144 Kapitel 3: Konfiguration des Netzwerkzugriffs
die Einstellungen gelten und welche Vorrangstufe im Konfliktfall gilt. Alle Einstellungen
werden in einem Kennworteinstellungsobjekt gespeichert. Kennworteinstellungsobjekte
wiederum werden im Password Settings Container gespeichert, den Sie sich mit Active
Directory-Benutzer und Computer ansehen können, wenn Sie die Anzeigeoption Erweiterte
Features aktivieren. Ein einzelnes Kennworteinstellungsobjekt kann für mehrere Benutzer
und Gruppen gelten. Es ist zwar auch möglich, Kennworteinstellungsobjekte mit anderen
Gruppen zu verknüpfen, also nicht nur mit globalen Sicherheitsgruppen, aber bei der Be-
rechnung des Richtlinienergebnissatzes werden nur Verknüpfungen mit Benutzerkonten oder
globalen Sicherheitsgruppen berücksichtigt.
Kennworteinstellungsobjekte können Sie mit dem ADSI-Editor oder
ldifde erstellen. Wenn
Sie den ADSI-Editor verwenden, klicken Sie <Domänenname>\CN=System\CN=Password
Settings Container mit der rechten Maustaste an, erstellen ein neues Objekt der Klasse
msDS-
PasswordSettings
und legen die gewünschten Werte fest.
Weitere Informationen Abgestimmte Kennwortrichtlinien
Weitere Informationen über abgestimmte Kennwortrichtlinien finden Sie im TechNet-
Dokument http://technet.microsoft.com/de-de/library/cc770394.aspx.
Kerberos
Kerberos ist das Standardauthentifizierungsprotokoll von AD DS. Wenn sich ein Computer,
auf dem Windows 2000, Windows XP, Windows Server 2003, Windows Vista oder Win-
dows Server 2008 ausgeführt wird, bei AD DS authentifizieren will, versucht er es zuerst
mit Kerberos. Es gibt fünf Kerberos-Richtlinien, die direkt mit der Authentifizierung zu tun
haben. Abbildung 3.21 zeigt diese Richtlinien. Wie alle allgemeinen Kennwortrichtlinien
werden auch Kerberos-Richtlinien im Objekt Default Domain Policy konfiguriert, und nicht
in anderen Gruppenrichtlinienobjekten.
Abbildung 3.21 Kerberos-Richtlinien unter Active Directory
Diese Richtlinien haben folgende Aufgaben:
■ Benutzeranmeldeeinschränkungen erzwingen Mit dieser Einstellung können Sie
sicherstellen, dass jede Anforderung eines Benutzertickets anhand der Einstellungen
überprüft wird, die auf dem Zielcomputer für Benutzerrechte gelten. Ein Benutzer-
ticket ist ein eingeschränktes Zertifikat, das von AD DS ausgestellt wird und es dem
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
