Wenn Sie die Serverspeicherung von Anmeldeinformationen verwenden möchten, sollte auf allen Domänencontrollern Ihrer Organisation Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 mit Service Pack 1 (SP1) ausgeführt werden. Darüber hinaus muss auf Clients, die für die Serverspeicherung von Anmeldeinformationen verwendet werden, Windows 7, Windows Vista, Windows XP mit Service Pack 2 (SP2), Windows Server 2003 mit SP1 oder Windows Server 2008 ausgeführt werden.

Wenn Sie in Ihrer Active Directory-Umgebung über mindestens einen Domänencontroller unter Windows Server 2008 R2 oder Windows Server 2008 verfügen, können Sie die Serverspeicherung von Anmeldeinformationen mithilfe der Gruppenrichtlinie konfigurieren.

Wenn Sie nicht über einen Domänencontroller unter Windows Server 2008 R2 oder Windows Server 2008 verfügen, müssen Sie die folgenden Schritte ausführen, bevor Sie die Serverspeicherung von Anmeldeinformationen über die Gruppenrichtlinie konfigurieren können:

  1. Vorbereiten der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) AD DS muss für die Speicherung von Benutzerzertifikaten, Schlüsseln und DPAPI-Hauptschlüsseln (Data Protection Application Programming Interface) vorbereitet werden.

  2. Ausschließen von Verzeichnissen in Serverspeicherungsprofilen Wenn servergespeicherte Profile verwendet werden, müssen bestimmte Verzeichnisse von der Serverspeicherung ausgeschlossen werden, um Konflikte mit der Serverspeicherung von Anmeldeinformationen zu vermeiden.

  3. Installieren der Gruppenrichtlinien-ADM-Vorlage Die Serverspeicherung von Anmeldeinformationen wird über eine Gruppenrichtlinien-ADM-Vorlage aktiviert, die die entsprechenden Registrierungswerte auf einem Clientcomputer festlegt.

Hilfe zu diesen Vorbereitungsschritten in Netzwerken mit Domänencontrollern, auf denen noch Windows Server 2003 ausgeführt wird, finden Sie auf der Website zur Konfiguration und Problembehandlung von Zertifikatdiensteclients und zur Serverspeicherung von Anmeldeinformationen (https://go.microsoft.com/fwlink/?LinkID=85332, möglicherweise in englischer Sprache).

Sie müssen mindestens Mitglied der Gruppe Organisations-Admins, Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So konfigurieren Sie die Serverspeicherung von Anmeldeinformationen für eine Domäne mithilfe der Gruppenrichtlinie

  1. Klicken Sie auf einem Domänencontroller unter Windows Server 2008 R2 oder Windows Server 2008 auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  2. Doppelklicken Sie in der Konsolenstruktur der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt (Group Policy Object, GPO) Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  4. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Benutzerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.

  5. Doppelklicken Sie auf Zertifikatdiensteclient – Serverspeicherung von Anmeldeinformationen.

  6. Klicken Sie auf Aktivieren, um die Serverspeicherung von Anmeldeinformationen zu konfigurieren. Klicken Sie auf Deaktivieren, um deren Verwendung zu verhindern.

  7. Wenn Sie auf Aktivieren klicken, können Sie die folgenden Optionen anpassen:

    • Maximale Alterungs-Gültigkeitsdauer von Anmeldeinformationen in Tagen Mit dieser Option können Sie definieren, wie lange eine servergespeicherte Anmeldeinformation für Zertifikate oder Schlüssel, die lokal gelöscht wurden, in AD DS verbleibt.

    • Maximale Anzahl von servergespeicherten Anmeldeinformationen pro Benutzer Mit dieser Option können Sie eine maximale Anzahl von Zertifikaten und Schlüsseln definieren, die für die Serverspeicherung von Anmeldeinformationen verwendet werden können.

    • Maximale Größe (in Byte) von servergespeicherten Anmeldeinformationen Mit dieser Option können Sie die Serverspeicherung für Anmeldeinformationen, die eine definierte Größe überschreiten, einschränken.

    • Gespeicherte Benutzernamen und Kennwörter auf dem Server speichern. Mit dieser Option können Sie gespeicherte Benutzernamen und Kennwörter in der Richtlinie zur Serverspeicherung von Anmeldeinformationen einschließen oder von dieser ausschließen.

  8. Klicken Sie auf OK, um die Änderungen zu übernehmen.

Die Standardoptionen für die Serverspeicherung von Anmeldeinformationen in Schritt 7 können von vielen Organisationen übernommen werden. Die Serverspeicherung von Anmeldeinformationen kann sich jedoch auf die Größe der Active Directory-Datenbank auswirken, wenn eine Organisation über eine große Anzahl an Benutzern und Anmeldeinformationen verfügt. Informationen, die Ihnen helfen können, die potenziellen Auswirkungen der Serverspeicherung von Anmeldeinformationen auf die Active Directory-Datenbank einzuschätzen, finden Sie auf der Website zur Konfiguration und Problembehandlung von Zertifikatdiensteclients und zur Serverspeicherung von Anmeldeinformationen (https://go.microsoft.com/fwlink/?LinkID=85332, möglicherweise in englischer Sprache).

Weitere Verweise

Inhaltsverzeichnis