Konto- richtlinien | | | | |
| Kennwortrichtlinien | | | |
| Kennwortchronik erzwingen | Erinnerung an 0 Kennwörter | Nicht definiert | Erinnerung an 1 Kennwort |
| Maximales Kennwortalter | 42 Tage | Nicht definiert | 42 Tage |
| Minimales Kennwortalter | 0 Tage | Nicht definiert | 0 Tage |
| Minimale Kennwortlänge | 0 Zeichen | Nicht definiert | 0 Zeichen |
| Kennwörter müssen den Komplexitätsanforderungen entsprechen. | Deaktiviert | Nicht definiert | Deaktiviert |
| Kennwörter mit umkehrbarer Verschlüsselung für alle Benutzer der Domäne speichern | Deaktiviert | Nicht definiert | Deaktiviert |
| Kontosperrungsrichtlinien | | | |
| Kontosperrdauer | Nicht definiert | Nicht definiert | Nicht definiert |
| Kontensperrungsschwelle | 0 ungültige Anmeldeversuche | Nicht definiert | 0 ungültige Anmeldeversuche |
| Zurücksetzungsdauer des Kontosperrungszählers | Nicht definiert | Nicht definiert | Nicht definiert |
| Kerberos-Richtlinie | | | |
| Benutzeranmeldeeinschränkungen erzwingen | (Nicht verfügbar) (Lokaler Standard ist aktiviert.) | Nicht definiert | Aktiviert |
| Max. Gültigkeitsdauer des Diensttickets | (Nicht verfügbar) (Lokaler Standard beträgt 60 Minuten.) | Nicht definiert | 600 Minuten |
| Max. Gültigkeitsdauer des Benutzertickets | (Nicht verfügbar)(Lokaler Standard beträgt 7 Stunden.) | Nicht definiert | 10 Stunden |
| Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann | (Nicht verfügbar) (Lokaler Standard beträgt 10 Tage.) | Nicht definiert | 7 Tage |
| Max. Toleranz für die Synchronisation des Computertakts | (Nicht verfügbar) (Lokaler Standard beträgt 60 Minuten.) | Nicht definiert | 5 Minuten |
Lokale Richtlinien | | | | |
| Überwachungsrichtlinie | | | |
| Anmeldeversuche überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Kontenverwaltung überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Directory-Zugriff überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Anmeldeereignisse überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Objektzugriffsversuche überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Richtlinienänderungen überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Rechteverwendung überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Prozessverfolgung überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Systemereignisse überwachen | Keine Überwachung | Keine Überwachung | Nicht definiert |
| Zuweisen von Benutzerrechten | | | |
| Auf diesen Computer vom Netzwerk aus zugreifen | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Jeder | Administratoren
Authentifizierte Benutzer
Jeder
IUSR_W2K-
Computername
IWAM_W2K-
Computername | Nicht definiert |
| Einsetzen als Teil des Betriebssystems | (Leer) | (Leer) | Nicht definiert |
| Hinzufügen von Arbeitsstationen zur Domäne | (Leer) | Authentifizierte Benutzer | Nicht definiert |
| Sichern von Dateien und Verzeichnissen | Administratoren
Sicherungs-Operatoren | Administratoren
Sicherungs-Operatoren
Serveroperatoren | Nicht definiert |
| Auslassen der durchsuchenden Überprüfung | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Jeder | Administratoren
Authentifizierte Benutzer
Jeder | Nicht definiert |
| Ändern der Systemzeit | Administratoren
Hauptbenutzer | Administratoren
Serveroperatoren | Nicht definiert |
| Auslagerungsdatei erstellen | Administratoren | Administratoren | Nicht definiert |
| Erstellen eines Tokenobjekts | (Leer) | (Leer) | Nicht definiert |
| Permanente freigegebene Objekte erstellen | (Leer) | (Leer) | Nicht definiert |
| Debuggen von Programmen | Administratoren | Administratoren | Nicht definiert |
| Den Zugriff auf diesen Computer vom Netzwerk aus verweigern | (Leer) | (Leer) | Nicht definiert |
| Anmelden als Batchauftrag verweigern | (Leer) | (Leer) | Nicht definiert |
| Anmeldung als Dienst verweigern | (Leer) | (Leer) | Nicht definiert |
| Lokale Anmeldung verweigern | (Leer) | (Leer) | Nicht definiert |
| Computer und Benutzerkonten für Delegierungszwecke vertrauen | (Leer) | Administratoren | Nicht definiert |
| Erzwingen des Herunterfahrens von einem Remotesystem aus | Administratoren | Administratoren Serveroperatoren | Nicht definiert |
| Generieren von Sicherheitsüberwachungen | (Leer) | (Leer) | Nicht definiert |
| Quoten erhöhen | Administratoren | Administratoren | Nicht definiert |
| Anheben der Sicherheitszeitplanungspriorität | Administratoren | Administratoren | Nicht definiert |
| Laden und Entfernen von Gerätetreibern | Administratoren | Administratoren | Nicht definiert |
| Seiten im Speicher sperren | (Leer) | (Leer) | Nicht definiert |
| Anmelden als Stapelverarbeitungsauftrag | (Leer) | IUSR_W2K-
Computername
IWAM_W2K-
Computername | Nicht definiert |
| Anmeldung als Dienst | (Leer) | (Leer) | Nicht definiert |
| Lokal anmelden | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer
Computername/Gast
Computername/TsInternetUser
(nur Server/Adv. Server) | Administratoren
Authentifizierte Benutzer
Sicherungs-Operatoren
IUSR_W2K-
Computername
Druckoperatoren
Serveroperatoren
TsInternetUser | Nicht definiert |
| Verwalten von Überwachungs- und Sicherheitsprotokoll | Administratoren | Administratoren | Nicht definiert |
| Firmware-Umgebungsvariablen verändern | Administratoren | Administratoren | Nicht definiert |
| Einzelprozessprofil erstellen | Administratoren
Sicherungs-Operatoren | Administratoren | Nicht definiert |
| Erstellen eines Profils der Systemleistung | Administratoren | Administratoren | Nicht definiert |
| Entfernen eines Computers aus der Dockingstation | Administratoren
Sicherungs-Operatoren Benutzer | Administratoren | Nicht definiert |
| Ersetzen eines Prozessebenentokens | (Leer) | (Leer) | Nicht definiert |
| Wiederherstellen von Dateien und Verzeichnissen | Administratoren
Sicherungs-Operatoren | Administratoren
Sicherungs-Operatoren Serveroperatoren | Nicht definiert |
| Herunterfahren des Computers | Administratoren
Sicherungs-Operatoren
Hauptbenutzer
Benutzer (nur Professional) | Kontenoperatoren
Administratoren
Sicherungs-Operatoren
Druckoperatoren
Serveroperatoren | Nicht definiert |
| Synchronisieren von Verzeichnisdienstdaten | (Leer) | (Leer) | Nicht definiert |
| Übernehmen des Besitzes an Dateien und Objekten | Administratoren | Administratoren | Nicht definiert |
| Sicherheitsoptionen | | | |
| Weitere Einschränkungen für anonyme Verbindungen | Keine. Auf Standardberechtigungen zurückgreifen. | Nicht definiert | Nicht definiert |
| Serveroperatoren das Einrichten von geplanten Tasks erlauben (nur Domänencontroller) | Nicht definiert | Nicht definiert | Nicht definiert |
| Herunterfahren des Systems ohne Anmeldung zulassen (nur Domänencontroller) | Aktiviert (nur Professional)
Deaktiviert (nur Server/Adv. Server). | Nicht definiert | Nicht definiert |
| Herunterfahren des Systems ohne Anmeldung zulassen | Aktiviert (nur Professional)
Deaktiviert (nur Server/Adv. Server). | Nicht definiert | Nicht definiert |
| Auswerfen von NTFS-Wechselmedien zulassen | Administratoren | Nicht definiert | Nicht definiert |
| Leerlaufzeitspanne bis zum Anhalten der Sitzung | 15 Minuten | Nicht definiert | Nicht definiert |
| Zugriff auf globale Systemobjekte prüfen | Deaktiviert | Nicht definiert | Nicht definiert |
| Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen | Deaktiviert | Nicht definiert | Nicht definiert |
| Benutzer automatisch abmelden, wenn die Anmeldezeit abläuft | (Option nicht verfügbar auf
eigenständigem Professional
Server oder Advanced Server) | Nicht definiert | Deaktiviert |
| Benutzer automatisch abmelden, wenn die Anmeldezeit abläuft (lokal) | Aktiviert | Nicht definiert | Nicht definiert |
| Auslagerungsdatei des virtuellen Arbeitsspeichers beim Herunterfahren des Systems löschen | Deaktiviert | Nicht definiert | Nicht definiert |
| Client-Kommunikation digital signieren (immer) | Deaktiviert | Nicht definiert | Nicht definiert |
| Client-Kommunikation digital signieren (wenn möglich) | Aktiviert | Nicht definiert | Nicht definiert |
| Serverkommunikation digital signieren (immer) | Deaktiviert | Nicht definiert | Nicht definiert |
| Serverkommunikation digital signieren (wenn möglich) | Deaktiviert | Aktiviert | Nicht definiert |
| STRG+ALT+ENTF-Anforderung für Anmeldung deaktivieren | Nicht definiert (nur Professional) Deaktiviert (nur Server/Adv. Server) | Nicht definiert | Nicht definiert |
| Benutzername auf dem Anmeldebildschirm nicht anzeigen | Deaktiviert | Nicht definiert | Nicht definiert |
| LAN Manager-Authentifizierungsebene | LM & NTLM-Antwort senden | Nicht definiert | Nicht definiert |
| Nachricht für Benutzer, die sich anmelden wollen | (Leer) | Nicht definiert | Nicht definiert |
| Nachricht für Benutzer, die sich anmelden wollen | (Leer) | Nicht definiert | Nicht definiert |
| Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) | 10 Anmeldungen | Nicht definiert | Nicht definiert |
| Systemwartung der Kennwörter für Computerkonten verhindern | Deaktiviert | Nicht definiert | Nicht definiert |
| Anwendern das Installieren von Druckertreibern nicht erlauben | Deaktiviert (nur Professional)
Aktiviert (nur Server/Adv. Server) | Nicht definiert | Nicht definiert |
| Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern | 14 Tage | Nicht definiert | Nicht definiert |
| Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen | Deaktiviert | Nicht definiert | Nicht definiert |
| Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und Ordner zulassen | Deaktiviert | Nicht definiert | Nicht definiert |
| Administratorkonto umbenennen | Nicht definiert | Nicht definiert | Nicht definiert |
| Gastkonto umbenennen | Nicht definiert | Nicht definiert | Nicht definiert |
| Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken | Deaktiviert | Nicht definiert | Nicht definiert |
| Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken | Deaktiviert | Nicht definiert | Nicht definiert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) | Deaktiviert | Nicht definiert | Nicht definiert |
| Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) | Aktiviert | Nicht definiert | Nicht definiert |
| Sicherer Kanal: Daten des sicheren Kanals digital signieren (wenn möglich) | Aktiviert | Nicht definiert | Nicht definiert |
| Sicherer Kanal: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) | Deaktiviert | Nicht definiert | Nicht definiert |
| Unverschlüsseltes Kennwort für die Verbindung zu SMB-Servern von Drittanbietern senden | Deaktiviert | Nicht definiert | Nicht definiert |
| System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können | Deaktiviert | Nicht definiert | Nicht definiert |
| Verhalten beim Entfernen von Smartcards | Keine Aktion | Nicht definiert | Nicht definiert |
| Standardberechtigungen globaler Systemobjekte (zum Beispiel symbolischer Verknüpfungen) verstärken | Aktiviert | Nicht definiert | Nicht definiert |
| Verhalten bei der Installation von nichtsignierten Treibern | Nicht definiert | Nicht definiert | Nicht definiert |
| Verhalten bei der Installation von nichtsignierten Nicht-Treibern | Nicht definiert | Nicht definiert | Nicht definiert |
Ereignis- protokoll | | | | |
| Einstellungen für Ereignisprotokolle | | | |
| Maximale Größe des Anwendungsprotokolls | 512 KB | Nicht definiert | Nicht definiert |
| Maximale Größe des Sicherheitsprotokolls | 512 KB | Nicht definiert | Nicht definiert |
| Maximale Größe des Systemprotokolls | 512 KB | Nicht definiert | Nicht definiert |
| Gastzugriff auf Anwendungsprotokoll einschränken | (Nicht verfügbar) | Nicht definiert | Nicht definiert |
| Gastzugriff auf Sicherheitsprotokoll einschränken | (Nicht verfügbar) | Nicht definiert | Nicht definiert |
| Gastzugriff auf Systemprotokoll einschränken | (Nicht verfügbar) | Nicht definiert | Nicht definiert |
| Anwendungsprotokoll aufbewahren | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Sicherheitsprotokoll aufbewahren | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Systemprotokoll aufbewahren | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Aufbewahrungsmethode des Anwendungsprotokolls | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Aufbewahrungsmethode des Sicherheitsprotokolls | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Aufbewahrungsmethode des Systemprotokolls | Ereignisse überschreiben, die älter sind als 7 Tage | Nicht definiert | Nicht definiert |
| Den Computer herunterfahren, wenn das Protokoll zur Sicherheitsüberwachung voll ist | (Nicht verfügbar) | Nicht definiert | Nicht definiert |
