Groepsbeleid gebruiken om gedetailleerde beveiligingscontrole-instellingen te configureren voor Windows Vista-clientcomputers in een Windows Server 2003- of Windows 2000-domein

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 921469 - Bekijk de producten waarop dit artikel van toepassing is.
Bèta-informatie
In dit artikel wordt een bètaversie van een Microsoft-product beschreven. De informatie in dit artikel wordt u in de huidige vorm aangeboden en kan zonder voorafgaande kennisgeving worden gewijzigd.

Voor dit bètaproduct is geen officiële Microsoft-productondersteuning beschikbaar. Als u meer informatie wilt over ondersteuning voor een bètaversie, raadpleegt u de meegeleverde documentatie bij de bètaproductbestanden. U kunt ook de website bezoeken waarvan u de versie hebt gedownload.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt uitgelegd hoe u met Groepsbeleid instellingen voor beveiligingscontrole kunt configureren voor Microsoft Windows Vista-clients in een Windows Server 2003- of een Windows 2000-domein. In Windows Vista kunt u een controlebeleid nauwkeuriger beheren door gebruik te maken van subcategorieën. In dit artikel wordt een procedure beschreven die beheerders kunnen gebruiken om een aangepast controlebeleid te implementeren waarmee gedetailleerde instellingen voor beveiligingscontrole worden toegepast op Windows Vista-clients.

Inleiding

In dit artikel wordt uitgelegd hoe u met Groepsbeleid gedetailleerde instellingen voor beveiligingscontrole kunt configureren voor Windows Vista-clients in een Windows Server 2003- of een Windows 2000-domein. In Windows Vista hebt u meer controle over afzonderlijke subcategorieën van een controlebeleid dan in eerdere versies van Windows-besturingssystemen. De afzonderlijke subcategorieën van een controlebeleid die beschikbaar zijn in Windows Vista worden niet weergegeven in de interface van hulpprogramma's voor Groepsbeleid. Beheerders kunnen de procedure uit dit artikel gebruiken om een aangepast controlebeleid te implementeren waarmee gedetailleerde instellingen voor beveiligingscontrole worden toegepast op Windows Vista-clients in een Windows Server 2003- of een Windows 2000-domein.

Meer informatie

Aandachtspunten

Hier volgen enkele punten waarop u moet letten voordat u de procedure uit dit artikel gaat uitvoeren:
  • In de procedure wordt voorbeeldcode gebruikt. Deze code maakt gebruik van de share Netlogon. Daarnaast wordt de map %SystemRoot%\Temp als de cache gebruikt.
  • De procedure maakt verder gebruik van het voorbeelddomein Contoso.com.
  • In de context van de procedure wordt ervan uitgegaan dat de volgende voorwaarden van toepassing zijn:
    • U bent bekend met de volgende technologieën en programma's:
      • Opstartscripts van Groepsbeleid
      • Group Policy Management Console
      • Het opdrachtregelprogramma Auditpol.exe
    • U bent bekend met de verwerking van batchbestanden.
    • U kunt een controlebeleid definiëren voor Windows Vista-clients in een Windows Server 2003- of een Windows 2000-domein. Het beleid moet worden ingesteld als het standaarddomeinbeleid.
  • U bent bekend met de scripts die in de procedure worden gebruikt om bestaande, aan een domein gekoppelde controlebeleidsinstellingen te vervangen door de gedetailleerde controlebeleidsinstellingen die beschikbaar zijn in Windows Vista. Als u de gedetailleerde controlebeleidsinstellingen die beschikbaar zijn in Windows Vista niet wilt configureren, moet u de hier besproken procedure niet uitvoeren.

Gedetailleerde instellingen voor beveiligingscontrole voor Windows Vista-clients configureren met Groepsbeleid

Ga als volgt te werk om met Groepsbeleid gedetailleerde instellingen voor beveiligingscontrole te configureren voor Windows Vista-clients in een Windows Server 2003- of een Windows 2000-domein.

Stap 1: Bepalen welke instellingen voor beveiligingscontrole u wilt implementeren op Windows Vista-clients

  1. Meld u als beheerder aan bij een computer met Windows Vista.
  2. Klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires, klik met de rechtermuisknop op Opdrachtprompt en kies Als administrator uitvoeren.
  3. Klik in het dialoogvenster Beheer van gebruikersaccount op Doorgaan.
  4. Wis de standaardinstellingen voor het controlebeleid. Hiertoe typt u de volgende opdracht bij de prompt en drukt u op Enter:
    auditpol /clear
  5. Gebruik het opdrachtregelprogramma Auditpol.exe om de gewenste controlebeleidsinstellingen te configureren.

    Typ bijvoorbeeld de volgende regels bij de opdrachtprompt. Druk na elke opdracht op Enter.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Opmerking Als u alle mogelijke categorieën en subcategorieën wilt zien, typt u de volgende regel bij de opdrachtprompt en drukt u op Enter:
    auditpol /list /subcategory:*
  6. Typ de volgende regel bij de opdrachtprompt en druk op Enter:
    auditpol /backup /file:auditpolicy.txt
  7. Kopieer het bestand Auditpolicy.txt naar de Netlogon-share van de domeincontroller waaraan de emulatorrol van PDC (primaire domeincontroller) is toegewezen in het domein.

    Het bestand Auditpolicy.txt bevat alle controlebeleidsinstellingen die u hebt geconfigureerd. Dit bestand wordt gebruikt in het opstartscript om het beleid opnieuw toe te passen. Nadat u het opstartscript met succes hebt toegepast, hoeft u de computer niet opnieuw op te starten om de controlebeleidsinstellingen bij te werken. Hiervoor hoeft u alleen de eerdere versie van het bestand Auditpolicy.txt te overschrijven (dat u naar de Netlogon-share hebt gekopieerd). Maak hiervoor een nieuw bestand Auditpolicy.txt en kopieer het nieuwe bestand Auditpolicy.txt naar de Netlogon-share.

Stap 2: Voorkomen dat het bestaande controlebeleid voor het domein het controlebeleid op Windows Vista-clients overschrijft

U voorkomt dat het bestaande domeinbeleid het controlebeleid overschrijft door de beleidsinstelling Instellingen voor controlebeleid met subcategorieën (Windows Vista of nieuwer) bekrachtigen om instellingen voor controlebeleid met categorieën op te heffen in te schakelen. Zo voorkomt u dat het controlebeleid voor het domein de meer gedetailleerde controlebeleidsinstellingen op Windows Vista-clients overschrijft. Hiertoe gaat u als volgt te werk:
  1. Open op een Windows Vista-client die lid is van het domein het standaarddomeinbeleid.
  2. Vouw onder Computerconfiguratie achtereenvolgens op Windows-instellingen, Beveiligingsinstellingen en Lokaal beleid uit en klik op Beveiligingsopties.
  3. Dubbelklik op Controle: Instellingen voor controlebeleid met subcategorieën (Windows Vista of nieuwer) bekrachtigen om instellingen voor controlebeleid met categorieën op te heffen.
  4. Klik op Ingeschakeld en klik op OK.

Stap 3: De scripts maken en deze toevoegen aan de Netlogon-share

Microsoft verstrekt deze code zonder enige expliciete of impliciete garantie, daaronder mede begrepen, maar niet beperkt tot impliciete garanties met betrekking tot de verkoopbaarheid en/of geschiktheid voor een bepaald doel. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertaal VBScript, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Product Support Services voor uitleg over de functie van een bepaalde procedure. Microsoft Product Support Services is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke eisen voldoen.
  1. Maak het script AuditPolicy.cmd. Hiertoe gaat u als volgt te werk:
    1. Start Kladblok en open een nieuw document.
    2. Plak de volgende code in het document in Kladblok:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Klik in het menu Bestand op Opslaan.
    4. Klik in het vak Opslaan als type op Alle bestanden, typ AuditPolicy.cmd in het vak Bestandsnaam en klik op Opslaan.
  2. Maak het script AuditPolicy.cmd. Hiertoe gaat u als volgt te werk:
    1. Start Kladblok en open een nieuw document.
    2. Plak de volgende code in het document in Kladblok:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Klik in het menu Bestand op Opslaan.
    4. Klik in het vak Opslaan als type op Alle bestanden, typ ApplyAuditPolicy.cmd in het vak Bestandsnaam en klik op Opslaan.
  3. Kopieer de bestanden Auditpolicy.cmd en ApplyAuditPolicy.cmd naar de Netlogon-share van de domeincontroller waaraan de emulatorrol van PDC is toegewezen in het domein.
  4. Wacht tot de Active Directory-replicatie is voltooid. Wacht bovendien tot de bestanden en mappen in de gedeelde map SYSVOL zijn gerepliceerd op domeincontrollers in het domein.
  5. Voeg het opstartscript toe aan het standaarddomeinbeleid. Hiertoe gaat u als volgt te werk:
    1. Start Active Directory: gebruikers en computers.
    2. Klik met de rechtermuisknop op domeinnaam en kies Eigenschappen.
    3. Open het tabblad Groepsbeleid, klik op Standaarddomeinbeleid en klik op Bewerken. De Groepsbeleidsobjecteditor wordt gestart.
    4. Vouw Computerconfiguratie en Windows-instellingen uit en klik op Scripts (Starten/Afsluiten).
    5. Dubbelklik op Startup en klik op Add.
    6. Typ in het vak Script Name het UNC-pad (Universal Naming Convention) van het bestand AuditPolicy.cmd in de Netlogon-share. Gebruik de volgende notatie:
      \\FQDN-naam (Fully Qualified Domain Name)\Netlogon\AuditPolicy.cmd
      Typ bijvoorbeeld \\contoso.com\netlogon\auditpolicy.cmd.
    7. Klik tweemaal op OK.

Stap 4: Controleren of de instellingen voor beveiligingscontrole goed zijn toegepast

  1. Wacht tot de Active Directory-replicatie is voltooid. Wacht bovendien tot de bestanden en mappen in de gedeelde map SYSVOL zijn gerepliceerd op domeincontrollers in het domein.
  2. Start een Windows Vista-client die lid is van het domein opnieuw op. Meld u vervolgens als beheerder aan bij de computer.
  3. Klik op Start, wijs Alle programma's aan en klik op Bureau-accessoires.
  4. Klik met de rechtermuisknop op Opdrachtprompt en klik op Uitvoeren als administrator.
  5. Klik in het dialoogvenster Beheer van gebruikersaccount op Doorgaan.
  6. Typ de volgende regel bij de opdrachtprompt en druk op Enter:
    auditpol /get /category:*
  7. Controleer of de weergegeven instellingen voor beveiligingscontrole overeenkomen met de instellingen die zijn geconfigureerd in het bestand AuditPolicy.txt dat u hebt gemaakt in 'Stap 1: Bepalen welke instellingen voor beveiligingscontrole u wilt implementeren op Windows Vista-clients.'

    Als dat niet het geval is, controleert u de logboekbestanden die door het opstartscript zijn toegevoegd aan de map %SystemRoot%\Temp. Als deze map geen logboekbestanden bevat, analyseert u de Windows Vista-client om vast te stellen waarom Groepsbeleid niet is uitgevoerd.

Referenties

Ga naar de volgende websites van Microsoft voor meer informatie over het configureren van opstartscripts in Active Directory:
http://technet2.microsoft.com/WindowsServer/nl/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1043.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/nl/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1043.mspx?mfr=true
Op de volgende Microsoft-website vindt u meer informatie over Group Policy Management Console:
http://technet2.microsoft.com/WindowsServer/nl/Library/7a0aaa61-5152-4489-86c9-b083b22b21731043.mspx?mfr=true
Zie Windows Vista Help en ondersteuning voor meer informatie over de opdrachtregelprogramma's Auditpol.exe en Schtasks.exe.

Eigenschappen

Artikel ID: 921469 - Laatste beoordeling: woensdag 22 november 2006 - Wijziging: 2.1
De informatie in dit artikel is van toepassing op:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Trefwoorden: 
kbhowto kbinfo kbexpertiseinter KB921469

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com