Startprobleme von Autocad14/2000 unter Windows 2000 prof. (3.11.02 @ by Sl) Administration - Windows2000 Autodesk documentation states that the user must have Power User or Administrator permissions on the local computer to run the Autodesk application (such as Land Desktop). However, if the Systems Administrator will apply the COMPATWS security template to the local computer, then the user can run applications with normal user permissions. Please note there is a difference: The end user will not have additional permissions that Power User grants them. This is typically much preferred from an administration standpoint. Problembehebung durch: “Anwenden der Sicherheitsvorlage compatws.inf auf den lokalen Computer“ compatws.inf Die Datei %SYSTEMROOT%\security\templates\compatws.inf ist ein Template für die Sicherheitseinstellungen für die einzelnen (vordefinierten) Benutzeraccounts wie z.B. Hauptbenutzer. -------------------------------------------------------Vordefinierte Sicherheitsvorlagen Windows 2000 enthält einige inkrementelle Sicherheitsvorlagen. In der Standardeinstellung sind diese Vorlagen im Ordner \systemroot\security\templates gespeichert. Diese vordefinierten Vorlagen können mit dem Microsoft Management Console (MMC)-Snap-In "Sicherheitsvorlagen" angepasst und in die Erweiterung Sicherheitseinstellungen des Gruppenlinien-Snap-Ins importiert werden. Caution Diese Sicherheitsvorlagen wurden unter der Annahme konzipiert, dass sie auf Windows 2000-Computern mit den Standardsicherheitseinstellungen von Windows 2000 verwendet werden. Mit anderen Worten: Wenn diese Vorlagen auf dem Computer installiert sind, führen sie inkrementelle Änderungen der Standardsicherheitseinstellungen herbei. Sie installieren jedoch keine Standardsicherheitseinstellungen und nehmen anschließend Änderungen an diesen vor. Sie können keine Windows 2000-Systeme sichern, die auf FAT-Dateisystemen installiert sind. Vordefinierte Sicherheitsvorlagen sollten auf Produktionssysteme nicht ohne vorherige Tests angewendet werden, um sicherzustellen, dass die richtige Anwendungsebene für Ihr Netzwerk und die Systemarchitektur verwaltet wird. Die folgende Liste zeigt die vordefinierten Sicherheitsvorlagen an: Standardarbeitsstation (basicwk.inf) Standardserver (basicsv.inf) Standarddomänencontroller (basicdc.inf) Kompatible Arbeitsstation oder Server (compatws.inf) Sichere Arbeitsstation oder Server (securews.inf) Sehr sichere Arbeitsstation oder Server (hisecws.inf) Sicherer Domänencontroller (securedc.inf) Sehr sicherer Domänencontroller (hisecdc.inf) Sicherheitsstufen Die Vorlagen sind darauf ausgelegt, fünf häufig vorkommende Sicherheitsanforderungen abzudecken: Basis (basic*.inf) Mit den Vorlagen für die Basiskonfiguration kann die Anwendung einer anderen Sicherheitskonfiguration aufgehoben werden. Die Basiskonfigurationen wenden die Standardsicherheitseinstellungen von Windows 2000 auf alle Sicherheitsbereiche an. Eine Ausnahme bilden die Sicherheitsbereiche, die sich auf Benutzerrechte beziehen. Diese werden nicht in den Basisvorlagen geändert, da Benutzerrechte üblicherweise durch Setupprogramme von Anwendungen angepasst werden, um eine erfolgreiche Verwendung der Anwendung zu ermöglichen. Solche Anpassungen sollen nicht durch die Basiskonfigurationsdateien rückgängig gemacht werden. Kompatibel (compat*.inf) In der Standardeinstellung sind die Sicherheitsfunktionen von Windows 2000 so konfiguriert, dass Mitglieder der lokalen Benutzergruppe über strenge Sicherheitseinstellungen verfügen, während die Sicherheitseinstellungen für die Mitglieder der lokalen Hauptbenutzergruppe mit den Windows NT 4.0-Benutzerzuweisungen kompatibel sind. Mit Hilfe dieser Standardkonfiguration werden zertifizierte Windows 2000Anwendungen in der Windows-Standardumgebung für Benutzer ausgeführt. Anwendungen, die nicht für den Einsatz mit Windows 2000 zertifiziert sind, können dabei in der weniger sicheren Konfiguration für die Hauptbenutzer ausgeführt werden. In einigen Arbeitsumgebungen leidet die Sicherheit, falls Windows 2000-Benutzer zur Hauptbenutzergruppe gehören, um bestimmte, nicht für Windows 2000 zertifizierte Anwendungen zu nutzen. In bestimmten Fällen sollten Sie die Benutzer standardmäßig nur der Benutzergruppe als Mitglieder zuweisen und dann die Sicherheitsrechte für die Benutzergruppe auf ein Niveau senken, mit dem auch Anwendungen ausgeführt werden können, die nicht für Windows 2000 zertifiziert sind. Die kompatible Vorlage ist für solche Unternehmen konzipiert. Durch das Heruntersetzen der Sicherheitsstufen bei bestimmten Dateien, Ordnern und Registrierungsschlüsseln, auf die Anwendungen häufig zugreifen, ermöglicht die kompatible Vorlage ein erfolgreiches Ausführen der meisten Anwendungen im Benutzerkontext. Weil davon ausgegangen wird, dass der Administrator, der die kompatiblen Vorlagen zuordnet, keine Benutzer als Hauptbenutzer haben möchte, werden außerdem alle Mitglieder der Hauptbenutzergruppe entfernt. Sicher (secure*.inf) Die sicheren Vorlagen implementieren die empfohlenen Sicherheitseinstellungen für alle Sicherheitsbereiche, mit Ausnahme von Dateien, Ordnern und Registrierungsschlüsseln. Diese werden nicht geändert, da Dateisystem- und Registrierungsberechtigungen standardmäßig sicher konfiguriert werden. Sehr sicher (hisec*.inf) Die sehr sicheren Vorlagen definieren Standardeinstellungen für die Netzkonfiguration unter Windows 2000. Die Sicherheitsbereiche bieten maximalen Schutz für den Netzwerkverkehr sowie für Netzwerkprotokolle für Computer, auf denen Windows 2000 ausgeführt wird. Im Ergebnis können solche Computer, für die eine sehr sichere Vorlage verwendet wird, nur mit anderen Windows 2000-Computern kommunizieren. Eine Kommunikation mit Computern, auf denen Windows 95 oder 98 bzw. Windows NT ausgeführt wird, ist in diesem Fall nicht möglich. Dedizierter Domänencontroller (dedica*.inf) Die Sicherheit für lokale Benutzer auf Domänencontrollern, auf denen Windows 2000 ausgeführt wird, ist in der Standardeinstellung nicht unbedingt optimal. Dadurch hat ein Administrator die Möglichkeit, vorhandene serverbasierte Anwendungen auf Domänencontrollern abwärtskompatibel auszuführen (nicht empfehlenswert). Wenn Sie keine serverbasierten Anwendungen auf Domänencontrollern ausführen (empfehlenswert), können die Standarddateisystem- und Registrierungsberechtigungen für die lokale Benutzergruppe genauso optimal definiert werden, wie dies in der Standardeinstellung bei Arbeitsstationen und eigenständigen Servern mit Windows 2000 der Fall ist. Durch das Implementieren einer dedizierten Sicherheitsvorlage werden diese idealen Sicherheitseinstellungen für lokale Benutzer von Domänencontrollern mit Windows 2000 angewandt. Informationen über die Verwendung vordefinierter Vorlagen finden Sie unter So passen Sie eine vordefinierte Sicherheitsvorlage an -------------------------------------------------------So wenden Sie eine Sicherheitsvorlage auf einen lokalen Computer an 1. Klicken Sie im Snap-In Sicherheitskonfiguration und -analyse mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse. Weitere Informationen finden Sie unter Siehe auch. 2. Wenn noch keine Datenbank festgelegt wurde, klicken Sie auf Datenbank öffnen, um eine Datenbank zu bestimmen. 3. Klicken Sie auf Vorlage importieren. 4. Wählen Sie eine Sicherheitsvorlagendatei aus, und klicken Sie auf Öffnen. 5. Wiederholen Sie den vorherigen Schritt für jede Vorlage, die Sie mit der Datenbank zusammenführen möchten. 6. Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf System jetzt konfigurieren. Note Die Sicherheitseinstellungen werden sofort wirksam. Starten von Sicherheitskonfiguration und -analyse Importieren einer Sicherheitsvorlage in ein Gruppenrichtlinienobjekt Zuweisen von Sicherheitsvorlagen Zuletzt aktualisiert am 23. April 2001 ©2001 Microsoft Corporation. Alle Rechte vorbehalten. Bestimmungen zur Verwendung. So starten Sie Sicherheitskonfiguration und -analyse 1. Führen Sie einen der folgenden Schritte aus: o Wenn Sie Sicherheitskonfiguration und -analyse zu einer neuen Konsole hinzufügen möchten, klicken Sie auf Start, dann auf Ausführen, geben Sie mmc ein, und klicken Sie anschließend auf OK. o 2. 3. 4. 5. 6. Fahren Sie direkt mit dem nächsten Schritt fort, wenn Sie Sicherheitskonfiguration und -analyse zu einer vorhandenen Konsole hinzufügen möchten. Klicken Sie im Menü Konsole auf Snap-in hinzufügen/entfernen und anschließend auf Hinzufügen. Markieren Sie Sicherheitskonfiguration und Analyse, und klicken Sie auf Hinzufügen. Klicken Sie auf Schließen und dann auf OK. Klicken Sie im Menü Konsole auf Speichern. Geben Sie den Namen ein, den Sie dieser Konsole zuweisen möchten, und klicken Sie auf Speichern. Die Konsole wird unter Eigene Dateien angezeigt, und Sie können entweder auf dem Desktop oder ausgehend vom Menü Start darauf zugreifen. -------------------------------------------------------Zuweisen von Sicherheitsvorlagen Vorlagen können einer lokalen Computerrichtlinie zugeordnet, in ein Gruppenrichtlinienobjekt importiert, für Systemsicherheitsanalysen verwendet oder mit Hilfe des Befehlszeilenprogramms Secedit automatisch zugewiesen werden. Durch das Importieren einer Sicherheitsvorlage in ein Gruppenrichtlinienobjekt wird gewährleistet, dass sämtliche Konten, denen das Gruppenrichtlinienobjekt zugeordnet ist, automatisch die Sicherheitseinstellungen der Vorlage erhalten, wenn die Gruppenrichtlinieneinstellungen aktualisiert werden. Bei Domänencontrollern, die unter Windows NT 4.0 ausgeführt werden, müssen Sie die Richtlinien für den primären Domänencontroller konfigurieren, um diese Replikation zu aktivieren. Die Sicherheitseinstellungen werden beim Systemstart zugeordnet bzw. wenn es die Gruppenrichtlinieneinstellungen vorschreiben. Wenn ein Computer nicht Teil einer Domäne ist, können Sie eine Sicherheitsvorlage einer lokalen Computerrichtlinie direkt zuordnen. Das System wird sofort mit den neuen Vorlageneinstellungen konfiguriert. Informationen über das Zuweisen von Sicherheitsvorlagen erhalten Sie unter So importieren Sie eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt oder unter So wenden Sie eine Sicherheitsvorlage auf einen lokalen Computer an Informationen über die Verwendung von Sicherheitsvorlagen für die Sicherheitsanalyse erhalten Sie unter Übersicht über Sicherheitskonfiguration und -analyse Informationen darüber, wie Sie das Befehlszeilenprogramm Secedit zum automatischen Zuweisen von Sicherheitsvorlagen zu Computern einsetzen, erhalten Sie unter Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen So wenden Sie eine Sicherheitsvorlage auf einen lokalen Computer an 1. Klicken Sie im Snap-In Sicherheitskonfiguration und -analyse mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse. Weitere Informationen finden Sie unter Siehe auch. 2. Wenn noch keine Datenbank festgelegt wurde, klicken Sie auf Datenbank öffnen, um eine Datenbank zu bestimmen. 3. Klicken Sie auf Vorlage importieren. 4. Wählen Sie eine Sicherheitsvorlagendatei aus, und klicken Sie auf Öffnen. 5. Wiederholen Sie den vorherigen Schritt für jede Vorlage, die Sie mit der Datenbank zusammenführen möchten. 6. Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf System jetzt konfigurieren. Note Die Sicherheitseinstellungen werden sofort wirksam. -------------------------------------------------------Übersicht über Sicherheitsvorlagen Mit dem Snap-In Sicherheitsvorlagen bietet Windows 2000 ein zentrales Verfahren zum Definieren von Sicherheit. Es handelt sich um einen einzigen Eingabepunkt, an dem der gesamte Bereich der Systemsicherheit angezeigt, angepasst und auf einem lokalen Computer angewendet oder in ein Gruppenrichtlinienobjekt importiert werden kann. Das Snap-In Sicherheitsvorlagen führt keine neuen Sicherheitsparameter ein. Es verwaltet alle vorhandenen Sicherheitsattribute an einem Ort, um die Sicherheitsverwaltung zu vereinfachen. Sicherheitsvorlagen können außerdem als Basiskonfiguration für Sicherheitsanalysen dienen, wenn sie zusammen mit dem Snap-In Sicherheitskonfiguration und -analyse verwendet werden. Was ist eine Sicherheitsvorlage? Sicherheitsrichtlinien: Kontorichtlinien: Sicherheit für Kennwörter, Kontosperrungen und Kerberos-Richtlinien Lokale Richtlinien: Benutzerrechte und Protokollierung von Sicherheitsereignissen Eingeschränkte Gruppen: Verwaltung der Mitgliedschaft in lokalen Gruppen Registrierung: Sicherheit für lokale Registrierungsschlüssel Dateisystem: Sicherheit für das lokale Dateisystem Systemdienste: Sicherheit und Startmodus für lokale Dienste Sie können eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren. Alle Computeroder Benutzerkonten am Standort, in der Domäne oder der Organisationseinheit, denen das Gruppenrichtlinienobjekt zugeordnet ist, erhalten die Sicherheitsvorlageneinstellungen. Bei der Richtlinie für lokale Gruppen handelt es sich um ein besonderes Gruppenrichtlinienobjekt: Diese Richtlinie kann keine domänenbasierte Richtlinie außer Kraft setzen, und nur lokale und Kontorichtlinien sind Teil der lokalen Sicherheitsvorlageneinstellungen. Das Importieren einer Sicherheitsvorlage in ein Gruppenrichtlinienobjekt erleichtert die Domänenverwaltung durch das gleichzeitige Konfigurieren von Sicherheitseinstellungen für mehrere Computer. Ein Gruppenrichtlinienobjekt definiert Zugriffs-, Konfigurations- und Verwendungseinstellungen für Konten und Ressourcen. Weitere Informationen zu Gruppenrichtlinien finden Sie unter Gruppenrichtlinien Jede Vorlage wird als textbasierte .inf-Datei gespeichert. Somit können Sie einige oder sämtliche Vorlagenattribute kopieren, einfügen, importieren oder exportieren. Mit Ausnahme der IPSicherheitsrichtlinien und der Richtlinien öffentlicher Schlüssel können alle Sicherheitsattribute in einer Sicherheitsvorlage enthalten sein. Die einem Computer zugeordnete ursprüngliche Vorlage wird als "Richtlinie für Lokale Computer" bezeichnet. Diese Vorlage kann in eine Sicherheitsvorlagendatei exportiert werden, so dass die ursprünglichen Systemsicherheitseinstellungen erhalten bleiben. Dadurch ist das Wiederherstellen der ursprünglichen Sicherheitsvorlage zu einem späteren Zeitpunkt möglich. Hiervon ausgenommen sind nur ältere Systeme, die auf Windows 2000 aktualisiert werden. Wenn z. B. auf einem Computer, der auf Windows NT 4.0 basiert, eine benutzerdefinierte Sicherheitsvorlage vorhanden ist, die nicht überschrieben werden darf, wird die neue Richtlinie für lokale Computer bei der Aktualisierung nicht angewendet. In diesem Fall können die Sicherheitseinstellungen nach der Installation konfiguriert und übernommen werden. Informationen darüber, wie Sie das Befehlszeilenprogramm Sececit.exe zum automatischen Zuweisen von Sicherheitsvorlagen zu Computern einsetzen, finden Sie unter Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen Zuletzt aktualisiert am 23. April 2001 ©2001 Microsoft Corporation. Alle Rechte vorbehalten. Bestimmungen zur Verwendung. -------------------------------------------------------Übersicht über Sicherheitskonfiguration und-analyse Sicherheitskonfiguration und -analyse ist ein Tool zum Analysieren und Konfigurieren der lokalen Systemsicherheit. Sicherheitsanalyse Der Status des Betriebssystems und der Anwendungen auf einem Computer ist dynamisch. Beispielsweise kann die temporäre Änderung von Sicherheitsebenen erforderlich sein, um die sofortige Lösung eines Verwaltungs- oder Netzwerkproblems zu ermöglichen. Diese Änderung kann häufig nicht rückgängig gemacht werden. Dies bedeutet, dass ein Computer die Anforderungen für die Unternehmenssicherheit möglicherweise nicht mehr erfüllt. Im Rahmen eines Programms zur Risikoabsicherung für das jeweilige Unternehmen kann ein Administrator mit Hilfe regelmäßiger Analysen Sicherheitsstufen überprüfen und eine angemessene Sicherheitsstufe für jeden Computer gewährleisten. Die Analyse ist sehr genau, und im Ergebnis werden Informationen zu allen auf die Sicherheit bezogenen Systemaspekten aufgeführt. Dadurch ist ein Administrator in der Lage, die Sicherheitsstufen zu optimieren und, was noch wichtiger ist, Sicherheitsrisiken zu erkennen, die im Laufe der Zeit im System auftreten können. Sicherheitskonfiguration und -analyse ermöglicht ein schnelles Überprüfen der Sicherheitsanalyseergebnisse: Neben den aktuellen Systemeinstellungen werden Empfehlungen angezeigt, und mit Hilfe von Symbolen oder Hinweisen werden alle Bereiche hervorgehoben, in denen die aktuellen Einstellungen nicht mit der vorgeschlagenen Sicherheitsstufe übereinstimmen. Sicherheitskonfiguration und -analyse bietet auch die Möglichkeit, durch die Analyse aufgedeckte Diskrepanzen zu beheben. Wenn häufige Analysen einer großen Anzahl von Computern erforderlich sind, wie es in einer domänenbasierten Infrastruktur der Fall ist, können Sie das Befehlszeilenprogramm Secedit.exe als Batchanalyseverfahren verwenden. Die Analyseergebnisse müssen jedoch weiterhin mit Hilfe von Sicherheitskonfiguration und -analyse angezeigt werden. Weitere Informationen erhalten Sie unter Automatisieren von Aufgaben bei der Konfiguration der Sicherheitseinstellungen Sicherheitskonfiguration Sie können dieses Programm auch verwenden, um die lokale Systemsicherheit direkt zu konfigurieren. Da das Programm mit von Ihnen selbst erstellten Datenbanken arbeitet, können Sie mit dem Snap-In Sicherheitsvorlagen erstellte Sicherheitsvorlagen importieren und diese auf das Gruppenrichtlinienobjekt für den lokalen Computer anwenden. Auf diese Weise werden für die Konfiguration der Systemsicherheit die in der Vorlage angegebenen Stufen verwendet. Weitere Informationen erhalten Sie unter Übersicht über Sicherheitsvorlagen -------------------------------------------------------Arbeiten mit MMC-Konsolendateien Microsoft Management Console (MMC) beinhaltet Verwaltungstools, einschließlich Snap-Ins, die Sie zum Verwalten von lokalen und Remotecomputern verwenden können. Das von Ihnen verwendete Windows-System umfasst möglicherweise bereits Tools, die als Konsolendateien gespeichert wurden (Dateien mit der Erweiterung MSC). Unter Windows 2000 Professional werden diese Tools im Ordner Verwaltung der Systemsteuerung zur Verfügung gestellt. Unter Windows 2000 Server sind diese Tools im Ordner Verwaltung sowohl der Systemsteuerung als auch des Menüs Programme verfügbar. Darüber hinaus können Sie mit MMC benutzerdefinierte Verwaltungstools erstellen und diese an Benutzer verteilen. Sowohl unter Windows 2000 Professional als auch unter Windows 2000 Server können Sie diese Tools so speichern, dass sie im Ordner Verwaltung des Menüs Programme verfügbar sind. Verwalten lokaler Computer So fügen Sie ein Element zu einer neuen MMC-Konsole für einen lokalen Computer hinzu So öffnen Sie eine gespeicherte MMC-Konsole für einen lokalen Computer Verwalten von Remotecomputern So fügen Sie ein Element zu einer neuen MMC-Konsole für einen Remotecomputer hinzu So öffnen Sie eine gespeicherte MMC-Konsole für einen Remotecomputer Allgemeine Verfahren So öffnen Sie MMC So installieren Sie ein Programm, das von einem MMC-Snap-In verwaltet wird --------------------------------------------------------