Regeln für die Zuweisung und Auswertung von Richtlinien

Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten Regeln.

Definition

Die Herkunft der Richtlinie entscheidet darüber, ob es sich um eine Benutzer- oder Computerrichtlinie handelt. Ein Benutzerobjekt „bringt“ eine Benutzerrichtlinie mit, ein Computer „bringt“ eine Computerrichtlinie mit. Dieselbe Richtlinie kann bei unterschiedlicher Sicht, sowohl Computer- als auch Benutzerrichtlinie sein.

  • Benutzerrichtlinie

    Jene Richtlinie, die der Benutzer zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Benutzer kommt, dann werden die computerbezogenen Einstellungen dieser Richtlinie nicht verwendet. Das heißt, es gelten keine computerbezogenen Einstellungen. Es gelten die Standardwerte.

  • Computerrichtlinie

    Jene Richtlinie, die der Computer zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Computer kommt, dann werden auch die benutzerspezifischen Einstellungen dieser Richtlinie verwendet! Die Computerrichtlinie stellt dann eine „für alle Benutzer" Richtlinie dar.

Zuweisen und Aktivieren von Richtlinien

Damit eine Richtlinie für einen Benutzer oder Computer wirksam werden kann, muss sie einem Container-Objekt (Root-Knoten, Domäne, OU, BuiltIn-Container oder Arbeitsgruppe) zugewiesen werden. Damit die zugewiesene Richtlinie für Benutzer oder Computer wirksam wird, werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer (authentisierte Computer) und alle Benutzer (authentisierte Benutzer) automatisch aktiviert (die alleinige Zuweisung ohne Aktivierung reicht nicht aus). In diesen Gruppen sind alle Benutzer bzw. Computer zusammengefasst.

Vererbung von Richtlinien

Vererbung von Richtlinien ist nur zwischen Container-Objekten möglich. Innerhalb eines Containers - vorausgesetzt er enthält keine weiteren Container-Objekte - können Richtlinien nur aktiviert werden (auf Gruppenebene). Vererbung zwischen Gruppen ist nicht möglich.

Vererbungsreihenfolge von Richtlinien

Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am stärksten, die näher beim Zielobjekt (Benutzer oder Computer) ist. Das bedeutet: mit der Entfernung zum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden sind.

Direkte Zuweisung von Richtlinien

Der Benutzer oder Computer erhält eine Richtlinie, die direkt dem Container-Objekt, in dem er sich tatsächlich befindet (Mitgliedschaft als Benutzer einer Gruppe, die sich in einem anderen Container-Objekt befindet, alleine reicht nicht aus), zugewiesen wurde. Das Container-Objekt hat diese Richtlinie nicht geerbt.

Indirekte Zuweisung von Richtlinien

Der Benutzer oder Computer erhält eine Richtlinie, die das Container-Objekt, in dem er sich tatsächlich befindet (die Mitgliedschaft in einer Gruppe, die sich in einem anderen Container-Objekt befindet, als der Benutzer, reicht nicht aus), von einem ihr übergeordneten Container-Objekt geerbt hat.

Aktivieren/Deaktivieren von Richtlinien

Damit eine Richtlinie für einen Computer/Benutzer wirken kann, muss diese auf Gruppenebene aktiviert werden (Richtlinien können ausschließlich auf Gruppenebene aktiviert werden). Es spielt keine Rolle, ob sich diese Gruppe im selben Container-Objekt befindet, oder nicht. Wichtig ist hier nur, dass der Benutzer oder Computer eine direkte bzw. indirekte (durch Vererbung) Zuordnung der Richtlinie erhalten hat.

Befindet sich ein Computer oder Benutzer außerhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe, die sich innerhalb dieser OU befindet, so gilt diese Aktivierung für diesen Benutzer oder Computer nicht. Denn für diesen Benutzer oder Computer ist keine gültige Zuweisung (direkt bzw. indirekt) vorhanden. Die Gruppe wurde zwar aktiviert, aber eine Aktivierung kann nur für Benutzer und Computer gelten, für die auch eine Richtlinienzuweisung besteht. Das heißt, die Aktivierung von Richtlinien kann nicht über Container- Grenzen hinausgehen, wenn keine direkte oder indirekte Richtlinienzuweisung für dieses Objekt existiert.

Eine Richtlinie wird wirksam, wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde. Es werden die Benutzergruppen und dann die Computergruppen ausgewertet (auch authentisierte Benutzer und authentisierte Computer sind Gruppen). Beide Ergebnisse werden ODER-verknüpft. Liefert diese ODER-Verknüpfung einen positiven Wert für die Computer/Benutzer-Beziehung, gilt die Richtlinie.

Anmerkung Werden mehrere Richtlinien für ein Objekt aktiv, werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln, vereinigt. Das heißt, die tatsächlichen Einstellungen für ein Objekt können aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden.

Für eine Gruppe gibt es folgende Aktivierungseinstellungen:

  • Aktiviert

    Eine Richtlinie wurde zugewiesen. Die Gruppe wird im Aktivierungsbereich des SafeGuard Management Centers angezeigt.

  • Nicht aktiviert

    Eine Richtlinie wurde zugewiesen. Die Gruppe befindet sich nicht im Aktivierungsbereich.

Wird eine Richtlinie einem Container zugewiesen, dann bestimmt die Aktivierungseinstellung für eine Gruppe (aktiviert), ob diese Richtlinie an diesem Container in die Berechnung der resultierenden Richtlinie einfließt.

Vererbte Richtlinien können durch diese Aktivierungen nicht kontrolliert werden. Hierfür müsste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden, damit die globalere Richtlinie hier nicht wirken kann.

Benutzer-/Gruppeneinstellungen

Richtlinieneinstellungen für Benutzer (im SafeGuard Management Center schwarz dargestellt), ziehen stärker, als Richtlinieneinstellungen für Computer (im SafeGuard Management Center blau dargestellt). Werden bei einer Richtlinie für Computer Benutzereinstellungen festgelegt, werden diese Einstellungen durch die Richtlinie für den Benutzer überschrieben.

Anmerkung Nur die Benutzereinstellungen werden überschrieben. Sollte eine Richtlinie für Benutzer auch Computereinstellungen beinhalten (blau dargestellte Einstellungen) werden diese nicht von einer Benutzerrichtlinie überschrieben!

Beispiel 1:

Wird für eine Computergruppe die Kennwortlänge 4 definiert, die Benutzergruppe hat aber für dieselbe Einstellung den Wert 3, gilt für diesen Benutzer auf einem Computer der Computergruppe, ein Kennwort mit der Länge 3.

Beispiel 2:

Wird für eine Benutzergruppe ein Serverintervall von 1 Minute definiert und für eine Computergruppe der Wert 3, so wird der Wert 3 verwendet, da es sich beim Wert 1 Minute um eine Computereinstellung, die in einer Richtlinie für Benutzer definiert wurde, handelt.

Sich widersprechende Verschlüsselungsrichtlinien

Es werden zwei Richtlinien - P1 und P2 - angelegt. Für P1 wurde eine dateibasierende Verschlüsselung für Laufwerk E:\ definiert und für P2 eine volume-basierende Verschlüsselung für Laufwerk E:\. P1 wird der OU FBE-User und P2 der OU VBE-User zugewiesen.

Fall 1: Ein Benutzer aus OU FBE-User meldet sich zuerst am Client W7-100 (Container Computer) an. Das Laufwerk E:\ wird dateibasierend verschlüsselt. Meldet sich ein Benutzer danach aus der OU VBE-User am Client W7-100 an, so wird das Laufwerk E:\ volume-basierend verschlüsselt. Haben beide Benutzer dieselben Schlüssel, können beide auf die Laufwerke bzw. Dateien zugreifen.

Fall 2: Ein Benutzer aus der OU VBE-User meldet sich zuerst am Computer W7-100 (Container Computer) an. Das Laufwerk wird volume-basierend verschlüsselt. Meldet sich nun ein Benutzer der OU FBE-User an und hat dieser einen gemeinsamen Schlüssel mit den Benutzern aus der OU VBE-User, so wird das Laufwerk E:\ innerhalb der volume-basierenden Verschlüsselung dateibasierend verschlüsselt (die volume-basierende Verschlüsselung bleibt erhalten). Hat der Benutzer aus der OU FBE-User allerdings keinen gemeinsamen Schlüssel, kann er auf das Laufwerk E:\ nicht zugreifen.

Priorisierung innerhalb einer Zuweisung

Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität.

Anmerkung Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den Richtlinien mit der höheren Priorität.

Priorisierung innerhalb einer Gruppe

Innerhalb einer Gruppe, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität.

Statusindikatoren

Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien verändert werden.

  • Richtlinienvererbung stoppen

    Wird direkt bei dem Container gesetzt, der keine übergeordneten Richtlinien empfangen will (Rechtsklick auf das Objekt im Navigationsfenster > Eigenschaften).

    Soll ein Container-Objekt keine Richtlinie eines übergeordneten Objektes erben, können Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern. Ist Richtlinienvererbung blockieren gesetzt, werden keine übergeordneten Richtlinieneinstellungen für dieses Container-Objekt wirksam (Ausnahme: Kein Überschreiben wurde bei der Richtlinienzuweisung aktiviert).

  • Kein Überschreiben

    Wird bei der Zuweisung gesetzt und bedeutet, dass diese Richtlinie nicht von anderen überschrieben werden kann.

    Je weiter die Richtlinienzuweisung mit Kein Überschreiben vom Zielobjekt entfernt ist, umso stärker wird die Wirkung dieser Richtlinie für alle untergeordneten Container-Objekte. Das heißt: Kein Überschreiben eines übergeordneten Containers überschreibt die Richtlinieneinstellungen eines untergeordneten Containers. So kann z. B. eine Domänenrichtlinie definiert werden, deren Einstellungen nicht überschrieben werden können, auch nicht, wenn für eine OU Richtlinienvererbung blockieren gesetzt wurde!

    Anmerkung Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den Richtlinien mit der höheren Priorität.