Datenschutz bei Windows 2000

Größe: px
Ab Seite anzeigen:

Download "Datenschutz bei Windows 2000"

Transkript

1 Datenschutz bei Windows 2000

2 Herausgegeben vom Hamburgischen Datenschutzbeauftragten Baumwall Hamburg Tel Fax Autoren: Ulrich Kühn, Dr. Sebastian Wirth 1. Auflage 2002: Exemplare Druck: Lütcke & Wulff, Hamburg

3 INHALTSVERZEICHNIS Seite Einleitung und Überblick Anforderungen an Betriebssysteme Active Directory Ansatz Domänen-Modell von Windows Abbildung von Organisationsstrukturen Gruppenrichtlinien Benutzergruppen Berechtigungen Empfehlungen Sichere Authentisierung durch Kerberos Funktionsprinzipien Besonderheiten der Kerberos-Implementation in Windows Konfiguration Empfehlungen Verschlüsselte Datenspeicherung mit EFS Funktionsweise Wiederherstellung Datensicherung Umgehungsmöglichkeiten Empfehlungen Gesicherte Datenübertragung mit IPSec Sicherstellung der Authentizität Sicherstellung der Integrität Sicherstellung der Vertraulichkeit Sicherheitsrichtlinien Empfehlungen Geschützter Zugriff auf interne Netzwerke Remote Access Service (RAS) Radius Empfehlungen... 25

4 7 Terminal-Dienste Einsatzmöglichkeiten Anmeldung an einem Terminal-Server Client-Server-Verbindung Remoteüberwachung Empfehlungen Administration Delegation administrativer Aufgaben Installation Kontenrichtlinien Systemprotokolle MMC und andere Administrationswerkzeuge Ausgewählte Einstellungen in den Gruppenrichtlinien Defragmentierung Windows XP Quellen... 34

5 Einleitung und Überblick Mit Windows 2000 hat Microsoft ein neues Betriebssystem für die Zielgruppe der Unternehmensanwendungen auf den Markt gebracht. Es ist damit Nachfolger für das weit verbreitete Betriebssystem Windows NT. Gleichzeitig bildet NT auch die technische Basis, auf der Windows 2000 aufsetzt. Windows 2000 steht sowohl für Server (Windows 2000 Server, Advanced Server und Datacenter Server) als auch für Clients (Windows 2000 Professional) zur Verfügung. Datenschutzrelevante Aspekte von Windows 2000 stehen in dieser Broschüre im Mittelpunkt der Betrachtung. In diesem Zusammenhang werden zentrale Fachbegriffe erläutert. Dies kann jedoch eine intensive Einarbeitung in das Betriebssystem nicht ersetzen, wenn das System eingeführt werden soll. Der Hamburgische Datenschutzbeauftragte befasst sich zum zweiten Mal mit einem Betriebssystem vom Microsoft. Grundlegende Aspekte von Betriebssystemen insgesamt und zu Windows NT wurden bereits in der Broschüre Datenschutz bei Windows NT behandelt. Aus diesem Grund wird häufig auf Windows NT Bezug genommen und auf Neuerungen gegenüber Windows NT hingewiesen. Die vorliegende Broschüre zeigt die zentralen sicherheitsrelevanten Aspekte des Betriebssystems sowohl für Administratoren als auch für IT-Verantwortliche auf. Dazu werden die wesentlichen Sicherheitsaspekte des Betriebssystems unter Einbindung technischer Details dargestellt, um eine intensive Befassung mit den jeweiligen Komponenten zu erleichtern und eine sicherheitsgerechte Konfiguration zu ermöglichen. Die jeweiligen Kapitel enden mit Empfehlungen aus Sicht des Datenschutzes in zusammengefasster Form. Im Kapitel 1 werden Anforderungen an Betriebssysteme, die Problematik komplexer Systeme sowie die Abgrenzung zu Open Source Software formuliert. Im Kapitel 2 wird das Active Directory vorgestellt, das alle Informationen z.b. über Domänen, Computer und Benutzer zusammenfasst. Dieses führt gerade für die Administration von größeren Netzwerken zu gravierenden Veränderungen. Dazu trägt auch das neue hierarchische Domänenkonzept von Windows 2000 bei. Es ist damit möglich, eine komplexe Organisationsstruktur durch Domänenbäume und durch eine Untergliederung innerhalb der Domänen über die Einrichtung von sog. Organisationseinheiten abzubilden. Bezogen auf die Sicherheit gibt es in Windows 2000 einige wesentliche funktionale Erweiterungen. Über Gruppenrichtlinien im Active Directory lassen sich Sicherheitsanforderungen für unterschiedliche Ebenen und Elemente im Netzwerk definieren. Die Authentisierung der Benutzer erfolgt in Windows 2000-Netzen durch das Protokoll Kerberos. Das Abhören und Entschlüsseln von Kennworten über das Netz ist dadurch wesentlich erschwert (s. Kap. 3). Im Bereich des Speichermanagements wurde die Möglichkeit einer benutzerbezogenen Verschlüsselung integriert (s. Kap. 4). 1

6 Für die Sicherung des Netzverkehrs durch Authentisierung der beteiligten Systeme und durch Verschlüsselung des Datenstroms bietet Windows 2000 durch die Integration des Protokolls IPSec bereits ohne Zusatzprodukte wesentlich bessere Möglichkeiten als NT (s. Kap 5). Im Kapitel 6 werden die Möglichkeiten zum Schutz eines Zugriffs dargestellt, der von außerhalb eines geschützten Netzwerkes erfolgt, z.b. bei Telearbeit. Der Windows-Terminal-Server ist ein integraler Bestandteil des Betriebssystems. Damit können Benutzersitzungen auf Windows 2000 Servern von anderen PC aus eröffnet werden, so dass auf dem Client die Inhalte nur graphisch angezeigt werden (s. Kap 7). Windows 2000 bietet eine Vielzahl von zentralen Einstellmöglichkeiten. Eine Reihe konkreter administrativer Hinweise sind im Kapitel 8 zusammengefasst. Einen Ausblick auf das Betriebssystem Windows XP bildet den Abschluss. Neben der gedruckten Fassung steht die vorliegende Broschüre auch unter zur Verfügung. Dort sind zudem weiterführende Hinweise und inhaltliche Ergänzungen zu finden. 1 Anforderungen an Betriebssysteme Als Software, die die Grundlage für eine Verarbeitung personenbezogener Daten bildet, sind an Betriebssysteme aus Datenschutzsicht grundlegende Anforderungen zu stellen. Defizite in diesem Bereich wirken sich in der Regel bis in die Anwendungsebene aus und führen daher immer wieder zu Datenschutzproblemen. Betriebssysteme müssen daher sowohl den Anforderungen eines Grundschutzes genügen als auch Möglichkeiten bieten, darüber hinausgehende Schutzmaßnahmen zu treffen, wenn sensible Daten verarbeitet werden. Insgesamt bestehen aus Sicht des Datenschutzes folgende Anforderungen an Betriebssysteme: Sie müssen geeignete Mittel zur Verfügung stellen, die eine sichere Identifizierung der Benutzer bewirken. Sie müssen eine Rechteverwaltung an diese Identifizierung knüpfen, die sowohl flexibel als auch robust gegen Überwindungsversuche ist. Sie müssen Sicherheitsmaßnahmen möglichst weitgehend integrieren, so dass auf Anwendungsebene bzw. durch den Benutzer davon einfach und einheitlich Gebrauch gemacht werden kann. Sie müssen eine abgestufte Administration zulassen, so dass sich eine Trennung verschiedener Aufgabenbereiche auch auf technischer Ebene niederschlägt. Administrative Grenzen insbesondere in Netzwerken müssen deutlich zu Tage treten. Sie müssen die Möglichkeit bieten, kritische Systemtätigkeiten revisionssicher zu protokollieren, um Angriffe, versuchte oder erfolgreiche Rechte- 2

7 überschreitungen feststellen zu können. Protokolle müssen gegen eine missbräuchliche Verwendung schützbar sein. Sie sollten möglichst einfach und transparent in der Bedienung und Verwaltung sein. Die implementierte Sicherheit sollte in einem geregelten Verfahren überprüft worden oder einer Überprüfung zugänglich sein. Windows 2000 bietet in Hinblick auf diese Anforderungen ein differenziertes Bild. Während die Authentisierung und die integrierten Sicherheitsmaßnahmen durch Kerberos und IPSec gegenüber Windows NT deutlich verbessert wurden, hat die Übersichtlichkeit durch die Vielzahl der Einstellmöglichkeiten des Active Directory eher gelitten. Insgesamt handelt es sich bei Windows 2000 um eine sehr mächtige, und daher auch sehr komplexe Software, deren verschiedenen Bestandteile kaum noch von einem einzelnen Administrator vollständig überblickt werden können. Während die Einbeziehung offener Standards in Windows 2000 die Möglichkeit verbessert, dessen Sicherheitsstandard einzuschätzen, stellt die Komplexität auch hierbei ein Hindernis dar. Das Betriebssystem wurde bisher hinsichtlich seiner Sicherheit nicht zertifiziert. Zudem handelt es sich um Software, deren Quellcode nicht bzw. nur sehr eingeschränkt im Rahmen des sog. Shared- Source-Modells offengelegt wird. Dieses Model ermöglicht es ausgewählten Institutionen, z. B. Universitäten, Unternehmen oder auch Behörden, Teile des Programms einzusehen und zu verwenden. Das Modell ist mit dem Open- Source-Ansatz, der eine Offenlegung des gesamten Quellcodes vorsieht, jedoch nicht vergleichbar. 2 Active Directory 2.1 Ansatz Mit dem Active Directory wird ein zentraler, d.h. domänenübergreifender Verzeichnisdienst in das Betriebssystem integriert, in dem umfassend Informationen über alle verwalteten Benutzerkonten und Ressourcen in einer Datenbank gespeichert werden können. Mit dem Verzeichnisdienst können diese Informationen unternehmensweit einheitlich zur Verfügung gestellt werden. Die Objekte müssen nur noch an einer Stelle gepflegt werden. Im Active Directory sind auch wesentliche Sicherheitsfunktionen implementiert und werden dort eingestellt. Mit diesem zentralen Verzeichnisdienst entsteht eine sehr umfangreiche Datenbank, die auch zahlreiche personenbezogene Informationen enthält. Viele von Microsoft vordefinierte Attribute sind optional und deren Nutzung systemseitig nicht zwingend erforderlich. Der Umfang der gespeicherten Attribute ist unter Beachtung des Gebots der Datensparsamkeit zu definieren, das u.a. im 3a des Bundesdatenschutzgesetzes und im 5 Abs. 4 des Hamburgischen Datenschutzgesetzes festgeschrieben ist. Die Zugriffsmöglichkeiten auf diesen Verzeichnisdienst sollten nach dem Erforderlichkeitsprinzip gestaltet werden. Das Active Directory ermöglicht dies in detaillierter Weise. 3

8 Das Active Directory steht auf jedem Domänen-Controller zur Verfügung. Dabei arbeitet der Dienst nach dem Multimaster-Replikationsmodell, wobei jeder Controller über eine Kopie des Active Directory mit Schreib-/Lese-Rechten verfügt. Über interne Replikationsmechanismen wird sichergestellt, dass alle Domänen-Controller über einen einheitlichen Stand des Active Directory verfügen. Der Zugriff auf den Verzeichnisdienst erfolgt auf der Grundlage definierter Protokolle. Es werden zum einen das standardisierte LDAP (Lightweight Directory Access Protocol) unterstützt und somit auch die Replikation mit anderen Verzeichnisdiensten ermöglicht. Zum anderen werden auch proprietäre Protokolle etwa für den Windows 2000 internen Replikationsaustausch genutzt Schema Über das sogenannte Schema des Active Directory werden Objekte mit den dazugehörigen Attributen definiert. Die Objekte legen fest, über welche Dinge etwas gespeichert wird. Die Attribute geben an, welche Eigenschaften gespeichert werden. Somit wird im Schema das Datenmodell des Active Directory niedergelegt. Das Schema gilt einheitlich für das Active Directory und damit für alle eingebundenen Domänen. Dabei ist insbesondere zu berücksichtigen, dass das Schema durchaus erweitert werden kann, eine vollständige Eliminierung von Objekten und Attributen jedoch nicht möglich ist, sondern lediglich eine Deaktivierung. Veränderungen am Schema sollten daher auf einer konzeptionellen Basis nur nach ausführlichen Tests durchgeführt werden. Nur wenige, besonders ausgewählte Personen sollten die Berechtigung dazu haben Betriebsmodus Bei der Einführung von Windows 2000 wird häufig eine Migration von Windows NT durchgeführt werden. Für die Nutzung von Windows 2000 stehen zwei Betriebsmodi zur Verfügung der gemischte und der einheitliche Modus. Beim gemischten Modus kommen sowohl Windows 2000 Domänen-Controller als auch Windows NT-Sicherungs-Domänen-Controller (Backup Domain Controller, BDC) zum Einsatz. Beim einheitlichen Modus werden alle Domänen-Controller mit Windows 2000 betrieben. Beim einheitlichen Modus können jedoch auch Mitgliedsserver (File-Server) mit dem Betriebssystem Windows NT eingesetzt werden. Bei beiden Betriebsmodi können Clients mit unterschiedlichen Betriebssystemen betrieben werden. Der einheitliche Modus bedeutet also nicht, dass alle Server und alle Clients unter Windows 2000 laufen müssen. Für bestimmte Erweiterungen von Windows 2000 ist die Anwendung des einheitlichen Modus notwendig (vgl. 2.5). Verschiedene ergänzende Administrationstools können nur im einheitlichen Modus genutzt werden. Die Auswahl des Betriebsmodus muss nicht bereits beim Installieren einer Domäne erfolgen, sondern kann zu einem späteren Zeitpunkt stattfinden. Der Umstieg ist jedoch irreversibel. 4

9 Windows 2000 stellt verschiedene Standard-Gruppen bereit; dazu gehört auch die Gruppe Prä-Windows 2000 kompatibler Zugriff. Im gemischten Modus enthält diese Gruppe standardmäßig das Mitglied Jeder. Damit hat jeder Nutzer die Rechte der Gruppe. Im Standard wird z.b. das Leserecht auf die Eigenschaften aller Benutzerkonten der Domäne gewährt. Der Eintrag Jeder sollte in der Gruppe entfernt werden. 2.2 Domänen-Modell von Windows Domäne und Domänenbaum Die Domäne ist das grundlegende Strukturelement für das Active Directory. Ressourcen wie Computer und Benutzer werden einer Domäne zugeordnet. Die Anzahl der in einer Domäne verwalteten Objekte ist durch die Software nicht beschränkt. Die Domäne bildet grundsätzlich eine Grenze bezüglich der Sicherheit und Administration. Der jeweilige Domänen-Administrator hat das Recht, auf alle Objekte innerhalb einer Domäne zuzugreifen oder kann sich dieses Recht durch Besitzübernahme verschaffen. Bestimmte Einstellungen gelten domänenweit einheitlich. Dies trifft z.b. die Mindestanforderungen an die Passwörter, die in einzelnen Bereichen innerhalb einer Domäne nicht verändert werden können. Windows 2000 liegt ein hierarchisches Domänenmodell zugrunde. Ausgehend von der Stammdomäne (Root-Domäne) können mit dieser weitere Domänen verbunden werden. Da auch diese Domänen mit weiteren Domänen verbunden Forest (Wald bzw. Gesamtstruktur) Domäne A Domäne 1 Domäne B.A Domäne D.A Domäne 2.1 OU T OU S Externe Domäne Domäne C.B.A OU1.T OU2.T OU3.T Domäne 3.1 zweiseitige, transitive Beziehung einseitige, nicht transitive Beziehung Abb. 1: Domänenbaum 5

10 werden können, entsteht so eine Baumstruktur. Der Domänenbaum (Domänenstruktur) hat einen durchgängigen Namensraum. Es wird mit DNS-Namen (Domain Name System) gearbeitet. Da die Domäne standardmäßig die Grenze für die Administrationsrechte vorgibt, bestehen für den Domänen-Administrator keine Administrationsrechte für hierarchisch untergeordnete Domänen, wenn diese ihm nicht ausdrücklich vom Administrator der untergeordneten Domäne eingerichtet wurden. Die Organisations-Administratoren (siehe 2.3) haben als einzige Gruppe jedoch automatisch Zugriff auf alle Domänen-Controller. Zwischen den hierarchisch angeordneten Domänen bestehen transitive Beziehungen. Über Vertrauensstellungen können Benutzern, die nur in einer Domäne ein Benutzerkonto haben, Zugriffe auf andere Domänen ermöglicht werden. Bei dem Baum in Abb. 1 vertraut die Domäne A der Domäne B.A; die Domäne B.A vertraut der Domäne C.B.A. Aufgrund der Transitivität der Beziehungen vertraut die Domäne A auch der Domäne C.B.A. Dieses hierarchische Domänenkonzept ist eine wesentliche Veränderung gegenüber der flachen Vertrauensstruktur von Windows NT. Informationen, die über die Objekte im Active Directory gespeichert sind, werden auf alle Domänen-Controller eines Domänenbaumes repliziert und können genutzt werden, wenn entsprechende Zugriffsrechte bestehen. Wenn Informationen über die Grenze von Domänen hinweg in einem Domänenbaum ausgetauscht werden sollen,müssen die entsprechenden Attribute in den Globalen Katalog aufgenommen werden. Der Globale Katalog enthält alle Objekte des Schemas, jedoch nur ausgewählte Attribute Organisationseinheit Innerhalb einer Domäne kann eine Strukturierung durch Organisationseinheiten (Organizational Unit, OU) vorgenommen werden. OUs können ihrerseits wiederum untergliedert werden. Sie bilden die Grenzen für delegierte Administrationsrechte, und für OUs können explizit Sicherheitseinstellungen festgelegt werden. Daher können OUs dazu genutzt werden, funktionale oder organisatorische Einheiten von Unternehmen oder Behörden abzubilden Forest Mehrere Domänenbäume können zu einem Forest (Wald bzw. Gesamtstruktur) verbunden werden. Der Forest hat keinen durchgängigen Namensraum, sondern die einzelnen Bäume stehen nebeneinander. Bei der Einbindung einer neuen Domäne wird automatisch eine beidseitige Vertrauensbeziehung eingerichtet; in Abb. 1 z.b. zwischen Domäne A und Domäne 1. Auch in einem Forest bestehen transitive Beziehungen zwischen den Domänen, so dass z.b. die Domäne B.A der Domäne 2.1 vertraut. Innerhalb eines Forest gilt einheitlich ein Schema. Dies gewährleistet, dass Informationen auch zwischen den verschiedenen Domänenbäumen repliziert werden können. Es können auch Vertrauensbeziehungen zu Domänen aufgebaut werden, die nicht Mitglied eines Forest sind. Diese externen Vertrauensbeziehungen sind einseitig und nicht transitiv, d.h. wie von Windows NT bekannt. 6

11 2.2.4 Sites Das Domänenmodell wird ergänzt durch die Bildung von Sites (Standorte), die vor allem die räumlichen und netztechnischen Gegebenheiten für den Replikationsverkehr berücksichtigen. Sites werden für einen Forest definiert, wobei es keine Abhängigkeit zwischen Domänen und Sites gibt. Eine Site kann mehrere Domänen enthalten und eine Domäne kann andererseits auf mehrere Sites verteilt sein. Innerhalb einer Site wird die Replikation automatisch konfiguriert, während die standortübergreifende Replikation manuell konfiguriert werden muss. Damit ist die Möglichkeit gegeben, eine Konfiguration entsprechend der Bandbreiten eines LAN bzw. WAN vorzunehmen. Um die Netzlast im WAN zu verringern, erfolgt der standortübergreifende Austausch komprimiert. Bestimmte sicherheitsrelevante Änderungen, wie z.b. das Sperren eines Kontos werden auch dann unmittelbar repliziert, wenn ansonsten größere Zeitabstände vorgegeben sind. 2.3 Abbildung von Organisationsstrukturen Mit den in Windows 2000 zur Verfügung gestellten Strukturelementen Domäne, Domänenbaum, Organisationseinheit und Forest können auf der logischen Ebene komplexe Organisationsstrukturen abgebildet werden. Für die spezifische Planung einer Domänenstruktur sind die organisatorischen, räumlichen und technischen Gegebenheiten heranzuziehen. Dabei gilt es auch die Frage zu klären, ob die unterschiedlichen Organisationsbereiche durch Domänen oder durch Organisationseinheiten im Active Directory abgebildet werden sollen. Hierbei müssen datenschutzrechtliche Anforderungen berücksichtigt werden. Als grundsätzliche Alternativen stehen zur Verfügung: a) Es gibt eine Domäne, die die Gesamtorganisation abbildet. Die unterschiedlichen Ämter und Abteilungen werden OUs und untergeordneten OUs innerhalb dieser Dömäne zugeordnet. b) Die Gesamtorganisation wird durch einen Baum oder einen Forest wiedergegeben. Die unterschiedlichen Ämter und Abteilungen werden durch separate Domänen abgebildet. Ggf. werden OUs zur weiteren Untergliederung genutzt. Vorteile der Gliederung durch OUs in einer Domäne (Alternative a): Sicherheitseinstellungen können innerhalb einer Domäne an die darunter liegenden OUs vererbt werden. Es stehen in allen OUs aufgrund der Replikation des Active Directory alle Informationen zur Verfügung. Der Mindeststandard für bestimmte Einstellungen (z.b. für die Passwortanforderungen) kann zentral und einheitlich implementiert werden. Damit kann dieser Mindeststandard unternehmensweit einfach erzwungen werden. Organisatorische Veränderungen können durch Verlagerung von Objekten auch über die Grenzen von OUs hinaus einfacher durchgeführt werden. Globale Gruppen (s. 2.5) müssen nur einmal pro Domäne definiert werden. 7

12 Vorteile der Gliederung durch verschiedene Domänen (Alternative b): Domänen bilden standardmäßig administrative Grenzen, die nur durch Mitwirkung der anderen Domäne durchbrochen werden können. Damit können Domänen fast vollständig voneinander abgegrenzt werden: lediglich Mitglieder der Gruppe Organisations-Administratoren können sich Rechte durch Besitzübernahme verschaffen. Für einzelne Bereiche (Domänen) können unterschiedliche Mindestanforderungen für Passworte vorgegeben werden. Der Datenverkehr über das Netz zwischen den Domänen ist geringer, da nur der Teil der Informationen aus dem Active Directory repliziert wird, der im Globalen Katalog definiert ist. Die jeweiligen Vor- und Nachteile sind auf den Einzelfall bezogen zu bewerten. Eine wichtige Rolle spielt dabei die Bildung abgeschotteter Bereiche. Folgende Gruppen mit administrativen Rechten sind dabei zu unterscheiden: Organisations-Administratoren Diese Gruppe existiert nur in der Stammdomäne, der ersten Domäne, die im Forest installiert wurde. Organisations-Administratoren haben Zugriff auf alle Domänen-Controller des Forest und können Besitz über alle Elemente des Forest übernehmen. Die Gruppe hat auch das Recht, neue Domänen hinzuzufügen. Diese Kennungen sind daher besonders abzusichern. Zum einen sollte die Nutzung einer Kennung mit solchen Rechten auf wenige Personen beschränkt werden. Zum anderen ist dafür ein Vier-Augen-Prinzip vorzusehen, wonach die Rechte nur von zwei Personen gemeinsam genutzt werden können. Dies sollte über ein geteiltes Kennwort abgesichert werden, auch wenn Windows 2000 dies technisch nicht unterstützt. Domänen-Administratoren Diese Gruppe hat das Recht, die jeweilige Domäne zu verwalten. Alle Objekte, die ein einzelner Domänen-Administrator eingerichtet hat, haben als Besitzer die gesamte Gruppe. Die Mitgliedschaft in dieser Gruppe muss daher besonders sorgfältig geplant und den realen Aufgaben angepasst werden. Domänen-Administratoren können sich Rechte zu allen Objekten einer Domäne verschaffen. Wenn eine Domäne in weitere OUs gegliedert ist, können sich die Domänen-Administratoren auch den Zugriff auf alle Objekte der OUs einrichten. Die Gruppe der Domänen-Administratoren ist auf jedem Computer der Domäne standardmäßig Mitglied in der Gruppe der lokalen Administratoren und hat somit z.b. auch administrative Rechte auf einem File-Server. Die damit verbundenen Zugriffsrechte auf gespeicherte Daten sind unter Umständen äußerst problematisch. Administratoren Administratoren haben Vollzugriff auf die Ressourcen, die sie verwalten. Standardmäßig ist die Gruppe der Domänen-Administratoren Mitglied der Gruppe der Administratoren; diese Mitgliedschaft kann jedoch entfernt wer- 8

13 den. Die administrativen Rechte können beispielsweise so delegiert werden, dass eine Gruppe nur die Administration einer OU wahrnehmen kann. Vollständig abgeschottete Bereiche können somit nur durch die Bildung verschiedener Forests bzw. durch Domänen, die nicht in einen Baum eingebunden sind, gebildet werden. Weitestgehend abgeschottete Bereiche können durch die Bildung einer leeren Stammdomäne geschaffen werden, die alleinig die Aufgabe hat, eine Klammer für die darunter liegenden Domänen zu bilden, während die administrativen Aufgaben und Einstellungen in den weiteren Domänen realisiert werden. Aus Sicht des Datenschutzes sind mit beiden Gliederungsprinzipien Vorund Nachteile verbunden, und die spezifischen Nachteile müssen durch flankierende technisch-organisatorische Maßnahmen reduziert werden: Bei einer Gliederung nach OUs innerhalb einer Domäne müssen verbindliche Vorgaben für die Besitzübernahme von OUs durch die Domänen- Administratoren in Form von schriftlichen Anforderungen und eine Überwachung der vorgenommenen administrativen Tätigkeiten gewährleistet werden. Da potenziell Zugriff auf alle Attribute aller Objekte der OUs besteht, müssen datenschutzrechtliche Anforderungen bei den Zugriffsberechtigungen besondere Beachtung finden. Bei der Gliederung durch Domänen müssen unternehmensweit geltende Mindeststandards für Sicherheitseinstellungen organisatorisch festgelegt werden und in jeder Domäne eingestellt sowie überwacht werden. 2.4 Gruppenrichtlinien Gruppenrichtlinien dienen dazu, die System- und Anwendungseinstellungen für Gruppen von Benutzern oder Rechnern aus zu definieren. Die Gruppenrichtlinien ersetzen die von Windows NT bekannten System- und Sicherheitsrichtlinien und erweitern diese um zahlreiche Einstellmöglichkeiten. Gruppenrichtlinien können Sites, Domänen und Organisationseinheiten zugewiesen werden. Über die Zugriffsrechte kann die Anwendung für bestimmte Gruppen und Benutzer weiter differenziert werden. Neben den Gruppenrichtlinien im Active Directory können einzelnen Computern lokale Computerrichtlinien zugewiesen werden. Welcher Wert für ein bestimmtes Element, etwa eine OU, zur Anwendung gelangt, wenn mehrere Gruppenrichtlinien auf unterschiedlichen Ebenen konfiguriert werden, hängt von folgenden Verarbeitungsweisen ab: Kumulation Die Einstellungen in der Gruppenrichtlinien für die jeweilige Site, die Domäne und die Organisationseinheiten wirken sich kumulativ aus, wenn es sich nicht um widersprechende Einstellungen handelt. Die Einstellungen werden also nach unten weiter vererbt. Auf diese Weise können schrittweise weitere Einstellungen z.b. in hierarchisch angeordneten OUs vorgenommen werden. Eine domänenübergreifende Vererbung von Gruppenrichtlinien etwa an eine im Domänenbaum darunter liegende Domäne ist nicht möglich. 9

14 Reihenfolge der Abarbeitung Bei sich widersprechenden Einstellungen von Gruppenrichtlinien, die zur Anwendung kommen, greift die Einstellung der Richtlinie, die zuletzt angewandt wird. Generell gilt dabei die Abarbeitungsreihenfolge: 1. Lokale Richtlinie des Computers 2. Richtlinie der Site 3. Richtlinie der Domäne 4. Richtlinien der Organisationseinheiten; bei hierarchisch angeordneten OUs wird die Gruppenrichtlinie der untersten OU zum Schluss angewendet und setzt sich bei widersprechenden Einstellungen damit durch. Wenn für ein Element, z.b. eine OU, gleichzeitig mehrere Richtlinien eingestellt sind, kann die Reihenfolge der Abarbeitung vom Administrator festgelegt werden. Durchsetzen einer Gruppenrichtlinie Es besteht die Möglichkeit, eine Gruppenrichtlinie zwingend durchzusetzen, so dass sie von den Einstellungen der später zur Anwendung gelangenden Richtlinie nicht überschrieben werden kann. Dies geschieht unter den Optionen der Gruppenrichtlinie mit der Einstellung Kein Vorrang: andere Gruppenrichtlinienobjekte können die festgelegte Richtlinie nicht überschreiben. Wenn mehrere Gruppenrichtlinien durchgesetzt werden sollen, die sich widersprechende Einstellungen aufweisen, kommt die hierarchisch höher stehende zum Tragen. Domänen-Administratoren können sich damit gegenüber OU-Administratoren durchsetzen. Vererbung ausschalten Die Vererbung kann auf der unteren Ebene explizit deaktiviert werden. Damit entscheidet die untere Ebene, ob von höheren Ebenen geerbt werden soll oder nicht. Dies erschwert die Gewährleistung von Mindeststandards, soweit nicht die oben beschriebene Durchsetzung einer Gruppenrichtlinie aktiviert ist. Durch die Kombination mehrerer Gruppenrichtlinien und durch die Vererbung von Richtlinien können auf der einen Seite spezifische Anforderungen abgebildet werden. Auf der anderen Seite erschweren es die komplexen Konfigurationsmöglichkeiten nachzuvollziehen, welche Einstellung an einem konkreten Arbeitsplatz zum Tragen kommt. Es wird keine Warnung ausgegeben, dass z.b. eine bestimmte Richtlinie nicht überschrieben werden kann. Neben einer genauen Planung der Gruppenrichtlinien sollte deren Zahl möglichst gering gehalten werden. Zusätzlich besteht an den lokalen Arbeitsplätzen die Möglichkeit, zu prüfen, welche Einstellungen wirken. Dazu kann in der lokale Sicherheitsrichtlinie unter Programme Verwaltung die effektive Einstellung eingesehen werden. Weitere Hinweise liefert das Programm Sicherheitskonfiguration und -analyse unter der Management-Console MMC, mit dem die Konfiguration unter Nutzung von Sicherheitsvorlagen, die in einer Datenbank gespeichert sind, analysiert und verändert werden kann. 10

15 2.5 Benutzergruppen Jede Person, die auf Ressourcen einer Domäne zugreifen möchte, benötigt ein Benutzerkonto in der Domäne. Jedes Konto gehört einer oder mehrerer Gruppen an, mit denen gleichartige Benutzer zusammengefasst werden können. Zur Gewährleitung des datenschutzrechtlichen Grundsatzes der Beschränkung des Zugriffs auf die jeweils berechtigten Personen sollte der Administrator Benutzergruppen für solche Benutzer einrichten, die Anwendungsprogramme gemeinsam benutzen, ähnliche Aufgaben ausführen oder dieselben Informationen benötigen. Die Rechte für die einzelnen Benutzer, die Mitglied in der Gruppe sind, müssen dann nur einmal pro Gruppe vergeben und gepflegt werden. Windows 2000 unterscheidet zwischen lokalen, globalen und universellen Gruppen: Gruppe Verwendung Mögliche Mitglieder Anzeige Lokal Zuweisung von Rechten Globale Gruppe jeder Nur innerhalb der Domäne eigenen Domäne Universelle Gruppe Benutzer der eigenen Domäne Benutzer anderer Domänen Global Gruppierung von Nutzern Benutzer der eigenen In der eigenen für die gleiche Domäne und allen vertrauten Anforderungen gelten Domänen Universell Forestweite Benutzer jeder Domäne In allen Bereitstellung einer Globale Gruppen jeder Domänen des Gruppe Domäne Forest Die Mitgliedschaft in einer universellen Gruppe ist Bestandteil des Globalen Katalogs. Es ist zu beachten, dass damit Veränderungen im gesamten Forest repliziert werden. Im einheitlichen Modus von Windows 2000 können die Gruppen ineinander verschachtelt sein. So kann z.b. eine globale Gruppe Mitglied in einer anderen globalen Gruppe sein kann, was unter Windows NT und im gemischten Modus von Windows 2000 nicht möglich ist. Die Strukturierung und anforderungsgerechte Zuordnung der Rechte wird erleichtert. In der Regel wird man so vorgehen, dass ein Benutzerkonto einer globalen Gruppe zugeordnet wird. Diese globale Gruppe wird gegebenenfalls Mitglied in einer weiteren globalen Gruppe. Diese globale Gruppe wird einer lokalen Gruppe zugeordnet, der dann bestimmte Berechtigungen zugewiesen werden. 2.6 Berechtigungen Für Objekte (Benutzer, OU etc.) können im Active Directory Berechtigungen in differenzierter Form zugewiesen werden. 11

16 Abb. 2: Beispiel für Zugriffsberechtigungen Die einzelnen Berechtigungen werden unter Eigenschaften in der Registerkarte Sicherheitseinstellung des jeweiligen Objektes angezeigt und verändert werden. Default-Einstellungen können unter Erweitert differenziert den Anforderungen entsprechend angepasst werden. Berechtigungen können vererbt werden. Dabei werden vererbte Berechtigungen in der Darstellung blasser dargestellt (Abb. 2), so dass sie sich von explizit zugewiesenen Berechtigungen deutlich unterscheiden. Bei der Zusammenfassung von Berechtigungen gilt, dass speziell zugewiesene Verweigerungen immer zum Tragen kommen. Ansonsten gilt die Summe der zugelassenen Rechte. Wenn kein Recht angegeben ist, gilt implizit die Verweigerung. Administrative Berechtigungen können in einer Domäne vererbt werden. Auf diese Weise können Administratorengruppen mit unterschiedlichen Aufgaben betraut werden und nur die für ihre Aufgaben notwendigen spezifischen Rechte erhalten. 12

17 2.7 Empfehlungen Wenn vollständig abgeschottete Bereiche gebildet werden sollen, müssen getrennte Forests bzw. Domänen eingerichtet werden, die nicht in einen Baum eingebunden sind. Eine Gliederung nach Domänen sollte immer dann vorgenommen werden, wenn dezentrale und selbstständige Einheiten verwaltet und weitgehend voneinander abgeschottete Bereiche gebildet werden sollen. Mit der Bildung von Organisationseinheiten kann die Struktur der Organisation mit ihren Funktionseinheiten und Verwaltungsbereichen abgebildet werden. Die Rechte und Pflichten insbesondere der Organisations- und Domänen- Administratoren sind schriftlich festzulegen und so weit wie möglich technisch zu kontrollieren. Dazu gehören geteilte Passworte. Der administrative Zugriff auf File-Server sollte auf die Administratoren des jeweiligen Bereichs beschränkt werden und nicht standardmäßig allen Domänen-Administratoren erlaubt werden. Die Zahl der Gruppenrichtlinien, die zur Anwendung kommen, sollte möglichst gering sein, da andernfalls die Gefahr besteht, dass aufgrund der Komplexität eine fehlerhafte Konfiguration entsteht. Aus diesem Grund sollte auch das Durchsetzen einer Gruppenrichtlinie und das Ausschalten der Vererbung nur sehr sparsam genutzt werden. Die Festlegung der einzelnen Sicherheitseinstellungen sollte möglichst nur in einer Richtlinie vorgenommen werden und nicht redundant in mehreren, um eine gute Übersichtlichkeit zu erhalten. Da der einheitliche Betriebsmodus u.a. Vorteile für die Gruppenstrukturierung bietet, sollte dieser nach Möglichkeit genutzt werden. Im gemischten Modus sollte der Eintrag Jeder in der voreingestellten Gruppe Prä-Windows 2000 kompatibler Zugriff gelöscht werden. 3 Sichere Authentisierung durch Kerberos Windows 2000 verwendet für die Authentisierung im Netzwerk das Kerberos- Protokoll. Das von Windows NT bekannte Protokoll NTLM (NT LAN-Manager) wird damit weitgehend abgelöst. Dieser Schritt bedeutet einen wesentlichen Sicherheitsgewinn, da NTLM für eine Reihe von Sicherheitsdefiziten bekannt ist. Aus Kompatibilitätsgründen wird NTLM jedoch auch von Windows 2000 unterstützt und in Netzwerken, in denen auch Stationen mit anderen Windows- Betriebssystemen vorhanden sind sowie für die rein lokale Anmeldung verwendet. Bei Kerberos handelt es sich um einen Standard, der nicht von Microsoft selbst, sondern am MIT (Massachusetts Institute of Technology) entwickelt worden ist. Dies garantiert prinzipiell eine Kompatibilität der Authentisierung in Windows 2000 mit anderen Kerberos-basierten Systemen, etwa im UNIX- 13

18 Bereich. Grundlage für die Implementation in Windows 2000 ist Version 5 des Kerberos-Protokolls. 3.1 Funktionsprinzipien Ohne auf die Details des Kerberos-Systems eingehen zu können, soll hier eine kurze Übersicht über die Funktionsweise gegeben werden. Wesentliches Prinzip der Kerberos-Authentisierung ist die Verlagerung der Identitätsprüfung von der zu nutzenden Ressource selbst (z.b. einem Datenserver) auf einen zentralen Dienst. Dieser gibt sogenannte Tickets an die Benutzer aus, mit denen sie sich dann gegenüber den Netzwerkressourcen ausweisen können. Die Tickets können im Rahmen einer festgelegten Gültigkeitsdauer wiederverwendet werden; danach ist eine erneute Anforderung beim Kerberos- Server erforderlich. Mit Hilfe geschützter Zeitstempel wird sichergestellt, dass Tickets nicht durch Dritte wiedereingespielt werden können. Ein wichtiges Leistungsmerkmal ist dabei die Möglichkeit der gegenseitigen Authentisierung, d.h. auch der Client kann sich der korrekten Identität des Servers versichern. Dies ist vor allem in offenen Netzen von Bedeutung, bei denen es nicht ausgeschlossen werden kann, dass ein Server durch einen anderen, manipulierten ersetzt wird. Das Kerberos-Protokoll stellt sicher, dass zu keinem Zeitpunkt Kennwörter, weder offen noch verschlüsselt übertragen werden. Die Authentisierung basiert vielmehr auf dem gegenseitigen Nachweis, ein geteiltes Geheimnis zu kennen. 3.2 Besonderheiten der Kerberos-Implementation in Windows 2000 Obwohl es sich bei Kerberos um einen offenen Standard handelt, sind in der in Windows 2000 implementierten Variante einige Besonderheiten vorhanden: Kerberos unter Windows 2000 basiert auf dem DNS-Dienst (Domain Name System). Auf diesem Weg wird die Information über die IP-Adresse des Kerberos-Servers bereitgestellt. Sollen andere Kerberos-Server eingebunden werden, die nicht über diese DNS-basierte Identifikation verfügen, müssen deren Adressen statisch in die Clients eingetragen werden. Neben der Funktion der Authentisierung wird Windows-2000-Kerberos auch zur Rechteverwaltung eingesetzt. Dazu werden den Tickets SIDs (Security Identifier) aus dem Active Directory mitgegeben, die Auskunft über die Rechte des Clients bzw. Benutzers geben. Diese Daten werden signiert, um eine Manipulation durch einen Benutzer zu verhindern, der auf diese Weise seine Rechte erweitern möchte. Windows 2000 Clients verwenden standardmäßig eine Präauthentisierung gegenüber dem Kerberos-Authentisierungs-Service in Form einer mit dem Client-Schlüssel verschlüsselten Zeitmarke. Auf diese Weise wird sichergestellt, dass nur berechtigte Clients Tickets anfordern können. Dieses Feature kann für ein einzelnes Benutzerkonto abgestellt werden (Benutzereigenschaften Konto Kontooptionen Keine Kerberos-Präauthentifizierung erforderlich). Dies sollte nur erfolgen, wenn es aus Kompatibilitätsgründen mit anderen Kerberos-Versionen erforderlich ist. 14

19 Neben der Passwort-basierten Benutzerauthentisierung erlaubt Windows 2000 auch eine Chipkarten-basierte Lösung auf Basis von X.509-Zertifikaten. Zusätzlich zum UDP-Port 88 wird auch TCP-Port 88 verwendet, um größere Datenmengen in Kerberos-Tickets transportieren zu können. 3.3 Konfiguration In der Sicherheitsrichtlinie für Domänen des Domänen-Controllers können verschiedene operative Parameter des Kerberos-Systems eingestellt werden (siehe Abb. 3). Im Einzelnen: Benutzeranmeldeeinschränkungen erzwingen: Legt fest, dass der Kerberos- Server bereits vor Ausstellen eines Diensttickets (Service-Ticket) überprüft, ob der Client entsprechende Rechte (lokale Anmeldung bzw. Zugriff aus dem Netzwerk) auf dem Zielserver besitzt. Abb. 3: Kerberos-Einstellungen (Default-Werte) Max. Gültigkeitsdauer des Benutzer- bzw. Diensttickets: spätestens nach dieser Zeit verfallen die jeweiligen Tickets (Benutzer- bzw. Session-Ticket), und sie müssen erneuert werden bzw. es müssen neue angefordert werden. Die Werte können auf Null gesetzt werden, um einen Verfall zu verhindern; davon ist jedoch aus Sicherheitsgründen abzuraten. Die Standardeinstellungen (10 Stunden) sind im Allgemeinen sinnvolle Werte; in besonders sensiblen Bereichen bzw. bei Verwendung stark abhörgefährdeter Kanäle sollten die Werte reduziert werden. Max. Toleranz für die Synchronisation des Computertakts: Höchstwert für die Differenz der Systemzeiten von Kerberos-Endgeräten. Gehen die Uhren stärker auseinander, scheitert die Kommunikation. Die Voreinstellung 5 Minuten sollte in den meisten Fällen ausreichen. Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann: spätestens nach dieser Zeit muss ein neues Benutzerticket (Ticket Granting Ticket, TGT) angefordert werden, d.h. ein Erneuern des bestehenden Tickets ist dann nicht mehr möglich. 3.4 Empfehlungen Um die erhöhte Sicherheit des Kerberos-Protokolls gegenüber NTLM vollständig ausnutzen zu können, sollten ausschließlich Windows 2000 Geräte 15

20 zum Einsatz kommen. Zumindest sollten eventuell vorhandene Geräte mit anderen Windows-Versionen nicht zur Anmeldung für kritische Konten (Administratoren, Benutzer mit Zugang zu sensiblen Daten etc.) benutzt werden. Die Windows 2000 Server sollten mit hoher Verschlüsselungsstärke ( High Encryption Pack ) ausgestattet sein, um Kerberos mit Schlüssellängen von 128 Bit betreiben zu können. Der Kerberos-Server sollte so konfiguriert werden, dass die vergebenen Tickets nach angemessener Zeit verfallen und durch neue ersetzt werden müssen. Es sollte beachtet werden, dass sich das Kerberos-System von Windows 2000 auf die Domänenanmeldung sowie einge andere Dienste (z.b. IPSec, Vertrauensstellungen) erstreckt, nicht jedoch auf Programme wie telnet oder ftp. 4 Verschlüsselte Datenspeicherung mit EFS Mit dem Encrypting File System (EFS) verfügt Windows 2000 über die Möglichkeit, Dateien für den Benutzer transparent zu verschlüsseln. Die datenschutzrechtliche Forderung nach Vertraulichkeit von gespeicherten Daten auch bei direktem Zugriff auf die Festplatte (z.b. bei Diebstahl eines Laptops oder im Rahmen der Wartung) kann daher in einem gewissen Umfang ohne Zusatzprodukte umgesetzt werden. Die EFS-Verschlüsselung wirkt nur auf Ebene der Speicherung, nicht jedoch bei der Übertragung im Netz (siehe dazu Kapitel 5). Da sich für den Benutzer die Bedienung des EFS darauf beschränkt, für Ordner oder einzelne Dateien einmalig festzulegen, ob eine Verschlüsselung erfolgen soll, kann die damit verbundene Sicherheit auch von weniger versierten Benutzern genutzt werden. Die Schlüssel werden automatisch mit der Anmeldung unter Windows 2000 zur Verfügung gestellt, so dass die zusätzliche Eingabe eines Kennworts nicht erforderlich ist. 4.1 Funktionsweise Durch das EFS erfolgt eine Verschlüsselung stets auf Dateiebene. Ob eine Verschlüsselung erfolgen soll, kann bei jeder Datei individuell eingestellt werden (Eigenschaften Allgemein Erweitert Inhalt verschlüsseln, um Daten zu schützen). Auch für Dateiordner existiert ein entsprechendes Attribut. Dies führt jedoch nicht dazu, dass die Ordner selbst verschlüsselt werden, sondern gibt lediglich vor, dass neue Dateien in diesem Ordner verschlüsselt werden sollen. Die Möglichkeit, die Verschlüsselung auf Dateiebene einzustellen, bleibt davon unberührt, so dass in verschlüsselten und in unverschlüsselten Ordnern sowohl verschlüsselte als auch unverschlüsselte Dateien existieren können. Als Algorithmus für die Datenverschlüsselung dient DESX (expanded Data Encryption Standard), wobei standardmäßig 56 Bit Schlüssellänge und als Erweiterung ( High Encryption Pack ) 128 Bit verwendet werden. Für jede Datei wird ein entsprechender Dateischlüssel erzeugt; dieser wird mit dem öffentlichen Schlüssel des berechtigten Nutzers verschlüsselt und zusammen mit den verschlüsselten Daten gespeichert. Nur bei Kenntnis des zugehörigen privaten Schlüssels kann das Betriebssystem dann zunächst auf den Datei- 16

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Verschlüsselung der Festplattendaten unter Windows XP Technische Kurzinformation

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Schreibberechtigungen auf Dateien oder Ordner zuweisen

Schreibberechtigungen auf Dateien oder Ordner zuweisen Musterlösung für Schulen in Baden-Württemberg Windows 200x Lehrerfortbildung Schreibberechtigungen auf Dateien oder Ordner zuweisen Andreas Mayer. Auflage, 7.06.2008 Inhalt. Schreibberechtigungen auf Dateien

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Unterrichtseinheit 6

Unterrichtseinheit 6 Unterrichtseinheit 6 NTFS-Berechtigungen: NTFS-Berechtigungen werden verwendet, um anzugeben, welche Benutzer, Gruppen und Computer auf Dateien und Ordner zugreifen können. NTFS speichert eine Zugriffssteuerungsliste

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004 GlobalHonknet.local 1 von 37 GlobalHonknet.local 13158 Berlin Implementieren von IPSec - Verschlüsselung im Netzwerk Einrichten der Verschlüsselung unter Verwendung einer PKI 27.03.2004 05.04.2004 GlobalHonknet.local

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Das NT Domänen-Konzept

Das NT Domänen-Konzept Das NT Domänen-Konzept Einführung Was ist eine Domäne? Was ist eine Gruppe? Was ist ein Trust? Domänen Das Single Domain Model Das Single Master Domain Model Das Multiple Master Domain Model Das Complete

Mehr

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

NTFS Encrypting File System

NTFS Encrypting File System NTFS Encrypting File System Markus Gerstner Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg Überblick Was genau ist EFS? Warum EFS? Das Verschlüsselungsverfahren

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung Unterrichtseinheit 1: Einführung in die Verwaltung von Konten und Ressourcen In dieser Unterrichtseinheit wird erläutert, wie Konten und Ressourcen

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer: 70-640 Prüfungsname: Windows Server 2008

Mehr

TriNotar. Administrationshandbuch. Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013

TriNotar. Administrationshandbuch. Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013 Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013 TriNotar Administrationshandbuch (Version mit Schwerpunkt auf Neuerungen Build 013.100.0028) Wolters Kluwer Deutschland GmbH

Mehr

FrogSure Installation und Konfiguration

FrogSure Installation und Konfiguration FrogSure Installation und Konfiguration 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...1 2 Installation...1 2.1 Installation beginnen...2 2.2 Lizenzbedingungen...3 2.3 Installationsordner auswählen...4 2.4

Mehr

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY Armin Singer Version 1.0, Mai 2007 Inhaltverzeichnis ZIELSETZUNG...3 VORAUSSETZUNGEN...3 ANMELDEN MIT ADMINISTRATIONSRECHTEN...3 INTERNE

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools

Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools Knowlegde Guide Wien, März 2004 INHALT Festlegung des Verschlüsselungsalgorithmus...3 Verschlüsselungsoption im Kontextmenü

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

Konfiguration von Clients zur Kommunikation mit einem SUS-Server

Konfiguration von Clients zur Kommunikation mit einem SUS-Server Konfiguration von Clients zur Kommunikation mit einem SUS-Server Allgemeine Informationen Damit sich der Autoupdate-Client die Updates vom lokalen SUS-Server abholt, muss in seiner Registry die korrekten

Mehr

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 09.01.2014 Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 Inhaltsverzeichnis 1 Der Auftrag... 3 2 Ist-Zustand... 3 3 Soll-Zustand...

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern Herzlich willkommen zum Kurs "Windows XP Home & Professional" 6 Windows XP und die Sicherheit Sicherheit beim Arbeiten am Computer ist einer der wichtigsten Themen. Windows XP wurde von Microsoft mit zahlreichen

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

Windows-Domänenverwaltung

Windows-Domänenverwaltung Windows-Domänenverwaltung Gliederung Grundlagen Domänen Planung einer Domäne Wartung und Verwaltung einer Domäne Vorführung Windows - Domänen Eine Domäne stellt einen logischen Verbund von Computern dar,

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Unterrichtseinheit 7

Unterrichtseinheit 7 Unterrichtseinheit 7 Freigegebene Ordner: Durch freigegebene Ordnern können Benutzer Zugriff auf Dateien und Ordner innerhalb eines Netzwerkes (auch bei verstreut gespeicherten Daten, mit Hilfe des Distributed

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Was sind Gruppenrichtlinien?

Was sind Gruppenrichtlinien? Entscheidertage Gruppenrichtlinienverwaltung mit Windows Server 2003 1 Agenda Gruppenrichtlinien im Überblick Rechtevergabe, Vererbung & WMI-Filter Administrative Vorlagen (ADM-Dateien) Gruppenrichtlinien-Verwaltungskonsole

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk Vorwort 11 1 Workshop: Testumgebung Microsoft-Netzwerk 17 1.1 Vorbereitungen für die Testumgebung 18 1.2 Microsoft Virtual Server 2005 R2 20 1.2.1 Installation Microsoft Virtual Server 2005 R2 21 1.2.2

Mehr

3 Entwerfen von Identitäts- und

3 Entwerfen von Identitäts- und 3 Entwerfen von Identitäts- und Zugriffsmanagementkomponenten Prüfungsanforderungen von Microsoft: Designing Support Identity and Access Management Components o Plan for domain or forest migration, upgrade,

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Die Neuerungen im Überblick Zeitgleich mit Windows 7 erschien auch das Serverbetriebssystem Windows Server 2008 R2. Diese beiden Betriebssysteme haben den gleichen

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Vorwort Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Neben den großen Vorteilen, welche uns diese Medien bieten, bergen Sie aber auch zunehmend Gefahren. Vorgetäuschte E-Mail-Identitäten,

Mehr

7 Der Exchange Server 2010

7 Der Exchange Server 2010 Der Exchange Server 2010 7 Der Exchange Server 2010 Prüfungsanforderungen von Microsoft: Configuring and Managing Messaging and Collaboration o Configure email. o Manage Microsoft Exchange Server. Managing

Mehr

Step by Step Gruppenrichtlinien unter Windows Server 2003. von Christian Bartl

Step by Step Gruppenrichtlinien unter Windows Server 2003. von Christian Bartl Step by Step Gruppenrichtlinien unter Windows Server 2003 von Gruppenrichtlinien unter Windows Server 2003 Grundlagen Um Gruppenrichtlinien hinzuzufügen oder zu verwalten Gehen Sie in die Active Directory

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Samba4 / Active Directory Seminar Betriebsystemadministration

Samba4 / Active Directory Seminar Betriebsystemadministration Samba4 / Active Directory Seminar Betriebsystemadministration Martin Faust Hasso-Plattner-Institut Potsdam Mai 2008 1 Themen 2 Samba SMB Protokoll Aktueller Entwicklungsstand, Ziele Active Directory Funktionsweise

Mehr

Benutzerkonto unter Windows 2000

Benutzerkonto unter Windows 2000 Jeder Benutzer, der an einem Windows 2000 PC arbeiten möchte, braucht dazu ein Benutzerkonto. Je nach Organisation des Netzwerkes, existiert dieses Benutzerkonto auf der lokalen Workstation oder im Active

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

ProCall 5 Enterprise

ProCall 5 Enterprise ProCall 5 Enterprise Installationsanleitung Upgradeverfahren von ProCall 4+ Enterprise auf ProCall 5 Enterprise ProCall 5 Enterprise Upgrade Seite 1 von 10 Rechtliche Hinweise / Impressum Die Angaben in

Mehr

Microsoft Outlook Express 5.x (S/MIME-Standard)

Microsoft Outlook Express 5.x (S/MIME-Standard) Microsoft Outlook Express 5.x (S/MIME-Standard) Das E-Mail-Programm Outlook Express von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Verschlüsselungsprotokolls S/MIME (Secure/MIME)

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release White Paper Domänenübergreifende Lizenzprüfung 2013 Winter Release Copyright Fabasoft R&D GmbH, A-4020 Linz, 2012. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung

Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung Im Rahmen dieser Prüfung werden vor allem Themen im Bereich Benutzerverwaltung, Datensicherung, Verwaltung von Freigaben

Mehr

http://www.winhelpline.info/daten/printthread.php?shownews=601

http://www.winhelpline.info/daten/printthread.php?shownews=601 Seite 1 von 7 Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003 Dieser Artikel beschreibt die Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003. Wenn

Mehr

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

legal:office Windows Installationsanleitung

legal:office Windows Installationsanleitung legal:office Windows Installationsanleitung legal:office Windows Installationsanleitung Inhaltsverzeichnis 1. legal:office Einplatz Installation 3 1.1. Vor der Installation 3 1.2. Starten Sie den Installer

Mehr

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Active Directory

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Active Directory Protokoll Nr. 7 Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels Protokoll Abteilung IT Übungs Nr.: 7 Titel der Übung: Active Directory Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang:

Mehr

Kinderschutzsoftware fragfinn-kss

Kinderschutzsoftware fragfinn-kss Kinderschutzsoftware fragfinn-kss bereitgestellt von Cybits AG Inhalt 1 Was ist zu beachten?...2 1.1 Eigenes Nutzerprofil für Ihr Kind...2 2 Installation der Software...3 2.1 Hinweise bei bereits installierter

Mehr

Enterprise User Security mit Active Directory

Enterprise User Security mit Active Directory Enterprise User Security mit Active Directory Jürgen Kühn Trivadis GmbH Düsseldorf Schlüsselworte: Enterprise User Security, Active Directory, Directory Integration and Provisioning, Active Directory Passwort

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Net at Work Mail Gateway 9.2 Anbindung an digiseal server 2.0. enqsig enqsig CS Large File Transfer

Net at Work Mail Gateway 9.2 Anbindung an digiseal server 2.0. enqsig enqsig CS Large File Transfer Net at Work Mail Gateway 9.2 Anbindung an digiseal server 2.0 enqsig enqsig CS Large File Transfer Impressum Alle Rechte vorbehalten. Dieses Handbuch und die darin beschriebenen Programme sind urheberrechtlich

Mehr

MOC 2238 - Implementieren und Verwalten der Sicherheit in einem Microsoft Windows Server 2003-Netzwerk

MOC 2238 - Implementieren und Verwalten der Sicherheit in einem Microsoft Windows Server 2003-Netzwerk MOC 2238 - Implementieren und Verwalten der Sicherheit in einem Microsoft Windows Server 2003-Netzwerk Unterrichtseinheit 1: Planen und Konfigurieren einer Autorisierungs- und Authentifizierungsstrategie

Mehr

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse Modul 1: Installation und Konfiguration von Windows Server 2008Diese Unterrichtseinheit befasst sich mit

Mehr

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0]

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0] Handbuch Smart Card Login (SuisseID) Version 2.0 14. Juni 2012 QuoVadis Trustlink Schweiz AG Seite [0] Inhalt 1.0 Ziel und Zweck dieses Dokuments... 2 2.0 Vorraussetzungen... 2 3.0 Zertifikate bereitstellen...

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

VirusBuster CMS zentrale Verwaltung

VirusBuster CMS zentrale Verwaltung Einleitung: Die VirusBuster Central Management Solution bietet eine bewährte und umfassende zentrale Steuerungs- und Überwachungsfunktion auf Windows- Netzwerken. CMS bietet Firmennetzwerken einen geeigneten

Mehr

X-RiteColor Master Web Edition

X-RiteColor Master Web Edition X-RiteColor Master Web Edition Dieses Dokument enthält wichtige Informationen für die Installation von X-RiteColor Master Web Edition. Bitte lesen Sie die Anweisungen gründlich, und folgen Sie den angegebenen

Mehr

5 Benutzer und Gruppen in ADDS-Domänen

5 Benutzer und Gruppen in ADDS-Domänen 5 Benutzer und Gruppen in ADDS-Domänen 5.1 Verwaltung von Benutzern Im Snap-In Active Directory Benutzer und Computer findet sich ein Container Users, in welchem Benutzerkonten angelegt werden können.

Mehr

Windows-Firewall Ausnahmen

Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen für Docusnap konfigurieren Datum 29.04.2010 Ersteller Seitenanzahl 24 Inhaltverzeichnis 1 Windows Firewall Konfiguration - Grundlagen... 3 1.1

Mehr

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH www.docusnap.com Inhaltsverzeichnis 1 Windows Firewall Konfiguration - Grundlagen 3 1.1 Übersicht - benötige Firewall Ausnahmen 3 2 Windows

Mehr

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE]

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE] REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Active Directory Systemausbildung Grundlagen und Aspekte von Betriebssystemen und systemnahen Diensten Sebastian Schmitt, 27.05.2015 Agenda Einführung Hauptkomponenten

Mehr

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers Computer Netzwerk-Technik Teil 2: Windows-Server - Installation Arbeitsweisen Domänen Active Directory Benutzer-Verwaltung DFS RAID-Systeme Server-Cluster Autor: Rainer Egewardt Copyright Kompaktes Netzwerk-Wissen

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

Einrichtung Mac OS X Mail IMAP

Einrichtung Mac OS X Mail IMAP Einrichtung Mac OS X Mail IMAP Fachhochschule Eberswalde IT-Servicezentrum Erstellt im Mai 2009 www.fh-eberswalde.de/itsz Die folgende Anleitung beschreibt die Einrichtung eines E-Mail-Kontos über IMAP

Mehr

Collax Active Directory

Collax Active Directory Collax Active Directory Howto Dieses Howto beschreibt die Konfiguration eines Collax Servers um einer Windows Active Directory Service (ADS) Domäne beizutreten. Im Englischen spricht man hierbei von einem

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2011 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

File Sharing zwischen Mac OS X und Windows XP Clients

File Sharing zwischen Mac OS X und Windows XP Clients apple 1 Einführung File Sharing zwischen Mac OS X und Windows XP Clients Möchten Sie Dateien zwischen einem Macintosh Computer und Windows Clients austauschen? Dank der integralen Unterstützung für das

Mehr

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben.

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben. Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe in Windows-Betriebssystemen zu identifizieren. Bekannte

Mehr

Clients in einer Windows Domäne für WSUS konfigurieren

Clients in einer Windows Domäne für WSUS konfigurieren Verwaltungsdirektion Abteilung Informatikdienste Clients in einer Windows Domäne für WSUS konfigurieren 08.04.2009 10:48 Informatikdienste Tel. +41 (0)31 631 38 41 Version 1.0 Gesellschaftsstrasse 6 Fax

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Samsung Drive Manager-FAQs

Samsung Drive Manager-FAQs Samsung Drive Manager-FAQs Installation F: Meine externe Samsung-Festplatte ist angeschlossen, aber nichts passiert. A: Ü berprüfen Sie die USB-Kabelverbindung. Wenn Ihre externe Samsung-Festplatte richtig

Mehr

legal:office Macintosh Installationsanleitung

legal:office Macintosh Installationsanleitung legal:office Macintosh Installationsanleitung legal:office Macintosh Installationsanleitung Inhaltsverzeichnis 1. legal:office Einplatz Installation 3 1.1. Vor der Installation 3 1.2. Starten Sie den Installer

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr