Download der Gruppenrichtlinien Verwaltungskonsole (GPMC)

Die Gruppenrichtlinien-Verwaltungskonsole ist als Datei mit dem Dateinamen "gpmc.msi" von Microsoft zu bekommen.
GPMC-Download von Microsoft

Mit diesem Tool wird die organisationsweite Verwaltung von Gruppenrichtlinien vereinheitlicht.. Statt mehrerer Tools von Microsoft zum Verwalten von Gruppenrichtlinien wird im GPMC die vorhandene Gruppenrichtlinienfunktionalität in eine einheitliche Konsole integriert. Dazu kommen noch neue Funktionen wie Import/Export von GPOs und WMI-Filtern sowie sichern und wiederherstellen von Gruppenrichtlinienobjekten.
gpmc

NTLMv2 Authentifizierung auf Domain-Controller

Um die NTLMv2 Authentifizierung auf Domain-Controllern zu verwenden muss man die "securedc.inf" Sicherheitsvorlage in die Default Domain Policy der Domäne konfigurieren.

Standardmäßig ist seit Windows 2000 Kerberos V5 bevorzugt als Authentifizierungsmechanismus implementiert. Das funktioniert aber nur in reinen W2K-Domänen zuverlässig - damit das System nicht auf einfaches NTLM zurückfällt ist seit NT 4.0 SP4 aber NTLMv2 konfigurierbar.
http://www.heise.de/security/artikel/40744/3

Beispiel: Die Abteilung Auswertung hat aktuelle Computer mit Windows XP und es soll nur NTLMv2 für die Auswertung_OU verwendet werden, in dem eine Gruppenrichtlinie Auswertung_GPO damit verknüpft wird. Die GPO sieht so aus:

Diese GPO kann nun sehr einfach im GPMC mit der gewünschte OU verknüpft werden:


NTLMv2 wird nicht standardmäßig nicht von Windows 95 unterstützt, hier muss die Active Directory Client Software installiert werden, Windows NT4 benötigt wie erwähnt mindestens SP4.

Sicherheit des DC erhöhen mit HisecDC.inf und SecureDC.inf

Vorgefertigte Sicherheitsrichtlinien lassen sich für den Domaincontroller importieren. Wenn die Umgebung es zulässt sollten sie auf den Controllern verwendet werden!

Sie stellen aber Anforderungen an die verwendeten Systeme und erfordern auch genaue Uhrzeiten auf den Clients und Servern. Anders gesagt: Bei "HisecDC.inf" müssen Clients Windows XP, Server Windows 2003 und die Uhren synchronisiert sein.

Unter Verwaltung/Sicherheitsrichtslinien für Domaincontroller lassen sich die dafür vorgefertigten Sicherheitsvorlage für die Anwendung auf den Domänencontrollern wählen.
Sicherheitsvorlagehisecdc.inf

Diese Sicherheitsvorlagen sollten vor eventuell erforderlichen weiteren Sicherheitsvorlagen für Applikationen installiert werden!

Domänencontroller aus Systemstatusdaten wiederherstellen

Der Befehl "dcpromo" kann mit der Option "/adv" (advanced) verwendet werden um einen Domänencontroller von wiederhergestellten Sicherungsdateien zu erstellen.

Dabei wird der Assistent zum installieren von Active Directory wie zum Erstellen eines zusätzlichen Domänencontrollers von wiederhergestellten Sicherungsdateien gestartet. Vorher muss man natürlich die Systemstatusdaten des Domänencontrollers (oder eines anderen unter Windows Server 2003 aus der Domäne) gesichert haben.

Zwischenspeichern der Mitgliedschaft in universellen Gruppen konfigurieren

Für langsame und unzuverlässige WAN-Verbindungen kann man das Zwischenspeichern der Mitgliedschaft in universellen Gruppen für einen Standort, also z.B. eine Zweigstelle konfigurieren.

Im Vergleich zum Globalen Katalog wird hier auch weniger Bandbreite benötigt, die Mitgliedschaften zu speichern ist auf jeden Fall eine gute Ergänzung, möglicherweise auch eine Alternative als Kompromiss bei geringer Bandbreite.

Dazu öffnet man in der Konsole Active Directory-Standorte und –Dienste für die Darstellung des Standorts die Eigenschaften des Knotens NTDS Site Settings. Hier kann man dann die Zwischenspeicherung der Mitgliedschaft in universellen Gruppen konfigurieren.
Zwischenspeichern Mitgliedschaft universelle Gruppen konfigurieren

Dies bringt Vorteile mit sich wie kürzere Anmeldezeiten (Zugriff auf globalen Katalog entfällt) und Einsparmöglichkeiten bei Server-Hardware und Leitungs-Kapazitäten.
tweetbackcheck