und blockieren. Informationen zu den Optionen für Kontosperrungsrichtlinien finden Sie unter Kontosperrungsrichtlinie. |
| Kerberos-Richtlinie | Richtlinie für „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien | Zu den Kerberos-bezogenen Einstellungen gehören die Ticketlebensdauer und Erzwingungsregeln. Die Kerberos-Richtlinie gilt nicht für lokale Kontodatenbanken, da das Kerberos-Authentifizierungsprotokoll nicht zum Authentifizieren lokaler Konten verwendet wird. Daher können die Kerberos-Richtlinieneinstellungen nur mithilfe des Standarddomänen-Gruppenrichtlinienobjekts (GPO) konfiguriert werden, bei dem sich dies auf Domänenanmeldungen auswirkt. Informationen zu Kerberos-Richtlinienoptionen für den Domänencontroller finden Sie unter Kerberos-Richtlinie. |
| Überwachungsrichtlinie | Richtlinie für „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie | Mit der Überwachungsrichtlinie können Sie den Zugriff auf Objekte, z. B. Dateien und Ordner, steuern und verstehen sowie Benutzer- und Gruppenkonten und Benutzeranmeldungen und -abmeldungen verwalten. Überwachungsrichtlinien können die Kategorien von Ereignissen angeben, die Sie überwachen möchten, die Größe und das Verhalten des Sicherheitsprotokolls festlegen und bestimmen, für welche Objekte Sie den Zugriff überwachen möchten und welche Art von Zugriff Sie überwachen möchten. |
| Zuweisen von Benutzerrechten | Richtlinie „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten | Benutzerrechte werden in der Regel auf der Grundlage der Sicherheitsgruppen zugewiesen, zu denen ein Benutzer gehört, z. B. Administratoren, Hauptbenutzer oder Benutzer. Die Richtlinieneinstellungen in dieser Kategorie werden in der Regel verwendet, um die Berechtigung für den Zugriff auf einen Computer basierend auf der Zugriffsmethode und den Sicherheitsgruppenmitgliedschaften zu erteilen oder zu verweigern. |
| Sicherheitsoptionen | Richtlinie „Lokaler Computer“\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen | Zu den für die Authentifizierung relevanten Richtlinien gehören: - Devices |
| Delegierung von Anmeldeinformationen | Computerkonfiguration\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen | Die Delegierung von Anmeldeinformationen ist ein Mechanismus, mit dem lokale Anmeldeinformationen auf anderen Systemen verwendet werden können, insbesondere auf Mitgliedsservern und Domänencontrollern innerhalb einer Domäne. Diese Einstellungen gelten für Anwendungen, die den Credential Security Support Provider (Cred SSP) verwenden. Ein Beispiel ist die Remotedesktopverbindung. |
| KDC | Computerkonfiguration\Administrative Vorlagen\System\KDC | Diese Richtlinieneinstellungen wirken sich darauf aus, wie das Schlüsselverteilungscenter (Key Distribution Center, KDC), ein Dienst auf dem Domänencontroller, Kerberos-Authentifizierungsanforderungen verarbeitet. |
| Kerberos | Computerkonfiguration\Administrative Vorlagen\System\Kerberos | Diese Richtlinieneinstellungen wirken sich darauf aus, wie Kerberos für die Unterstützung von Ansprüchen, Kerberos Armoring, Verbundauthentifizierung, Identifizierung von Proxyservern und anderen Konfigurationen konfiguriert wird. |
| Anmelden | Computerkonfiguration\Administrative Vorlagen\System\Anmeldung | Diese Richtlinieneinstellungen steuern, wie das System die Anmeldeoberfläche für Benutzer darstellt. |
| Netzwerkanmeldung | Computerkonfiguration\Administrative Vorlagen\System\Netzanmeldung | Diese Richtlinieneinstellungen steuern, wie das System Netzanmeldeanforderungen verarbeitet, einschließlich des Verhaltens des Domänencontrollerlocators. Weitere Informationen dazu, wie der Domänencontrollerlocator in Replikationsprozesse passt, finden Sie unter Grundlegendes zur Replikation zwischen Standorten. |
| Biometrie | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Biometrie | Mit diesen Richtlinieneinstellungen wird im Allgemeinen die Verwendung von Biometrie als Authentifizierungsmethode zugelassen oder verweigert. Informationen zur Windows-Implementierung biometrischer Daten finden Sie unter „Windows Biometric Framework Overview“ (Windows-Biometrieframework: Übersicht). |
| Benutzerschnittstelle für Anmeldeinformationen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Benutzerschnittstelle für Anmeldeinformationen | Diese Richtlinieneinstellungen steuern, wie Anmeldeinformationen am Einstiegspunkt verwaltet werden. |
| Kennwortsynchronisierung | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Kennwortsynchronisierung | Diese Richtlinieneinstellungen bestimmen, wie das System die Synchronisierung von Kennwörtern zwischen Windows- und UNIX-basierten Betriebssystemen verwaltet. Weitere Informationen finden Sie unter Kennwortsynchronisierung. |
| Smartcard | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Smartcard | Diese Richtlinieneinstellungen steuern, wie das System Smartcardanmeldungen verwaltet. |
| Windows-Anmeldeoptionen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows-Anmeldeoptionen | Diese Richtlinieneinstellungen steuern, wann und wie Anmeldemöglichkeiten verfügbar sind. |
| STRG+ALT+ENTF-Optionen | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\STRG+ALT+ENTF-Optionen | Diese Richtlinieneinstellungen wirken sich auf die Darstellung von und den Zugriff auf Features auf der Anmeldebenutzeroberfläche (Sicherer Desktop) aus, z. B. Task-Manager und Tastatursperre des Computers. |
| Anmelden | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Anmeldung | Diese Richtlinieneinstellungen bestimmen, ob oder welche Prozesse ausgeführt werden können, wenn sich der Benutzer anmeldet. |