Default Domain Policy und Default Domain Controllers Policy
Ich habe festgestellt, daß ich beim Kunden ständig auf der Suche nach den Default Einstellungen der beiden Standard Richtlinien bin. Da wurde es mal Zeit, diese zu veröffentlichen.
Ihr speichert die Textblöcke am einfachsten in einer *.inf Datei. Diese kann direkt in der Gruppenrichtlinie auf dem Knoten "Sicherheitseinstellungen" über das Kontextmenü importiert werden.
Default Domain Policy - {31B2F340-016D-11D2-945F-00C04FB984F9}
Diese hat direkt nach der Installation die Version: 3 (AD), 3 (SYSVOL) und sie wird zeitlich vor der Default Domain Controllers Policy erzeugt. Ebenfalls ist das EFS Recovery Zertifikat des Administrators enthalten, das 100 Jahre gültig ist.
[Unicode] Unicode=yes [System Access] MinimumPasswordAge = 1 MaximumPasswordAge = 42 MinimumPasswordLength = 7 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 [Kerberos Policy] MaxTicketAge = 10 MaxRenewAge = 7 MaxServiceAge = 600 MaxClockSkew = 5 TicketValidateClient = 1 [Registry Values] MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1 [Version] signature="$CHICAGO$" Revision=1
Default Domain Controllers Policy - {6AC1786C-016F-11D2-945F-00C04fB984F9}. Sie hat direkt nach der Installation die Version: 1 (AD), 1 (SYSVOL)
[Unicode] Unicode=yes [Registry Values] MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity=4,1 MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1 MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1 [Privilege Rights] SeAssignPrimaryTokenPrivilege = *S-1-5-20,*S-1-5-19 SeAuditPrivilege = *S-1-5-20,*S-1-5-19 SeBackupPrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeBatchLogonRight = *S-1-5-32-559,*S-1-5-32-551,*S-1-5-32-544 SeChangeNotifyPrivilege = *S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0 SeCreatePagefilePrivilege = *S-1-5-32-544 SeDebugPrivilege = *S-1-5-32-544 SeIncreaseBasePriorityPrivilege = *S-1-5-90-0,*S-1-5-32-544 SeIncreaseQuotaPrivilege = *S-1-5-32-544,*S-1-5-20,*S-1-5-19 SeInteractiveLogonRight = *S-1-5-9,*S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 SeLoadDriverPrivilege = *S-1-5-32-550,*S-1-5-32-544 SeMachineAccountPrivilege = *S-1-5-11 SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-11,*S-1-5-32-544,*S-1-1-0 SeProfileSingleProcessPrivilege = *S-1-5-32-544 SeRemoteShutdownPrivilege = *S-1-5-32-549,*S-1-5-32-544 SeRestorePrivilege = *S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeSecurityPrivilege = *S-1-5-32-544 SeShutdownPrivilege = *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-551,*S-1-5-32-544 SeSystemEnvironmentPrivilege = *S-1-5-32-544 SeSystemProfilePrivilege = *S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420,*S-1-5-32-544 SeSystemTimePrivilege = *S-1-5-32-549,*S-1-5-32-544,*S-1-5-19 SeTakeOwnershipPrivilege = *S-1-5-32-544 SeUndockPrivilege = *S-1-5-32-544 SeEnableDelegationPrivilege = *S-1-5-32-544 [Version] signature="$CHICAGO$" Revision=1
*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420 = NT Service\WdiServiceHost (Maschinenspezifisch)