Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit naslagonderwerp voor IT-professionals wordt het gebruik en de impact van groepsbeleidsinstellingen in het verificatieproces beschreven.
U kunt verificatie in Windows-besturingssystemen beheren door gebruikers-, computer- en serviceaccounts toe te voegen aan groepen en vervolgens door verificatiebeleid toe te passen op deze groepen. Deze beleidsregels worden gedefinieerd als lokaal beveiligingsbeleid en als beheersjablonen, ook wel groepsbeleidsinstellingen genoemd. Beide sets kunnen worden geconfigureerd en gedistribueerd in uw organisatie met behulp van Groepsbeleid.
Note
Met functies die zijn geïntroduceerd in Windows Server 2012 R2, kunt u verificatiebeleid configureren voor gerichte services of toepassingen, ook wel verificatiesilo's genoemd, met behulp van beveiligde accounts. Zie Beveiligde accounts configurerenvoor meer informatie over hoe u dit doet in Active Directory.
U kunt bijvoorbeeld het volgende beleid toepassen op groepen, op basis van hun functie in de organisatie:
Lokaal aanmelden of bij een domein
Aanmelden via een netwerk
Accounts opnieuw instellen
Accounts maken
De volgende tabel bevat beleidsgroepen die relevant zijn voor verificatie en bevat koppelingen naar documentatie waarmee u deze beleidsregels kunt configureren.
| Beleidsgroep | Location | Description |
|---|---|---|
| wachtwoordbeleid | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid | Wachtwoordbeleid is van invloed op de kenmerken en het gedrag van wachtwoorden. Wachtwoordbeleid wordt gebruikt voor domeinaccounts of lokale gebruikersaccounts. Ze bepalen instellingen voor wachtwoorden, zoals afdwingen en levensduur. Zie Wachtwoordbeleidvoor meer informatie over specifieke instellingen. |
| Accountvergrendelingsbeleid | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid | Accountvergrendelingsbeleidsopties schakelen accounts uit na een bepaald aantal mislukte aanmeldingspogingen. Met deze opties kunt u pogingen om wachtwoorden te verbreken detecteren en blokkeren. Zie Accountvergrendelingsbeleidvoor meer informatie over beleidsopties voor accountvergrendeling. |
| Kerberos-beleid | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid | Kerberos-gerelateerde instellingen omvatten de levensduur van tickets en afdwingingsregels. Kerberos-beleid is niet van toepassing op lokale accountdatabases omdat het Kerberos-verificatieprotocol niet wordt gebruikt om lokale accounts te verifiëren. Daarom kunnen de Kerberos-beleidsinstellingen alleen worden geconfigureerd met behulp van het standaarddomein Groepsbeleidsobject (GPO), waar dit van invloed is op domeinaanmeldingen. Zie Kerberos Policyvoor meer informatie over kerberos-beleidsopties voor de domeincontroller. |
| controlebeleid | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid | Met Controlebeleid kunt u de toegang tot objecten, zoals bestanden en mappen, beheersen en het beheer van gebruikersaccounts en het in- en uitloggen van gebruikers regelen. Met controlebeleidsregels kunt u de categorieën gebeurtenissen opgeven die u wilt controleren, de grootte en het gedrag van het beveiligingslogboek instellen en bepalen welke objecten u de toegang wilt bewaken en welk type toegang u wilt bewaken. |
| Toewijzing van gebruikersrechten | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Toewijzing van gebruikersrechten | Gebruikersrechten worden doorgaans toegewezen op basis van de beveiligingsgroepen waartoe een gebruiker behoort, zoals beheerders, hoofdgebruikers of gebruikers. De beleidsinstellingen in deze categorie worden doorgaans gebruikt voor het verlenen of weigeren van toegang tot een computer op basis van de toegangsmethode en lidmaatschappen van beveiligingsgroepen. |
| Beveiligingsopties | Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties | Beleidsregels die relevant zijn voor verificatie zijn onder andere: -Apparaten |
| Delegatie van inloggegevens | Computerconfiguratie\Beheersjablonen\Systeem\Referentiedelegering | De overdracht van referenties is een mechanisme waarmee lokale referenties kunnen worden gebruikt op andere systemen, met name lidservers en domeincontrollers binnen een domein. Deze instellingen zijn van toepassing op toepassingen met behulp van de Referentiebeveiligingsondersteuningsprovider (Cred SSP). Verbinding met extern bureaublad is een voorbeeld. |
| KDC | Computerconfiguratie\Beheersjablonen\System\KDC | Deze beleidsinstellingen zijn van invloed op de manier waarop het Key Distribution Center (KDC), een service op de domeincontroller, Kerberos-verificatieaanvragen verwerkt. |
| Kerberos | Computerconfiguratie\Beheersjablonen\System\Kerberos | Deze beleidsinstellingen zijn van invloed op de manier waarop Kerberos is geconfigureerd voor het afhandelen van ondersteuning voor claims, Kerberos-beveiliging, samengestelde verificatie, het identificeren van proxyservers en andere configuraties. |
| Logon | Computerconfiguratie\Beheersjablonen\Systeem\Aanmelden | Deze beleidsinstellingen bepalen hoe het systeem de aanmeldingservaring voor gebruikers presenteert. |
| Net-aanmeldings- | Computerconfiguratie\Beheersjablonen\System\Net-aanmelding | Deze beleidsinstellingen bepalen hoe het systeem aanvragen voor netwerkaanmelding verwerkt, inclusief hoe de domeincontrollerzoeker zich gedraagt. Zie Inzicht in replicatie tussen sitesvoor meer informatie over hoe de domeincontrollerzoeker in replicatieprocessen past. |
| Biometrics | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Biometrie | Met deze beleidsinstellingen wordt het gebruik van Biometrie over het algemeen toe- of geweigerd als verificatiemethode. Zie Overzicht van Windows Biometric Framework voor informatie over de Windows-implementatie van biometrie. |
| Authenticatiegebruikersinterface | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Referentiegebruikersinterface | Deze beleidsinstellingen bepalen hoe inloggegevens worden beheerd op het moment van invoeren. |
| wachtwoordsynchronisatie | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Wachtwoordsynchronisatie | Deze beleidsinstellingen bepalen hoe het systeem de synchronisatie van wachtwoorden tussen Windows- en UNIX-besturingssystemen beheert. Zie wachtwoordsynchronisatievoor meer informatie. |
| chipkaart | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\SmartCard | Deze beleidsinstellingen bepalen hoe het systeem smartcardaanmeldingen beheert. |
| Opties voor Aanmelden bij Windows | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Aanmeldingsopties voor Windows | Deze beleidsinstellingen bepalen wanneer en hoe aanmeldingsmogelijkheden beschikbaar zijn. |
| Ctrl-Alt-Del-opties | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Ctrl+Alt+Del-opties | Deze beleidsinstellingen zijn van invloed op het uiterlijk en de toegankelijkheid van functies in de aanmeldingsinterface (Beveiligd bureaublad), zoals Taakbeheer en het toetsenbordvergrendeling van de computer. |
| Logon | Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Aanmelden | Met deze beleidsinstellingen wordt bepaald of of welke processen kunnen worden uitgevoerd wanneer de gebruiker zich aanmeldt. |