SicherheitsrichtlinieneinstellungenSecurity policy settings

BetrifftApplies to

  • Windows 10Windows10

Dieses Referenzthema beschreibt die allgemeinen Szenarien, Architekturen und Prozesse für Sicherheitseinstellungen.This reference topic describes the common scenarios, architecture, and processes for security settings.

Sicherheitsrichtlinieneinstellungen sind Regeln, die Administratoren auf einem Computer oder auf mehreren Geräten konfigurieren, um Ressourcen auf einem Gerät oder Netzwerk zu schützen.Security policy settings are rules that administrators configure on a computer or multiple devices for the purpose of protecting resources on a device or network. Mit der Erweiterung Sicherheitseinstellungen des lokalen Gruppenrichtlinien-Editor-Snap-Ins können Sie Sicherheitskonfigurationen als Teil eines Gruppenrichtlinienobjekts (GPO) definieren.The Security Settings extension of the Local Group Policy Editor snap-in allows you to define security configurations as part of a Group Policy Object (GPO). Die GPOs sind mit Active Directory-Containern wie Websites, Domänen oder Organisationseinheiten verknüpft, sodass Sie die Sicherheitseinstellungen für mehrere Geräte von jedem Gerät aus verwalten können, das der Domäne beigetreten ist.The GPOs are linked to Active Directory containers such as sites, domains, or organizational units, and they enable you to manage security settings for multiple devices from any device joined to the domain. Richtlinien für Sicherheitseinstellungen werden als Teil der allgemeinen Sicherheitsimplementierung verwendet, um Domänencontroller, Server, Clients und andere Ressourcen in Ihrer Organisation zu schützen.Security settings policies are used as part of your overall security implementation to help secure domain controllers, servers, clients, and other resources in your organization.

Sicherheitseinstellungen können steuern:Security settings can control:

  • Benutzerauthentifizierung für ein Netzwerk oder GerätUser authentication to a network or device.
  • Die Ressourcen, auf die Benutzer zugreifen dürfen.The resources that users are permitted to access.
  • Gibt an, ob die Aktionen eines Benutzers oder einer Gruppe im Ereignisprotokoll aufgezeichnet werden sollen.Whether to record a user's or group's actions in the event log.
  • Mitgliedschaft in einer Gruppe.Membership in a group.

Zum Verwalten von Sicherheitskonfigurationen für mehrere Geräte können Sie eine der folgenden Optionen verwenden:To manage security configurations for multiple devices, you can use one of the following options:

  • Bearbeiten bestimmter Sicherheitseinstellungen in einem GruppenrichtlinienobjektEdit specific security settings in a GPO.
  • Verwenden Sie das Sicherheitsvorlagen-Snap-in, um eine Sicherheitsvorlage zu erstellen, die die Sicherheitsrichtlinien enthält, die Sie anwenden möchten, und importieren Sie die Sicherheitsvorlage dann in ein Gruppenrichtlinienobjekt.Use the Security Templates snap-in to create a security template that contains the security policies you want to apply, and then import the security template into a Group Policy Object. Eine Sicherheitsvorlage ist eine Datei, die eine Sicherheitskonfiguration darstellt, die in ein GPO importiert, auf ein lokales Gerät angewendet oder zur Analyse der Sicherheit verwendet werden kann.A security template is a file that represents a security configuration, and it can be imported to a GPO, applied to a local device, or used to analyze security.

Weitere Informationen zum Verwalten von Sicherheitskonfigurationen finden Sie unter Verwalten von Sicherheitsrichtlinieneinstellungen.For more info about managing security configurations, see Administer security policy settings.

Die Erweiterung Sicherheitseinstellungen des Editors für lokale Gruppenrichtlinien umfasst die folgenden Typen von Sicherheitsrichtlinien:The Security Settings extension of the Local Group Policy Editor includes the following types of security policies:

  • Kontorichtlinien.Account Policies. Diese Policen sind auf Geräten definiert. Sie beeinflussen, wie Benutzerkonten mit dem Computer oder der Domäne interagieren können.These polices are defined on devices; they affect how user accounts can interact with the computer or domain. Zu den Kontorichtlinien gehören die folgenden Richtlinientypen:Account policies include the following types of policies:

    • KennwortrichtliniePassword Policy. Diese Richtlinien bestimmen Einstellungen für Kennwörter, wie etwa die Erzwingung und die Lebensdauer.These policies determine settings for passwords, such as enforcement and lifetimes. Kennwortrichtlinien werden für Domänenkonten verwendet.Password policies are used for domain accounts.
    • KontosperrungsrichtlinieAccount Lockout Policy. Diese Richtlinien bestimmen die Bedingungen und die Zeitdauer, für die ein Konto aus dem System gesperrt wird.These policies determine the conditions and length of time that an account will be locked out of the system. Kontosperrungsrichtlinien werden für Domänen-oder lokale Benutzerkonten verwendet.Account lockout policies are used for domain or local user accounts.
    • Kerberos-Richtlinie.Kerberos Policy. Diese Richtlinien werden für Domänenbenutzerkonten verwendet. Sie bestimmen die Kerberos-bezogenen Einstellungen, wie beispielsweise die Lebensdauer von Tickets und die Erzwingung.These policies are used for domain user accounts; they determine Kerberos-related settings, such as ticket lifetimes and enforcement.
  • Lokale Richtlinien.Local Policies. Diese Richtlinien gelten für einen Computer und umfassen die folgenden Typen von Richtlinieneinstellungen:These policies apply to a computer and include the following types of policy settings:

    • Überwachungsrichtlinie.Audit Policy. Geben Sie Sicherheitseinstellungen an, die die Protokollierung von Sicherheitsereignissen in das Sicherheitsprotokoll auf dem Computer steuern, und geben Sie an, welche Typen von Sicherheitsereignissen protokolliert werden sollen (Erfolg, Fehler oder beides).Specify security settings that control the logging of security events into the Security log on the computer, and specifies what types of security events to log (success, failure, or both).

      Hinweis

      Bei Geräten, auf denen Windows7 und höher ausgeführt wird, empfehlen wir, die Einstellungen unter Erweiterte Überwachungsrichtlinienkonfiguration anstelle der Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien zu verwenden.For devices running Windows7 and later, we recommend to use the settings under Advanced Audit Policy Configuration rather than the Audit Policy settings under Local Policies.

    • Zuweisen von BenutzerrechtenUser Rights Assignment. Angeben der Benutzer oder Gruppen, die über Anmelderechte oder-Privilegien auf einem Gerät verfügenSpecify the users or groups that have logon rights or privileges on a device

    • Sicherheitsoptionen.Security Options. Angeben von Sicherheitseinstellungen für den Computer, wie Administrator-und Gast Kontonamen; Zugriff auf Diskettenlaufwerke und CD-ROM-Laufwerke; Installation der Treiber; Anmeldeaufforderungen; Und so weiter.Specify security settings for the computer, such as Administrator and Guest Account names; access to floppy disk drives and CD-ROM drives; installation of drivers; logon prompts; and so on.

  • Windows-Firewall mit erweiterter SicherheitWindows Firewall with Advanced Security. Geben Sie Einstellungen zum Schutz des Geräts in Ihrem Netzwerk mithilfe einer Stateful Firewall an, mit der Sie ermitteln können, welcher Netzwerkdatenverkehr zwischen Ihrem Gerät und dem Netzwerk weitergeleitet werden darf.Specify settings to protect the device on your network by using a stateful firewall that allows you to determine which network traffic is permitted to pass between your device and the network.

  • Richtlinien für den Netzwerklisten-Manager.Network List Manager Policies. Geben Sie Einstellungen an, die Sie verwenden können, um verschiedene Aspekte zu konfigurieren, wie Netzwerke auf einem Gerät oder auf vielen Geräten aufgelistet und angezeigt werden.Specify settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.

  • Richtlinien für öffentliche Schlüssel.Public Key Policies. Geben Sie Einstellungen an, um das verschlüsselte Datei System, den Datenschutz und die BitLocker-Laufwerkverschlüsselung zusätzlich zu bestimmten Zertifikats Pfaden und Diensteinstellungen zu steuern.Specify settings to control Encrypting File System, Data Protection, and BitLocker Drive Encryption in addition to certain certificate paths and services settings.

  • Richtlinien für Software Einschränkungen.Software Restriction Policies. Geben Sie die Einstellungen an, um Software zu identifizieren und ihre Fähigkeit zur Ausführung auf Ihrem lokalen Gerät, ihrer Organisationseinheit, Domäne oder Website zu kontrollieren.Specify settings to identify software and to control its ability to run on your local device, organizational unit, domain, or site.

  • Richtlinien für die Anwendungssteuerung.Application Control Policies. Geben Sie Einstellungen an, um zu steuern, welche Benutzer oder Gruppen bestimmte Anwendungen in Ihrer Organisation basierend auf eindeutigen Identitäten von Dateien ausführen können.Specify settings to control which users or groups can run particular applications in your organization based on unique identities of files.

  • IP-Sicherheitsrichtlinien auf dem lokalen Computer.IP Security Policies on Local Computer. Geben Sie Einstellungen an, um die private und sichere Kommunikation über IP-Netzwerke durch die Verwendung von kryptografischen Sicherheitsdiensten zu gewährleisten.Specify settings to ensure private, secure communications over IP networks through the use of cryptographic security services. IPSec richtet Vertrauen und Sicherheit von einer Quell-IP-Adresse zu einer Ziel-IP-Adresse ein.IPsec establishes trust and security from a source IP address to a destination IP address.

  • Erweiterte Überwachungsrichtlinienkonfiguration.Advanced Audit Policy Configuration. Geben Sie Einstellungen an, mit denen die Protokollierung von Sicherheitsereignissen in das Sicherheitsprotokoll auf dem Gerät gesteuert wird.Specify settings that control the logging of security events into the security log on the device. Die Einstellungen unter Erweiterte Überwachungsrichtlinienkonfiguration bieten eine feinere Kontrolle über die zu überwachenden Aktivitäten im Gegensatz zu den Überwachungsrichtlinieneinstellungen unter Lokale Richtlinien.The settings under Advanced Audit Policy Configuration provide finer control over which activities to monitor as opposed to the Audit Policy settings under Local Policies.

Verwaltung von richtlinienbasierten SicherheitseinstellungenPolicy-based security settings management

Die Erweiterung Sicherheitseinstellungen für Gruppenrichtlinien stellt eine integrierte richtlinienbasierte Verwaltungsinfrastruktur bereit, mit der Sie Ihre Sicherheitsrichtlinien verwalten und durchsetzen können.The Security Settings extension to Group Policy provides an integrated policy-based management infrastructure to help you manage and enforce your security policies.

Sie können Richtlinien für Sicherheitseinstellungen auf Benutzer, Gruppen und Netzwerkserver und-Clients über Gruppenrichtlinien und Active Directory-Domänendienste (Adds) definieren und anwenden.You can define and apply security settings policies to users, groups, and network servers and clients through Group Policy and Active Directory Domain Services (ADDS). Eine Gruppe von Servern mit derselben Funktionalität kann erstellt werden (beispielsweise ein Microsoft Web (IIS)-Server), und dann können Gruppenrichtlinienobjekte verwendet werden, um allgemeine Sicherheitseinstellungen auf die Gruppe anzuwenden.A group of servers with the same functionality can be created (for example, a Microsoft Web (IIS) server), and then Group Policy Objects can be used to apply common security settings to the group. Wenn dieser Gruppe später mehr Server hinzugefügt werden, werden viele der allgemeinen Sicherheitseinstellungen automatisch angewendet, wodurch die Bereitstellung und die Verwaltungsarbeit reduziert werden.If more servers are added to this group later, many of the common security settings are automatically applied, reducing deployment and administrative labor.

Allgemeine Szenarien für die Verwendung von Richtlinien für SicherheitseinstellungenCommon scenarios for using security settings policies

Richtlinien für Sicherheitseinstellungen werden verwendet, um die folgenden Aspekte der Sicherheit zu verwalten: Konten Richtlinie, lokale Richtlinie, Benutzerrechtezuweisung, Registrierungswerte, Datei-und Registrierungszugriffs Steuerungs Listen (ACLs), Dienststart Modi und vieles mehr.Security settings policies are used to manage the following aspects of security: accounts policy, local policy, user rights assignment, registry values, file and registry Access Control Lists (ACLs), service startup modes, and more.

Im Rahmen ihrer Sicherheitsstrategie können Sie GPOs mit Richtlinien für Sicherheitseinstellungen erstellen, die speziell für die verschiedenen Rollen in Ihrer Organisation konfiguriert sind, wie Domänencontroller, Dateiserver, Mitgliedsserver, Clients usw.As part of your security strategy, you can create GPOs with security settings policies configured specifically for the various roles in your organization, such as domain controllers, file servers, member servers, clients, and so on.

Sie können eine Organisationseinheitsstruktur erstellen, in der Geräte entsprechend ihren Rollen gruppiert werden.You can create an organizational unit (OU) structure that groups devices according to their roles. Die Verwendung von OUs ist die beste Methode, um bestimmte Sicherheitsanforderungen für die verschiedenen Rollen in Ihrem Netzwerk zu trennen.Using OUs is the best method for separating specific security requirements for the different roles in your network. Dieser Ansatz ermöglicht es Ihnen auch, angepasste Sicherheitsvorlagen auf jede Server-oder Computerklasse anzuwenden.This approach also allows you to apply customized security templates to each class of server or computer. Nachdem Sie die Sicherheitsvorlagen erstellt haben, erstellen Sie ein neues GPO für jede der OUs, und importieren Sie die Sicherheitsvorlage (INF-Datei) in das neue Gruppenrichtlinienobjekt.After creating the security templates, you create a new GPO for each of the OUs, and then import the security template (.inf file) into the new GPO.

Beim Importieren einer Sicherheitsvorlage in ein GPO wird sichergestellt, dass alle Konten, auf die das Gruppenrichtlinienobjekt angewendet wird, die Sicherheitseinstellungen der Vorlage automatisch erhalten, wenn die Gruppenrichtlinieneinstellungen aktualisiert werden.Importing a security template to a GPO ensures that any accounts to which the GPO is applied automatically receive the template's security settings when the Group Policy settings are refreshed. Auf einer Arbeitsstation oder einem Server werden die Sicherheitseinstellungen in regelmäßigen Abständen aktualisiert (mit einem willkürlichen Offset von höchstens 30 Minuten), und auf einem Domänencontroller erfolgt dieser Vorgang alle paar Minuten, wenn in den angewendeten GPO-Einstellungen Änderungen aufgetreten sind.On a workstation or server, the security settings are refreshed at regular intervals (with a random offset of at most 30 minutes), and, on a domain controller, this process occurs every few minutes if changes have occurred in any of the GPO settings that apply. Die Einstellungen werden auch alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen aufgetreten sind oder nicht.The settings are also refreshed every 16 hours, whether or not any changes have occurred.

Hinweis

Diese Aktualisierungseinstellungen variieren zwischen Versionen des Betriebssystems und können konfiguriert werden.These refresh settings vary between versions of the operating system and can be configured.

Mithilfe von gruppenrichtlinienbasierten Sicherheitskonfigurationen in Verbindung mit der Delegierung der Verwaltung können Sie sicherstellen, dass bestimmte Sicherheitseinstellungen, Rechte und Verhaltensweisen auf alle Server und Computer innerhalb einer Organisationseinheit angewendet werden.By using Group Policy−based security configurations in conjunction with the delegation of administration, you can ensure that specific security settings, rights, and behavior are applied to all servers and computers within an OU. Dieser Ansatz macht es einfach, eine Reihe von Servern mit zusätzlichen Änderungen zu aktualisieren, die in Zukunft erforderlich sind.This approach makes it simple to update a number of servers with any additional changes required in the future.

Abhängigkeiten von anderen BetriebssystemtechnologienDependencies on other operating system technologies

Bei Geräten, die Mitglieder einer WindowsServer2008-oder höher-Domäne sind, hängen die Richtlinien für Sicherheitseinstellungen von den folgenden Technologien ab:For devices that are members of a WindowsServer2008 or later domain, security settings policies depend on the following technologies:

  • Active Directory-Domänendienste (hinzugefügt)Active Directory Domain Services (ADDS)

    Der Windows-basierte Verzeichnisdienst, der hinzugefügt wird, speichert Informationen zu Objekten in einem Netzwerk und stellt diese Informationen Administratoren und Benutzern zur Verfügung.The Windows-based directory service, ADDS, stores information about objects on a network and makes this information available to administrators and users. Mithilfe von Adds können Sie Netzwerkobjekte im Netzwerk von einem einzigen Standort aus anzeigen und verwalten, und Benutzer können mithilfe einer einzelnen Anmeldung auf zulässige Netzwerkressourcen zugreifen.By using ADDS, you can view and manage network objects on the network from a single location, and users can access permitted network resources by using a single logon.

  • GruppenrichtlinieGroup Policy

    Die in Adds enthaltene Infrastruktur ermöglicht die verzeichnisbasierte Konfigurationsverwaltung von Benutzer-und Computereinstellungen auf Geräten mit Windows Server.The infrastructure within ADDS that enables directory-based configuration management of user and computer settings on devices running WindowsServer. Mithilfe von Gruppenrichtlinien können Sie Konfigurationen für Gruppen von Benutzern und Computern definieren, einschließlich Richtlinieneinstellungen, registrierungsbasierte Richtlinien, Software Installation, Skripts, Ordnerumleitung, Remoteinstallationsdienste, Internet Explorer-Wartung, und Sicherheit.By using Group Policy, you can define configurations for groups of users and computers, including policy settings, registry-based policies, software installation, scripts, folder redirection, Remote Installation Services, Internet Explorer maintenance, and security.

  • Domain Name System (DNS)Domain Name System (DNS)

    Ein hierarchisches Benennungssystem, das zum Auffinden von Domänennamen im Internet und in privaten TCP/IP-Netzwerken verwendet wird.A hierarchical naming system used for locating domain names on the Internet and on private TCP/IP networks. DNS bietet einen Dienst zum Zuordnen von DNS-Domänennamen zu IP-Adressen und IP-Adressen zu Domänennamen.DNS provides a service for mapping DNS domain names to IP addresses, and IP addresses to domain names. Dadurch können Benutzer, Computer und Anwendungen DNS Abfragen, um Remotesysteme durch vollqualifizierte Domänennamen und nicht durch IP-Adressen anzugeben.This allows users, computers, and applications to query DNS to specify remote systems by fully qualified domain names rather than by IP addresses.

  • WinlogonWinlogon

    Ein Teil des Windows-Betriebssystems, das die Unterstützung für interaktive Anmeldung bietet.A part of the Windows operating system that provides interactive logon support. Winlogon ist auf ein interaktives Anmelde Modell ausgelegt, das aus drei Komponenten besteht: der ausführbaren Datei Winlogon, einem Anmeldeinformationsanbieter und einer beliebigen Anzahl von Netzwerkanbietern.Winlogon is designed around an interactive logon model that consists of three components: the Winlogon executable, a credential provider, and any number of network providers.

  • SetupSetup

    Die Sicherheitskonfiguration interagiert mit dem Betriebssystem-Setupprozess während einer sauberen Installation oder einem Upgrade von früheren Versionen von Windows Server.Security configuration interacts with the operating system setup process during a clean installation or upgrade from earlier versions of WindowsServer.

  • Security Accounts Manager (Sam)Security Accounts Manager (SAM)

    Ein Windows-Dienst, der während des Anmeldevorgangs verwendet wird.A Windows service used during the logon process. Sam verwaltet Benutzerkontoinformationen, einschließlich Gruppen, denen ein Benutzer angehört.SAM maintains user account information, including groups to which a user belongs.

  • Local Security Authority (LSA)Local Security Authority (LSA)

    Ein geschütztes Subsystem, das Benutzer auf dem lokalen System authentifiziert und anmeldet.A protected subsystem that authenticates and logs users onto the local system. LSA verwaltet auch Informationen zu allen Aspekten der lokalen Sicherheit auf einem System, die als lokale Sicherheitsrichtlinie des Systems bezeichnet werden.LSA also maintains information about all aspects of local security on a system, collectively known as the Local Security Policy of the system.

  • Windows-Verwaltungsinstrumentation (WMI)Windows Management Instrumentation (WMI)

    Als Feature des Microsoft Windows-Betriebssystems ist WMI die Microsoft-Implementierung von WBEM (Web-Based Enterprise Management), einer Industrieinitiative zur Entwicklung einer Standardtechnologie für den Zugriff auf Verwaltungsinformationen in einem Unternehmen. Umgebung.A feature of the Microsoft Windows operating system, WMI is the Microsoft implementation of Web-Based Enterprise Management (WBEM), which is an industry initiative to develop a standard technology for accessing management information in an enterprise environment. WMI bietet Zugriff auf Informationen zu Objekten in einer verwalteten Umgebung.WMI provides access to information about objects in a managed environment. Mithilfe von WMI und der WMI-Anwendungsprogrammierschnittstelle (API) können Anwendungen statische Informationen im CIM-Repository (Common Information Model) Abfragen und Änderungen daran vornehmen sowie dynamische Informationen, die von den verschiedenen Typen von Anbietern verwaltet werden.Through WMI and the WMI application programming interface (API), applications can query for and make changes to static information in the Common Information Model (CIM) repository and dynamic information maintained by the various types of providers.

  • Richtlinienergebnissatz (RSoP)Resultant Set of Policy (RSoP)

    Eine erweiterte Gruppenrichtlinieninfrastruktur, die WMI verwendet, um das Planen und Debuggen von Richtlinieneinstellungen zu vereinfachen.An enhanced Group Policy infrastructure that uses WMI in order to make it easier to plan and debug policy settings. RSoP stellt öffentliche Methoden bereit, die eine Erweiterung der Gruppenrichtlinie in einer was-wäre-wenn-Situation verfügbar machen, und was die Erweiterung in einer tatsächlichen Situation getan hat.RSoP provides public methods that expose what an extension to Group Policy would do in a what-if situation, and what the extension has done in an actual situation. Auf diese Weise können Administratoren die Kombination von Richtlinieneinstellungen, die für einen Benutzer oder ein Gerät gelten, auf einfache Weise ermitteln.This allows administrators to easily determine the combination of policy settings that apply to, or will apply to, a user or device.

  • Dienststeuerungs-Manager (SCM)Service Control Manager (SCM)

    Wird für die Konfiguration von Dienststart Modi und Sicherheit verwendet.Used for configuration of service startup modes and security.

  • RegistrierungRegistry

    Wird für die Konfiguration von Registrierungswerten und Sicherheit verwendet.Used for configuration of registry values and security.

  • DateisystemFile system

    Wird für die Konfiguration von Sicherheit verwendet.Used for configuration of security.

  • Dateisystem KonvertierungenFile system conversions

    Sicherheit wird gesetzt, wenn ein Administrator ein Dateisystem von FAT in NTFS konvertiert.Security is set when an administrator converts a file system from FAT to NTFS.

  • Microsoft Management Console (MMC)Microsoft Management Console (MMC)

    Die Benutzeroberfläche für das Tool Sicherheitseinstellungen ist eine Erweiterung des MMC-Snap-Ins für den lokalen Gruppenrichtlinien-Editor.The user interface for the Security Settings tool is an extension of the Local Group Policy Editor MMC snap-in.

Richtlinien für Sicherheitseinstellungen und GruppenrichtlinienSecurity settings policies and Group Policy

Die Erweiterung Sicherheitseinstellungen des Editors für lokale Gruppenrichtlinien ist Teil des Security Configuration Manager-Tools.The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tool set. Die folgenden Komponenten sind Sicherheitseinstellungen zugeordnet: ein Konfigurationsmodul; ein Analysemodul; eine Vorlage und eine Datenbankschnittstellen Schicht; Einrichten der Integrationslogik und das Befehlszeilentool "Secedit. exe".The following components are associated with Security Settings: a configuration engine; an analysis engine; a template and database interface layer; setup integration logic; and the secedit.exe command-line tool. Das Sicherheits Konfigurationsmodul ist für das Behandeln von Sicherheitsanforderungen im Zusammenhang mit dem Sicherheitskonfigurations-Editor verantwortlich, die für das System, auf dem es ausgeführt wird, ausgeführt werden.The security configuration engine is responsible for handling security configuration editor-related security requests for the system on which it runs. Das Analysemodul analysiert die Systemsicherheit für eine bestimmte Konfiguration und speichert das Ergebnis.The analysis engine analyzes system security for a given configuration and saves the result. Die Vorlagen-und Datenbankschnittstellen Schicht verarbeitet Lese-und Schreibanforderungen von und an die Vorlage oder Datenbank (für den internen Speicher).The template and database interface layer handles reading and writing requests from and to the template or database (for internal storage). Die Erweiterung Sicherheitseinstellungen des Editors für lokale Gruppenrichtlinien behandelt Gruppenrichtlinien von einem domänenbasierten oder lokalen Gerät aus.The Security Settings extension of the Local Group Policy Editor handles Group Policy from a domain-based or local device. Die Sicherheits Konfigurationslogik wird in Setup integriert und verwaltet die Systemsicherheit für eine Neuinstallation oder ein Upgrade auf ein jüngeres Windows-Betriebssystem.The security configuration logic integrates with setup and manages system security for a clean installation or upgrade to a more recent Windows operating system. Sicherheitsinformationen werden in Vorlagen (INF-Dateien) oder in der Secedit. sdb-Datenbank gespeichert.Security information is stored in templates (.inf files) or in the Secedit.sdb database.

Das folgende Diagramm zeigt Sicherheitseinstellungen und verwandte Features.The following diagram shows Security Settings and related features.

Komponenten in Bezug auf Sicherheitsrichtlinien

  • Scesrv. dllScesrv.dll

    Bietet die Kernfunktionalität des Sicherheitsmoduls.Provides the core security engine functionality.

  • SceCli. dllScecli.dll

    Stellt die clientseitigen Schnittstellen für das Sicherheits Konfigurationsmodul bereit und stellt Daten für den Richtlinienergebnissatz (RSoP) bereit.Provides the client-side interfaces to the security configuration engine and provides data to Resultant Set of Policy (RSoP).

  • WSecEdit. dllWsecedit.dll

    Die Erweiterung "Sicherheitseinstellungen" des Editors für lokale Gruppenrichtlinien.The Security Settings extension of Local Group Policy Editor. SceCli. dll wird in WSecEdit. dll geladen, um die Benutzeroberfläche der Sicherheitseinstellungen zu unterstützen.scecli.dll is loaded into wsecedit.dll to support the Security Settings user interface.

  • Gpedit. dllGpedit.dll

    Das MMC-Snap-in für den lokalen Gruppenrichtlinien-EditorThe Local Group Policy Editor MMC snap-in.

Erweiterungsarchitektur für SicherheitseinstellungenSecurity Settings extension architecture

Die Erweiterung Sicherheitseinstellungen des Editors für lokale Gruppenrichtlinien ist Teil der Security Configuration Manager-Tools, wie in der folgenden Abbildung dargestellt.The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tools, as shown in the following diagram.

Architektur der SicherheitseinstellungenSecurity Settings Architecture

Architektur der Sicherheitsrichtlinieneinstellungen

Die Konfigurations-und Analysetools für Sicherheitseinstellungen umfassen ein Sicherheits Konfigurationsmodul, das lokalen Computer (nicht-Domänenmitglied) und gruppenrichtlinienbasierte Konfiguration und Analyse von Richtlinien für Sicherheitseinstellungen bereitstellt.The security settings configuration and analysis tools include a security configuration engine, which provides local computer (non-domain member) and Group Policy−based configuration and analysis of security settings policies. Das Sicherheits Konfigurationsmodul unterstützt auch das Erstellen von Sicherheitsrichtliniendateien.The security configuration engine also supports the creation of security policy files. Die wichtigsten Features des Sicherheits Konfigurationsmoduls sind SceCli. dll und Scesrv. dll.The primary features of the security configuration engine are scecli.dll and scesrv.dll.

In der folgenden Liste werden die wichtigsten Features des Security Configuration Engine und andere Sicherheitseinstellungen – Verwandte Features beschrieben.The following list describes these primary features of the security configuration engine and other Security Settings−related features.

  • Scesrv. dllscesrv.dll

    Diese DLL wird in "Services. exe" gehostet und unter dem Kontext des lokalen Systems ausgeführt.This .dll is hosted in services.exe and runs under local system context. Scesrv. dll bietet Core Security Configuration Manager-Funktionen wie importieren, konfigurieren, analysieren und propagieren von Richtlinien.scesrv.dll provides core Security Configuration Manager functionality, such as import, configure, analyze, and policy propagation.

    Scesrv. dll führt die Konfiguration und Analyse verschiedener sicherheitsbezogener Systemparameter durch Aufrufen entsprechender System-APIs durch, einschließlich LSA, Sam und der Registrierung.Scesrv.dll performs configuration and analysis of various security-related system parameters by calling corresponding system APIs, including LSA, SAM, and the registry.

    Scesrv. dll macht APIs wie importieren, exportieren, konfigurieren und analysieren verfügbar.Scesrv.dll exposes APIs such as import, export, configure, and analyze. Sie überprüft, ob die Anforderung über LRPC (WindowsXP) erfolgt, und schlägt den Anruf fehl, wenn dies nicht der Fall ist.It checks that the request is made over LRPC (WindowsXP) and fails the call if it is not.

    Die Kommunikation zwischen Teilen der Sicherheitseinstellungen-Erweiterung erfolgt mithilfe der folgenden Methoden:Communication between parts of the Security Settings extension occurs by using the following methods:

    • COM-Aufrufe (Component Object Model)Component Object Model (COM) calls
    • Lokaler Remote Prozeduraufruf (LRPC)Local Remote Procedure Call (LRPC)
    • LDAP (Lightweight Directory Access Protocol)Lightweight Directory Access Protocol (LDAP)
    • ADSI (Active Directory Service Interfaces)Active Directory Service Interfaces (ADSI)
    • Server-Nachrichten Block (SMB)Server Message Block (SMB)
    • Win32-APIsWin32 APIs
    • Windows-Verwaltungsinstrumentation (WMI)-AufrufeWindows Management Instrumentation (WMI) calls

    Auf Domänencontrollern empfängt Scesrv. dll Benachrichtigungen über Änderungen, die an Sam und die LSA vorgenommen wurden, die auf Domänencontrollern synchronisiert werden müssen.On domain controllers, scesrv.dll receives notifications of changes made to SAM and the LSA that need to be synchronized across domain controllers. Scesrv. dll integriert diese Änderungen in das standardmäßige Domänen Controller-Richtlinienobjekt mithilfe von in-Process-SceCli. dll-Vorlagen Änderungs-APIs.Scesrv.dll incorporates those changes into the Default Domain Controller Policy GPO by using in-process scecli.dll template modification APIs. Scesrv. dll führt auch Konfigurations-und Analysevorgänge aus.Scesrv.dll also performs configuration and analysis operations.

  • SceCli. dllScecli.dll

    Hierbei handelt es sich um die clientseitige Schnittstelle oder den Wrapper für Scesrv. dll.This is the client-side interface or wrapper to scesrv.dll. SceCli. dll wird in WSecEdit. dll geladen, um MMC-Snap-Ins zu unterstützen. Sie wird vom Setup verwendet, um die standardmäßige Systemsicherheit und-Sicherheit für Dateien, Registrierungsschlüssel und Dienste zu konfigurieren, die von den Setup-API-INF-Dateien installiert werden.scecli.dll is loaded into Wsecedit.dll to support MMC snap-ins. It is used by Setup to configure default system security and security of files, registry keys, and services installed by the Setup API .inf files.

    Die Befehlszeilenversion der Benutzeroberflächen für die Sicherheitskonfiguration und-Analyse, "Secedit. exe", verwendet "SceCli. dll".The command-line version of the security configuration and analysis user interfaces, secedit.exe, uses scecli.dll.

    SceCli. dll implementiert die clientseitige Erweiterung für Gruppenrichtlinien.Scecli.dll implements the client-side extension for Group Policy.

    Scesrv. dll verwendet SceCli. dll zum Herunterladen anwendbarer Gruppenrichtliniendateien aus SYSVOL, um die Gruppenrichtlinien-Sicherheitseinstellungen auf das lokale Gerät anzuwenden.Scesrv.dll uses scecli.dll to download applicable Group Policy files from SYSVOL in order to apply Group Policy security settings to the local device.

    SceCli. dll protokolliert die Anwendung der Sicherheitsrichtlinie in WMI (RSoP).Scecli.dll logs application of security policy into WMI (RSoP).

    Der Scesrv. dll-Richtlinienfilter verwendet SceCli. dll zum Aktualisieren des standardmäßigen Domänen Controller Richtlinien-Gruppenrichtlinienobjekts, wenn Änderungen an Sam und LSA vorgenommen werden.Scesrv.dll policy filter uses scecli.dll to update Default Domain Controller Policy GPO when changes are made to SAM and LSA.

  • WSecEdit. dllWsecedit.dll

    Die Sicherheitseinstellungen-Erweiterung des Gruppenrichtlinienobjekt-Editor-Snap-Ins.The Security Settings extension of the Group Policy Object Editor snap-in. Mit diesem Tool können Sie Sicherheitseinstellungen in einem Gruppenrichtlinienobjekt für einen Standort, eine Domäne oder eine Organisationseinheit konfigurieren.You use this tool to configure security settings in a Group Policy Object for a site, domain, or organizational unit. Sie können auch Sicherheitseinstellungen verwenden, um Sicherheitsvorlagen in ein GPO zu importieren.You can also use Security Settings to import security templates to a GPO.

  • Secedit. SDBSecedit.sdb

    Hierbei handelt es sich um eine permanente Systemdatenbank, die für die Richtlinienpropagierung verwendet wird, einschließlich einer Tabelle beständiger Einstellungen für Rollback-Zwecke.This is a permanent system database used for policy propagation including a table of persistent settings for rollback purposes.

  • BenutzerdatenbankenUser databases

    Eine Benutzerdatenbank ist eine andere Datenbank als die Systemdatenbank, die von Administratoren zum Zweck der Konfiguration oder Analyse der Sicherheit erstellt wurde.A user database is any database other than the system database created by administrators for the purposes of configuration or analysis of security.

  • . INF-Vorlagen.Inf Templates

    Hierbei handelt es sich um Textdateien mit deklarativen Sicherheitseinstellungen.These are text files that contain declarative security settings. Sie werden vor der Konfiguration oder Analyse in eine Datenbank geladen.They are loaded into a database before configuration or analysis. Gruppenrichtlinien-Sicherheitsrichtlinien werden in INF-Dateien im Ordner "SYSVOL" von Domänencontrollern gespeichert, wo Sie während der Richtlinienpropagierung heruntergeladen und mit der Systemdatenbank zusammengeführt werden.Group Policy security policies are stored in .inf files on the SYSVOL folder of domain controllers, where they are downloaded (by using file copy) and merged into the system database during policy propagation.

Richtlinien Prozesse und Interaktionen für SicherheitseinstellungenSecurity settings policy processes and interactions

Bei einem Domänen verbundenen Gerät, in dem Gruppenrichtlinien verwaltet werden, werden Sicherheitseinstellungen in Verbindung mit Gruppenrichtlinien verarbeitet.For a domain-joined device, where Group Policy is administered, security settings are processed in conjunction with Group Policy. Nicht alle Einstellungen können konfiguriert werden.Not all settings are configurable.

GruppenrichtlinienverarbeitungGroup Policy processing

Wenn ein Computer gestartet wird und sich ein Benutzer anmeldet, werden Computerrichtlinien und Benutzerrichtlinien entsprechend der folgenden Reihenfolge angewendet:When a computer starts and a user logs on, computer policy and user policy are applied according to the following sequence:

  1. Das Netzwerk wird gestartet.The network starts. Der Remote Procedure Call-System Dienst (RPCSS) und der Multiple universelle Naming Convention Provider (MUP) beginnen.Remote Procedure Call System Service (RPCSS) and Multiple Universal Naming Convention Provider (MUP) start.

  2. Eine geordnete Liste der Gruppenrichtlinienobjekte wird für das Gerät abgerufen.An ordered list of Group Policy Objects is obtained for the device. Die Liste kann von folgenden Faktoren abhängen:The list might depend on these factors:

    • Gibt an, ob das Gerät Teil einer Domäne ist, und unterliegt daher den Gruppenrichtlinien in Active Directory.Whether the device is part of a domain and, therefore, subject to Group Policy through Active Directory.
    • Der Speicherort des Geräts in Active Directory.The location of the device in Active Directory.
    • Gibt an, ob sich die Liste der Gruppenrichtlinienobjekte geändert hat.Whether the list of Group Policy Objects has changed. Wenn sich die Liste der Gruppenrichtlinienobjekte nicht geändert hat, erfolgt keine Verarbeitung.If the list of Group Policy Objects has not changed, no processing is done.
  3. Computer Richtlinie wird angewendet.Computer policy is applied. Dies sind die Einstellungen unter Computer Konfiguration aus der gesammelten Liste.These are the settings under Computer Configuration from the gathered list. Dies ist standardmäßig ein synchroner Prozess und tritt in der folgenden Reihenfolge auf: lokal, Website, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw.This is a synchronous process by default and occurs in the following order: local, site, domain, organizational unit, child organizational unit, and so on. Während Computerrichtlinien verarbeitet werden, wird keine Benutzeroberfläche angezeigt.No user interface appears while computer policies are processed.

  4. Startskripts werden ausgeführt.Startup scripts run. Dies ist standardmäßig ausgeblendet und synchron; Jedes Skript muss abgeschlossen sein oder ein Timeout aufweisen, bevor das nächste Skript gestartet wird.This is hidden and synchronous by default; each script must complete or time out before the next one starts. Das Standardtimeout beträgt 600 Sekunden.The default time-out is 600 seconds. Sie können dieses Verhalten mithilfe verschiedener Richtlinieneinstellungen ändern.You can use several policy settings to modify this behavior.

  5. Der Benutzer drückt STRG + ALT + ENTF, um sich anzumelden.The user presses CTRL+ALT+DEL to log on.

  6. Nachdem der Benutzer überprüft wurde, wird das Benutzerprofil geladen; Sie unterliegt den gültigen Richtlinieneinstellungen.After the user is validated, the user profile loads; it is governed by the policy settings that are in effect.

  7. Eine geordnete Liste der Gruppenrichtlinienobjekte wird für den Benutzer abgerufen.An ordered list of Group Policy Objects is obtained for the user. Die Liste kann von folgenden Faktoren abhängen:The list might depend on these factors:

    • Gibt an, ob der Benutzer Teil einer Domäne ist, und unterliegt daher den Gruppenrichtlinien in Active Directory.Whether the user is part of a domain and, therefore, subject to Group Policy through Active Directory.
    • Gibt an, ob die Loopback Richtlinienverarbeitung aktiviert ist, und wenn dies der Fall ist, den Zustand (zusammenführen oder ersetzen) der Loopback Richtlinieneinstellung.Whether loopback policy processing is enabled, and if so, the state (Merge or Replace) of the loopback policy setting.
    • Der Speicherort des Benutzers in Active Directory.The location of the user in Active Directory.
    • Gibt an, ob sich die Liste der Gruppenrichtlinienobjekte geändert hat.Whether the list of Group Policy Objects has changed. Wenn sich die Liste der Gruppenrichtlinienobjekte nicht geändert hat, erfolgt keine Verarbeitung.If the list of Group Policy Objects has not changed, no processing is done.
  8. Benutzerrichtlinie wird angewendet.User policy is applied. Dies sind die Einstellungen unter Benutzerkonfiguration aus der gesammelten Liste.These are the settings under User Configuration from the gathered list. Dies ist standardmäßig synchron und in der folgenden Reihenfolge: lokal, Website, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw.This is synchronous by default and in the following order: local, site, domain, organizational unit, child organizational unit, and so on. Während Benutzerrichtlinien verarbeitet werden, wird keine Benutzeroberfläche angezeigt.No user interface appears while user policies are processed.

  9. Anmeldeskripts werden ausgeführt.Logon scripts run. Gruppenrichtlinienbasierte Anmeldeskripts sind standardmäßig ausgeblendet und asynchron.Group Policy−based logon scripts are hidden and asynchronous by default. Das Benutzerobjekt Skript wird zuletzt ausgeführt.The user object script runs last.

  10. Die Benutzeroberfläche des Betriebssystems, die von Gruppenrichtlinien vorgegeben wird, wird angezeigt.The operating system user interface that is prescribed by Group Policy appears.

Speicher für GruppenrichtlinienobjekteGroup Policy Objects storage

Ein Gruppenrichtlinienobjekt (GPO) ist ein virtuelles Objekt, das durch eine GUID (Globally Unique Identifier) identifiziert und auf Domänenebene gespeichert ist.A Group Policy Object (GPO) is a virtual object that is identified by a Globally Unique Identifier (GUID) and stored at the domain level. Die Richtlinieneinstellungsinformationen eines GPO werden an den folgenden zwei Speicherorten gespeichert:The policy setting information of a GPO is stored in the following two locations:

  • Gruppenrichtliniencontainer in Active Directory.Group Policy containers in Active Directory.

    Der Gruppenrichtliniencontainer ist ein Active Directory-Container, der Gruppenrichtlinienobjekte enthält, wie Versionsinformationen, GPO-Status sowie eine Liste anderer Komponenteneinstellungen.The Group Policy container is an Active Directory container that contains GPO properties, such as version information, GPO status, plus a list of other component settings.

  • Gruppenrichtlinienvorlagen im System Volume-Ordner (SYSVOL) einer DomäneGroup Policy templates in a domain's system volume folder (SYSVOL).

    Bei der Gruppenrichtlinienvorlage handelt es sich um einen Dateisystemordner, der Richtliniendaten enthält, die durch ADMX-Dateien, Sicherheitseinstellungen, Skriptdateien und Informationen zu den für die Installation verfügbaren Anwendungen angegeben sind.The Group Policy template is a file system folder that includes policy data specified by .admx files, security settings, script files, and information about applications that are available for installation. Die Vorlage für Gruppenrichtlinien befindet sich im Ordner "SYSVOL" im Unterordner \ <Domäne \ > \policies.The Group Policy template is located in the SYSVOL folder in the <domain>\Policies subfolder.

Die Gruppe \ _POLICY \ _Object Struktur stellt Informationen zu einem GPO in einer GPO-Liste bereit, einschließlich der Versionsnummer des Gruppenrichtlinienobjekts, einem Zeiger auf eine Zeichenfolge, die den Active Directory-Teil des Gruppenrichtlinienobjekts angibt, und einem Zeiger auf eine Zeichenfolge, die den Pfad zum Dateisystem Teil des Gruppenrichtlinienobjekts angibt.The GROUP_POLICY_OBJECT structure provides information about a GPO in a GPO list, including the version number of the GPO, a pointer to a string that indicates the Active Directory portion of the GPO, and a pointer to a string that specifies the path to the file system portion of the GPO.

Reihenfolge der GruppenrichtlinienverarbeitungGroup Policy processing order

Die Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:Group Policy settings are processed in the following order:

  1. Lokales GruppenrichtlinienobjektLocal Group Policy Object.

    Jedes Gerät, auf dem ein Windows-Betriebssystem ab Windows XP ausgeführt wird, verfügt über genau ein Gruppenrichtlinienobjekt, das lokal gespeichert ist.Each device running a Windows operating system beginning with Windows XP has exactly one Group Policy Object that is stored locally.

  2. Website.Site.

    Alle Gruppenrichtlinienobjekte, die mit der Website verknüpft wurden, werden als Nächstes verarbeitet.Any Group Policy Objects that have been linked to the site are processed next. Die Verarbeitung ist synchron und in einer von Ihnen angegebenen Reihenfolge.Processing is synchronous and in an order that you specify.

  3. Domäne.Domain.

    Die Verarbeitung mehrerer Domänen verknüpfter Gruppenrichtlinienobjekte ist synchron und in einer Reihenfolge, in der Sie speciy.Processing of multiple domain-linked Group Policy Objects is synchronous and in an order you speciy.

  4. Organisationseinheiten.Organizational units.

    Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, die in der Active Directory-Hierarchie am höchsten ist, werden zuerst verarbeitet, dann Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit verknüpft sind usw.Group Policy Objects that are linked to the organizational unit that is highest in the Active Directory hierarchy are processed first, then Group Policy Objects that are linked to its child organizational unit, and so on. Schließlich werden die Gruppenrichtlinienobjekte verarbeitet, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder das Gerät enthält.Finally, the Group Policy Objects that are linked to the organizational unit that contains the user or device are processed.

Auf der Ebene jeder Organisationseinheit in der Active Directory-Hierarchiekönnen ein, mehrere oder keine Gruppenrichtlinienobjekte verknüpft werden.At the level of each organizational unit in the Active Directory hierarchy, one, many, or no Group Policy Objects can be linked. Wenn mehrere Gruppenrichtlinienobjekte mit einer Organisationseinheit verknüpft sind, ist deren Verarbeitung synchron und in einer von Ihnen angegebenen Reihenfolge.If several Group Policy Objects are linked to an organizational unit, their processing is synchronous and in an order that you specify.

Diese Reihenfolge bedeutet, dass das lokale Gruppenrichtlinienobjekt zuerst verarbeitet wird, und Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, deren direkter Member der Computer oder Benutzer ist, werden zuletzt verarbeitet, wodurch die vorherigen Gruppenrichtlinienobjekte überschrieben werden.This order means that the local Group Policy Object is processed first, and Group Policy Objects that are linked to the organizational unit of which the computer or user is a direct member are processed last, which overwrites the earlier Group Policy Objects.

Dies ist die Standardverarbeitungsreihenfolge, und Administratoren können Ausnahmen für diesen Auftrag angeben.This is the default processing order and administrators can specify exceptions to this order. Ein Gruppenrichtlinienobjekt, das mit einem Standort, einer Domäne oder einer Organisationseinheit (nicht mit einem lokalen Gruppenrichtlinienobjekt) verknüpft ist, kann in Bezug auf diese Website, Domäne oder Organisationseinheit erzwungen werden, damit keine seiner Richtlinieneinstellungen außer Kraft gesetzt werden kann.A Group Policy Object that is linked to a site, domain, or organizational unit (not a local Group Policy Object) can be set to Enforced with respect to that site, domain, or organizational unit, so that none of its policy settings can be overridden. Auf jeder Website, Domäne oder Organisationseinheit können Sie die Gruppenrichtlinienvererbung selektiv als Block Vererbungkennzeichnen.At any site, domain, or organizational unit, you can mark Group Policy inheritance selectively as Block Inheritance. Links für Gruppenrichtlinienobjekte, die auf erzwungen festgesetzt sind, werden jedoch immer angewendet, und Sie können nicht blockiert werden.Group Policy Object links that are set to Enforced are always applied, however, and they cannot be blocked. Weitere Informationen finden Sie unter Grundlagen der Gruppenrichtlinie – Teil 2: Grundlegendes zu den anzuwendenden GPOs.For more information see Group Policy Basics – Part 2: Understanding Which GPOs to Apply.

Richtlinienverarbeitung für SicherheitseinstellungenSecurity settings policy processing

Im Kontext der Gruppenrichtlinienverarbeitung werden die Richtlinien für Sicherheitseinstellungen in der folgenden Reihenfolge verarbeitet.In the context of Group Policy processing, security settings policy is processed in the following order.

  1. Während der Gruppenrichtlinienverarbeitung bestimmt das Gruppenrichtlinienmodul, welche sicherheitseinstellungsrichtlinien angewendet werden sollen.During Group Policy processing, the Group Policy engine determines which security settings policies to apply.

  2. Wenn in einem Gruppenrichtlinienobjekt sicherheitseinstellungsrichtlinien vorhanden sind, ruft die Gruppenrichtlinie die clientseitige Erweiterung der Sicherheitseinstellungen auf.If security settings policies exist in a GPO, Group Policy invokes the Security Settings client-side extension.

  3. Die Erweiterung Sicherheitseinstellungen downloadet die Richtlinie vom entsprechenden Speicherort, beispielsweise einem bestimmten Domänencontroller.The Security Settings extension downloads the policy from the appropriate location such as a specific domain controller.

  4. Die Erweiterung Sicherheitseinstellungen führt alle Richtlinien für Sicherheitseinstellungen nach Rangfolgenregeln zusammen.The Security Settings extension merges all security settings policies according to precedence rules. Die Verarbeitung erfolgt entsprechend der Verarbeitungsreihenfolge für Gruppenrichtlinien von lokal, Standort, Domäne und Organisationseinheit (OU), wie weiter oben im Abschnitt "Gruppenrichtlinien-Verarbeitungsreihenfolge" beschrieben.The processing is according to the Group Policy processing order of local, site, domain, and organizational unit (OU), as described earlier in the "Group Policy processing order" section. Wenn mehrere GPOs für ein bestimmtes Gerät gültig sind und keine in Konflikt stehenden Richtlinien vorhanden sind, sind die Richtlinien kumulativ und werden zusammengeführt.If multiple GPOs are in effect for a given device and there are no conflicting policies, then the policies are cumulative and are merged.

    In diesem Beispiel wird die Active Directory-Struktur verwendet, die in der folgenden Abbildung dargestellt ist.This example uses the Active Directory structure shown in the following figure. Ein bestimmter Computer ist ein Mitglied von OU2, dem das GroupMembershipPolGPO -Gruppenrichtlinienobjekt zugeordnet ist.A given computer is a member of OU2, to which the GroupMembershipPolGPO GPO is linked. Dieser Computer unterliegt auch dem UserRightsPolGPO -Gruppenrichtlinienobjekt, das mit OU1, höher in der Hierarchie, verknüpft ist.This computer is also subject to the UserRightsPolGPO GPO, which is linked to OU1, higher in the hierarchy. In diesem Fall sind keine in Konflikt stehenden Richtlinien vorhanden, damit das Gerät alle Richtlinien empfängt, die sowohl in den GPOs UserRightsPolGPO als auch in GroupMembershipPolGPO enthalten sind.In this case, no conflicting policies exist so the device receives all of the policies contained in both the UserRightsPolGPO and the GroupMembershipPolGPO GPOs.

    Mehrere GPOs und Zusammenführen von SicherheitsrichtlinienMultiple GPOs and Merging of Security Policy

    mehrere GPOs und Zusammenführen von Sicherheitsrichtlinien

  5. Die resultierenden Sicherheitsrichtlinien werden in Secedit. SDB, der Datenbank für Sicherheitseinstellungen, gespeichert.The resultant security policies are stored in secedit.sdb, the security settings database. Das Sicherheitsmodul Ruft die Sicherheitsvorlagendateien ab und importiert Sie in Secedit. SDB.The security engine gets the security template files and imports them to secedit.sdb.

  6. Die Richtlinien für Sicherheitseinstellungen werden auf Geräte angewendet.The security settings policies are applied to devices. Die folgende Abbildung zeigt die Richtlinienverarbeitung für Sicherheitseinstellungen.The following figure illustrates the security settings policy processing.

Richtlinienverarbeitung für SicherheitseinstellungenSecurity Settings Policy Processing

Prozesse und Interaktionen von Sicherheitsrichtlinieneinstellungen

Zusammenführen von Sicherheitsrichtlinien auf DomänencontrollernMerging of security policies on domain controllers

Kennwortrichtlinien, Kerberos und einige Sicherheitsoptionen werden nur von GPOs zusammengeführt, die auf der Stammebene der Domäne verknüpft sind.Password policies, Kerberos, and some security options are only merged from GPOs that are linked at the root level on the domain. Dies erfolgt, damit die Einstellungen für alle Domänencontroller in der Domäne synchronisiert bleiben.This is done to keep those settings synchronized across all domain controllers in the domain. Die folgenden Sicherheitsoptionen werden zusammengeführt:The following security options are merged:

  • Netzwerksicherheit: abmelden erzwingen, wenn Anmeldezeiten ablaufenNetwork Security: Force logoff when logon hours expire
  • Konten: AdministratorkontostatusAccounts: Administrator account status
  • Konten: GastkontenstatusAccounts: Guest account status
  • Konten: Administrator umbenennenAccounts: Rename administrator account
  • Konten: Gastkonto umbenennenAccounts: Rename guest account

Es gibt einen anderen Mechanismus, mit dem Sicherheitsrichtlinienänderungen von Administratoren vorgenommen werden können, indem Sie net-Konten verwenden, um mit dem GPO für Standarddomänenrichtlinien zusammengeführt zu werden.Another mechanism exists that allows security policy changes made by administrators by using net accounts to be merged into the Default Domain Policy GPO. Änderungen der Benutzerrechte, die mithilfe von LSA-APIs (Local Security Authority) vorgenommen werden, werden in das Gruppenrichtlinienobjekt der Standarddomänencontroller-Richtlinie gefiltert.User rights changes that are made by using Local Security Authority (LSA) APIs are filtered into the Default Domain Controllers Policy GPO.

Besondere Überlegungen für DomänencontrollerSpecial considerations for domain controllers

Wenn eine Anwendung auf einem primären Domänencontroller (PDC) mit Betriebsmasterrolle (auch als flexible Einzelmastervorgänge oder FSMO bezeichnet) installiert ist und die Anwendung Änderungen an den Benutzerrechten oder der Kennwortrichtlinie vornimmt, müssen diese Änderungen mitgeteilt werden. Stellen Sie sicher, dass die Synchronisierung zwischen Domänencontrollern stattfindet.If an application is installed on a primary domain controller (PDC) with operations master role (also known as flexible single master operations or FSMO) and the application makes changes to user rights or password policy, these changes must be communicated to ensure that synchronization across domain controllers occurs. "Scesrv. dll" erhält eine Benachrichtigung über alle Änderungen, die an der Security Account Manager (Sam) und LSA vorgenommen wurden, die über Domänencontroller synchronisiert werden müssen, und dann die Änderungen in das standardmäßige Domänencontroller-Richtlinienobjekt mit der SceCli. dll-Vorlage integriert. Änderungs-APIs.Scesrv.dll receives a notification of any changes made to the security account manager (SAM) and LSA that need to be synchronized across domain controllers and then incorporates the changes into the Default Domain Controller Policy GPO by using scecli.dll template modification APIs.

Wenn Sicherheitseinstellungen angewendet werdenWhen security settings are applied

Nachdem Sie die Richtlinien für Sicherheitseinstellungen bearbeitet haben, werden die Einstellungen auf den Computern in der Organisationseinheit, die mit Ihrem Gruppenrichtlinienobjekt verknüpft sind, in den folgenden Fällen aktualisiert:After you have edited the security settings policies, the settings are refreshed on the computers in the organizational unit linked to your Group Policy Object in the following instances:

  • Wenn ein Gerät neu gestartet wird.When a device is restarted.
  • Alle 90 Minuten auf einer Workstation oder einem Server und alle 5 Minuten auf einem Domänencontroller.Every 90 minutes on a workstation or server and every 5 minutes on a domain controller. Dieses Aktualisierungsintervall kann konfiguriert werden.This refresh interval is configurable.
  • Standardmäßig werden Sicherheitsrichtlinieneinstellungen, die von Gruppenrichtlinien bereitgestellt werden, auch dann alle 16 Stunden (960 Minuten) angewendet, auch wenn sich ein GPO nicht geändert hat.By default, Security policy settings delivered by Group Policy are also applied every 16 hours (960 minutes) even if a GPO has not changed.

Persistenz der Richtlinie für SicherheitseinstellungenPersistence of security settings policy

Sicherheitseinstellungen können beibehalten werden, selbst wenn eine Einstellung in der Richtlinie, die Sie ursprünglich angewendet hat, nicht mehr definiert ist.Security settings can persist even if a setting is no longer defined in the policy that originally applied it.

Sicherheitseinstellungen können in den folgenden Fällen weiterhin bestehen:Security settings might persist in the following cases:

  • Die Einstellung wurde für das Gerät nicht zuvor definiert.The setting has not been previously defined for the device.
  • Die Einstellung ist für ein Registrierungs Sicherheitsobjekt.The setting is for a registry security object.
  • Die Einstellungen gelten für ein Dateisystem-Sicherheitsobjekt.The settings are for a file system security object.

Alle Einstellungen, die über die lokale Richtlinie oder über ein Gruppenrichtlinienobjekt angewendet werden, werden in einer lokalen Datenbank auf dem Computer gespeichert.All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Bei jeder Änderung einer Sicherheitseinstellung speichert der Computer den Wert für die Sicherheitseinstellung in der lokalen Datenbank, wodurch ein Verlauf aller Einstellungen beibehalten wird, die auf den Computer angewendet wurden.Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. Wenn eine Richtlinie zuerst eine Sicherheitseinstellung definiert und diese Einstellung dann nicht mehr definiert, übernimmt die Einstellung den vorherigen Wert in der Datenbank.If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. Wenn ein vorheriger Wert in der Datenbank nicht vorhanden ist, wird die Einstellung nicht auf etwas zurückgesetzt und bleibt wie ist definiert.If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. Dieses Verhalten wird manchmal auch als "Tätowieren" bezeichnet.This behavior is sometimes referred to as "tattooing".

Registrierungs-und Dateisicherheitseinstellungen verwalten die Werte, die über Gruppenrichtlinien angewendet werden, bis diese Einstellung auf andere Werte festgelegt ist.Registry and file security settings will maintain the values applied through Group Policy until that setting is set to other values.

Erforderliche Berechtigungen für die RichtlinienanwendungPermissions required for policy to apply

Sowohl Gruppenrichtlinien als auch Leseberechtigungen sind erforderlich, damit die Einstellungen eines Gruppenrichtlinienobjekts auf Benutzer oder Gruppen sowie auf Computer angewendet werden.Both Apply Group Policy and Read permissions are required to have the settings from a Group Policy Object apply to users or groups, and computers.

Filtern von SicherheitsrichtlinienFiltering security policy

Standardmäßig haben alle GPOs die Gruppenrichtlinie für die Gruppe der authentifizierten Benutzer gelesen und angewendet.By default, all GPOs have Read and Apply Group Policy both Allowed for the Authenticated Users group. Die Gruppe "authentifizierte Benutzer" umfasst sowohl Benutzer als auch Computer.The Authenticated Users group includes both users and computers. Richtlinien für Sicherheitseinstellungen sind Computer basiert.Security settings policies are computer-based. Wenn Sie angeben möchten, auf welchen Clientcomputern kein Gruppenrichtlinienobjekt angewendet werden soll, können Sie Ihnen entweder die Berechtigung Gruppenrichtlinie übernehmen oder die Berechtigung Lesen für dieses Gruppenrichtlinienobjekt verweigern.To specify which client computers will or will not have a Group Policy Object applied to them, you can deny them either the Apply Group Policy or Read permission on that Group Policy Object. Wenn Sie diese Berechtigungen ändern, können Sie den Bereich des Gruppenrichtlinienobjekts auf eine bestimmte Gruppe von Computern innerhalb einer Website, Domäne oder Organisationseinheit einschränken.Changing these permissions allows you to limit the scope of the GPO to a specific set of computers within a site, domain, or OU.

Hinweis

Verwenden Sie keine Sicherheitsrichtlinien Filterung auf einem Domänencontroller, da dies die Anwendung der Sicherheitsrichtlinie verhindern würde.Do not use security policy filtering on a domain controller as this would prevent security policy from applying to it.

Migration von GPOs mit SicherheitseinstellungenMigration of GPOs containing security settings

In einigen Fällen möchten Sie möglicherweise GPOs aus einer Domänenumgebung in eine andere Umgebung migrieren.In some situations, you might want to migrate GPOs from one domain environment to another environment. Die beiden häufigsten Szenarien sind die Migration von Test zu Produktion und die Migration in der Produktionsumgebung.The two most common scenarios are test-to-production migration, and production-to-production migration. Der Kopiervorgang für Gruppenrichtlinienobjekte hat Auswirkungen auf einige Arten von Sicherheitseinstellungen.The GPO copying process has implications for some types of security settings.

Daten für ein einzelnes Gruppenrichtlinienobjekt werden an mehreren Speicherorten und in unterschiedlichen Formaten gespeichert. einige Daten sind in Active Directory enthalten, und andere Daten werden auf der SYSVOL-Freigabe auf den Domänencontrollern gespeichert.Data for a single GPO is stored in multiple locations and in various formats; some data is contained in Active Directory and other data is stored on the SYSVOL share on the domain controllers. Bestimmte Richtliniendaten sind möglicherweise in einer Domäne gültig, können aber in der Domäne, in die das Gruppenrichtlinienobjekt kopiert wird, ungültig sein.Certain policy data might be valid in one domain but might be invalid in the domain to which the GPO is being copied. Beispielsweise sind Sicherheits-IDs (SIDs), die in Sicherheitsrichtlinieneinstellungen gespeichert sind, häufig domänenspezifisch.For example, Security Identifiers (SIDs) stored in security policy settings are often domain-specific. Daher ist das Kopieren von GPOs nicht so einfach wie das Aufnehmen eines Ordners und das Kopieren der GPOs von einem Gerät auf ein anderes.So copying GPOs is not as simple as taking a folder and copying it from one device to another.

Die folgenden Sicherheitsrichtlinien können Sicherheitsprinzipale enthalten und erfordern möglicherweise zusätzliche Aufgaben, um Sie erfolgreich von einer Domäne in eine andere zu verschieben.The following security policies can contain security principals and might require some additional work to successfully move them from one domain to another.

  • Zuweisen von BenutzerrechtenUser rights assignment
  • Eingeschränkte GruppenRestricted groups
  • DiensteServices
  • DateisystemFile system
  • RegistrierungRegistry
  • Die DACL des Gruppenrichtlinienobjekts, wenn Sie es während eines Kopiervorgangs beibehalten möchtenThe GPO DACL, if you choose to preserve it during a copy operation

Um sicherzustellen, dass Daten ordnungsgemäß kopiert werden, können Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden.To ensure that data is copied correctly, you can use Group Policy Management Console (GPMC). Wenn Sie ein GPO von einer Domäne zu einer anderen migrieren, stellt die GPMC sicher, dass alle relevanten Daten ordnungsgemäß kopiert werden.When migrating a GPO from one domain to another, GPMC ensures that all relevant data is properly copied. Die GPMC bietet außerdem Migrationstabellen, mit deren Hilfe domänenspezifische Daten im Rahmen des Migrationsprozesses auf neue Werte aktualisiert werden können.GPMC also offers migration tables, which can be used to update domain-specific data to new values as part of the migration process. Die GPMC verbirgt einen Großteil der Komplexität bei der Migration von GPO-Vorgängen und bietet einfache und zuverlässige Mechanismen für die Durchführung von Vorgängen wie Kopieren und Sichern von GPOs.GPMC hides much of the complexity involved in the migrating GPO operations, and it provides simple and reliable mechanisms for performing operations such as copy and backup of GPOs.

Inhalt dieses AbschnittsIn this section

ThemaTopic BeschreibungDescription
Verwalten von SicherheitsrichtlinieneinstellungenAdminister security policy settings In diesem Artikel werden verschiedene Methoden zum Verwalten von Sicherheitsrichtlinieneinstellungen auf einem lokalen Gerät oder in einer kleinen oder mittelständischen Organisation erläutert.This article discusses different methods to administer security policy settings on a local device or throughout a small- or medium-sized organization.
Konfigurieren von SicherheitsrichtlinieneinstellungenConfigure security policy settings Beschreibt die Schritte zum Konfigurieren einer Sicherheitsrichtlinieneinstellung auf dem lokalen Gerät, auf einem mit der Domäne verbundenen Gerät und auf einem Domänencontroller.Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.
Referenz zu den SicherheitsrichtlinieneinstellungenSecurity policy settings reference Dieser Verweis auf Sicherheitseinstellungen enthält Informationen zum Implementieren und Verwalten von Sicherheitsrichtlinien, einschließlich Einstellungsoptionen und Sicherheitsüberlegungen.This reference of security settings provides information about how to implement and manage security policies, including setting options and security considerations.