Jump to content

Sicherheitsvorlagen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

Ich bin gelernte IT-Systemkauffrau und mache nun eine Weiter- Ausbildung, Umschulung wie immer man es nennen will zum MCSA auf 2003 Basis.

 

Ich bereite mich gerade mit dem MS Press Buch auf die 291 vor, bin bei Kapitel 11 angelangt und ein wenig verwirrt.

Ich hab eine Reale Testumgebung kann also alles nachspielen und schlage mich mit dem Snap-In Sicherheitsvorlagen herum. Bei allem was ich bisher gelesen habe stellte ich mir immer die Frage, wozu ist das eigentlich gut, was ist der Vorteil?

Irgendwie kann ich den bei den Sicherheitsvorlagen nicht ganz entdecken.

 

Im grünen Buch steht, man kann die Vorlagen auf Computerfunktionen anwenden. Nun beim weiteren lesen wird klar, das MS damit einzelne Geräte meint.

Eine GPO wird gewöhnlich auf OU´s angewendet. Beim Testen der Vorlage dann, hab ich festgestellt, dass die Vorlage die Domain Policy überschreibt. Entsprechend wird sie nicht auf einzelne Geräte angewendet. Oder wie?

Desweiteren steht im Buch, dass die Vorlagen über GPO´s oder Batchdateien angewendet werden können, es steht aber nichts drin wie´s geht.

 

OK ich hab mir dann gedacht, naja gut hat ja einen Vorteil eine Sciherheitsvorlage kann man immerhin in einer Datei speichern und mit dem entsprechenden Rollback hat man direkt sowas wie ne Sicherung. Das geht innerhalb des Gruppenlienieneditors natürlich nicht. (Wobei sich mir die Frage stellt warum eigentlich nicht, warum ein Snap-In man hätts ja auch in den Editor einfügen können aber da ich daran nix ändern kann...lassen wir das Thema)

 

Es wäre wirklich hilfreich, wenn mir jemand mal die Vorteile dieser Sicherheitsvorlagen erklären könnte. Und wenn jemand so nett wäre mir ein Beispiel für eine Batchdatei (ich bin leider nicht wirklich mit DOS aufgewachsen ich weiß was Batchdatei ist, und ich würde bestimmt herausbekommen, welche Befehle ich anwenden muss und wie die Syntax funktioniert aber ich hab keine Ahnung wie man drüber Sicherheitsrichtlinien verteilt.) für die Verteilung von Sicherheitsvorlagen zur betrachtung zur Verfügung zu stellen.

 

Danke

und MfG

 

KitKat

Link zu diesem Kommentar

Hallo!

 

Man kann die Sicherheitsvorlagen in GPO's importieren.

 

Mit Sicherheitsvorlagen werden also bestimmte Einstellungen bezüglich der Sicherheit für eine Gruppe von Computern die vom GPO betroffen sind festgelegt. In den Standard-Sicherheitsvorlagen gibt es welche für sichere und sehr sichere Umgebungen sowie welche für Kompatibilität.

 

Der Vorteil der Vorlagen liegt darin, dass diese viele Einstellungen vereinen, die sonst einzeln nacheinander im GPO eingegeben werden müssten. Die Vorlagen sind einfach auf andere Systeme zu übertragen. Man kann auch eigene Vorlagen erzeugen, entweder from scratch oder in Abwandlung vorhandener Vorlagen.

 

Importiert wird eine Vorlage im GPO unter Computerverwaltung unter dem Punkt Sicherheitseinstellungen (Kontextmenü -> Befehl importieren).

 

Wenn man GPO und AD verwendet sehe ich keine Notwendigkeit für Verteilung über Batchdateien. Dies wäre nur nötig wenn kein AD verwendet wird.

Link zu diesem Kommentar

GPO´s kann man aber nur auf OU´s, die gesamte Domäne oder die Domänen Controller anwenden.

aus MS Press 70-291

Entwerfen Sie Sicherheitsgrundeinstellungen für jede Computerfunktion.

Zu den Computerfunktionen gehören Domänencontroller, Datei- und Druckserver, Mailserver, Datenbankserver, Netzwerkzugriffserver(...), WINS, Webserver, RAS-Server, Desktopsysteme und viele weitere.

 

Dies läßt darauf schließen, dass ich Sicherheitsvorlagen auf einzelne Geräte anwenden kann. Wenn ich die Sicherheitsvorlagen aber über die GPO verteile kann ich sie nicht auf einzelne Geräte anwenden, es sei denn ich packe die einzelnen Geräte wiederum in OU´s.

Wenn ich Beispielsweise mehrere DNS - Server in verschiedenen Standorten habe, verteile ich meine Sicherheitsrichtlinie vielleicht über die Domänenrichtlinien. Wenn ich aber genau einen einzigen besonderen Richtlinien unterwerfen will, dann muss ich den wieder in eine OU packen. gibts da keine andere Lösung? Wenn ich 10 Unterschiedliche Rechner hab und alle sollen unterschiedliche Richtlinien bekommen, muss ich erst 10 OU´s erstellen und je nur einen Rechner rein parken?

 

Und dann vergess ich dieses unscheinbare Häkchen dass die Richtlinienvererbung ausschaltet und dann muss man wohl verzweifeln.

 

Das elfte Kapitel ist so endlos lang und die Lektion über diese Vorlagen ebenfalls und das soll alles gewesen sein? Es gibt Vorlagen und die kann ich umstricken speichern und importieren oder direkt anweden? Dazu benötigen die 25 Seiten?

Link zu diesem Kommentar
GPO´s kann man aber nur auf OU´s, die gesamte Domäne oder die Domänen Controller anwenden.

Korrekt: Domänen, Sites (Standorte) und OUs.

 

GPOs lassen sich zwar nicht mit einzelnen Geräten verknüpfen, aber sie können durch Filterung auf nur bestimmte oder einzelne Geräte in OUs angewendet werden.

http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx

Link zu diesem Kommentar

Tut mir wirklich leid, wenn ich was nerve, und veilleicht denk ich auch einfach zuviel (oder zu wenig???) aber irgendwie halte ich die Gruppenrichtlinieverwaltung auch nicht für ganz ausgereift.

 

Ok da meine Version von 2003 (180 Tage Evaluierungskopie der Enterprise Edition) keine Gruppenrichtlinienverwaltung installiert hatte, hab ich sie runtergeladen und mir die Entsprechende HOW-To ausgedruckt. Nun gut jetzt kann ich einen Filter setzten, der nur auf bestimmt Benutzer, Gruppen und Computer angewendet wird. Was mach ich denn nun, wenn ich eine OU habe die 500 Benutzer/Gruppen/Computer beinhaltet und ich möchte das auf 499 die Gruppenrichtlinie angewendet wird, aber auf einen nicht. Muss ich dann 499 Benutzer/Gruppen/Computer eigeben und den einen nicht um diesen einen Auszuschließen? Bzw. diesen Beutzer dann erst wieder in eine neue OU verlegen??

 

Gibts dafür ne Lösung oder hab ich was überlesen in den HOW TOs ?

Link zu diesem Kommentar

Man kann natürlich auch einzelnen Computern oder Gruppen die Berechtigung "Gruppenrichtlinie übernehmen" verweigern. Allerdings wird immer wieder darauf hingewiesen, dass man mit "Verweigern" möglichst selten arbeiten sollte. Aber für dein spezifisches Problem wäre wohl "Verweigern" die schnellste Lösung.

 

Allerdings denke ich, dass dieses Beispiel mit 500 Objekten in einer OU von denen einem Objekt eine Gruppenrichtlinie verweigert werden soll auch etwas sehr theoretisch ist. In der Regel werden in OU's gleichartige Objekte gesammelt, die dann auch die gleichen Gruppenrichtlinien benötigen. Dies kann dann mit Filterung allerdings auch noch flexibler gestaltet werden. Generell sind Gruppenrichtlinien, wie der Name auch andeutet, zum Zuweisen von Konfigurationen zu Gruppen von Computern und Benutzer gedacht und nicht so sehr zum Zuweisen einer Konfiguration auf einzelne Objekte. Dies könnte man dann z. B. auch in der lokalen Gruppenrichtlinie tun.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...