Lektion 2: Verwalten der Netzwerkauthentifizierung 145
Benutzer erlaubt, Diensttickets anzufordern. Diensttickets ermöglichen den Zugriff auf
bestimmte Netzwerkressourcen. Ein Benutzer, der ein Benutzerticket anfordert, muss
auf dem Zielcomputer über das Recht Lokal anmelden zulassen oder das Recht Auf
diesen Computer vom Netzwerk aus zugreifen verfügen. Diese Richtlinie ist standard-
mäßig aktiviert.
■ Max. Gültigkeitsdauer des Diensttickets Mit dieser Richtlinie wird festgelegt, wie
lange (in Minuten) ein Dienstticket maximal gültig ist. Die Standardeinstellung beträgt
600 Minuten. Wird der Wert 0 eingestellt, laufen Diensttickets nie ab.
■ Max. Gültigkeitsdauer des Benutzertickets Mit dieser Richtlinie wird festgelegt,
wie lange (in Stunden) ein Benutzerticket maximal gültig ist. Die Standardeinstellung
beträgt 10 Stunden. Das entspricht der Standardgültigkeitsdauer von Diensttickets.
Wird der Wert 0 eingestellt, laufen Benutzertickets nie ab.
■ Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann AD DS kann
ein
Benutzerticket erneuern, wenn sich dessen Gültigkeitsdauer dem Ende nähert. Diese
Richtlinie legt fest, wie lange ein vorhandenes Benutzerticket erneuert werden kann.
Die Standardeinstellung beträgt 7 Tage.
■ Max. Toleranz für die Synchronisation des Computertakts Diese Richtlinie gibt
den maximalen Zeitunterschied (in Minuten) an, der zwischen der Uhr eines Client-
computers und der Uhr des authentifizierenden Domänencontrollers bestehen darf.
Computer berechnen diesen Zeitunterschied anhand der Universalzeit (universal time),
also nicht anhand der Zeitangaben für lokale Zeitzonen. Der Standardwert für die zu-
lässige Zeitdifferenz beträgt 5 Minuten.
Diese Standardrichtlinieneinstellungen eignen sich für die meisten Umgebungen, mit Aus-
nahme von Hochsicherheitsumgebungen. In Hochsicherheitsumgebungen käme zum Bei-
spiel eine Verkürzung der Gültigkeitsdauer von Benutzer- und Sitzungstickets in Frage. Als
Nachteil einer Verkürzung der Ticketgültigkeitsdauer ergibt sich allerdings eine erhöhte
Belastung der Domänencontroller.
Weitere Informationen Kerberos in gemischten Umgebungen
Informationen über die Konfiguration von Windows Server 2008 Gruppenrichtlinieneinstel-
lungen für Kerberos-Bereiche, in denen nicht ausschließlich Microsoft-Produkte eingesetzt
werden, finden Sie auf der Microsoft-Website in dem Dokument http://support.microsoft.
com/kb/947706.
NTLMv2
Wenn ein Client keine Authentifizierung mit Kerberos durchführen kann, verwendet Win-
dows als Ersatz-Authentifizierungsprotokoll NTLMv2. Windows Vista und Windows Server
2008
zieht NTLMv2 der älteren Ver si on NTLM vor. Windows Server 2008 unterstützt NTLM
zwar noch für eingehende Authentifizierungen, verwendet für ausgehende Authentifizierun-
gen aber NTLMv2.
NTLM (Version 1) ist nur erforderlich, wenn sich Computer, auf denen die Betriebssysteme
Windows 95, Windows 98 oder Windows NT verwendet werden, bei einem Windows Server
2008-Domänencontroller authentifizieren sollen. Sofern es in Ihrer Umgebung noch Win-
146 Kapitel 3: Konfiguration des Netzwerkzugriffs
dows 95- und Windows 98-Clients gibt, müssen Sie also die Active Directory-Erweiterung
für Clients (Active Directory Client Extension) installieren, damit diese Computer eine
Authentifizierung bei Windows Server 2008-Domänencontrollern durchführen können.
Die Richtlinie Netzwerksicherheit: LAN Manager-Authentifizierungsebene, die Sie unter
dem Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstel-
lungen\Lokale Richtlinien\Sicherheitsoptionen finden (Abbildung 3.22), ermöglicht Ihnen
die Festlegung einer Mindeststufe für die Authentifizierung, die von den Clients in Ihrer
Organisation unterstützt werden muss. Mit der strengsten Einstellung, der Verweigerung
von LM und NTLM, erreichen Sie, dass in Ihrer Umgebung nur NTLMv2 verwendet wird.
Abbildung 3.22 Die Richtlinie LAN Manager-Authentifizierungsebene
Weitere Informationen Windows-Authentifizierung
Weitere Informationen über die Windows-Authentifizierung finden Sie im TechNet auf der
Seite http://technet.microsoft.com/en-us/library/cc755284.aspx.
Schnelltest
1. Welches Standardauthentifizierungsprotokoll verwendet Windows Server 2008 in
einer Domänenumgebung?
2. Auf welche Active Directory-Objekte können Sie abgestimmte Kennwortrichtlinien
anwenden?
Antworten zum Schnelltest
1. Kerberos Version 5 ist das Standardauthentifizierungsprotokoll. NTLMv2 wird ein-
gesetzt, wenn Kerberos Version 5 nicht anwendbar ist.
2. Abgestimmte Kennwortrichtlinien lassen sich auf Benutzerkonten und globale
Sicherheitsgruppen anwenden.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
