Gibt es eine Vorlage bzw. eine Empfehlung wie GPO konfiguriert werden soll?

bella21
Goto Top
Hallo alle zusammen,

gibt es Tipps für Benutzer und Computer Einstellungen, wie zum Beispiel die Kennwortrichtlinien oder auch das deaktivieren vom Powershell.exe etc.? Da gibt es ne Menge Einstellungen.

Dank im Voraus. face-smile

LG
Bella

Content-Key: 1733862785

Url: https://administrator.de/contentid/1733862785

Ausgedruckt am: 17.08.2022 um 12:08 Uhr

Mitglied: Archeon
Archeon 18.01.2022 um 07:47:39 Uhr
Goto Top
Das hängt doch alles von deinen Wünschen ab, was du wie haben möchtest.
Mitglied: em-pie
em-pie 18.01.2022 um 08:02:27 Uhr
Goto Top
Moin,

Das hängt von den „Vorlieben“ der It ab.
Manche packen alle Drucker in eine GPO, verteilen die dann über die Gruppenzugehörigkeit. Manch andere lösen das, in dem jeder Drucker/ jede Druckergruppe eine eigene GPO erhält.

Zudem kommt es auch auf die AD-Struktur an…

Es gibt kein Allgemeingültiges Best Practice, sondern hängt immer von der Umgebung ab…
Mitglied: DerSchorsch
DerSchorsch 18.01.2022 um 08:07:39 Uhr
Goto Top
Morgen,

wie bereits die anderen schrieben, muss das jeder für sich entscheiden.
Jedoch gibt es von Microsoft über das Security Compliance Toolkit tatsächlich Vorlagen.
Diese muss man natürlich für sich selbst anpassen. Aber sie geben einem schonmal eine Richtung.

Gruß,
Schorsch
Mitglied: Doskias
Doskias 18.01.2022 um 08:08:40 Uhr
Goto Top
Hallo Bella,

ja da gibt es eine Menge Einstellungen. Wie und was du nutzt ist von Umgebung zu Umgebung unterschiedlich. Das gilt auch mit den Kennwörtern.

Normalerweise werden Accounts nach drei Fehleingaben erstmal gesperrt und können dann mit ein Ablaufsperre oder mit einer manuellen Freigabe wieder aktiviert werden. Bringt das was? Ja und nein. Wenn du einen Besucher bei dir im haus hast, dann hat er drei versuche sich an Rechnern anzumelden, wo er nichts zu suchen hat. Auf der anderen Seite kann jemand von außen einfach drei Mal das Kennwort falsch eingeben und schon ist der Account gesperrt. da musst du entscheiden welche Variante du wählst:
1. Begrenzte Anmeldeversuche, mehr Arbeit und die Gefahr hin, dass das Konto von extern gesperrt wird
2. unbegrenzte Versuche, erstmal weniger Arbeit, dafür aber unendlich viele Optionen für potentielle Angreifer.

Genau so sieht es mit dem Kennwortkomplexität bzw. dem Alter aus. Regelmäßiger Wechsel war früher allgemein empfohlen, heute empfiehlt aber auch das BSI dies nicht mehr, da (Überraschung) durch den Kennwortwechselzwang die Kennwörter vereinfacht werden, da oft nur eine 1 hinten dran gehangen wird und dann hoch gezählt wird. Bei so einer leichten Änderung, kann ich dann das Kennwort recht leicht knacken, wenn ich 2 oder 3 Kennwörter des Anwenders habe. In dem Fall wäre es sicherer auf den Wechselzwang zu verzichten.

Welche Einstellung in welcher GPO wie angewendet werden soll ist daher immer von der Umgebung, dem Kundenwunsch und der Position einzelner Mitarbeiter im Unternehmen abhängig. Der Praktikant braucht im Regelfall keinen Zugriff auf die Gehaltsabrechnungen, also braucht er andere Programme und andere Netzlaufwerke.

Ich empfehle dir, mal ein wenig Google zu Fragen und dich mit einschlägigen Seiten in die Richtung vertraut zu machen.

Die einzige Regel, über die sich meiner Meinung nach nicht diskutieren lässt: Das ganze nennt sich Gruppenrichtlinien, also werden die Richtlinien immer einer Gruppe und nie einer Person/Rechner zugeordnet. Selbst wenn die Gruppe aus nur einer Person/Rechner besteht, wird eine separate Gruppe dafür erstellt.

Halte dich daran und du wirst es sehr viel einfacher in der Verwaltung der GPOs haben face-wink

Gruß
Doskias
Mitglied: TomTomBon
TomTomBon 18.01.2022 um 10:51:59 Uhr
Goto Top
Zitat von @Doskias:

Die einzige Regel, über die sich meiner Meinung nach nicht diskutieren lässt: Das ganze nennt sich Gruppenrichtlinien, also werden die Richtlinien immer einer Gruppe und nie einer Person/Rechner zugeordnet. Selbst wenn die Gruppe aus nur einer Person/Rechner besteht, wird eine separate Gruppe dafür erstellt.

Halte dich daran und du wirst es sehr viel einfacher in der Verwaltung der GPOs haben face-wink

Gruß
Doskias

Moin Moin,

Diesen Punkt muss Ich aus ganzem Herzen zustimmen.
Und zwar generell in der Verwaltung. Nicht nur in der GPO sondern auch AD / Ecxhange und von vielen Herstellern die Accountverwaltung.

Hat man einen bestimmten Job / Funktion sollte man dies in einer eigenen Gruppe machen. In jedem Tool.
Der Aufwand welche Berechtigungen notwendig sind sind eh da.
Einstellungen auch.
In einer Gruppe kann man aber immer einfach die Zugehörigkeit der Accounts ändern.
Macht man dies auf Personen fest, muss man dies bei einem Wechsel der Person bei der neuen Person machen.

Bei Zugehörigkeiten ist dies eine Sache. Unter Umständen viel und nervig, aber man kann einfach eine 1zu1 Kopie machen.
Aber wenn Freigaben auf Ordner zB händisch gemacht wurden, und es NICHT dokumentiert ist auf welche Ordner dies gilt..
Und das passiert häufiger leider.
Wenn solche speziellen Sachen auf einen Acount gemacht wurden ist das ohne Doku auch doof, aber die Auswirkung ist klein beim Wechsel der Person.