Die Werte der lokalen Sicherheitsrichtlinie werden nach der Installation von Windows 2000 Service Pack 4 möglicherweise auf die in "SecEdit.sdb" gespeicherten Werte zurückgesetzt

Artikel-ID: 827664 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
827664
(http://support.microsoft.com/kb/827664/EN-US/ )
Local Security Policy Values May Revert to the Values That Are Stored in SecEdit.sdb After You Install Windows 2000 Service Pack 4
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Nachdem Sie Microsoft Windows 2000 Service Pack 4 (SP4) installiert haben, können in seltenen Fällen einige der Einstellungen, die Sie außerhalb des Gruppenrichtlinien-Editors oder des Editors für die lokale Sicherheitsrichtlinie konfiguriert haben, auf die Originalwerte zurückgesetzt werden. Dieses Verhalten kann bei Einstellungen auftreten, die Sie mit einer der folgenden Methoden vorgenommen haben:
  • Durch manuelles Ändern von Registrierungseinstellungen
  • Mit benutzerdefinierten Skripts, die Einstellungen modifizieren
  • Durch das Anwenden einer Sicherheitsvorlage mit dem Sicherheitskonfigurations-Editor (Security Configuration Editor/SCE) einschließlich des Befehlszeilenprogramms "Secedit.exe"
Dieses Problem kann nur dann auftreten, wenn der zeitliche Abstand zwischen dem Ändern der Einstellungen und der Installation von SP4 weniger als 16 Stunden beträgt.
Zum Anfang | Ihr Feedback an uns

Ursache

Die Master-Datenbank für Sicherheitseinstellungen ist in der Datenbankdatei "Secedit.sdb" enthalten. Es kann zu einem Konflikt kommen, wenn der Gruppenrichtlinien-Editor versucht, die Datenbankdatei "Secedit.sdb" zu aktualisieren, während die Datenbank für die Installation von SP4 geöffnet ist.

SP4 erstellt zwei neue Berechtigungen. Das SP4-Installationsprogramm ändert die Datenbank "Secedit.sdb" und wendet sie während des ersten Neustarts nach der Installation von SP4 erneut an, um sicherzustellen, dass die Sicherheitseinstellungen für diese Berechtigungen in der Datenbank berücksichtigt sind.

Werden Änderungen an Sicherheitseinstellungen außerhalb des Gruppenrichtlinien-Editors oder des Editors für die lokale Sicherheitsrichtlinie vorgenommen, wird die Datei "Secedit.sdb" eventuell nicht sofort mit diesen Änderungen aktualisiert. Wird zum Beispiel unter Verwendung des Sicherheitskonfigurations-Editors (SCE) eine Vorlage angewendet, die einen Abschnitt "Registrierungswerte" (Registry Values) enthält, werden die Einstellungen aus diesem Abschnitt "Registrierungswerte" in der Registrierung entsprechend festgelegt. Diese Einstellungen werden jedoch erst beim nächsten Aktualisierungereignis in der Datenbank "Secedit.sdb" aktualisiert. Die in der Datenbank "Secedit.sdb" festgelegten Richtlinien werden standardmäßig alle 16 Stunden aktualisiert und erneut angewendet. Außerdem werden die Richtlinien auch bei einem Neustart aktualisiert, wenn ein bestimmtes Flag durch den SCE gesetzt wurde. Dieses Flag wird gesetzt, wenn man eine Sicherheitsvorlage anwendet, die zusätzlich zu dem Abschnitt "Registrierungswerte" bestimmte weitere Abschnitte enthält. Diese Abschnitte sind:
  • Systemzugriff (System Access)
  • Ereignisüberwachung (Event Audit)
  • Berechtigungen (Privilege Rights)
Nach der Installation von SP4 wird der Computer neu gestartet. Während dieses Neustarts öffnet der SP4-Installationsprozess die Datenbank "Secedit.sdb", um die neuen Berechtigungen anzuwenden. Falls das besagte Flag gesetzt ist, versucht auch der Gruppenrichtlinien-Editor, die Datenbank "Secedit.sdb" während des Neustarts zu öffnen. Tritt dieses Problem auf, während das SP4-Installationsprogramm die Datenbank "Secedit.sdb" geöffnet hat, scheitert der Versuch des Gruppenrichtlinien-Editors, die Datenbank "Secedit.sdb" ebenfalls zu öffnen. In diesem Fall kann der Gruppenrichtlinien-Editor die an der Registrierung vorgenommenen Änderungen nicht in der Datenbank "Secedit.sdb" protokollieren. Das SP4-Installationsprogramm löst dann ein erneutes Anwenden der Datenbank "Secedit.sdb" aus, durch das die in der Datenbank "Secedit.sdb" gespeicherten Einstellungen dauerhaft angewendet und die in der Registrierung festgelegten Einstellungen überschrieben werden.

Dieses Problem kann auftreten, wenn Registrierungswerte manuell oder mithilfe eines Skripts geändert werden. Die wahrscheinlichste Ursache des Problems ist jedoch ein Installieren von SP4, bevor das System nach dem Anwenden einer Sicherheitsvorlage mithilfe des Sicherheitskonfigurations-Editors neu gestartet wurde. Wurden die Werte in der Registrierung manuell (und nicht mit dem Sicherheitskonfigurations-Editor) festgelegt, würde das Problem nur auftreten, wenn die nächste Richtlinienaktualisierung erfolgt, während die Datenbank durch das SP4-Installationsprogramm geöffnet ist.
Zum Anfang | Ihr Feedback an uns

Abhilfe

Öffnen Sie vor dem Installieren von Windows 2000 SP4 die lokale Sicherheitsrichtlinie, um dieses Problem zu umgehen. Dabei werden die in der Registrierung gespeicherten Werte auf die Datei "Secedit.sdb" übertragen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung.
  3. Doppelklicken Sie auf Lokale Sicherheitsrichtlinie.
  4. Auf der Registerkarte Struktur erweitern Sie die Option Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  5. Doppelklicken Sie auf eine der Richtlinien in der Liste Richtlinie.
  6. Ändern Sie die Richtlinieneinstellungen nicht. Klicken Sie auf OK, um das Dialogfeld Lokale Sicherheitsrichtlinie zu schließen.
  7. Schließen Sie das Dialogfeld Lokale Sicherheitseinstellungen.
Sie können die Aktualisierung auch über die Befehlszeile auslösen. Diese Methode könnte in Verbindung mit einem automatisierten Skript zur Installation von SP4 angewendet werden. Der folgende Befehl löst die Aktualisierung aus und stellt sicher, dass die Datei "Secedit.sdb" die aktualisierten Einstellungen enthält:
secedit /refreshpolicy machine_policy /enforce
Nachdem der Vorgang abgeschlossen ist, installieren Sie Windows 2000 SP4.

Weitere Informationen dazu, wie Sie dieses Problem umgehen können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
329055
(http://support.microsoft.com/kb/329055/DE/ )
In Gpedit.msc werden Sicherheitseinstellungen von Option nicht angezeigt, nachdem Sie Sicherheitsvorlage mit Secedit.exe auf einem Einzelserver anwenden
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Zum Anfang | Ihr Feedback an uns

Verweise

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
318711
(http://support.microsoft.com/kb/318711/DE/ )
Welcher VERFAHRENSWEISE: TO: um Sicherheitsanalyse in Windows 2000 durchzuführen, verwenden Sie das Secedit.sdb Database
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 827664 - Geändert am: Dienstag, 20. Dezember 2005 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbbug kbfix kbqfe kbpending kbwin2000presp5fix KB827664
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang