wsecedit.dll.mui Sicherheitskonfigurations-UI-Modul 0c03790beb4b5f12af8487010efb3f1a

File name:	wsecedit.dll.mui
Size:	508416 byte
MD5:	0c03790beb4b5f12af8487010efb3f1a
SHA1:	b60aae16de614bf748c67e5b085d009037c1267f
SHA256:	6c38ad75674121123340e9618b671495ede8096a145277e27ecbece01d5fdd4a
Operating systems:	Windows 10
Extension:	MUI

If an error occurred or the following message in German language and you cannot find a solution, than check answer in English. Table below helps to know how correctly this phrase sounds in English.

id	German	English
1	WSecEdit-Erweiterungsklasse	WSecEdit Extension Class
2	Name	Name
3	Beschreibung	Description
4	Richtlinie	Policy
5	Datenbankeinstellung	Database Setting
6	Computereinstellung	Computer Setting
7	Sicherheitsvorlage	Security Template
8	Vorlagen	Templates
9	Letzte Konfiguration/Analyse	Last Configuration/Analysis
10	Für die Konfiguration oder Analyse eines Systems definierte Sicherheitsvorlage	Security templates defined to configure or analyze a computer.
12	Sicherheitsrichtlinien	Security Policy
13	Zuweisen von Benutzerrechten	User Rights Assignment
14	Eingeschränkte Gruppen	Restricted Groups
15	Systemdienste	System Services
16	Registrierung	Registry
17	Dateisystem	File System
21	Einstellungen des Systemdienstes	System service settings
22	Einstellungen der Registrierungssicherheit	Registry security settings
23	Dateisystem-Sicherheitseinstellungen	File system security settings
24	Sicherheitsvorlagen	Security Templates
25	(nicht gespeichert)	(not saved)
26	Sicherheitseinstellungen	Security Settings
27	WSecEdit-Sicherheitskonfigurationsklasse	WSecEdit Security Configuration Class
28	WSecEdit-Sicherheits-Manager-Klasse	WSecEdit Security Manager Class
29	Sind Sie sicher, dass %s gelöscht werden soll?	Are you sure you want to delete %s?
30	Sollen alle ausgewählten Elemente gelöscht werden?	Do you want to delete all selected items?
31	&Computer jetzt analysieren... Vergleicht die aktuellen Computereinstellungen mit den Sicherheitseinstellungen der Datenbank.	&Analyze Computer Now... Compares the current computer settings against the security settings in the database
34	&Vorlage exportieren... Exportiert die Basisvorlage für den aktuellen Computer.	&Export Template... Exports the base template for the current computer
35	Dateien hin&zufügen... Fügt dieser Vorlage neue Dateien hinzu.	Add Fi&les... Adds new files to this template
36	&Neuer Vorlagensuchpfad... Fügt dem Suchpfad für Sicherheitsvorlagen einen neuen Vorlagenpfad hinzu (.inf - INF-Format).	&New Template Search Path... Adds a template location to the Security Templates' search path (.inf - INF format)
37	&Neue Vorlage... Erstellt eine neue Vorlage.	&New Template... Creates a new template
38	&Pfad entfernen Entfernt den ausgewählten Pfad aus dem Suchpfad.	&Remove Path Removes the selected location from the search path
39	A&ktualisieren Aktualisiert diesen Pfad, um neu hinzugefügte Vorlagen anzuzeigen.	Re&fresh Updates this location to display recently added templates
40	Co&mputer jetzt konfigurieren... Konfiguriert den Computer gemäß der ausgewählten Vorlage.	Con&figure Computer Now... Configures the computer according to the selected template
42	Die Vorlage konnte nicht aus "%s" importiert werden.	Windows cannot import the template from %s
43	Speichern &unter... Speichert die Vorlage unter einem neuen Namen.	Save &As... Saves the template with a new name
44	&Kopieren Kopiert die ausgewählten Vorlageninformationen in die Zwischenablage.	&Copy Copies the selected template information to the Clipboard
45	E&infügen Fügt die Informationen der Zwischenablage in die Vorlage ein.	&Paste Pastes Clipboard information into the template
46	Quell-Gruppenrichtlinienobjekt	Source GPO
47	&Aktualisieren Aktualisiert die Daten.	&Refresh Refreshes data
48	Das Hinzufügen dieses Objekts erfordert Sicherheit.	Security is required to add this object
49	Die Sicherheitsvorlage kann nicht importiert werden.	Windows cannot import the security template
50	Kennwortrichtlinien	Password Policy
51	Maximales Kennwortalter Tage	Maximum password age days
52	Minimales Kennwortalter Tage	Minimum password age days
53	Minimale Kennwortlänge Zeichen	Minimum password length characters
54	Kennwortchronik erzwingen gespeicherte Kennwörter	Enforce password history passwords remembered
55	Kennwort muss Komplexitätsvoraussetzungen entsprechen	Password must meet complexity requirements
56	Benutzeranmeldung ist zum Ändern des Kennworts erforderlich	User must log on to change the password
57	Kontosperrungsrichtlinien	Account Lockout Policy
58	Kontensperrungsschwelle ungültigen Anmeldeversuchen	Account lockout threshold invalid logon attempts
59	Zurücksetzungsdauer des Kontosperrungszählers Minuten	Reset account lockout counter after minutes
60	Kontosperrdauer Minuten	Account lockout duration minutes
61	Soll diese Vorlage gelöscht werden?	Do you want to delete this template?
62	Die Datenbank ist nicht geladen.	The database is not loaded.
63	Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen	Network security: Force logoff when logon hours expire
65	Konten: Administrator umbenennen	Accounts: Rename administrator account
67	Konten: Gastkonto umbenennen	Accounts: Rename guest account
68	Neu laden Lädt die lokalen und effektiven Richtlinientabellen für die Richtliniendatenbank erneut.	Reload Reloads the local and effective policy tables from the policy database
69	Gruppenname	Group Name
70	Ereignisprotokoll	Event Log
71	Maximale Größe des Systemprotokolls KB	Maximum system log size kilobytes
72	Aufbewahrungsmethode des Systemprotokolls	Retention method for system log
73	Systemprotokoll-Aufbewahrung Tage	Retain system log days
74	Maximale Größe des Sicherheitsprotokolls KB	Maximum security log size kilobytes
75	Aufbewahrungsmethode des Sicherheitsprotokolls	Retention method for security log
76	Sicherheitsprotokoll-Aufbewahrung Tage	Retain security log days
77	Maximale Größe des Anwendungsprotokolls KB	Maximum application log size kilobytes
78	Aufbewahrungsmethode des Anwendungsprotokolls	Retention method for application log
79	Anwendungsprotokoll-Aufbewahrung Tage	Retain application log days
80	System bei Erreichen der max. Sicherheitsprotokollgröße herunterfahren	Shut down the computer when the security audit log is full
81	Überwachungsrichtlinie	Audit Policy
82	Ereignisüberwachungsmodus	Event Auditing Mode
83	Systemereignisse überwachen	Audit system events
84	Anmeldeereignisse überwachen	Audit logon events
85	Objektzugriffsversuche überwachen	Audit object access
86	Rechteverwendung überwachen	Audit privilege use
87	Richtlinienänderungen überwachen	Audit policy change
88	Kontenverwaltung überwachen	Audit account management
89	Prozessnachverfolgung überwachen	Audit process tracking
90	Sicherheitsoptionen	Security Options
92	Nicht definiert	Not Defined
95	Es können keine Mitglieder hinzugefügt werden.	Cannot add members
96	Die Sicherheitseinstellungen können nicht angezeigt werden.	Cannot display security
97	Es können keine Benutzer hinzugefügt werden.	Cannot add users
98	Es kann kein Verzeichnisobjekt hinzugefügt werden.	Cannot add directory object
99	Es kann kein Ordner hinzugefügt werden.	Cannot add a folder
100	-- Mitglieder	-- Members
102	Dieser Dateinamen enthält Zeichen, die von der aktuellen Systemsprache nicht erkannt werden. Ändern Sie den Dateinamen.	This file name contains some characters that can not be recognized by current system language. Please rename it.
103	Berechtigung	Permission
104	Überwachen	Audit
106	Es kann keine Datei hinzugefügt werden.	Windows cannot add a file.
107	Der Name der Vorlage ist ungültig.	The template name is not valid.
108	Beim Exportieren der gespeicherten Vorlage ist ein Fehler aufgetreten.	An error occurred while exporting the stored template.
109	Es kann kein Registrierungsschlüssel hinzugefügt werden.	Windows cannot add a registry key
110	Vollzugriff	Full Control
111	Ändern	Modify
112	Lesen und Ausführen	Read and Execute
113	Ordnerinhalt auflisten	List Folder Contents
114	Lesen	Read
115	Schreiben	Write
116	Ordner durchsuchen/Datei ausführen	Traverse Folder/Execute File
117	Löschen	Delete
120	Keine	None
124	Wert abfragen	Query Value
125	Wert festlegen	Set Value
126	Unterschlüssel erstellen	Create Subkey
127	Unterschlüssel auflisten	Enumerate Subkeys
128	Benachrichtigen	Notify
129	Link erstellen	Create Link
130	Ausführen	Execute
131	Es konnte kein Thread erstellt werden.	Cannot create a thread
132	Folgende Konten konnten nicht überprüft werden: %1	The following accounts could not be validated: %1
141	Protokolldateiname	Log File Name
143	Sicherheitsanalyse durchführen	Perform Security Analysis
144	Einstellungen der Sicherheitsrichtlinien	Security policy settings
146	Sicherheitskonfiguration und -analyse v1.0	Security Configuration and Analysis v1.0
147	Die Sicherheitskonfiguration und -analyse ist Ihnen bei der Sicherung eines Computers und der Analyse von Sicherheitsaspekten behilflich. So können Sicherheitsvorlagen erstellt, bearbeitet oder angewendet werden, auf einer Vorlage basierende Analysen durchgeführt und deren Ergebnisse angezeigt werden.	Security Configuration and Analysis is an administrative tool used to secure a computer and analyze security aspects. You can create or edit a security template, apply the security template, perform analyses based on a template, and display analysis results.
148	Letzte Analyse:	Last analysis was performed on
149	Beschreibung der Basissicherheitskonfiguration:	Base security configuration description:
150	Der Computer wurde mit folgender Vorlage konfiguriert. Es wurde keine Analyse durchgeführt.	The computer was configured by the following template. Analysis was not performed.
151	Die Datenbank wurde nicht von der Sicherheitskonfiguration und -analyse konfiguriert oder analysiert.	The database has not been configured or analyzed using Security Configuration and Analysis.
152	Info über Sicherheitskonfiguration und -analyse	About Security Configuration and Analysis
153	Info (letzte Analyse)	About Last Analysis
154	Fügen Sie einen Vorlagenpfad den Sicherheitsvorlagen hinzu.	Add a Template Location to Security Templates
165	Objektname	Object Name
166	Inkonsistente Werte	Inconsistent Values
168	Vorlage öffnen	Open Template
169	Sicherheitsvorlage (.inf)|*.inf||	Security Template (.inf)|*.inf||
170	inf	inf
171	Fehlerprotokolldatei öffnen	Open Error Log File
172	log	log
173	Protokolldateien (.log)|*.log||	Log files (.log)|*.log||
193	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations
194	Die Vorlagedatei kann nicht geöffnet werden.	Windows cannot open template file.
195	Die Vorlageninformationen können nicht gelesen werden.	Windows cannot read template information.
196	Es befinden sich keine Analyseinformationen in der ausgewählten Datenbank, die angezeigt werden können. Verwenden Sie die Menüoption "Analysieren", um dieses Programm zu verwenden.	There is no analysis information in the selected database to display. Use the Analyze menu option to start using this tool.
197	0	0
198	Bei Bedarf	As needed
199	Nach Tagen	By days
200	Manuell	Manually
201	Aktiviert	Enabled
202	Deaktiviert	Disabled
203	Ein	On
204	Aus	Off
210	Mitglieder	Members
211	Mitglied von	Member Of
214	CLASSES_ROOT	CLASSES_ROOT
215	MACHINE	MACHINE
216	USERS	USERS
217	Erfolgreich	Succeeded
229	Unbekannter Fehler	Unknown error
232	\Security\Templates	\Security\Templates
233	Auf diesen Computer vom Netzwerk aus zugreifen	Access this computer from the network
234	Lokal anmelden zulassen	Allow log on locally
235	Nicht gespeichert	Failed to save
236	&Speichern Speichert die Vorlage.	&Save Save the template
237	Software\Microsoft\Windows NT\CurrentVersion\SecEdit	Software\Microsoft\Windows NT\CurrentVersion\SecEdit
238	Ordner hinzufügen	Add Folder
239	O&rdner hinzufügen... Fügt dieser Vorlage einen neuen Ordner hinzu.	Add &Folder... Adds a new folder to this template
240	S&chlüssel hinzufügen... Fügt dieser Vorlage einen neuen Schlüssel hinzu.	Add &Key... Adds a new key to this template
241	&Gruppe hinzufügen... Fügt dieser Vorlage eine neue Gruppe hinzu.	Add &Group... Adds a new group to this template
248	Dienstname	Service Name
249	Start	Startup
250	Analysiert	Analyzed
251	Konfiguriert	Configured
252	Automatisch	Automatic
254	OK	OK
255	Untersuchen	Investigate
256	Datenbanksicherheit für	Database Security for
257	Letzte Sicherheitsanalyse für	Last Analyzed Security for
258	Sicherheitseinstellungen für	Security for
262	Gruppenmitgliedschaft	Group Membership
263	Mitglieder dieser Gruppe	Members of this group
266	Kontorichtlinien	Account Policies
267	Kennwort- und Kontosperrungsrichtlinien	Password and account lockout policies
268	Lokale Richtlinien	Local Policies
269	Richtlinien für die Überwachung, Benutzerrechte und Sicherheitsoptionen	Auditing, user rights and security options policies
271	Ereignisprotokolleinstellungen und Ereignisanzeige	Event Log settings and Event Viewer
272	Verzeichnisdienstzugriff überwachen	Audit directory service access
273	Anmeldeversuche überwachen	Audit account logon events
275	Lokalen Gastkontozugriff auf Systemprotokoll verhindern	Prevent local guests group from accessing system log
276	Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern	Prevent local guests group from accessing security log
277	Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern	Prevent local guests group from accessing application log
278	Immer	Always
281	Ignorieren	Ignore
284	Ersetzen	Replace
286	Anmelden als Stapelverarbeitungsauftrag	Log on as a batch job
287	Anmelden als Dienst	Log on as a service
288	Active Directory-Objekte	Active Directory Objects
289	Sicherheitsverwaltung von Active Directory-Objekten	Security management of Active Directory objects
290	Verzeichnis&objekt hinzufügen Fügt dieser Vorlage ein Active Directory-Objekt hinzu	Add Directory &Object Adds an Active Directory object to this template
293	Ordner auflisten / Daten lesen	List folder / Read data
294	Attribute lesen	Read attributes
295	Erweiterte Attribute lesen	Read extended attributes
296	Dateien erstellen / Daten schreiben	Create files / Write data
297	Ordner erstellen / Daten anhängen	Create folders / Append data
298	Attribute schreiben	Write attributes
299	Erweiterte Attribute schreiben	Write extended attributes
300	Unterordner und Dateien löschen	Delete subfolders and files
302	Berechtigungen lesen	Read permissions
303	Berechtigungen ändern	Change permissions
304	Besitz übernehmen	Take ownership
305	Synchronisieren	Synchronize
306	Lesen, Schreiben und Ausführen	Read, Write and Execute
307	Schreiben und Ausführen	Write and Execute
308	Durchsuchen, Ausführen	Traverse / Execute
309	Nur diesen Ordner	This folder only
310	Diesen Ordner, Unterordner und Dateien	This folder, subfolders and files
311	Diesen Ordner und Unterordner	This folder and subfolders
312	Diesen Ordner und Dateien	This folder and files
313	Nur Unterordner und Dateien	Subfolders and files only
314	Nur Unterordner	Subfolders only
315	Nur Dateien	Files only
316	Nur diesen Schlüssel	This key only
317	Diesen und untergeordnete Schlüssel	This key and subkeys
318	Nur untergeordnete Schlüssel	Subkeys only
321	Starten, anhalten und unterbrechen	Start, stop and pause
322	Vorlage abfragen	Query template
323	Vorlage ändern	Change template
324	Status abfragen	Query status
325	Abhängigkeiten auflisten	Enumerate dependents
326	Starten	Start
327	Beenden	Stop
328	Anhalten und fortsetzen	Pause and continue
329	Abfragen	Interrogate
330	Benutzerdefinierte Steuerung	User-defined control
335	Untergeordnete Objekte erstellen	Create children
336	Untergeordnete Objekte löschen	Delete children
337	Inhalt auflisten	List contents
338	Sich selbst hinzufügen/entfernen	Add/remove self
339	Eigenschaften lesen	Read properties
340	Eigenschaften schreiben	Write properties
341	Nur diesen Container	This container only
342	Diesen und untergeordnete Container	This container and subcontainers
343	Nur untergeordnete Container	Subcontainers only
344	[[ Lokale Computerrichtlinienkonfiguration ]]	[[Local Computer Policy Configuration ]]
345	Konto wird nicht gesperrt.	Account will not lock out.
346	Kennwort kann sofort geändert werden.	Password can be changed immediately.
347	Kein Kennwort erforderlich.	No password required.
348	Keine Kennwortchronik führen.	Do not keep password history.
349	Kennwort läuft ab in:	Password will expire in:
350	Kennwort kann geändert werden nach:	Password can be changed after:
351	Minimale Kennwortlänge:	Password must be at least:
352	Kennwortchronik behalten:	Keep password history for:
353	Konto wird gesperrt nach:	Account will lock out after:
354	Konto ist gesperrt für:	Account is locked out for:
355	Ereignisse überschreiben, die älter sind als:	Overwrite events older than:
356	Kennwort läuft nie ab.	Password will not expire.
357	Konto ist gesperrt, bis Administrator Sperrung aufhebt.	Account is locked out until administrator unlocks it.
359	Kennwörter mit umkehrbarer Verschlüsselung speichern	Store passwords using reversible encryption
360	Kerberos-Richtlinie	Kerberos Policy
361	Benutzeranmeldeeinschränkungen erzwingen	Enforce user logon restrictions
362	Max. Toleranz für die Synchronisation des Computertakts Minuten	Maximum tolerance for computer clock synchronization minutes
363	Max. Gültigkeitsdauer des Diensttickets Minuten	Maximum lifetime for service ticket minutes
364	Max. Gültigkeitsdauer des Benutzertickets Stunden	Maximum lifetime for user ticket hours
365	Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann Tage	Maximum lifetime for user ticket renewal days
366	Mitglied hinzufügen	Add Member
368	Es steht nicht genügend Arbeitsspeicher zur Verfügung, um diesen Abschnitt anzeigen zu können.	There is not enough memory to display this section
369	Zur letzten Analyse sind keine Informationen verfügbar.	No information is available about the last analysis
370	Die geänderten Vorlagen können nicht gespeichert werden.	Windows cannot save changed templates.
372	Sicherheitskonfiguration und -analyse	Security Configuration and Analysis
374	Vorlage &importieren... Importiert eine Vorlage in diese Datenbank.	&Import Template... Import a template into this database
376	"%s" kann nicht erstellt oder geöffnet werden.	Windows cannot create or open %s
377	Fehlerprotokolldatei angeben	Locate error log file
378	sdb	sdb
379	Sicherheitsdatenbankdateien (*.sdb)|*.sdb|Alle Dateien (*.*)|*.*||	Security Database Files (*.sdb)|*.sdb|All Files (*.*)|*.*||
380	Vorlage für Computer übernehmen	Apply Template to Computer
381	Pfad der Fehlerprotokolldatei für die Protokollierung der Computerkonfiguration	Error log file path to record the progress of configuring the computer
382	&Sicherheitseinstellungen...	&Security...
383	Bearbeiten der Sicherheitseinstellungen dieses Elements.	Edit security for this item
384	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration	Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration
385	&Sicherheitseinstellungen... Bearbeitet die Sicherheitseinstellungen dieses Elements.	&Security... Edit security for this item
386	EnvironmentVariables	EnvironmentVariables
387	%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|	%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|
388	Da&tenbank öffnen... Öffnet eine vorhandene oder eine neue Datenbank.	O&pen Database... Open an existing or new database
389	&Neue Datenbank... Erstellt und öffnet eine neue Datenbank.	&New Database... Create and open a new database
390	&Beschreibung festlegen... Erstellt eine Beschreibung für die Vorlagen in diesem Verzeichnis.	Set Descri&ption... Create a description for the templates in this directory
392	\help\sce.chm	\help\sce.chm
395	Alle Dateien (*.*)|*.*||	All files (*.*)|*.*||
396	Datenbank: %s	Database: %s
397	Beim Öffnen der Datenbank ist ein unbekannter Fehler aufgetreten.	An unknown error occurred when attempting to open the database.
398	Sie müssen die Datenbank analysieren, bevor Sie sie verwenden können. Wählen Sie dazu im Menü "Datenbank" die entsprechende Option zum Durchführen der Analyse.	Before you can use the database, you must analyze it. On the Database menu, select the option to run an analysis.
399	Die Datenbank, die geöffnet werden soll, ist nicht vorhanden. Klicken Sie im Menü "Datenbank" auf "Vorlage importieren".	The database you are attempting to open does not exist. On the Database menu, click Import Template.
400	Die Datenbank ist beschädigt. Informationen zur Reparatur der Datenbank finden Sie in der Onlinehilfe.	The database is corrupt. For information about fixing the database, see online Help.
401	Es steht nicht genügend Arbeitsspeicher zu Verfügung, um die Datenbank zu laden. Schließen Sie einige andere Programme und wiederholen Sie den Vorgang.	There is not enough memory available to load the database. Close some programs and then try again.
402	Der Zugriff auf die Datenbank wurde verweigert. Wenn die Berechtigungen des Datenbankzugriffs nicht geändert wurden, müssen Sie als Administrator angemeldet sein, um mit der Datenbank arbeiten zu können.	Access to the database is denied. Unless the permissions on the database have been changed, you must have administrative rights to use it.
403	\Security\Database	\Security\Database
404	Sollen die Änderungen an %s gespeichert werden?	Do you want to save changes to %s?
405	Eine vorhandene importierte Vorlage befindet sich in der Warteschlange. Wenn Sie diese Vorlage speichern möchten, müssen Sie auf "Abbrechen" klicken und eine Analyse oder Konfiguration ausführen, bevor Sie eine andere Vorlage importieren. Wenn Sie die zuletzt importierte Vorlage ignorieren möchten, müssen Sie auf "OK" klicken.	There is an existing imported template pending. To save, click Cancel, and then run an analysis or configuration before importing another template. To ignore the previous imported template, click OK.
406	Alle ausgewählten Dateien	All Selected Files
407	Lokal anmelden verweigern	Deny log on locally
408	Zugriff vom Netzwerk auf diesen Computer verweigern	Deny access to this computer from the network
409	Anmelden als Dienst verweigern	Deny log on as a service
410	Anmelden als Batchauftrag verweigern	Deny log on as a batch job
411	Gruppe hinzufügen	Add Group
412	&Gruppe:	&Group:
413	Nicht analysiert	Not Analyzed
414	Fehler bei der Analyse	Error Analyzing
416	Empfohlene Einstellung	Suggested Setting
417	Lokale Richtlinie... Erstellt eine Vorlagendatei aus den lokalen Richtlinieneinstellungen	Local Policy ... Create template file from the local policy settings
418	Effektive Richtlinie... Erstellt eine Vorlagendatei aus den effektiven Richtlinieneinstellungen	Effective Policy ... Create template file from the effective policy settings
419	Sicherheitskonfiguration und -analyse Eine vorhandene Datenbank öffnen Klicken Sie mit der rechten Maustaste auf das Bereichselement Sicherheitskonfiguration und -analyse. Klicken Sie auf Datenbank öffnen. Wählen Sie eine Datenbank, und klicken Sie dann auf Öffnen. Eine neue Datenbank erstellen Klicken Sie mit der rechten Maustaste auf das Bereichselement Sicherheitskonfiguration und -analyse. Klicken Sie auf Datenbank öffnen. Geben Sie den Namen der neuen Datenbank ein, und klicken Sie auf Öffnen. Wählen Sie eine zu importierende Sicherheitsvorlage, und klicken Sie auf Öffnen.	Security Configuration and Analysis To Open an Existing Database Right-click the Security Configuration and Analysis scope item Click Open Database Select a database, and then click Open To Create a New Database Right-click the Security Configuration and Analysis scope item Click Open Database Type a new database name, and then click Open Select a security template to import, and then click Open
420
422	Die Datenbank, die geöffnet werden soll, ist nicht vorhanden.	The database you are attempting to open does not exist.
423	Sie können eine neue lokale Richtliniendatenbank erstellen, indem Sie auf Richtlinie importieren aus dem Menü Sicherheitseinstellungen klicken.	You can create a new local policy database by choosing Import Policy from the Security Settings menu commands.
424	Der Zugriff auf die Datenbank wurde verweigert.	Access to database has been denied.
425	&Protokolldatei anzeigen Schaltet die Anzeige der Protokolldatei oder der Ordnerstruktur ein oder aus, wenn der Knoten "Sicherheitskonfiguration und -analyse" markiert ist.	View Lo&g File Toggle display of the log file or folder tree when Security Configuration and Analysis node is selected
426	Sie können jetzt den Computer mittels der Informationen dieser Datenbank konfigurieren oder analysieren.Computer konfigurierenKlicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse.Wählen Sie Computer jetzt konfigurierenGeben Sie im Dialogfeld eine Protokolldatei ein, und klicken Sie dann auf OK.Hinweis: Nach der Konfiguration müssen Sie eine Analyse durchführen, um die Informationen in der Datenbank anzuzeigen.Sicherheit des Computers analysierenKlicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse.Wählen Sie Computer jetzt analysierenGeben Sie im Dialogfeld den Pfad der Protokolldatei ein, und klicken Sie dann auf OK.HINWEIS: Sie können die während der Konfiguration bzw. Analyse erstellte Protokolldatei anzeigen, indem Sie Protokolldatei anzeigen im Kontextmenü von Sicherheitskonfiguration und -analyse auswählen.	You can now configure or analyze your computer by using the security settings in this database. To Configure Your ComputerRight-click the Security Configuration and Analysis scope itemSelect Configure Computer NowIn the dialog, type the name of the log file you wish to view, and then click OKNOTE: After configuration is complete, you must perform an analysis to view the information in your databaseTo Analyze Your Computer Security Settings Right-click the Security Configuration and Analysis scope itemSelect Analyze Computer NowIn the dialog, type the log file path, and then click OKNOTE: To view the log file created during a configuration or analysis, select View Log File on the Security Configuration and Analysis context menu.
427	Fehler beim Lesen des Pfads	Error Reading Location
429	Richtlinieneinstellung	Policy Setting
430	Sicherer Server-&Assistent... Sicherer Server-Assistent	Secure &Wizard... Secure Server Role Wizard
431	Die ungültige Vorlage %s kann nicht importiert werden.	Windows cannot import invalid template %s
432	Konten: Administratorkontostatus	Accounts: Administrator account status
433	Konten: Gastkontenstatus	Accounts: Guest account status
434	Eigenschaften	Properties
435	Der Benutzername ist ungültig. Entweder wurden keine Zeichen oder mindestens eines der folgenden ungültigen Zeichen eingegeben: %1	The username is not valid. It is empty or it may not contain any of the following characters: %1
436	Kein Minimum	No minimum
437	Benutzer- und Gruppennamen dürfen keine der folgenden Zeichen enthalten: %1	User and group names may not contain any of the following characters: %1
438	Der angegebene Pfad wurde nicht gefunden: %1	The system can not find the path specified: %1
439	Der Dateiname darf keine der folgenden Zeichen enthalten: %1	File name may not contain any of the following characters: %1
440	Es muss eine Startmodus ausgewählt werden.	A startup mode must be selected.
441	Objekt "%1" kann nicht gelöscht werden, weil ein Dialogfeld mit dessen Eigenschaften angezeigt wird. Wechseln Sie zu diesem Dialogfeld, schließen Sie es, und klicken Sie erneut auf "Löschen".	Object "%1" cannot be deleted because an open window is displaying its properties. To delete this object, close that window and select "Delete" again.
442	Mitgliedschaft konfigurieren für %.17s...	Configure Membership for %.17s...
443	Zurücksetzungsdauer des Kontosperrungszählers	Reset account lockout counter after
444	&Beschreibung festlegen... Erstellt eine Beschreibung für diese Vorlage.	Set Descri&ption... Create a description for this template
445	Die Beschreibung darf keines der folgenden Zeichen enthalten: %1	Description may not contain any of the following characters: %1
446	Vorlageneinstellung	Template Setting
449	Vergewissern Sie sich, dass Sie über die entsprechenden Berechtigungen für dieses Objekt verfügen.	Make sure that you have the right permissions to this object.
450	Vergewissern Sie sich, dass dieses Objekt vorhanden ist.	Make sure that this object exists.
451	Der Ordner "%1" kann nicht verwendet werden. Wählen Sie einen anderen Ordner.	The folder %1 cannot be used. Choose another folder.
452	Arbeitsplatz	My Computer
453	Der Dateiname ist zu lang.	The file name is too long.
552	spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm	spolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htm
697	Der Dateiname darf nur keine der folgenden Zeichen enthalten: %1	File name may not only contain any of the following characters: %1
698	%1 Der Dateiname ist ein reservierter Gerätename. Wählen Sie einen anderen Namen.	%1 This file name is a reserved device name. Choose another name.
699	Der Dateityp ist unzulässig.	The file type is not correct.
700	Sie müssen Mitglied der Administratorengruppe sein, um den angeforderten Vorgang ausführen zu können.	You must be a member of the Administrators group to perform the requested operation.
701	Der Dateiname "%1" ist ungültig. Geben Sie den Dateinamen im richtigen Format an, z. B. c:\Ordner\Datei.%2.	The file name %1 is not valid. Reenter the file name in the correct format, such as c:\location\file.%2.
702	Kontennamen wurden Sicherheits-IDen nicht zugeordnet.	No mapping between account names and security IDs was done
709	Diese Einstellung muss in der Standarddomänenrichtlinie gesetzt werden, damit Domänenkonten betroffen sind.	To affect domain accounts, this setting must be defined in default domain policy.
718	Lokale Sicherheitsrichtlinie	Local Security Policy
740	%1%2	%1%2
741	%1%2 %3	%1%2 %3
745	Speziell	Special
753	Sicherheitseinstellungen für den Remotezugriff auf SAM	Security Settings for Remote Access to SAM
754	Remotezugriff	Remote Access
762	Zentrale Zugriffsrichtlinie	Central Access Policy
763	Auf das Dateisystem angewendete zentrale Zugriffsrichtlinien	Central Access Policies applied to the file system
764	!!Unbekannte Richtlinie!!:	!!Unknown policy!!:
765	%1 %2	%1 %2
1900	Kennwortchronik erzwingen Mit dieser Sicherheitseinstellung wird die Anzahl von eindeutigen neuen Kennwörtern ermittelt, die mit einem Konto verknüpft werden müssen, bevor ein altes Kennwort wieder verwendet werden kann. Der Wert muss zwischen 0 und 24 Kennwörtern liegen. Mit dieser Richtlinie können Administratoren die Sicherheit erhöhen, indem sichergestellt wird, dass alte Kennwörter nicht ständig wieder verwendet werden. Standardwert: 24 bei Domänencontrollern. 0 bei eigenständigen Servern. Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet. Um die Wirksamkeit der Kennwortchronik sicherzustellen, sollten Sie nicht zulassen, dass Kennwörter nach einer soeben erfolgten Änderung sofort wieder geändert werden können. Hierzu müssen Sie auch die Sicherheitsrichtlinieneinstellung "Minimales Kennwortalter" aktivieren. Weitere Informationen zur Sicherheitsrichtlinieneinstellung "Minimales Kennwortalter" finden Sie unter "Minimales Kennwortalter".	Enforce password history This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords. This policy enables administrators to enhance security by ensuring that old passwords are not reused continually. Default: 24 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers. To maintain the effectiveness of the password history, do not allow passwords to be changed immediately after they were just changed by also enabling the Minimum password age security policy setting. For information about the minimum password age security policy setting, see Minimum password age.
1901	Maximales Kennwortalter Mit dieser Sicherheitseinstellung wird der Zeitraum (in Tagen) festgelegt, für den ein Kennwort verwendet werden kann, bevor das System den Benutzer auffordert, das Kennwort zu ändern. Sie können festlegen, dass die Kennwörter nach der angegebenen Anzahl von Tagen (zwischen 1 und 999 Tagen) ablaufen, oder Sie können angeben, dass Kennwörter niemals ablaufen, indem sie die Anzahl von Tagen auf 0 festlegen. Wenn das maximale Kennwortalter zwischen 1 und 999 Tagen liegt, muss das minimale Kennwortalter niedriger als das maximale Kennwortalter sein. Wenn das maximale Kennwortalter auf 0 festgelegt ist, kann das minimale Kennwortalter ein beliebiger Wert zwischen 0 und 998 Tagen sein. Hinweis: Es ist eine bewährte Sicherheitsmethode, für das Kennwort je nach Umgebung eine Gültigkeit zwischen 30 und 90 Tagen festzulegen. Auf diese Weise steht einem Angreifer nur ein beschränkter Zeitraum zum Knacken eines Benutzerkennworts zur Verfügung, um sich Zugang zu den Netzwerkressourcen zu verschaffen. Standardwert: 42.	Maximum password age This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days. Note: It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources. Default: 42.
1902	Minimales Kennwortalter Mit dieser Sicherheitseinstellung wird der Zeitraum (in Tagen) festgelegt, für den ein Kennwort verwendet werden muss, bevor der Benutzer das Kennwort ändern kann. Sie können einen Wert zwischen 1 und 998 Tagen festlegen, oder Sie können ein sofortiges Ändern des Kennworts zulassen, indem Sie die Anzahl von Tagen auf 0 setzen. Das minimale Kennwortalter muss niedriger als das maximale Kenwortalter sein, es sei denn, das maximale Kennwortalter ist auf 0 gesetzt, das heißt, die Kennwörter laufen niemals ab. Wenn das maximale Kennwortalter auf 0 gesetzt ist, kann das minimale Kennwortalter auf einen Wert zwischen 0 und 998 gesetzt werden. Legen Sie für das minimale Kennwortalter einen Wert von über 0 fest, wenn Sie möchten, dass die Sicherheitsrichtlinie "Kennwortchronik erzwingen" wirksam ist. Ohne ein minimales Kennwortalter können Benutzer kurz nacheinander immer wieder ein Kennwort ändern, bis sie wieder ein altes Lieblingskennwort verwenden dürfen. Bei der Standardeinstellung wird diese Empfehlung nicht befolgt, damit ein Administrator ein Kennwort für einen Benutzer festlegen und den Benutzer dann bei der Anmeldung auffordern kann, das vom Administrator definierte Kennwort zu ändern. Wenn die Kennwortrichtlinie auf 0 festgelegt ist, muss der Benutzer kein neues Kennwort festlegen. Aus diesem Grund ist "Kennwortchronik erzwingen" standardmäßig auf 1 festgelegt. Standardwert: 1 bei Domänencontrollern. 0 bei eigenständigen Servern. Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.	Minimum password age This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0. The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998. Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default. Default: 1 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1903	Minimale Kennwortlänge Mit dieser Sicherheitseinstellung wird die Mindestanzahl von Zeichen festgelegt, die ein Kennwort für ein Benutzerkonto enthalten muss. Sie können einen Wert zwischen 1 und 14 Zeichen angeben oder festlegen, dass kein Kennwort erforderlich ist, indem Sie die Anzahl von Zeichen auf 0 festlegen. Standardwert: 7 bei Domänencontrollern. 0 bei eigenständigen Servern. Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.	Minimum password length This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0. Default: 7 on domain controllers. 0 on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1904	Kennwort muss Komplexitätsvoraussetzungen entsprechen Mit dieser Sicherheitseinstellung wird festgelegt, dass Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen. Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestvoraussetzungen erfüllen: Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen. Das Kennwort muss mindestens sechs Zeichen lang sein. Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten: Großbuchstaben (A bis Z) Kleinbuchstaben (a bis z) Zahlen zur Basis 10 (0 bis 9) Nicht alphabetische Zeichen (zum Beispiel !, $, #, %) Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden. Standardwert: Aktiviert auf Domänencontrollern. Deaktiviert auf eigenständigen Servern. Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.	Password must meet complexity requirements This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements: Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length Contain characters from three of the following four categories: English uppercase characters (A through Z) English lowercase characters (a through z) Base 10 digits (0 through 9) Non-alphabetic characters (for example, !, $, #, %) Complexity requirements are enforced when passwords are changed or created. Default: Enabled on domain controllers. Disabled on stand-alone servers. Note: By default, member computers follow the configuration of their domain controllers.
1905	Kennwörter mit umkehrbarer Verschlüsselung speichern Mit dieser Sicherheitseinstellung wird festgelegt, ob das Betriebssystem Kennwörter mit umkehrbarer Verschlüsselung speichert. Diese Richtlinie bietet Unterstützung für Anwendungen, die Protokolle verwenden, denen zu Authentifizierungszwecken das Kennwort des Benutzers bekannt sein muss. Das Speichern von Kennwörtern mit umkehrbarer Verschlüsselung unterscheidet sich im Prinzip nicht vom Speichern von Nur-Text-Versionen der Kennwörter. Aus diesem Grund sollte diese Richtlinie nur dann aktiviert werden, wenn die Anwendungsanforderungen Vorrang haben vor dem Schutz der Kennwortinformationen. Diese Richtlinie ist erforderlich, wenn die CHAP-Authentifizierung (Challenge-Handshake Authentication-Protokoll) über Remotezugriff erfolgt oder hierzu die Internetauthentifizierungsdienste verwendet werden. Zudem ist die Richtlinie erforderlich, wenn in Internetinformationsdienste (IIS) die Digestauthentifizierung verwendet wird. Standardwert: Deaktiviert.	Store passwords using reversible encryption This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Default: Disabled.
1906	Kontosperrdauer Mit dieser Sicherheitseinstellung wird festgelegt, wie lange (in Minuten) ein gesperrtes Konto gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Es kann eine Dauer zwischen 0 und 99.999 Minuten festgelegt werden. Wenn Sie die Kontosperrdauer auf 0 festlegen, wird das Konto gesperrt, bis ein Administrator die Sperre explizit aufhebt. Wenn eine Kontensperrungsschwelle definiert ist, muss die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein. Standardwert: "Kein", da diese Richtlinie nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.	Account lockout duration This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1907	Kontensperrungsschwelle Diese Sicherheitseinstellung legt die Anzahl von nicht erfolgreichen Anmeldeversuchen fest, nach denen ein Benutzerkonto gesperrt wird. Ein gesperrtes Konto kann erst wieder verwendet werden, nachdem ein Administrator es zurückgesetzt hat oder nachdem die Kontosperrdauer für das Konto abgelaufen ist. Sie können einen Wert zwischen 0 und 999 nicht erfolgreichen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird das Konto nie gesperrt. Zu den nicht erfolgreichen Anmeldeversuchen zählen falsche Kennworteingaben bei Arbeitsstationen oder Mitgliedsservern, die entweder über STRG+ALT+ENTF oder kennwortgeschützte Bildschirmschoner gesperrt wurden. Standardwert: 0.	Account lockout threshold This security setting determines the number of failed logon attempts that causes a user account to be locked out. A locked-out account cannot be used until it is reset by an administrator or until the lockout duration for the account has expired. You can set a value between 0 and 999 failed logon attempts. If you set the value to 0, the account will never be locked out. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password-protected screen savers count as failed logon attempts. Default: 0.
1908	Zurücksetzungsdauer des Kontosperrungszählers Mit dieser Sicherheitseinstellung wird die Anzahl von Minuten festgelegt, die nach einem nicht erfolgreichen Anmeldeversuch verstreichen müssen, bis der Zähler für nicht erfolgreiche Anmeldeversuche auf 0 ungültige Anmeldeversuche zurückgesetzt wird. Zulässig sind Werte zwischen 1 und 99.999 Minuten. Wenn eine Kontensperrungsschwelle definiert ist, muss die Zurücksetzungsdauer kleiner oder gleich der Kontosperrdauer sein. Standardwert: "Kein", da diese Richtlinieneinstellung nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.	Reset account lockout counter after This security setting determines the number of minutes that must elapse after a failed logon attempt before the failed logon attempt counter is reset to 0 bad logon attempts. The available range is 1 minute to 99,999 minutes. If an account lockout threshold is defined, this reset time must be less than or equal to the Account lockout duration. Default: None, because this policy setting only has meaning when an Account lockout threshold is specified.
1909	Benutzeranmeldeeinschränkungen erzwingen Mit dieser Sicherheitseinstellung wird festgelegt, ob das Kerberos V5-Schlüsselverteilungscenter jede Anforderung nach einem Sitzungsticket gegen die Benutzerrechterichtlinie des Benutzerkontos überprüft. Die Überprüfung jeder Anforderung nach einem Sitzungsticket ist optional, da dieser zusätzliche Schritt Zeit in Anspruch nimmt und den Netzwerkzugriff auf Dienste verlangsamen kann. Standardwert: Aktiviert.	Enforce user logon restrictions This security setting determines whether the Kerberos V5 Key Distribution Center (KDC) validates every request for a session ticket against the user rights policy of the user account. Validation of each request for a session ticket is optional, because the extra step takes time and it may slow network access to services. Default: Enabled.
1910	Max. Gültigkeitsdauer des Diensttickets Mit dieser Sicherheitseinstellung wird festgelegt, wie lange (in Minuten) ein gewährtes Sitzungsticket maximal für den Zugriff auf einen bestimmten Dienst verwendet werden kann. Der Wert für diese Einstellung muss größer als 10 Minuten und kleiner oder gleich dem Wert für die Einstellung "Max. Gültigkeitsdauer des Benutzertickets" sein. Wenn ein Client ein abgelaufenes Sitzungsticket übergibt, gibt der Server eine Fehlermeldung zurück. Der Client muss ein neues Sitzungsticket vom Kerberos V5-Schlüsselverteilungscenter anfordern. Nachdem eine Verbindung authentifiziert wurde, ist es jedoch nicht mehr relevant, ob das Sitzungsticket gültig bleibt. Sitzungstickets werden nur zum Authentifizieren neuer Serververbindungen verwendet. Laufende Vorgänge werden nicht unterbrochen, wenn das Sitzungsticket, das zum Authentifizieren der Verbindung verwendet wird, während der Verbindung abläuft. Standardwert: 600 Minuten (10 Stunden).	Maximum lifetime for service ticket This security setting determines the maximum amount of time (in minutes) that a granted session ticket can be used to access a particular service. The setting must be greater than 10 minutes and less than or equal to the setting for Maximum lifetime for user ticket. If a client presents an expired session ticket when it requests a connection to a server, the server returns an error message. The client must request a new session ticket from the Kerberos V5 Key Distribution Center (KDC). Once a connection is authenticated, however, it no longer matters whether the session ticket remains valid. Session tickets are used only to authenticate new connections with servers. Ongoing operations are not interrupted if the session ticket that is used to authenticate the connection expires during the connection. Default: 600 minutes (10 hours).
1911	Max. Gültigkeitsdauer des Benutzertickets Mit dieser Sicherheitseinstellung wird festgelegt, wie lange (in Stunden) das TGT (Ticket-Granting Ticket) eines Benutzers maximal verwendet werden darf. Standardwert: 10 Stunden.	Maximum lifetime for user ticket This security setting determines the maximum amount of time (in hours) that a user's ticket-granting ticket (TGT) may be used. Default: 10 hours.
1912	Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann Mit dieser Sicherheitseinstellung wird der Zeitraum (in Tagen) festgelegt, während dem ein TGT eines Benutzers erneuert werden kann. Standardwert: 7 Tage.	Maximum lifetime for user ticket renewal This security setting determines the period of time (in days) during which a user's ticket-granting ticket (TGT) may be renewed. Default: 7 days.
1913	Max. Toleranz für die Synchronisation des Computertakts Mit dieser Sicherheitseinstellung wird die maximale Zeitdifferenz (in Minuten) festgelegt, die Kerberos V5 zwischen der Uhrzeit auf dem Client und der Uhrzeit auf dem Domänencontroller toleriert, auf dem Windows Server 2003 ausgeführt wird und der die Kerberos-Authentifizierung bereitstellt. Um "Wiedergabeangriffe" zu verhindern, verwendet Kerberos V5 Zeitstempel als Teil der Protokolldefinition. Damit die Zeitstempel ordnungsgemäß funktionieren, muss die Uhrzeit auf dem Client weitestgehend mit der Uhrzeit auf dem Domänencontroller synchron sein. Anders ausgedrückt: Auf beiden Computern müssen die gleiche Uhrzeit und das gleiche Datum eingestellt sein. Da die Uhrzeit auf zwei Computern oft nicht synchron ist, können Administratoren diese Richtlinie verwenden, um die maximal zulässige Zeitdifferenz zwischen der Uhrzeit auf einem Client und der Uhrzeit auf dem Domänencontroller festzulegen. Wenn die Differenz zwischen der Uhrzeit auf einem Client und der Uhrzeit auf dem Domänencontroller niedriger ist als die in dieser Richtlinie angegebene maximale Toleranz, werden alle in einer Sitzung zwischen den beiden Computern verwendeten Zeitstempel als authentisch betrachtet. Wichtig Diese Einstellung ist auf Prä-Vista-Plattformen nicht dauerhaft. Wenn Sie diese Einstellung konfigurieren und dann den Computer neu starten, wird diese Einstellung auf den Standardwert zurückgesetzt. Standardwert: 5 Minuten.	Maximum tolerance for computer clock synchronization This security setting determines the maximum time difference (in minutes) that Kerberos V5 tolerates between the time on the client clock and the time on the domain controller running Windows Server 2003 that provides Kerberos authentication. To prevent "replay attacks," Kerberos V5 uses time stamps as part of its protocol definition. For time stamps to work properly, the clocks of the client and the domain controller need to be in sync as much as possible. In other words, both computers must be set to the same time and date. Because the clocks of two computers are often out of sync, administrators can use this policy to establish the maximum acceptable difference to Kerberos V5 between a client clock and domain controller clock. If the difference between a client clock and the domain controller clock is less than the maximum time difference that is specified in this policy, any time stamp that is used in a session between the two computers is considered to be authentic. Important This setting is not persistent on pre Vista platforms. If you configure this setting and then restart the computer, this setting reverts to the default value. Default: 5 minutes.
1914	Kontoanmeldeereignisse überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob jede Prüfung der Anmeldeinformationen eines Kontos durch den Computer vom Betriebssystem überwacht wird. Kontoanmeldeereignisse werden generiert, wenn ein Computer die Anmeldeinformationen eines Kontos überprüft, für das er autoritativ ist. Domänenmitglieder und nicht der Domäne angehörende Computer sind für ihre jeweiligen lokalen Konten autoritativ, während alle Domänencontroller für Konten in der Domäne autoritativ sind. Die Prüfung von Anmeldeinformationen kann eine lokale Anmeldung oder bei einem Active Directory-Domänenkonto auf einem Domänencontroller eine Anmeldung bei einem anderen Computer unterstützen. Die Prüfung von Anmeldeinformationen ist zustandslos, sodass für Kontoanmeldeereignisse kein entsprechendes Abmeldeereignis vorhanden ist. Falls diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur erfolgreiche bzw. nur fehlerhafte Vorgänge oder sowohl erfolgreiche als auch fehlerhafte Vorgänge überwacht werden sollen oder ob auf eine Überwachung grundsätzlich verzichtet werden soll (d. h. weder erfolgreiche noch fehlerhafte Vorgänge). Standardwerte in Clienteditionen: Prüfung der Anmeldeinformationen: Keine Überwachung Ticketvorgänge des Kerberos-Diensts: Keine Überwachung Andere Kontoanmeldeereignisse: Keine Überwachung Kerberos-Authentifizierungsdienst: Keine Überwachung Standardwerte in Servereditionen: Prüfung der Anmeldeinformationen: Erfolg Ticketvorgänge des Kerberos-Diensts: Erfolg Andere Kontoanmeldeereignisse: Keine Überwachung Kerberos-Authentifizierungsdienst: Erfolg Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit account logon events This security setting determines whether the OS audits each time this computer validates an account’s credentials. Account logon events are generated whenever a computer validates the credentials of an account for which it is authoritative. Domain members and non-domain-joined machines are authoritative for their local accounts; domain controllers are all authoritative for accounts in the domain. Credential validation may be in support of a local logon, or, in the case of an Active Directory domain account on a domain controller, may be in support of a logon to another computer. Credential validation is stateless so there is no corresponding logoff event for account logon events. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Credential Validation: No Auditing Kerberos Service Ticket Operations: No Auditing Other Account Logon Events: No Auditing Kerberos Authentication Service: No Auditing Default values on Server editions: Credential Validation: Success Kerberos Service Ticket Operations: Success Other Account Logon Events: No Auditing Kerberos Authentication Service: Success Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1915	Kontenverwaltung überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob alle Kontoverwaltungsereignisse auf einem Computer überwacht werden. Zu den Kontoverwaltungsereignissen gehören: Ein Benutzerkonto oder eine Benutzergruppe wird erstellt, geändert oder gelöscht. Ein Benutzerkonto wird umbenannt, deaktiviert oder aktiviert. Ein Kennwort wird festgelegt oder geändert. Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht werden bzw. festlegen, dass der Ereignistyp überhaupt nicht überwacht wird. Bei Erfolgsüberwachungen wird ein Überwachungseintrag generiert, wenn ein beliebiges Kontoverwaltungsereignis erfolgreich ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn ein beliebiges Kontoverwaltungsereignis nicht erfolgreich ist. Wenn Sie diesen Wert auf "Keine Überwachung" festlegen möchten, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinieneinstellung das Kontrollkästchen "Diese Richtlinieneinstellungen definieren", und deaktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler". Standardwerte in Clienteditionen: Benutzerkontenverwaltung: Erfolg Computerkontoverwaltung: Keine Überwachung Sicherheitsgruppenverwaltung: Erfolg Verteilergruppenverwaltung: Keine Überwachung Anwendungsgruppenverwaltung: Keine Überwachung Andere Kontoverwaltungsereignisse: Keine Überwachung Standardwerte in Servereditionen: Benutzerkontenverwaltung: Erfolg Computerkontoverwaltung: Erfolg Sicherheitsgruppenverwaltung: Erfolg Verteilergruppenverwaltung: Keine Überwachung Anwendungsgruppenverwaltung: Keine Überwachung Andere Kontoverwaltungsereignisse: Keine Überwachung Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit account management This security setting determines whether to audit each event of account management on a computer. Examples of account management events include: A user account or group is created, changed, or deleted. A user account is renamed, disabled, or enabled. A password is set or changed. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when any account management event succeeds. Failure audits generate an audit entry when any account management event fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default values on Client editions: User Account Management: Success Computer Account Management: No Auditing Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Default values on Server editions: User Account Management: Success Computer Account Management: Success Security Group Management: Success Distribution Group Management: No Auditing Application Group Management: No Auditing Other Account Management Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1916	Verzeichnisdienstzugriff überwachen Mit dieser Sicherheitseinstellung wird bestimmt, ob Benutzerzugriffe auf Active Directory-Objekte vom Betriebssystem überwacht werden. Eine Überwachung wird nur für Objekte generiert, für die eine SACL (System Access Control List, System-Zugriffssteuerungsliste) angegeben ist, und nur dann, wenn der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen. Der Administrator kann angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Zugriffe oder grundsätzlich keine Zugriffe überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Zugriffe). Falls die Überwachung von erfolgreichen Zugriffen aktiviert ist, wird bei jedem erfolgreichen Zugriff von einem Konto auf ein Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert. Falls die Überwachung von fehlerhaften Zugriffen aktiviert ist, wird bei jedem nicht erfolgreichen Benutzerzugriff auf ein Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert. Standardwerte in Clienteditionen: Verzeichnisdienstzugriff: Keine Überwachung Verzeichnisdienständerungen: Keine Überwachung Verzeichnisdienstreplikation: Keine Überwachung Detaillierte Verzeichnisdienstreplikation: Keine Überwachung Standardwerte in Servereditionen: Verzeichnisdienstzugriff: Erfolg Verzeichnisdienständerungen: Kein Überwachungsverzeichnis Dienstreplikation: Keine Überwachung Detaillierte Verzeichnisdienstreplikation: Keine Überwachung Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit directory service access This security setting determines whether the OS audits user attempts to access Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a Directory object that has a matching SACL specified. Default values on Client editions: Directory Service Access: No Auditing Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Default values on Server editions: Directory Service Access: Success Directory Service Changes: No Auditing Directory Service Replication: No Auditing Detailed Directory Service Replication: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1917	Anmeldeereignisse überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob jede Instanz einer Benutzeranmeldung oder -abmeldung bei diesem Computer vom Betriebssystem überwacht wird. Abmeldeereignisse werden generiert, wenn die Anmeldesitzung eines angemeldeten Benutzerkontos beendet wird. Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Vorgänge oder grundsätzlich keine Vorgänge überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Vorgänge). Standardwerte in Clienteditionen: Anmelden: Erfolg Abmelden: Erfolg Kontosperrung: Erfolg IPsec-Hauptmodus: Keine Überwachung IPsec-Schnellmodus: Keine Überwachung IPsec-Erweiterungsmodus: Keine Überwachung Spezielle Anmeldung: Erfolg Andere Anmelde-/Abmeldeereignisse: Keine Überwachung Netzwerkrichtlinienserver: Erfolg, Fehler Standardwerte in Servereditionen: Anmelden: Erfolg, Fehler Abmelden: Erfolg Kontosperrung: Erfolg IPsec-Hauptmodus: Keine Überwachung IPsec-Schnellmodus: Keine Überwachung IPsec-Erweiterungsmodus: Keine Überwachung Spezielle Anmeldung: Erfolg Andere Anmelde-/Abmeldeereignisse: Keine Überwachung Netzwerkrichtlinienserver: Erfolg, Fehler Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit logon events This security setting determines whether the OS audits each instance of a user attempting to log on to or to log off to this computer. Log off events are generated whenever a logged on user account's logon session is terminated. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). Default values on Client editions: Logon: Success Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Default values on Server editions: Logon: Success, Failure Logoff: Success Account Lockout: Success IPsec Main Mode: No Auditing IPsec Quick Mode: No Auditing IPsec Extended Mode: No Auditing Special Logon: Success Other Logon/Logoff Events: No Auditing Network Policy Server: Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1918	Objektzugriffsversuche überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob Benutzerzugriffe auf Nicht-Active Directory-Objekte vom Betriebssystem überwacht werden. Eine Überwachung wird nur für Objekte generiert, für die eine SACL (System Access Control List, System-Zugriffssteuerungsliste) angegeben ist, und nur dann, wenn der angeforderte Zugriffstyp (beispielsweise Schreiben, Lesen oder Ändern) und das Konto, von dem die Anforderung stammt, den Einstellungen in der SACL entsprechen. Der Administrator kann angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Zugriffe oder grundsätzlich keine Zugriffe überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Zugriffe). Falls die Überwachung von erfolgreichen Zugriffen aktiviert ist, wird bei jedem erfolgreichen Zugriff von einem beliebigen Konto auf ein Nicht-Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert. Falls die Überwachung von fehlerhaften Zugriffen aktiviert ist, wird bei jedem nicht erfolgreichen Benutzerzugriff auf ein Nicht-Active Directory-Objekt, für das eine übereinstimmende SACL angegeben ist, ein Überwachungseintrag generiert. Beachten Sie, dass Sie eine SACL für ein Dateisystemobjekt über die Registerkarte "Sicherheit" im Dialogfeld "Eigenschaften" dieses Objekts festlegen können. Standardwert: Keine Überwachung. Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit object access This security setting determines whether the OS audits user attempts to access non-Active Directory objects. Audit is only generated for objects that have system access control lists (SACL) specified, and only if the type of access requested (such as Write, Read, or Modify) and the account making the request match the settings in the SACL. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time any account successfully accesses a non-Directory object that has a matching SACL specified. If Failure auditing is enabled, an audit entry is generated each time any user unsuccessfully attempts to access a non-Directory object that has a matching SACL specified. Note that you can set a SACL on a file system object using the Security tab in that object's Properties dialog box. Default: No auditing. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1919	Richtlinienänderungen überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob jeder Versuch, die Richtlinie für die Zuweisung von Benutzerrechten, die Überwachungsrichtlinie, die Kontorichtlinie oder die Vertrauensrichtlinie zu ändern, vom Betriebssystem überwacht wird. Der Administrator kann angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Vorgänge oder grundsätzlich keine Vorgänge überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Vorgänge). Ist die Überwachung von erfolgreichen Vorgängen aktiviert, wird ein Überwachungseintrag generiert, wenn die Richtlinie für die Zuweisung von Benutzerrechten, die Überwachungsrichtlinie oder die Vertrauensrichtlinie erfolgreich geändert wurde. Ist die Überwachung von fehlerhaften Vorgängen aktiviert, wird ein Überwachungseintrag generiert, wenn versucht wurde, die Richtlinie für die Zuweisung von Benutzerrechten, die Überwachungsrichtlinie oder die Vertrauensrichtlinie über ein Konto zu ändern, das nicht für die angeforderte Richtlinienänderung autorisiert ist. Standardwert: Richtlinienänderungen überwachen: Erfolg Authentifizierungsrichtlinienänderung: Erfolg Autorisierungsrichtlinienänderung: Keine Überwachung Richtlinienänderung auf MPSSVC-Regelebene: Keine Überwachung Filterplattform-Richtlinienänderung: Keine Überwachung Andere Richtlinienänderungsereignisse: Keine Überwachung Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit policy change This security setting determines whether the OS audits each instance of attempts to change user rights assignment policy, audit policy, account policy, or trust policy. The administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is successful. If Failure auditing is enabled, an audit entry is generated when an attempted change to user rights assignment policy, audit policy, or trust policy is attempted by an account that is not authorized to make the requested policy change. Default: Audit Policy Change: Success Authentication Policy Change: Success Authorization Policy Change: No Auditing MPSSVC Rule-Level Policy Change: No Auditing Filtering Platform Policy Change: No Auditing Other Policy Change Events: No Auditing Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1920	Rechteverwendung überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob jede Instanz, bei der ein Benutzer ein Benutzerrecht ausübt, überwacht wird. Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht werden bzw. festlegen, dass der Ereignistyp überhaupt nicht überwacht wird. Bei Erfolgsüberwachungen wird ein Überwachungseintrag generiert, wenn die Ausübung eines Benutzerrechts erfolgreich ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn die Ausübung eines Benutzerrechts nicht erfolgreich ist. Wenn Sie diesen Wert auf "Keine Überwachung" festlegen möchten, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinieneinstellung das Kontrollkästchen "Diese Richtlinieneinstellungen definieren", und deaktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler". Standardwert: Keine Überwachung. Für die Ausübung folgender Benutzerrechte wird kein Überwachungseintrag generiert, auch wenn für "Rechteverwendung überwachen" Erfolgsüberwachungen oder Fehlerüberwachungen festgelegt wurden. Durch das Aktivieren der Überwachung dieser Benutzerrechte werden im Allgemeinen zu viele Ereignisse im Sicherheitsprotokoll generiert, wodurch die Leistung des Computers beeinträchtigt werden kann. Wenn Sie die folgenden Benutzerrechte überwachen möchten, aktivieren Sie den Registrierungsschlüssel "FullPrivilegeAuditing". Auslassen der Traversierungsüberprüfung Debuggen von Programmen Erstellen eines Tokenobjekts Ersetzen eines Tokens auf Prozessebene Generieren von Sicherheitsüberwachungen Sichern von Dateien und Verzeichnissen Wiederherstellen von Dateien und Verzeichnissen Achtung Das System kann durch falsche Registrierungseinstellungen schwer beschädigt werden. Daher sollten Sie vor dem Ändern der Registrierung alle wichtigen Daten auf dem Computer sichern. Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit privilege use This security setting determines whether to audit each instance of a user exercising a user right. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit this type of event at all. Success audits generate an audit entry when the exercise of a user right succeeds. Failure audits generate an audit entry when the exercise of a user right fails. To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes. Default: No auditing. Audits are not generated for use of the following user rights, even if success audits or failure audits are specified for Audit privilege use. Enabling auditing of these user rights tend to generate many events in the security log which may impede your computer's performance. To audit the following user rights, enable the FullPrivilegeAuditing registry key. Bypass traverse checking Debug programs Create a token object Replace process level token Generate security audits Back up files and directories Restore files and directories Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1921	Prozessnachverfolgung überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob prozessbezogene Ereignisse wie Prozesserstellung, Prozessbeendigung, Handleduplizierung, indirekter Objektzugriff, vom Betriebssystem überwacht werden. Wenn Sie diese Richtlinieneinstellung definieren, kann der Administrator festlegen, ob nur Erfolge oder nur Fehler bzw. sowohl Erfolge als auch Fehler überwacht werden oder ob der Ereignistyp überhaupt nicht überwacht wird (d. h. weder Erfolge noch Fehler). Bei aktivierter Erfolgsüberwachung wird ein Überwachungseintrag generiert, wenn vom Betriebssystem eine der prozessbezogenen Aktivitäten ausgeführt wird. Bei aktivierter Fehlerüberwachung wird ein Überwachungseintrag generiert, wenn eine dieser Aktivitäten vom Betriebssystem nicht ausgeführt werden kann. Standardwert: Keine Überwachung Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit process tracking This security setting determines whether the OS audits process-related events such as process creation, process termination, handle duplication, and indirect object access. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these process-related activities. If Failure auditing is enabled, an audit entry is generated each time the OS fails to perform one of these activities. Default: No auditing\r Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1922	Systemereignisse überwachen Mit dieser Sicherheitseinstellung wird festgelegt, ob eines der folgenden Ereignisse vom Betriebssystem überwacht wird: o Versuchte Änderung der Systemzeit o Versuchtes Starten oder Beenden des Sicherheitssystems o Versuch, erweiterbare Authentifizierungskomponenten zu laden o Verlust von überwachten Ereignissen aufgrund eines Fehlers im Überwachungssystem o Größe des Sicherheitsprotokolls überschreitet einen konfigurierbaren Warnungsschwellenwert Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur erfolgreiche bzw. nur fehlerhafte oder sowohl erfolgreiche als auch fehlerhafte Vorgänge oder grundsätzlich keine Vorgänge überwacht werden (d. h. weder erfolgreiche noch fehlerhafte Vorgänge). Ist die Erfolgsüberwachung aktiviert, wird bei jeder erfolgreichen Ausführung einer dieser Aktivitäten durch das Betriebssystem ein Überwachungseintrag generiert. Ist die Fehlerüberwachung aktiviert, wird jedes Mal, wenn das Betriebssystem eine dieser Aktivitäten nicht ausführen kann, ein Überwachungseintrag generiert. Standardeinstellung: Sicherheitsstatusänderung: Erfolg Sicherheitssystemerweiterung: Keine Überwachung Systemintegrität: Erfolg, Fehler IPsec-Treiber: Keine Überwachung Andere Systemereignisse; Erfolg, Fehler Wichtig: Um mehr Kontrolle über die Überwachungsrichtlinien zu erlangen, können Sie die Einstellungen im Knoten "Erweiterte Überwachungsrichtlinienkonfiguration" verwenden. Weitere Informationen zur erweiterten Überwachungsrichtlinienkonfiguration finden Sie unter "https://go.microsoft.com/fwlink/?LinkId=140969".	Audit system events This security setting determines whether the OS audits any of the following events: • Attempted system time change • Attempted security system startup or shutdown • Attempt to load extensible authentication components • Loss of audited events due to auditing system failure • Security log size exceeding a configurable warning threshold level. If this policy setting is defined, the administrator can specify whether to audit only successes, only failures, both successes and failures, or to not audit these events at all (i.e. neither successes nor failures). If Success auditing is enabled, an audit entry is generated each time the OS performs one of these activities successfully. If Failure auditing is enabled, an audit entry is generated each time the OS attempts and fails to perform one of these activities. Default: Security State Change Success Security System Extension No Auditing System Integrity Success, Failure IPsec Driver No Auditing Other System Events Success, Failure Important: For more control over auditing policies, use the settings in the Advanced Audit Policy Configuration node. For more information about Advanced Audit Policy Configuration, see https://go.microsoft.com/fwlink/?LinkId=140969.
1923	Auf diesen Computer vom Netzwerk aus zugreifen Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen über das Netzwerk eine Verbindung mit dem Computer herstellen können. Dieses Benutzerrecht hat keine Auswirkung auf die Remotedesktopdienste. Hinweis: Die Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Standardwert bei Arbeitsstationen und Servern: Administratoren Sicherungs-Operatoren Benutzer Jeder Standardwert bei Domänencontrollern: Administratoren Authentifizierte Benutzer Domänencontroller der Organisation Jeder Zugriff für ältere Versionen als Windows 2000 möglich	Access this computer from the network This user right determines which users and groups are allowed to connect to the computer over the network. Remote Desktop Services are not affected by this user right. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default on workstations and servers: Administrators Backup Operators Users Everyone Default on domain controllers: Administrators Authenticated Users Enterprise Domain Controllers Everyone Pre-Windows 2000 Compatible Access
1924	Einsetzen als Teil des Betriebssystems Dieses Benutzerrecht ermöglicht es einem Prozess, die Identität eines beliebigen Benutzers ohne Authentifizierung anzunehmen. Der Prozess kann dadurch auf die gleichen lokalen Ressourcen wie der Benutzer zugreifen. Für Prozesse, die diese Berechtigung erfordern, sollte das Konto "LocalSystem" verwendet werden, das diese Berechtigung bereits umfasst, anstatt ein separates Benutzerkonto zu verwenden, für das diese Berechtigung speziell zugewiesen wird. Wenn in Ihrer Organisation nur Server verwendet werden, die Mitglied der Windows Server 2003-Familie sind, müssen Sie diese Berechtigung nicht für die Benutzer innerhalb der Organisation zuweisen. Wenn in Ihrer Organisation jedoch Server verwendet werden, die unter Windows 2000 oder Windows NT 4.0 ausgeführt werden, müssen Sie diese Berechtigung möglicherweise zuweisen, um Anwendungen verwenden zu können, die Nur-Text-Kennwörter austauschen. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu. Standardwert: Kein.	Act as part of the operating system This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. Processes that require this privilege should use the LocalSystem account, which already includes this privilege, rather than using a separate user account with this privilege specially assigned. If your organization only uses servers that are members of the Windows Server 2003 family, you do not need to assign this privilege to your users. However, if your organization uses servers running Windows 2000 or Windows NT 4.0, you might need to assign this privilege to use applications that exchange passwords in plaintext. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: None.
1925	Hinzufügen von Arbeitsstationen zur Domäne Mit dieser Sicherheitseinstellung wird festgelegt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können. Diese Sicherheitseinstellung ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen. Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind. Standardwert: "Authentifizierte Benutzer" bei Domänencontrollern. Hinweis: Benutzer, die für den Active Directory-Container "Computer" die Berechtigung zum Erstellen von Computerobjekten besitzen, können auch in der Domäne Computerkonten erstellen. Der Unterschied ist, dass auf Benutzer, die über Berechtigungen für den Container verfügen, die Einschränkung zum Erstellen von maximal 10 Benutzerkonten nicht zutrifft. Darüber hinaus sind die Computerkonten, die mithilfe von "Hinzufügen von Arbeitsstationen zur Domäne" erstellt wurden, im Besitz von Domänenadministratoren, während bei Computerkonten, die mithilfe der Berechtigungen für den Container "Computer" erstellt wurden, der Ersteller des Computerkontos der Besitzer ist. Wenn ein Benutzer über Berechtigungen für den Container verfügt und auch das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" besitzt, wird der Computer basierend auf den Berechtigungen für den Container "Computer" und nicht basierend auf dem Benutzerrecht hinzugefügt.	Add workstations to domain This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.
1926	Anpassen von Speicherkontingenten für einen Prozess Mit dieser Berechtigung wird festgelegt, ob ein Benutzer den Wert für den maximalen Arbeitsspeicher ändern kann, der von einem Prozess belegt werden kann. Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert. Hinweis: Diese Berechtigung eignet sich zur Systemoptimierung, sie kann jedoch auch zu missbräuchlichen Zwecken verwendet werden, zum Beispiel bei einem Dienstverweigerungsangriff. Standardwert: Administratoren Lokaler Dienst Netzwerkdienst.	Adjust memory quotas for a process This privilege determines who can change the maximum memory that can be consumed by a process. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Note: This privilege is useful for system tuning, but it can be misused, for example, in a denial-of-service attack. Default: Administrators Local Service Network Service.
1927	Lokal anmelden Legt fest, welche Benutzer sich beim Computer anmelden können. Wichtig Änderungen an dieser Einstellung können sich auf die Kompatibilität mit Clients, Diensten und Anwendungen auswirken. Kompatibilitätsinformationen zu dieser Einstellung finden Sie unter "Lokal anmelden zulassen" (https://go.microsoft.com/fwlink/?LinkId=24268) auf der Microsoft-Website. Standardeinstellung: • Auf Arbeitsstationen und Servern: Administratoren, Sicherungsoperatoren, Hauptbenutzer, Benutzer und Gäste. • Auf Domänencontrollern: Kontenoperatoren, Administratoren, Sicherungsoperatoren und Druckoperatoren.	Log on locally Determines which users can log on to the computer. Important Modifying this setting may affect compatibility with clients, services, and applications. For compatibility information about this setting, see Allow log on locally (https://go.microsoft.com/fwlink/?LinkId=24268 ) at the Microsoft website. Default: • On workstations and servers: Administrators, Backup Operators, Power Users, Users, and Guest. • On domain controllers: Account Operators, Administrators, Backup Operators, and Print Operators.
1928	Anmelden über Remotedesktopdienste zulassen Mit dieser Sicherheitsrichtlinie wird festgelegt, welche Benutzer oder Gruppen sich als Remotedesktopdienste-Client anmelden können. Standardwert: Bei Arbeitsstationen und Servern: Administratoren, Remotedesktopbenutzer Bei Domänencontrollern: Administratoren Wichtig Diese Einstellung hat keine Auswirkung auf Computer unter Windows 2000, die noch nicht auf Service Pack 2 aktualisiert wurden.	Allow log on through Remote Desktop Services This security setting determines which users or groups have permission to log on as a Remote Desktop Services client. Default: On workstation and servers: Administrators, Remote Desktop Users. On domain controllers: Administrators. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1929	Sichern von Dateien und Verzeichnissen Mit diesem Benutzerrecht wird festgelegt, welche Benutzer die Berechtigungen für Dateien und Verzeichnisse, die Registrierung und andere beständige Objekte umgehen können, um eine Systemsicherung durchzuführen. Dieses Benutzerrecht ist insbesondere mit dem Gewähren der folgenden Berechtigungen für einen Benutzer oder eine Gruppe für alle Dateien und Ordner im System vergleichbar: Ordner durchsuchen / Datei ausführen Ordner auflisten / Daten lesen Attribute lesen Erweiterte Attribute lesen Berechtigungen lesen Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da nicht festgestellt werden kann, ob ein Benutzer Daten sichert, Daten stiehlt oder zu verteilende Daten kopiert, sollten Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zuweisen. Standardwert auf Arbeitsstationen und Servern: Administratoren Sicherungs-Operatoren. Standardwert auf Domänencontrollern: Administratoren Sicherungs-Operatoren Server-Operatoren	Back up files and directories This user right determines which users can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File List Folder/Read Data Read Attributes Read Extended Attributes Read Permissions Caution Assigning this user right can be a security risk. Since there is no way to be sure that a user is backing up data, stealing data, or copying data to be distributed, only assign this user right to trusted users. Default on workstations and servers: Administrators Backup Operators. Default on domain controllers:Administrators Backup Operators Server Operators
1930	Auslassen der durchsuchenden Überprüfung Mit diesem Benutzerrecht wird festgelegt, welche Benutzer die Verzeichnisstrukturen durchsuchen können, obwohl der Benutzer möglicherweise keine Berechtigungen für das durchsuchte Verzeichnis besitzt. Mit dieser Berechtigung kann der Benutzer nicht den Inhalt eines Verzeichnisses auflisten, sondern nur die Verzeichnisse durchsuchen. Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und der Server definiert. Standardwert auf Arbeitsstationen und Servern: Administratoren Sicherungs-Operatoren Benutzer Jeder Lokaler Dienst Netzwerkdienst Standardwert auf Domänencontrollern: Administratoren Authentifizierte Benutzer Jeder Lokaler Dienst Netzwerkdienst Prä-Windows 2000 kompatibler Zugriff	Bypass traverse checking This user right determines which users can traverse directory trees even though the user may not have permissions on the traversed directory. This privilege does not allow the user to list the contents of a directory, only to traverse directories. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Backup Operators Users Everyone Local Service Network Service Default on domain controllers: Administrators Authenticated Users Everyone Local Service Network Service Pre-Windows 2000 Compatible Access
1931	Ändern der Systemzeit Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen die Uhrzeit und das Datum der internen Uhr des Computers ändern können. Benutzer, denen dieses Benutzerrecht zugewiesen ist, können die Darstellung von Ereignisprotokollen ändern. Wenn die Systemzeit geändert wird, wird in den protokollierten Ereignissen diese neue Uhrzeit widergespiegelt und nicht die Uhrzeit, zu der die Ereignisse tatsächlich eingetreten sind. Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert. Standardwert auf Arbeitsstationen und Servern: Administratoren Lokaler Dienst Standardwert auf Domänencontrollern: Administratoren Server-Operatoren Lokaler Dienst	Change the system time This user right determines which users and groups can change the time and date on the internal clock of the computer. Users that are assigned this user right can affect the appearance of event logs. If the system time is changed, events that are logged will reflect this new time, not the actual time that the events occurred. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default on workstations and servers: Administrators Local Service Default on domain controllers: Administrators Server Operators Local Service
1932	Erstellen einer Auslagerungsdatei Mit diesem Benutzerrecht wird festgelegt, welche Benutzer und Gruppen eine interne API (Application Programming Interface) zum Erstellen und Ändern der Größe einer Auslagerungsdatei aufrufen können. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und muss keinen Benutzern zugewiesen werden. Weitere Informationen zum Angeben einer Auslagerungsdateigröße für ein bestimmtes Laufwerk finden Sie unter "So ändern Sie die Größe der Auslagerungsdatei für den virtuellen Speicher". Standardwert: Administratoren.	Create a pagefile This user right determines which users and groups can call an internal application programming interface (API) to create and change the size of a page file. This user right is used internally by the operating system and usually does not need to be assigned to any users. For information about how to specify a paging file size for a given drive, see To change the size of the virtual memory paging file. Default: Administrators.
1933	Erstellen eines Tokenobjekts Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten von den Prozessen zum Erstellen eines Tokens verwendet werden können, das dann für den Zugriff auf beliebige lokale Ressourcen eingesetzt werden kann, wenn der Prozess eine API zum Erstellen eines Zugriffstokens verwendet. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Weisen Sie dieses Benutzerrecht nicht einem Benutzer, einer Gruppe oder einem anderen Prozess als "Lokales System" zu, es sei denn, dies ist unbedingt erforderlich. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinen Benutzern, Gruppen oder Prozessen zu, die keine Kontrolle über das System erlangen sollen. Standardwert: Kein.	Create a token object This security setting determines which accounts can be used by processes to create a token that can then be used to get access to any local resources when the process uses an internal application programming interface (API) to create an access token. This user right is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default: None
1934	Erstellen globaler Objekte Durch diese Sicherheitseinstellung wird bestimmt, ob Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Benutzer können weiterhin Objekte erstellen, die sich speziell auf ihre Sitzung beziehen, falls Sie nicht dieses Benutzerrecht besitzen. Benutzer, die globale Objekte erstellen können, beeinflussen unter Umständen Prozesse, die im Rahmen von Sitzungen anderer Benutzer ausgeführt werden. Dies könnte zu Anwendungsfehlern oder Datenbeschädigung führen. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu. Standardwert: Administratoren Lokaler Dienst Netzwerkdienst Dienst	Create global objects This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users' sessions, which could lead to application failure or data corruption. Caution Assigning this user right can be a security risk. Assign this user right only to trusted users. Default: Administrators Local Service Network Service Service
1935	Erstellen von dauerhaft freigegebenen Objekten Mit diesem Benutzerrecht wird festgelegt, welche Konten von den Prozessen verwendet werden können, um ein Verzeichnisobjekt mit dem Objekt-Manager zu erstellen. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet und ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Da dieses Benutzerrecht bereits den Komponenten, die im Kernelmodus ausgeführt werden, zugewiesen ist, muss es nicht speziell zugewiesen werden. Standardwert: Kein.	Create permanent shared objects This user right determines which accounts can be used by processes to create a directory object using the object manager. This user right is used internally by the operating system and is useful to kernel-mode components that extend the object namespace. Because components that are running in kernel mode already have this user right assigned to them, it is not necessary to specifically assign it. Default: None.
1936	Debuggen von Programmen Mit diesem Benutzerrecht wird festgelegt, welche Benutzer einen Debugger an einen beliebigen Prozess oder an den Kernel anhängen können. Für Entwickler, die eigene Systemkomponenten debuggen, ist dieses Benutzerrecht nicht erforderlich. Entwickler, die neue Systemkomponenten debuggen, müssen dieses Benutzerrecht besitzen, um das Debuggen durchführen zu können. Dieses Benutzerrecht verleiht vollständigen Zugriff auf sensible und kritische Betriebssystemkomponenten. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu. Standardwert: Administratoren	Debug programs This user right determines which users can attach a debugger to any process or to the kernel. Developers who are debugging their own applications do not need to be assigned this user right. Developers who are debugging new system components will need this user right to be able to do so. This user right provides complete access to sensitive and critical operating system components. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators
1937	Zugriff vom Netzwerk auf diesen Computer verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern der Zugriff auf einen Computer über das Netzwerk verweigert wird. Diese Richtlinieneinstellung löst die Richtlinieneinstellung "Auf diesen Computer vom Netzwerk aus zugreifen" ab, wenn für ein Benutzerkonto beide Richtlinien gelten. Standardwert: Gast	Deny access to this computer from the network This security setting determines which users are prevented from accessing a computer over the network. This policy setting supersedes the Access this computer from the network policy setting if a user account is subject to both policies. Default: Guest
1938	Anmelden als Batchauftrag verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Konten verweigert wird, sich als Batchauftrag anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung "Anmelden als Stapelverarbeitungsauftrag" ab, wenn für ein Benutzerkonto beide Richtlinien gelten. Standardwert: Kein.	Deny log on as a batch job This security setting determines which accounts are prevented from being able to log on as a batch job. This policy setting supersedes the Log on as a batch job policy setting if a user account is subject to both policies. Default: None.
1939	Anmelden als Dienst verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Dienstkonten verweigert wird, einen Prozess als Dienst zu registrieren. Diese Richtlinieneinstellung löst die Richtlinie "Anmelden als Dienst" ab, wenn für ein Benutzerkonto beide Richtlinien gelten. Hinweis: Diese Sicherheitseinstellung gilt nicht für die Konten "System", "Lokaler Dienst" oder "Netzwerkdienst". Standardwert: Kein.	Deny log on as a service This security setting determines which service accounts are prevented from registering a process as a service. This policy setting supersedes the Log on as a service policy setting if an account is subject to both policies. Note: This security setting does not apply to the System, Local Service, or Network Service accounts. Default: None.
1940	Lokale Anmeldung verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern verweigert wird, sich am Computer anzumelden. Diese Richtlinieneinstellung löst die Richtlinieneinstellung "Lokal anmelden zulassen" ab, wenn für ein Benutzerkonto beide Richtlinien gelten. Wichtig Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe "Jeder" anwenden, kann sich kein Benutzer lokal anmelden. Standardwert: Kein.	Deny log on locally This security setting determines which users are prevented from logging on at the computer. This policy setting supersedes the Allow log on locally policy setting if an account is subject to both policies. Important If you apply this security policy to the Everyone group, no one will be able to log on locally. Default: None.
1941	Anmelden über Remotedesktopdienste verweigern Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern und Gruppen verweigert wird, sich als Remotedesktopdienste-Client anzumelden. Standardwert: Kein. Wichtig Diese Einstellung hat keine Auswirkung auf Computer unter Windows 2000, die noch nicht auf Service Pack 2 aktualisiert wurden.	Deny log on through Remote Desktop Services This security setting determines which users and groups are prohibited from logging on as a Remote Desktop Services client. Default: None. Important This setting does not have any effect on Windows 2000 computers that have not been updated to Service Pack 2.
1942	Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Einstellung "Für Delegierungszwecke vertraut" für einen Benutzer oder ein Computerobjekt festlegen können. Der Benutzer oder das Objekt, dem diese Berechtigung gewährt wird, muss über Schreibzugriff auf die Kontensteuerungskennzeichen für den Benutzer oder das Objekt verfügen. Ein Serverprozess, der auf einem Computer (oder unter einem Benutzerkontext) ausgeführt wird, dem für Delegierungszwecke vertraut wird, kann mithilfe der delegierten Anmeldeinformationen eines Clients auf die Ressourcen eines anderen Computers zugreifen, sofern für das Clientkonto nicht das Kontosteuerungskennzeichen "Konto kann nicht delegiert werden" festgelegt wurde. Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und der Server definiert. Achtung Die missbräuchliche Verwendung dieses Benutzerrechts oder der Einstellung "Für Delegierungszwecke vertraut" kann das Netzwerk anfällig für raffinierte Angriffe machen, bei denen ein "Trojanisches Pferd" eingesetzt wird, um die Identität des Clients einer eingehenden Verbindung anzunehmen und dann mit den Anmeldeinformationen des Clients auf die Netzwerkressourcen zuzugreifen. Standardwert: "Administratoren" bei Domänencontrollern.	Enable computer and user accounts to be trusted for delegation This security setting determines which users can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using delegated credentials of a client, as long as the client account does not have the Account cannot be delegated account control flag set. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Caution Misuse of this user right, or of the Trusted for Delegation setting, could make the network vulnerable to sophisticated attacks using Trojan horse programs that impersonate incoming clients and use their credentials to gain access to network resources. Default: Administrators on domain controllers.
1943	Erzwingen des Herunterfahrens von einem Remotesystem aus Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer einen Computer von einem Remotenetzwerkstandort aus herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Verweigerungsangriff führen. Dieses Benutzerrecht ist im Standarddomänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und der Server definiert. Standardwert: Bei Arbeitsstationen und Servern: Administratoren. Bei Domänencontrollern: Administratoren, Server-Operatoren.	Force shutdown from a remote system This security setting determines which users are allowed to shut down a computer from a remote location on the network. Misuse of this user right can result in a denial of service. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of workstations and servers. Default: On workstations and servers: Administrators. On domain controllers: Administrators, Server Operators.
1944	Generieren von Sicherheitsüberwachungen Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten ein Prozess verwenden kann, um dem Sicherheitsprotokoll Einträge hinzuzufügen. Das Sicherheitsprotokoll wird verwendet, um nicht autorisierte Systemzugriffe zu verfolgen. Die missbräuchliche Verwendung dieses Benutzerrechts kann dazu führen, dass zu viele Überwachungsereignisse generiert werden. Auf diese Weise kann möglicherweise der Beweis für einen Angriff verschleiert oder ein Dienstverweigerungsangriff verursacht werden, wenn die Sicherheitsrichtlinieneinstellung "Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können" aktiviert ist. Weitere Informationen finden Sie unter "Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können". Standardwert: Lokaler Dienst Netzwerkdienst.	Generate security audits This security setting determines which accounts can be used by a process to add entries to the security log. The security log is used to trace unauthorized system access. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial of service if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled. For more information see Audit: Shut down system immediately if unable to log security audits Default: Local Service Network Service.
1945	Annehmen der Clientidentität nach Authentifizierung Wenn einem Benutzer dieses Benutzerrecht zugewiesen wird, können Programme im Auftrag dieses Benutzers ausgeführt werden, um die Identität eines Clients anzunehmen. Wenn für diese Art von Identitätswechsel dieses Benutzerrecht angefordert wird, wird verhindert, dass ein nicht autorisierter Benutzer einen Client überzeugt, eine Verbindung (zum Beispiel über einen Remoteprozeduraufruf oder Named Pipes) mit einem Dienst herzustellen, den der nicht autorisierte Benutzer erstellt hat, und dann die Identität dieses Clients anzunehmen. Auf diese Weise kann der nicht autorisierte Benutzer seine Berechtigungsebene unrechtmäßig erhöhen und Berechtigungen auf Administrator- oder Systemebene erlangen. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu. Standardwert: Administratoren Lokaler Dienst Netzwerkdienst Dienst Hinweis: Standardmäßig verfügen Dienste, die über den Dienststeuerungs-Manager gestartet werden, über die integrierte Gruppe "Dienst", die ihren Zugriffstoken hinzugefügt wurde. Die Gruppe "Dienst" wurde auch den Zugriffstoken von COM-Servern (Component Object Model) hinzugefügt, die von der COM-Infrastruktur gestartet werden und zum Ausführen unter einem bestimmten Konto konfiguriert sind. Daher erhalten diese Dienste dieses Benutzerrecht, wenn sie gestartet werden. Darüber hinaus kann ein Benutzer auch die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen erfüllt ist. Das Zugriffstoken, dessen Identität angenommen wird, ist für diesen Benutzer vorgesehen. Der Benutzer in dieser Anmeldesitzung hat das Zugriffstoken erstellt, indem er sich beim Netzwerk mit expliziten Anmeldeinformationen angemeldet hat. Die angeforderte Ebene ist niedriger als "Identität wechseln", zum Beispiel "Anonym" oder "Identifizieren". Aufgrund dieser Faktoren benötigen Benutzer im Allgemeinen dieses Benutzerrecht nicht. Weitere Informationen erhalten Sie, indem Sie im Microsoft Plattform-SDK nach "SeImpersonatePrivilege" suchen. Warnung Wenn Sie diese Einstellung aktivieren, können Programme, die bisher über die Berechtigung "Identität wechseln" verfügt haben, dieses Privileg verlieren und daher nicht ausgeführt werden.	Impersonate a client after authentication Assigning this privilege to a user allows programs running on behalf of that user to impersonate a client. Requiring this user right for this kind of impersonation prevents an unauthorized user from convincing a client to connect (for example, by remote procedure call (RPC) or named pipes) to a service that they have created and then impersonating that client, which can elevate the unauthorized user's permissions to administrative or system levels. Caution Assigning this user right can be a security risk. Only assign this user right to trusted users. Default: Administrators Local Service Network Service Service Note: By default, services that are started by the Service Control Manager have the built-in Service group added to their access tokens. Component Object Model (COM) servers that are started by the COM infrastructure and that are configured to run under a specific account also have the Service group added to their access tokens. As a result, these services get this user right when they are started. In addition, a user can also impersonate an access token if any of the following conditions exist. The access token that is being impersonated is for this user. The user, in this logon session, created the access token by logging on to the network with explicit credentials. The requested level is less than Impersonate, such as Anonymous or Identify. Because of these factors, users do not usually need this user right. For more information, search for "SeImpersonatePrivilege" in the Microsoft Platform SDK. Warning If you enable this setting, programs that previously had the Impersonate privilege may lose it, and they may not run.
1946	Anheben der Zeitplanungspriorität Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess, der über den Zugriff "Eigenschaft schreiben" auf einen anderen Prozess verfügt, verwenden können, um die Ausführungspriorität zu erhöhen, die für den anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Zeitplanungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern. Standardwert: Administratoren.	Increase scheduling priority This security setting determines which accounts can use a process with Write Property access to another process to increase the execution priority assigned to the other process. A user with this privilege can change the scheduling priority of a process through the Task Manager user interface. Default: Administrators.
1947	Laden und Entfernen von Gerätetreibern Mit diesem Benutzerrecht wird festgelegt, welche Benutzer im Kernelmodus Gerätetreiber oder anderen Code dynamisch laden und entladen können. Dieses Benutzerrecht gilt nicht für Plug & Play-Gerätetreiber. Es wird empfohlen, dieses Benutzerrecht keinen anderen Benutzern zuzuweisen. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Weisen Sie dieses Benutzerrecht keinen Benutzern, Gruppen oder Prozessen zu, die keine Kontrolle über das System erlangen sollen. Standardwert für Arbeitsstationen und Server: Administratoren. Standardwert für Domänencontroller: Administratoren Druck-Operatoren	Load and unload device drivers This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. It is recommended that you do not assign this privilege to other users. Caution Assigning this user right can be a security risk. Do not assign this user right to any user, group, or process that you do not want to take over the system. Default on workstations and servers: Administrators. Default on domain controllers: Administrators Print Operators
1948	Sperren von Seiten im Speicher Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu belassen. Dadurch wird verhindert, dass das System Seiten in den virtuellen Speicher auf dem Datenträger auslagert. Das Ausüben dieses Rechts kann die Systemleistung erheblich beeinträchtigen, da die Größe des verfügbaren Arbeitsspeichers (RAM) verringert wird. Standardwert: Kein.	Lock pages in memory This security setting determines which accounts can use a process to keep data in physical memory, which prevents the system from paging the data to virtual memory on disk. Exercising this privilege could significantly affect system performance by decreasing the amount of available random access memory (RAM). Default: None.
1949	Anmelden als Stapelverarbeitungsauftrag Diese Sicherheitseinstellung ermöglicht es einem Benutzer, sich mithilfe einer Stapelverarbeitungs-Warteschlange anzumelden. Sie wird nur bereitgestellt, um die Kompatibilität mit älteren Versionen von Windows sicherzustellen. Wenn ein Benutzer beispielsweise einen Auftrag mithilfe der Aufgabenplanung absendet, meldet die Aufgabenplanung diesen Benutzer als Stapelverarbeitungsbenutzer und nicht als interaktiven Benutzer an. Standardwert: Administratoren Sicherungs-Operatoren.	Log on as a batch job This security setting allows a user to be logged on by means of a batch-queue facility and is provided only for compatibility with older versions of Windows. For example, when a user submits a job by means of the task scheduler, the task scheduler logs that user on as a batch user rather than as an interactive user. Default: Administrators Backup Operators.
1950	Anmelden als Dienst Diese Sicherheitseinstellung ermöglicht die Anmeldung eines Sicherheitsprinzipals als Dienst. Dienste können für die Ausführung unter den lokalen System- und Dienst- oder den Netzwerkdienstkonten ausgeführt werden, die eine vordefinierte Berechtigung zur Anmeldung als Dienst besitzen. Jedem Dienst, der unter einem gesonderten Benutzerkonto ausgeführt wird, muss die entsprechende Berechtigung erteilt werden. Standardeinstellung: Keine.	Log on as a service This security setting allows a security principal to log on as a service. Services can be configured to run under the Local System, Local Service, or Network Service accounts, which have a built in right to log on as a service. Any service that runs under a separate user account must be assigned the right. Default setting: None.
1951	Verwalten von Überwachungs- und Sicherheitsprotokollen Mit dieser Sicherheitseinstellung wird definiert, welche Benutzer Objektzugriff-Überwachungsoptionen für einzelne Ressourcen festlegen können, z. B. Dateien, Active Directory-Objekte und Registrierungsschlüssel. Diese Sicherheitseinstellung ermöglicht einem Benutzer nicht das allgemeine Aktivieren der Datei- und Objektzugriffsüberwachung. Um diese Art von Überwachung zu aktivieren, muss die Einstellung "Objektzugriffsversuche überwachen" unter "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie" konfiguriert werden. Sie können die überwachten Ereignisse im Sicherheitsprotokoll der Ereignisanzeige anzeigen. Ein Benutzer mit dieser Berechtigung kann das Sicherheitsprotokoll auch anzeigen und löschen. Standardwert: Administratoren	Manage auditing and security log This security setting determines which users can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. This security setting does not allow a user to enable file and object access auditing in general. For such auditing to be enabled, the Audit object access setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies must be configured. You can view audited events in the security log of the Event Viewer. A user with this privilege can also view and clear the security log. Default: Administrators.
1952	Verändern der Firmwareumgebungsvariablen Mit dieser Sicherheitsrichtlinie wird festgelegt, welche Benutzer die Werte der Firmwareumgebungsvariablen ändern können. Bei den Firmwareumgebungsvariablen handelt es sich um Einstellungen, die im permanenten RAM von nicht-x86-basierten Computern gespeichert werden. Die Auswirkung dieser Einstellung hängt vom Prozessor ab. Auf x86-basierten Computern kann durch Zuweisen dieses Benutzerrechts nur eine Firmwareumgebungsvariable geändert werden, und zwar die Einstellung "Letzte als funktionierend bekannte Konfiguration", die nur vom System geändert werden sollte. Auf Itanium-basierten Computern werden die Startinformationen im permanenten RAM gespeichert. Benutzern muss dieses Benutzerrecht zugewiesen werden, damit sie "bootcfg.exe" ausführen können und die Einstellung "Standardbetriebssystem" unter "Starten und Wiederherstellen" in den "Systemeigenschaften" ändern können. Dieses Benutzerrecht ist auf allen Computern erforderlich, um Windows zu installieren oder zu aktualisieren. Hinweis: Diese Sicherheitseinstellung hat keinen Einfluss darauf, welche Benutzer die Systemumgebungsvariablen und die Benutzerumgebungsvariablen ändern können, die auf der Registerkarte "Erweitert" unter "Systemeigenschaften" angezeigt werden. Weitere Informationen zum Ändern dieser Variablen finden Sie unter "So können Sie die Werte von Umgebungsvariablen hinzufügen oder entfernen". Standardwert: Administratoren.	Modify firmware environment values This security setting determines who can modify firmware environment values. Firmware environment variables are settings stored in the nonvolatile RAM of non-x86-based computers. The effect of the setting depends on the processor. On x86-based computers, the only firmware environment value that can be modified by assigning this user right is the Last Known Good Configuration setting, which should only be modified by the system. On Itanium-based computers, boot information is stored in nonvolatile RAM. Users must be assigned this user right to run bootcfg.exe and to change the Default Operating System setting on Startup and Recovery in System Properties. On all computers, this user right is required to install or upgrade Windows. Note: This security setting does not affect who can modify the system environment variables and user environment variables that are displayed on the Advanced tab of System Properties. For information about how to modify these variables, see To add or change the values of environment variables. Default: Administrators.
1953	Durchführen von Volumewartungsaufgaben Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer und Gruppen Wartungsaufgaben auf einem Volume ausführen können, zum Beispiel eine Remotedefragmentierung. Gehen Sie beim Zuweisen dieses Benutzerrechts vorsichtig vor. Benutzer mit diesem Benutzerrecht können Datenträger durchsuchen und Dateien in den Speicher erweitern, der andere Daten enthält. Wenn die erweiterten Dateien geöffnet werden, kann der Benutzer möglicherweise die so erlangten Daten lesen und ändern. Standardwert: Administratoren	Perform volume maintenance tasks This security setting determines which users and groups can run maintenance tasks on a volume, such as remote defragmentation. Use caution when assigning this user right. Users with this user right can explore disks and extend files in to memory that contains other data. When the extended files are opened, the user might be able to read and modify the acquired data. Default: Administrators
1954	Einzelprozessprofil Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Nicht-Systemprozessen zu überwachen. Standardwert: Administratoren, Hauptbenutzer.	Profile single process This security setting determines which users can use performance monitoring tools to monitor the performance of non system processes. Default: Administrators, Power users.
1955	Erstellen eines Profils der Systemleistung Mit dieser Systemeinstellung wird festgelegt, welche Benutzer die Leistungsüberwachungstools verwenden können, um die Leistung von Systemprozessen zu überwachen. Standardwert: Administratoren.	Profile system performance This security setting determines which users can use performance monitoring tools to monitor the performance of system processes. Default: Administrators.
1956	Entfernen des Computers von der Dockingstation Mit dieser Sicherheitseinstellung wird festgelegt, ob ein Benutzer einen tragbaren Computer aus der Dockingstation herausnehmen kann, ohne sich anzumelden. Wenn diese Richtlinie aktiviert ist, muss sich der Benutzer anmelden, bevor er den tragbaren Computer aus der Dockingstation entfernt. Wenn diese Richtlinie deaktiviert ist, kann der Benutzer den tragbaren Computer aus der Dockingstation herausnehmen, ohne sich anzumelden. Standardwert: Administratoren, Hauptbenutzer, Benutzer	Remove computer from docking station This security setting determines whether a user can undock a portable computer from its docking station without logging on. If this policy is enabled, the user must log on before removing the portable computer from its docking station. If this policy is disabled, the user may remove the portable computer from its docking station without logging on. Default: Administrators, Power Users, Users
1957	Ersetzen eines Tokens auf Prozessebene Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzerkonten die CreateProcessAsUser()-API aufrufen können, damit ein Dienst einen anderen Dienst starten kann. Ein Beispiel für einen Prozess, der dieses Benutzerrecht verwendet, ist die Aufgabenplanung. Weitere Informationen zur Aufgabenplanung finden Sie in der Übersicht zur Aufgabenplanung. Standardwert: Netzwerkdienst, Lokaler Dienst.	Replace a process level token This security setting determines which user accounts can call the CreateProcessAsUser() application programming interface (API) so that one service can start another. An example of a process that uses this user right is Task Scheduler. For information about Task Scheduler, see Task Scheduler overview. Default: Network Service, Local Service.
1958	Wiederherstellen von Dateien und Verzeichnissen Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer Berechtigungen für Dateien, Verzeichnisse, Registrierung und andere beständige Objekte beim Wiederherstellen von gesicherten Dateien und Verzeichnissen umgehen können, und legt fest, welche Benutzer einen beliebigen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen können. Dieses Benutzerrecht ist insbesondere mit dem Gewähren der folgenden Berechtigungen für den jeweiligen Benutzer bzw. die jeweilige Gruppe für alle Dateien und Ordner im System vergleichbar: Ordner durchsuchen/Datei ausführen Schreiben Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da Benutzer mit diesem Benutzerrecht Registrierungseinstellungen überschreiben, Daten ausblenden und den Besitz von Systemobjekten erwerben können, sollte dieses Benutzerrecht nur vertrauenswürdigen Benutzern zugewiesen werden. Standardwert: Arbeitsstationen und Server: Administratoren, Sicherungs-Operatoren. Domänencontroller: Administratoren, Sicherungs-Operatoren, Server-Operatoren.	Restore files and directories This security setting determines which users can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories, and determines which users can set any valid security principal as the owner of an object. Specifically, this user right is similar to granting the following permissions to the user or group in question on all files and folders on the system: Traverse Folder/Execute File Write Caution Assigning this user right can be a security risk. Since users with this user right can overwrite registry settings, hide data, and gain ownership of system objects, only assign this user right to trusted users. Default: Workstations and servers: Administrators, Backup Operators. Domain controllers: Administrators, Backup Operators, Server Operators.
1959	Herunterfahren des Systems Mit dieser Sicherheitseinstellung wird festgelegt, welche lokal am Computer angemeldeten Benutzer das Betriebssystem mit dem Befehl "Herunterfahren" herunterfahren können. Die missbräuchliche Verwendung dieses Benutzerrechts kann zu einem Dienstverweigerungsangriff führen. Standardwert für Arbeitsstationen: Administratoren, Sicherungs-Operatoren, Benutzer. Standardwert für Server: Administratoren, Sicherungs-Operatoren. Standardwert für Domänencontroller: Administratoren, Sicherungs-Operatoren, Server-Operatoren, Druck-Operatoren.	Shut down the system This security setting determines which users who are logged on locally to the computer can shut down the operating system using the Shut Down command. Misuse of this user right can result in a denial of service. Default on Workstations: Administrators, Backup Operators, Users. Default on Servers: Administrators, Backup Operators. Default on Domain controllers: Administrators, Backup Operators, Server Operators, Print Operators.
1960	Synchronisieren von Verzeichnisdienstdaten Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer und Gruppen berechtigt sind, alle Verzeichnisdienstdaten zu synchronisieren. Dies wird auch als Active Directory-Synchronisierung bezeichnet. Standardwert: Kein.	Synchronize directory service data This security setting determines which users and groups have the authority to synchronize all directory service data. This is also known as Active Directory synchronization. Defaults: None.
1961	Übernehmen des Besitzes von Dateien und Objekten Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer den Besitz eines beliebigen sicherungsfähigen Objekts im System übernehmen können, einschließlich Active Directory-Objekten, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozessen und Threads. Achtung Das Zuweisen dieses Benutzerrechts kann ein Sicherheitsrisiko darstellen. Da die Besitzer von Objekten die vollständige Kontrolle über diese Objekte besitzen, sollten Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zuweisen. Standardwert: Administratoren.	Take ownership of files or other objects This security setting determines which users can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. Caution Assigning this user right can be a security risk. Since owners of objects have full control of them, only assign this user right to trusted users. Default: Administrators.
1962	Konten: Administratorkontostatus Mit dieser Sicherheitseinstellung wird festgelegt, ob das lokale Administratorkonto aktiviert oder deaktiviert ist. Hinweise Wenn Sie das Administratorkonto nicht wieder aktivieren, nachdem es deaktiviert wurde, und wenn das aktuelle Administratorkennwort nicht den Kennwortanforderungen entspricht, können Sie das Konto nicht wieder aktivieren. In diesem Fall muss ein anderes Mitglied der Administratorengruppe das Kennwort für das Administratorkonto zurücksetzen. Weitere Informationen zum Zurücksetzen des Kennworts finden Sie unter "So setzen Sie ein Kennwort zurück". Das Deaktivieren des Administratorkontos kann unter Umständen zu einem Wartungsproblem werden. Bei Starts im abgesicherten Modus wird das deaktivierte Administratorkonto nur aktiviert, falls der Computer keiner Domäne angehört und keine anderen lokalen aktiven Administratorkonten vorhanden sind. Falls der Computer einer Domäne angehört, wird das deaktivierte Administratorkonto nicht aktiviert. Standardwert: Aktiviert.	Accounts: Administrator account status This security setting determines whether the local Administrator account is enabled or disabled. Notes If you try to reenable the Administrator account after it has been disabled, and if the current Administrator password does not meet the password requirements, you cannot reenable the account. In this case, an alternative member of the Administrators group must reset the password on the Administrator account. For information about how to reset a password, see To reset a password. Disabling the Administrator account can become a maintenance issue under certain circumstances. Under Safe Mode boot, the disabled Administrator account will only be enabled if the machine is non-domain joined and there are no other local active administrator accounts. If the computer is domain joined the disabled administrator will not be enabled. Default: Disabled.
1963	Konten: Gastkontenstatus Mit dieser Sicherheitseinstellung wird festgelegt, ob das Gastkonto aktiviert oder deaktiviert ist. Standardwert: Deaktiviert. Hinweis: Wenn das Gastkonto deaktiviert ist und die Sicherheitsoption "Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten" auf "Nur Gast" festgelegt ist, sind Netzwerkanmeldungen, die zum Beispiel vom Microsoft-Netzwerk (Server) ausgeführt werden (SMB-Dienst), nicht erfolgreich.	Accounts: Guest account status This security setting determines if the Guest account is enabled or disabled. Default: Disabled. Note: If the Guest account is disabled and the security option Network Access: Sharing and Security Model for local accounts is set to Guest Only, network logons, such as those performed by the Microsoft Network Server (SMB Service), will fail.
1964	Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken Mit dieser Sicherheitseinstellung wird festgelegt, ob lokale Konten, die nicht kennwortgeschützt sind, verwendet werden können, um sich nicht über die physische Computerkonsole, sondern von anderen Standorten aus anzumelden. Wenn diese Einstellung aktiviert ist, können sich Benutzer mithilfe der nicht kennwortgeschützten lokalen Konten nur über die Konsole des Computers anmelden. Standardwert: Aktiviert. Achtung: Computer, die sich nicht an sicheren Standorten befinden, sollten immer die Richtlinien für sichere Kennwörter für alle lokalen Benutzerkonten erzwingen. Andernfalls kann sich jede Person, die sich an den Computer setzt, mit einem Benutzerkonto, das nicht kennwortgeschützt ist, am Computer anmelden. Dies muss insbesondere bei tragbaren Computern berücksichtigt werden. Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe "Jeder" anwenden, kann sich keine Person über die Remotedesktopdienste anmelden. Hinweise Diese Einstellung wirkt sich nicht auf Anmeldungen über Domänenkonten aus. Diese Einstellung kann von Anwendungen umgangen werden, die interaktive Remoteanmeldungen verwenden. Hinweis: Die Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet.	Accounts: Limit local account use of blank passwords to console logon only This security setting determines whether local accounts that are not password protected can be used to log on from locations other than the physical computer console. If enabled, local accounts that are not password protected will only be able to log on at the computer's keyboard. Default: Enabled. Warning: Computers that are not in physically secure locations should always enforce strong password policies for all local user accounts. Otherwise, anyone with physical access to the computer can log on by using a user account that does not have a password. This is especially important for portable computers. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services. Notes This setting does not affect logons that use domain accounts. It is possible for applications that use remote interactive logons to bypass this setting. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server.
1965	Konten: Administratorkonto umbenennen Mit dieser Sicherheitseinstellung wird festgelegt, ob mit dem Sicherheitsbezeichner (SID) für das Konto "Administrator" ein anderer Kontoname verknüpft ist. Durch das Umbenennen des bekannten Kontos "Administrator" kann erreicht werden, dass es für nicht autorisierte Personen etwas schwieriger ist, die Benutznamen- und Kennwortkombination für das Administratorkonto herauszufinden. Standardwert: Administrator.	Accounts: Rename administrator account This security setting determines whether a different account name is associated with the security identifier (SID) for the account Administrator. Renaming the well-known Administrator account makes it slightly more difficult for unauthorized persons to guess this privileged user name and password combination. Default: Administrator.
1966	Konten: Gastkonto umbenennen Mit dieser Sicherheitseinstellung wird festgelegt, ob mit dem Sicherheitsbezeichner (SID) für das Konto "Gast" ein anderer Kontoname verknüpft ist. Durch das Umbenennen des bekannten Kontos "Gast" kann erreicht werden, dass es für nicht autorisierte Personen etwas schwieriger ist, die Benutznamen- und Kennwortkombination für das Gastkonto herauszufinden. Standardwert: Gast.	Accounts: Rename guest account This security setting determines whether a different account name is associated with the security identifier (SID) for the account "Guest." Renaming the well-known Guest account makes it slightly more difficult for unauthorized persons to guess this user name and password combination. Default: Guest.
1967	Überwachung: Zugriff auf globale Systemobjekte prüfen Mit dieser Richtlinieneinstellung wird festgelegt, ob der Zugriff auf globale Systemobjekte überwacht wird. Wenn diese Richtlinie aktiviert ist, werden Systemobjekte, zum Beispiel Mutex-Objekte, Ereignisse, Semaphoren und DOS-Geräte, mit einer standardmäßigen Zugriffssteuerungsliste für das System (SACL) erstellt. Nur benannten Objekten wird eine SACL zugewiesen; SACLs werden nicht für unbenannte Objekte vergeben. Wenn auch die Überwachungsrichtlinie "Objektzugriffsversuche überwachen" aktiviert ist, wird der Zugriff auf diese Systemobjekte überwacht. Hinweis: Wenn diese Sicherheitseinstellung konfiguriert wird, werden Änderungen erst nach dem Neustart von Windows wirksam. Standardwert: Deaktiviert.	Audit: Audit the access of global system objects This security setting determines whether to audit the access of global system objects. If this policy is enabled, it causes system objects, such as mutexes, events, semaphores and DOS devices, to be created with a default system access control list (SACL). Only named objects are given a SACL; SACLs are not given to objects without names. If the Audit object access audit policy is also enabled, access to these system objects is audited. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
1968	Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen Mit dieser Sicherheitseinstellung wird festgelegt, ob die Verwendung aller Benutzerrechte, einschließlich des Sicherungs- und Wiederherstellungsrechts, überwacht wird, wenn die Richtlinie "Rechteverwendung überwachen" aktiviert ist. Wenn diese Option und die Richtlinie "Rechteverwendung überwachen" aktiviert sind, wird für jede Datei, die gesichert oder wiederhergestellt wird, ein Überwachungsereignis generiert. Wenn Sie diese Richtlinie deaktivieren, wird die Verwendung des Sicherungs- und Wiederherstellungsrechts nicht überwacht, auch wenn die Richtlinie "Rechteverwendung überwachen" aktiviert ist. Hinweis: Wird diese Sicherheitseinstellung auf älteren Windows-Versionen als Windows Vista konfiguriert, werden Änderungen erst beim Neustart von Windows wirksam. Durch Aktivieren dieser Einstellung kann eine Vielzahl von Ereignissen ausgelöst werden; während eines Sicherungsvorgangs sind gelegentlich Hunderte von Ereignissen pro Sekunde möglich. Standardwert: Deaktiviert.	Audit: Audit the use of Backup and Restore privilege This security setting determines whether to audit the use of all user privileges, including Backup and Restore, when the Audit privilege use policy is in effect. Enabling this option when the Audit privilege use policy is also enabled generates an audit event for every file that is backed up or restored. If you disable this policy, then use of the Backup or Restore privilege is not audited even when Audit privilege use is enabled. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Enabling this setting can cause a LOT of events, sometimes hundreds per second, during a backup operation. Default: Disabled.
1969	Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können Mit dieser Sicherheitseinstellung wird festgelegt, ob das System heruntergefahren wird, wenn keine Sicherheitsereignisse protokolliert werden können. Wenn diese Sicherheitseinstellung aktiviert ist, wird das Herunterfahren des Systems veranlasst, wenn eine Sicherheitsüberwachung aus einem bestimmten Grund nicht protokolliert werden kann. Ein Ereignis kann im Allgemeinen nicht protokolliert werden, wenn das Sicherheitsprotokoll voll ist und für das Sicherheitsprotokoll die Aufbewahrungsmethode "Ereignisse nicht überschreiben" oder "Ereignisse auf Tagen basierend überschreiben" angegeben ist. Wenn das Sicherheitsprotokoll voll ist und ein vorhandener Eintrag nicht überschrieben werden kann und diese Sicherheitsoption aktiviert ist, wird der folgende Abbruchfehler angezeigt: STOPP: C0000244 {Überwachung fehlgeschlagen} Beim Versuch, eine Sicherheitsüberwachung zu generieren, ist ein Fehler aufgetreten. Zum Wiederherstellen des Systems muss sich ein Administrator anmelden, das Protokoll archivieren (optional), das Protokoll löschen und diese Option wie gewünscht zurücksetzen. Solange diese Sicherheitseinstellung nicht zurückgesetzt ist, können sich nur Mitglieder der Administratorgruppe beim System anmelden, auch wenn das Sicherheitsprotokoll nicht voll ist. Hinweis: Wird diese Sicherheitseinstellung auf älteren Windows-Versionen als Windows Vista konfiguriert, werden Änderungen erst nach dem Neustart von Windows wirksam. Standardwert: Deaktiviert.	Audit: Shut down system immediately if unable to log security audits This security setting determines whether the system shuts down if it is unable to log security events. If this security setting is enabled, it causes the system to stop if a security audit cannot be logged for any reason. Typically, an event fails to be logged when the security audit log is full and the retention method that is specified for the security log is either Do Not Overwrite Events or Overwrite Events by Days. If the security log is full and an existing entry cannot be overwritten, and this security option is enabled, the following Stop error appears: STOP: C0000244 {Audit Failed} An attempt to generate a security audit failed. To recover, an administrator must log on, archive the log (optional), clear the log, and reset this option as desired. Until this security setting is reset, no users, other than a member of the Administrators group will be able to log on to the system, even if the security log is not full. Note: On Windows versions prior to Windows Vista configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
1970	Geräte: Entfernen ohne vorherige Anmeldung erlauben Mit dieser Sicherheitseinstellung wird festgelegt, ob ein tragbarer Computer aus der Dockingstation entfernt werden kann, ohne sich anzumelden. Wenn diese Richtlinie aktiviert ist, ist eine Anmeldung nicht erforderlich, und der Benutzer kann den Computer mit einer externen Hardwareauswurftaste aus der Dockingstation entfernen. Wenn diese Einstellung aktiviert ist, muss sich ein Benutzer anmelden und über das Recht "Entfernen des Computers von der Dockingstation" verfügen, um den Computer aus der Dockingstation entfernen zu können. Standardwert: Aktiviert. Achtung Durch das Deaktivieren dieser Richtlinie werden Benutzer dazu verleitet, den Laptop nicht mit der externen Hardwareauswurftaste aus der Dockingstation zu entfernen. Da die Hardware hierdurch beschädigt werden kann, sollte diese Einstellung im Allgemeinen nur bei Laptopkonfigurationen deaktiviert werden, die physisch gesichert werden können.	Devices: Allow undock without having to log on This security setting determines whether a portable computer can be undocked without having to log on. If this policy is enabled, logon is not required and an external hardware eject button can be used to undock the computer. If disabled, a user must log on and have the Remove computer from docking station privilege to undock the computer. Default: Enabled. Caution Disabling this policy may tempt users to try and physically remove the laptop from its docking station using methods other than the external hardware eject button. Since this may cause damage to the hardware, this setting, in general, should only be disabled on laptop configurations that are physically securable.
1971	Geräte: Formatieren und Auswerfen von Wechselmedien zulassen Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer NTFS-Wechselmedien formatieren und auswerfen können. Diese Berechtigung kann für folgende Benutzergruppen festgelegt werden: Administratoren Administratoren und interaktive Benutzer Standardwert: Diese Richtlinie ist nicht definiert, und nur Administratoren ist diese Berechtigung zugewiesen.	Devices: Allowed to format and eject removable media This security setting determines who is allowed to format and eject removable NTFS media. This capability can be given to: Administrators Administrators and Interactive Users Default: This policy is not defined and only Administrators have this ability.
1972	Geräte: Benutzern das Installieren von Druckertreibern beim Herstellen einer Verbindung mit freigegebenen Druckern nicht erlauben Damit über einen Computer auf einem freigegebenen Drucker gedruckt werden kann, muss der Treiber für diesen freigegebenen Drucker auf dem lokalen Computer installiert sein. Mit dieser Sicherheitseinstellung wird festgelegt, welchen Benutzern erlaubt wird, beim Herstellen einer Verbindung mit freigegebenen Druckern einen Druckertreiber zu installieren. Wenn diese Einstellung aktiviert ist, können nur Administratoren beim Herstellen einer Verbindung mit freigegebenen Druckern einen Druckertreiber installieren. Wenn diese Einstellung deaktiviert ist, können alle Benutzer beim Herstellen einer Verbindung mit freigegebenen Druckern einen Druckertreiber installieren. Standardwert für Server: Aktiviert. Standardwert für Arbeitsstationen: Deaktiviert. Hinweise Diese Einstellung hat keine Auswirkung auf die Möglichkeit, einen lokalen Drucker hinzuzufügen. Diese Einstellung hat keine Auswirkung auf Administratoren.	Devices: Prevent users from installing printer drivers when connecting to shared printers For a computer to print to a shared printer, the driver for that shared printer must be installed on the local computer. This security setting determines who is allowed to install a printer driver as part of connecting to a shared printer. If this setting is enabled, only Administrators can install a printer driver as part of connecting to a shared printer. If this setting is disabled, any user can install a printer driver as part of connecting to a shared printer. Default on servers: Enabled. Default on workstations: Disabled Notes This setting does not affect the ability to add a local printer. This setting does not affect Administrators.
1973	Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken Mit dieser Sicherheitsrichtlinie wird festgelegt, ob lokale Benutzer und Remotebenutzer gleichzeitig auf eine CD-ROM zugreifen können. Wenn diese Richtlinie aktiviert ist, können nur die interaktiv angemeldeten Benutzer auf CD-ROM-Wechselmedien zugreifen. Wenn diese Richtlinie aktiviert ist und keine Benutzer interaktiv angemeldet sind, kann über das Netzwerk auf die CD-ROM zugegriffen werden. Standardwert: Diese Richtlinie ist nicht definiert, und Zugriff auf CD-ROM-Laufwerke ist nicht auf lokal angemeldete Benutzer beschränkt.	Devices: Restrict CD-ROM access to locally logged-on user only This security setting determines whether a CD-ROM is accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable CD-ROM media. If this policy is enabled and no one is logged on interactively, the CD-ROM can be accessed over the network. Default: This policy is not defined and CD-ROM access is not restricted to the locally logged-on user.
1974	Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken Mit dieser Sicherheitseinstellung wird festgelegt, ob lokale Benutzer und Remotebenutzer gleichzeitig auf Wechselmedien im Diskettenlaufwerk zugreifen können. Wenn diese Richtlinie aktiviert ist, können nur interaktiv angemeldete Benutzer auf Wechselmedien im Diskettenlaufwerk zugreifen. Wenn diese Richtlinie aktiviert ist und kein Benutzer interaktiv angemeldet ist, kann über das Netzwerk auf das Diskettenlaufwerk zugegriffen werden. Standardwert: Diese Richtlinie ist nicht definiert, und Zugriff auf Diskettenlaufwerke ist nicht auf lokal angemeldete Benutzer beschränkt.	Devices: Restrict floppy access to locally logged-on user only This security setting determines whether removable floppy media are accessible to both local and remote users simultaneously. If this policy is enabled, it allows only the interactively logged-on user to access removable floppy media. If this policy is enabled and no one is logged on interactively, the floppy can be accessed over the network. Default: This policy is not defined and floppy disk drive access is not restricted to the locally logged-on user.
1975	Geräte: Verhalten bei der Installation von nichtsignierten Treibern Mit dieser Richtlinieneinstellung wird festgelegt, was geschieht, wenn versucht wird, einen Gerätetreiber (über die Setup-API) zu installieren, der nicht vom Windows Hardware Quality Lab (WHQL) gestestet wurde. Gültige Optionen: Ohne Warnung akzeptieren Warnen, aber Installation erlauben Installation nicht erlauben Standardwert: Warnen, aber Installation erlauben.	Devices: Unsigned driver installation behavior This security setting determines what happens when an attempt is made to install a device driver (by means of Setup API) that has not been tested by the Windows Hardware Quality Lab (WHQL). The options are: Silently succeed Warn but allow installation Do not allow installation Default: Warn but allow installation.
1976	Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben Mit dieser Sicherheitseinstellung wird festgelegt, ob Server-Operatoren Aufträge mithilfe des AT-Zeitplans absenden können. Hinweis: Diese Sicherheitseinstellung wirkt sich nur auf den AT-Zeitplan aus; sie hat keine Auswirkung auf die Aufgabenplanung. Standardwert: Diese Richtlinie ist nicht definiert, das heißt, für das System ist die Richtlinie deaktiviert.	Domain controller: Allow server operators to schedule tasks This security setting determines if Server Operators are allowed to submit jobs by means of the AT schedule facility. Note: This security setting only affects the AT schedule facility; it does not affect the Task Scheduler facility. Default: This policy is not defined, which means that the system treats it as disabled.
1977	Domänencontroller: Signaturanforderungen für LDAP-Server Mit dieser Richtlinieneinstellung wird wie folgt festgelegt, ob der LDAP-Server eine Signaturaushandlung mit LDAP-Client erfordert: Kein: Es ist keine Datensignatur erforderlich, um eine Bindung mit dem Server herzustellen. Wenn der Client eine Datensignatur anfordert, unterstützt der Server diese Anforderung. Signatur erforderlich: Die Option zur LDAP-Datensignatur muss ausgehandelt werden, es sei denn, TLS\SSL wird verwendet. Standardwert: Nicht definiert; dies hat die gleiche Wirkung wie "Kein". Achtung Wenn Sie für den Server die Einstellung "Signatur erforderlich" festlegen, müssen Sie auch den Client festlegen. Wenn Sie den Client nicht festlegen, kann die Verbindung mit dem Server verloren gehen. Hinweise Diese Einstellung hat keine Auswirkung auf "ldap_simple_bind" oder "ldap_simple_bind" durch SSL. Keiner der Microsoft LDAP-Clients, die mit Windows XP Professional ausgeliefert werden, verwendet "ldap_simple_bind" oder "ldap_simple_bind" durch SLL, um mit einem Domänencontroller zu kommunizieren. Wenn eine Signatur erforderlich ist, werden die Anforderungen "ldap_simple_bind" und "ldap_simple_bind" durch SSL abgelehnt. Keiner der Microsoft LDAP-Clients, die unter Windows XP Professional oder der Windows Server 2003-Familie ausgeführt werden, verwendet "ldap_simple_bind" oder "ldap_simple_bind" durch SSL, um eine Bindung mit einem Verzeichnisdienst herzustellen.	Domain controller: LDAP server signing requirements This security setting determines whether the LDAP server requires signing to be negotiated with LDAP clients, as follows: None: Data signing is not required in order to bind with the server. If the client requests data signing, the server supports it. Require signature: Unless TLS\SSL is being used, the LDAP data signing option must be negotiated. Default: This policy is not defined, which has the same effect as None. Caution If you set the server to Require Signature, you must also set the client. Not setting the client results in loss of connection with the server. Notes This setting does not have any impact on LDAP simple bind or LDAP simple bind through SSL. No Microsoft LDAP clients that are shipped with Windows XP Professional use LDAP simple bind or LDAP simple bind through SSL to talk to a domain controller. If signing is required, then LDAP simple bind and LDAP simple bind through SSL requests are rejected. No Microsoft LDAP clients running Windows XP Professional or the Windows Server 2003 family use LDAP simple bind or LDAP simple bind through SSL to bind to directory service.
1978	Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern Mit dieser Richtlinieneinstellung wird festgelegt, ob Domänencontroller Anforderungen zum Ändern von Computerkontenkennwörtern von Mitgliedscomputern ablehnen. Standardmäßig werden die Computerkontenkennwörter der Mitgliedscomputer alle 30 Tage geändert. Wenn diese Einstellung aktiviert ist, verweigert der Domänencontroller die Anforderungen zum Ändern von Computerkontenkennwörtern. Durch das Aktivieren dieser Einstellung wird verhindert, dass ein Domänencontroller Änderungen des Kennworts eines Computerkontos akzeptiert. Standardwert: Diese Richtlinie ist nicht definiert, das heißt, für das System ist die Richtlinie deaktiviert.	Domain controller: Refuse machine account password changes This security setting determines whether domain controllers will refuse requests from member computers to change computer account passwords. By default, member computers change their computer account passwords every 30 days. If enabled, the domain controller will refuse computer account password change requests. If it is enabled, this setting does not allow a domain controller to accept any changes to a computer account's password. Default: This policy is not defined, which means that the system treats it as Disabled.
1979	Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte Datenverkehr durch den sicheren Kanal signiert oder verschlüsselt werden muss. Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, verwendet es das Kennwort des Computerkontos, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, die LSA/SID-Namenssuche usw. auszuführen. Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänemitglied initiierte Datenverkehr durch den sicheren Kanal den minimalen Sicherheitsanforderungen entspricht. Die Einstellung legt insbesondere fest, ob der gesamte vom Domänemitglied initiierte Datenverkehr durch den sicheren Kanal signiert oder verschlüsselt werden muss. Wenn diese Richtlinie aktiviert ist, wird der sichere Kanal nur eingerichtet, wenn die Signatur oder Verschlüsselung des gesamten Datenverkehrs des sicheren Kanals ausgehandelt wird. Wenn diese Richtlinie deaktiviert wird, wird die Verschlüsselung und Signatur des gesamten Datenverkehrs durch den sicheren Kanal mit dem Domänencontroller ausgehandelt. In diesem Fall hängt die Signatur- und Verschlüsselungsstufe von der Version des Domänencontrollers und den Einstellungen für die folgenden beiden Richtlinien ab: Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) Standardeinstellung: Aktiviert Hinweise: Wenn diese Richtlinie aktiviert ist, wird unabhängig von der aktuellen Richtlinieneinstellung angenommen, dass "Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)" aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, zumindest die Signatur der Daten des sicheren Kanals auszuhandeln. Wenn diese Richtlinie aktiviert ist, wird unabhängig von der aktuellen Richtlinieneinstellung angenommen, dass "Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)" aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, zumindest die Signatur der Daten des sicheren Kanals auszuhandeln. Über den sicheren Kanal übertragene Anmeldeinformationen werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung ALLER anderen Daten des sicheren Kanals vereinbart wird.	Domain member: Digitally encrypt or sign secure channel data (always) This security setting determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not all secure channel traffic initiated by the domain member meets minimum security requirements. Specifically it determines whether all secure channel traffic initiated by the domain member must be signed or encrypted. If this policy is enabled, then the secure channel will not be established unless either signing or encryption of all secure channel traffic is negotiated. If this policy is disabled, then encryption and signing of all secure channel traffic is negotiated with the Domain Controller in which case the level of signing and encryption depends on the version of the Domain Controller and the settings of the following two policies: Domain member: Digitally encrypt secure channel data (when possible) Domain member: Digitally sign secure channel data (when possible) Default: Enabled. Notes: If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. If this policy is enabled, the policy Domain member: Digitally sign secure channel data (when possible) is assumed to be enabled regardless of its current setting. This ensures that the domain member attempts to negotiate at least signing of the secure channel traffic. Logon information transmitted over the secure channel is always encrypted regardless of whether encryption of ALL other secure channel traffic is negotiated or not.
1980	Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Verschlüsslung für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln. Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, verwendet es das Kennwort des Computerkontos, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, LSA/SID-Namenssuche usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Verschlüsslung für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln. Wenn die Einstellung aktiviert ist, fordert das Domänenmitglied die Verschlüsselung aller Daten des sicheren Kanals an. Unterstützt der Domänencontroller die Verschlüsselung des gesamten Datenverkehrs durch den sicheren Kanal, wird der gesamte Datenverkehr des sicheren Kanals verschlüsselt. Andernfalls werden nur über den sicheren Kanal übertragene Anmeldeinformationen verschlüsselt. Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied nicht, die Verschlüsselung der Daten des sicheren Kanals auszuhandeln. Standardeinstellung: Aktiviert Wichtig Es sind keine Gründe bekannt, die für die Deaktivierung dieser Einstellung sprechen. Neben der unnötigen Verringerung der potenziellen Vertraulichkeitsstufe des sicheren Kanals kann das Deaktivieren dieser Einstellung zu einer ebenso unnötigen Reduzierung des Durchsatzes des sicheren Kanals führen, da gleichzeitige API-Aufrufe über den sicheren Kanal nur möglich sind, wenn der sichere Kanal signiert oder verschlüsselt ist. Hinweis: Domänencontroller sind auch Domänenmitglieder und richten sichere Kanäle mit anderen Domänencontrollern in derselben Domäne sowie mit Domänencontrollern in vertrauten Domänen ein.	Domain member: Digitally encrypt secure channel data (when possible) This security setting determines whether a domain member attempts to negotiate encryption for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate encryption for all secure channel traffic that it initiates. If enabled, the domain member will request encryption of all secure channel traffic. If the domain controller supports encryption of all secure channel traffic, then all secure channel traffic will be encrypted. Otherwise only logon information transmitted over the secure channel will be encrypted. If this setting is disabled, then the domain member will not attempt to negotiate secure channel encryption. Default: Enabled. Important There is no known reason for disabling this setting. Besides unnecessarily reducing the potential confidentiality level of the secure channel, disabling this setting may unnecessarily reduce secure channel throughput, because concurrent API calls that use the secure channel are only possible when the secure channel is signed or encrypted. Note: Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.
1981	Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Signatur für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln. Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, verwendet es das Kennwort des Computerkontos, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, LSA/SID-Namenssuche usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Signatur für den gesamten von ihm initiierten Datenverkehr durch den sicheren Kanal auszuhandeln. Wenn die Einstellung aktiviert ist, fordert das Domänenmitglied die Signatur aller Daten des sicheren Kanals an. Unterstützt der Domänencontroller die Signatur des gesamten Datenverkehrs durch den sicheren Kanal, werden alle Daten des sicheren Kanals signiert. Dadurch wird sichergestellt, dass die Daten bei der Übertragung nicht verfälscht werden. Standardeinstellung: Aktiviert Hinweise: Wenn die Richtlinie "Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)" aktiviert ist, wird unabhängig von der aktuellen Einstellung davon ausgegangen, dass diese Richtlinie aktiviert ist. Domänencontroller sind auch Domänenmitglieder und richten sichere Kanäle mit anderen Domänencontrollern in derselben Domäne sowie mit Domänencontrollern in vertrauten Domänen ein.	Domain member: Digitally sign secure channel data (when possible) This security setting determines whether a domain member attempts to negotiate signing for all secure channel traffic that it initiates. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller for its domain. This secure channel is used to perform operations such as NTLM pass through authentication, LSA SID/name Lookup etc. This setting determines whether or not the domain member attempts to negotiate signing for all secure channel traffic that it initiates. If enabled, the domain member will request signing of all secure channel traffic. If the Domain Controller supports signing of all secure channel traffic, then all secure channel traffic will be signed which ensures that it cannot be tampered with in transit. Default: Enabled. Notes: If the policy Domain member: Digitally encrypt or sign secure channel data (always) is enabled, then this policy is assumed to be enabled regardless of its current setting. Domain controllers are also domain members and establish secure channels with other domain controllers in the same domain as well as domain controllers in trusted domains.
1982	Domänenmitglied: Maximalalter von Computerkontenkennwörtern Diese Sicherheitseinstellung bestimmt, wie oft ein Domänenmitglied das Kennwort für sein Computerkonto ändern muss. Standardeinstellung: 30 Tage Wichtig Diese Einstellung gilt für Computer unter Windows 2000, sie ist jedoch nicht über die Sicherheitskonfigurations-Manager-Tools auf diesen Computern verfügbar.	Domain member: Maximum machine account password age This security setting determines how often a domain member will attempt to change its computer account password. Default: 30 days. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.
1983	Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Durch diese Sicherheitseinstellung wird bestimmt, ob die 128-Bit-Schlüsselstärke für verschlüsselte Daten des sicheren Kanals erforderlich ist. Beim Hinzufügen eines Computers zu einer Domäne wird ein Computerkonto erstellt. Wenn das System anschließend gestartet wird, wird das Kennwort des Computerkontos verwendet, um einen sicheren Kanal mit einem Domänencontroller für die Domäne zu erstellen. Der sichere Kanal wird verwendet, um Vorgänge wie die NTLM-Passthrough-Authentifizierung, LSA/SID-Namenssuche usw. auszuführen. Basierend auf der Windows-Version des Domänencontrollers, mit dem das Domänenmitglied kommuniziert, und den Einstellungen der folgenden Parameter: Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Einige oder alle über den sicheren Kanal übertragenen Informationen werden verschlüsselt. Durch diese Richtlinieneinstellung wird bestimmt, ob die 128-Bit-Schlüsselstärke für die verschlüsselten Informationen des sicheren Kanals erforderlich ist. Wenn diese Einstellung aktiviert ist, wird der sichere Kanal nur eingerichtet, wenn die 128-Bit-Verschlüsselung ausgeführt werden kann. Wenn diese Einstellung deaktiviert ist, wird die Schlüsselstärke mit dem Domänencontroller ausgehandelt. Standardeinstellung: Aktiviert Wichtig Damit diese Richtlinie auf Mitgliedsarbeitsstationen und Servern verwendet werden kann, muss auf allen Domänencontrollern, aus denen die Domäne des Mitglieds besteht, Windows 2000 oder höher ausgeführt werden. Die Richtlinie kann auf Domänencontrollern nur verwendet werden, wenn auf allen Domänencontrollern in der gleichen Domäne sowie in allen vertrauenswürdigen Domänen Windows 2000 oder höher ausgeführt wird.	Domain member: Require strong (Windows 2000 or later) session key This security setting determines whether 128-bit key strength is required for encrypted secure channel data. When a computer joins a domain, a computer account is created. After that, when the system starts, it uses the computer account password to create a secure channel with a domain controller within the domain. This secure channel is used to perform operations such as NTLM pass-through authentication, LSA SID/name Lookup, and so on. Depending on what version of Windows is running on the domain controller that the domain member is communicating with and the settings of the parameters: Domain member: Digitally encrypt or sign secure channel data (always) Domain member: Digitally encrypt secure channel data (when possible) Some or all of the information that is transmitted over the secure channel will be encrypted. This policy setting determines whether or not 128-bit key strength is required for the secure channel information that is encrypted. If this setting is enabled, then the secure channel will not be established unless 128-bit encryption can be performed. If this setting is disabled, then the key strength is negotiated with the domain controller. Default: Enabled. Important In order to take advantage of this policy on member workstations and servers, all domain controllers that constitute the member's domain must be running Windows 2000 or later. In order to take advantage of this policy on domain controllers, all domain controllers in the same domain as well as all trusted domains must run Windows 2000 or later.
1984	Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren Bestimmt, ob ein Domänenmitglied sein Computerkennwort regelmäßig ändert. Wenn diese Einstellung aktiviert ist, versucht das Domänenmitglied nicht, das Kennwort seines Computerkontos zu ändern. Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied, entsprechend der Einstellung von "Domänenmitglied: Maximalalter von Computerkontenkennwörtern" (die Standardeinstellung ist 30 Tage) das Kennwort seines Computerkontos zu ändern. Standardeinstellung: Deaktiviert Hinweise Diese Sicherheitseinstellung sollte nicht aktiviert werden. Computerkontokennwörter werden verwendet, um die Kommunikation über den sicheren Kanal zwischen Mitgliedern und Domänencontrollern und innerhalb der Domäne zwischen den Domänencontrollern selbst einzurichten. Nachdem die Kommunikation eingerichtet wurde, wird der sichere Kanal für die Übertragung sensibler Informationen verwendet, die für Authentifizierungs- und Autorisierungsentscheidungen benötigt werden. Diese Einstellung sollte nicht zur Unterstützung von Dual-Boot-Szenarios verwendet werden, bei denen dasselbe Computerkonto verwendet wird. Wenn Sie zwei derselben Domäne angehörende Installationen mittels Dual-Boot starten möchten, sollten Sie unterschiedliche Computernamen für die beiden Installationen verwenden.	Domain member: Disable machine account password changes Determines whether a domain member periodically changes its computer account password. If this setting is enabled, the domain member does not attempt to change its computer account password. If this setting is disabled, the domain member attempts to change its computer account password as specified by the setting for Domain Member: Maximum age for machine account password, which by default is every 30 days. Default: Disabled. Notes This security setting should not be enabled. Computer account passwords are used to establish secure channel communications between members and domain controllers and, within the domain, between the domain controllers themselves. Once it is established, the secure channel is used to transmit sensitive information that is necessary for making authentication and authorization decisions. This setting should not be used in an attempt to support dual-boot scenarios that use the same computer account. If you want to dual-boot two installations that are joined to the same domain, give the two installations different computer names.
1985	Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen Diese Sicherheitseinstellung bestimmt, ob der Benutzername der zuletzt bei diesem PC angemeldeten Person auf der Windows-Anmeldeseite angezeigt wird. Wenn die Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt. Wenn die Richtlinie deaktiviert ist, wird der Benutzername angezeigt. Standardwert: Deaktiviert.	Interactive logon: Don't display last signed-in This security setting determines whether the Windows sign-in screen will show the username of the last person who signed in on this PC. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled.
1986	Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Diese Sicherheitseinstellung bestimmt, ob vor der Anmeldung eines Benutzers STRG+ALT+ENTF gedrückt werden muss. Wenn diese Richtlinie auf einem Computer aktiviert ist, muss der Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Durch das Umgehen von STRG+ALT+ENTF sind Benutzer Angriffen ausgesetzt, bei denen versucht wird, Kennwörter abzufangen. Das Drücken von STRG+ALT+ENTF gewährleistet, dass Benutzer bei der Eingabe von Kennwörtern über einen vertrauenswürdigen Pfad kommunizieren. Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer vor der Anmeldung an Windows STRG+ALT+ENTF drücken. Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher. Standardeinstellung auf eigenständigen Computern: Aktiviert.	Interactive logon: Do not require CTRL+ALT+DEL This security setting determines whether pressing CTRL+ALT+DEL is required before a user can log on. If this policy is enabled on a computer, a user is not required to press CTRL+ALT+DEL to log on. Not having to press CTRL+ALT+DEL leaves users susceptible to attacks that attempt to intercept the users' passwords. Requiring CTRL+ALT+DEL before users log on ensures that users are communicating by means of a trusted path when entering their passwords. If this policy is disabled, any user is required to press CTRL+ALT+DEL before logging on to Windows. Default on domain-computers: Enabled: At least Windows 8/Disabled: Windows 7 or earlier. Default on stand-alone computers: Enabled.
1987	Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen Diese Sicherheitseinstellung definiert eine Textnachricht, die bei der Anmeldung für Benutzer angezeigt wird. Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer über die Konsequenzen eines Missbrauchs von Firmeninformationen zu informieren oder um sie zu warnen, dass ihre Aktionen überwacht werden können. Standardeinstellung: Keine Nachricht	Interactive logon: Message text for users attempting to log on This security setting specifies a text message that is displayed to users when they log on. This text is often used for legal reasons, for example, to warn users about the ramifications of misusing company information or to warn them that their actions may be audited. Default: No message.
1988	Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen Diese Sicherheitseinstellung ermöglicht das Festlegen eines Titels, der in der Titelleiste des Fensters mit der unter "Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen" festgelegten Nachricht angezeigt wird. Standardeinstellung: Keine Nachricht	Interactive logon: Message title for users attempting to log on This security setting allows the specification of a title to appear in the title bar of the window that contains the Interactive logon: Message text for users attempting to log on. Default: No message.
1989	Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) Die Anmeldeinformationen jedes Benutzers werden lokal zwischengespeichert, damit sie sich anmelden können, wenn ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Die zwischengespeicherten Anmeldeinformationen werden aus der vorherigen Anmeldesitzung gespeichert. Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert sind, wird für den Benutzer die folgende Meldung angezeigt: Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. Mit dieser Richtlinieneinstellung wird die Zwischenspeicherung der Anmeldeinformationen bei einem Wert von 0 deaktiviert. Bei jedem Wert über 50 werden nur 50 Anmeldeversuche zwischengespeichert. Windows unterstützt maximal 50 Cacheeinträge, und die Anzahl der pro Benutzer verbrauchten Einträge hängt von den Anmeldeinformationen ab. Beispielsweise können in einem Windows-basierten System maximal 50 Benutzerkonten mit eindeutigem Kennwort zwischengespeichert werden. Es können aber nur 25 Smartcard-Benutzerkonten zwischengespeichert werden, da sowohl die Smartcardinformationen als auch die Kennwortinformationen gespeichert werden. Wenn sich ein Benutzer, dessen Anmeldeinformationen zwischengespeichert wurden, erneut anmeldet, werden die für diesen Benutzer zwischengespeicherten Informationen ersetzt. : Windows Server 2008: 25 Alle anderen Versionen: 10	Interactive logon: Number of previous logons to cache (in case domain controller is not available) Each unique user's logon information is cached locally so that, in the event that a domain controller is unavailable during subsequent logon attempts, they are able to log on. The cached logon information is stored from the previous logon session. If a domain controller is unavailable and a user's logon information is not cached, the user is prompted with this message: There are currently no logon servers available to service the logon request. In this policy setting, a value of 0 disables logon caching. Any value above 50 only caches 50 logon attempts. Windows supports a maximum of 50 cache entries and the number of entries consumed per user depends on the credential. For example, a maximum of 50 unique password user accounts can be cached on a Windows system, but only 25 smart card user accounts can be cached because both the password information and the smart card information are stored. When a user with cached logon information logs on again, the user’s individual cached information is replaced. Default: Windows Server 2008: 25 All Other Versions: 10
1990	Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern Diese Sicherheitseinstellung bestimmt, wie früh (in Tagen) Benutzer vorab über den Ablauf ihrer Kennwörter informiert werden. Diese Vorwarnung gibt dem Benutzer Zeit, ein ausreichend sicheres Kennwort zu erstellen. Standardeinstellung: 5 Tage	Interactive logon: Prompt user to change password before expiration Determines how far in advance (in days) users are warned that their password is about to expire. With this advance warning, the user has time to construct a password that is sufficiently strong. Default: 5 days.
1991	Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich Zum Entsperren eines gesperrten Computers müssen Anmeldeinformationen eingegeben werden. Für Domänenkonten bestimmt diese Sicherheitseinstellung, ob die Authentifizierung eines Domänencontrollers erforderlich ist, um einen Computer zu entsperren. Wenn diese Einstellung deaktiviert ist, kann ein Benutzer den Computer anhand von zwischengespeicherten Anmeldeinformationen entsperren. Wenn diese Einstellung aktiviert ist, muss ein Domänencontroller das zum Entsperren des Computers verwendete Domänenkonto authentifizieren. Standardeinstellung: Deaktiviert Wichtig Diese Einstellung gilt für Computer unter Windows 2000, sie ist jedoch nicht über die Sicherheitskonfigurations-Manager-Tools auf diesen Computern verfügbar.	Interactive logon: Require Domain Controller authentication to unlock Logon information must be provided to unlock a locked computer. For domain accounts, this security setting determines whether a domain controller must be contacted to unlock a computer. If this setting is disabled, a user can unlock the computer using cached credentials. If this setting is enabled, a domain controller must authenticate the domain account that is being used to unlock the computer. Default: Disabled. Important This setting applies to Windows 2000 computers, but it is not available through the Security Configuration Manager tools on these computers.
1992	Interaktive Anmeldung: Windows Hello for Business oder Smartcard erforderlich Bei dieser Einstellung müssen sich Benutzer mit Windows Hello for Business oder einer Smartcard an einem Gerät anmelden. Mögliche Optionen: Aktiviert: Benutzer können sich nur mit Windows Hello for Business oder einer Smartcard am Gerät anmelden. Deaktiviert oder nicht konfiguriert: Benutzer können sich mit einer beliebigen Methode am Gerät anmelden. Wichtig Diese Einstellung gilt für alle Computer, auf denen Windows 2000 ausgeführt wird, über Änderungen in der Registrierung, die Sicherheitseinstellung kann jedoch nicht über die Tools des Sicherheitskonfigurations-Managers angezeigt werden. Die Anmeldung über Windows Hello for Business wird nicht für Windows 10 v1607 oder früher unterstützt.	Interactive logon: Require Windows Hello for Business or smart card This security setting requires users to sign-in to a device using Windows Hello for Business or a smart card. The options are: Enabled: Users can only sign-in to the device using Windows Hello for Business or a smart card. Disabled or not configured: Users can sign-in to the device using any method. Important This setting applies to any computer running Windows 2000 through changes in the registry, but the security setting is not viewable through the Security Configuration Manager tool set. Requiring Windows Hello for Business sign-in is not supported on Windows 10 v1607 or earlier.
1993	Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards Diese Sicherheitseinstellung bestimmt die Vorgehensweise, wenn die Smartcard für einen angemeldeten Benutzer aus dem Smartcard-Leser entfernt wird. Folgende Optionen sind verfügbar: Keine Aktion Arbeitsstation sperren Abmeldung erzwingen Trennen, falls Remotedesktopdienste-Sitzung Wenn Sie im Dialogfeld "Eigenschaften" für diese Richtlinie auf "Arbeitsstation sperren" klicken, wird die Arbeitsstation beim Entfernen der Smartcard gesperrt, sodass der Benutzer den Arbeitsbereich verlassen, die Smartcard mitnehmen und dennoch eine geschützte Sitzung aufrechterhalten kann. Wenn Sie im Dialogfeld "Eigenschaften" für diese Richtlinie auf "Abmeldung erzwingen" klicken, wird der Benutzer automatisch abgemeldet, wenn die Smartcard entfernt wird. Wenn Sie auf "Trennen, falls Remotedesktopdienste-Sitzung" klicken, wird beim Entfernen der Smartcard die Sitzung getrennt, ohne dass der Benutzer abgemeldet wird. Dadurch kann der Benutzer die Smartcard einstecken und die Sitzung zu einem späteren Zeitpunkt fortsetzen, oder der Benutzer kann die Smartcard in einen anderen mit einem Smartcardleser ausgestatteten Computer stecken, ohne sich erneut anmelden zu müssen. Findet die Sitzung lokal statt, sind diese Richtlinienfunktionen mit der Sperrung der Arbeitsstation identisch. Hinweis: Die Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Standardeinstellung: Diese Richtlinie ist nicht definiert, das heißt, dass das System keine Aktion festlegt. Unter Windows Vista und höher: Zur Verwendung dieser Einstellung muss der Dienst "Richtlinie zum Entfernen der Smartcard" gestartet worden sein.	Interactive logon: Smart card removal behavior This security setting determines what happens when the smart card for a logged-on user is removed from the smart card reader. The options are: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session If you click Lock Workstation in the Properties dialog box for this policy, the workstation is locked when the smart card is removed, allowing users to leave the area, take their smart card with them, and still maintain a protected session. If you click Force Logoff in the Properties dialog box for this policy, the user is automatically logged off when the smart card is removed. If you click Disconnect if a Remote Desktop Services session, removal of the smart card disconnects the session without logging the user off. This allows the user to insert the smart card and resume the session later, or at another smart card reader-equipped computer, without having to log on again. If the session is local, this policy functions identically to Lock Workstation. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. Default: This policy is not defined, which means that the system treats it as No action. On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.
1994	Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die SMB-Clientkomponente eine Paketsignatur erfordert. Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignatur ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zulässig ist. Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkclient erst mit einem Microsoft-Netzwerkserver, wenn dieser einer SMB-Paketsignatur zustimmt. Wenn diese Richtlinie deaktiviert ist, wird die SMB-Paketsignatur zwischen Client und Server ausgehandelt. Standardeinstellung: Deaktiviert Wichtig Damit diese Richtlinie auf Computern unter Windows 2000 wirksam wird, muss auch die clientseitige Paketsignatur aktiviert werden. Legen Sie zum Aktivieren der clientseitigen SMB-Paketsignatur die Richtlinie "Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)" fest. Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Weitere Informationen finden Sie unter "https://go.microsoft.com/fwlink/?LinkID=787136".	Microsoft network client: Digitally sign communications (always) This security setting determines whether packet signing is required by the SMB client component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB server is permitted. If this setting is enabled, the Microsoft network client will not communicate with a Microsoft network server unless that server agrees to perform SMB packet signing. If this policy is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled. Important For this policy to take effect on computers running Windows 2000, client-side packet signing must also be enabled. To enable client-side SMB packet signing, set Microsoft network client: Digitally sign communications (if server agrees). Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later operating systems, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1995	Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignatur auszuhandeln. Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente beim Herstellen einer Verbindung mit einem SMB-Server versucht, die SMB-Paketsignatur auszuhandeln. Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server beim Einrichten der Sitzung auf, die SMB-Paketsignatur auszuführen. Wenn die Paketsignatur auf dem Server aktiviert ist, wird die Paketsignatur ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Signatur nie aus. Standardeinstellung: Aktiviert Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, eine SMB-Signatur vorzunehmen. Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter "https://go.microsoft.com/fwlink/?LinkID=787136".	Microsoft network client: Digitally sign communications (if server agrees) This security setting determines whether the SMB client attempts to negotiate SMB packet signing. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB client component attempts to negotiate SMB packet signing when it connects to an SMB server. If this setting is enabled, the Microsoft network client will ask the server to perform SMB packet signing upon session setup. If packet signing has been enabled on the server, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1996	Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden Wenn diese Sicherheitseinstellung aktiviert ist, kann der SMB-Redirector (Server Message Block) Nur-Text-Kennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen. Das Senden unverschlüsselter Kennwörter stellt ein Sicherheitsrisiko dar. Standardeinstellung: Deaktiviert.	Microsoft network client: Send unencrypted password to connect to third-party SMB servers If this security setting is enabled, the Server Message Block (SMB) redirector is allowed to send plaintext passwords to non-Microsoft SMB servers that do not support password encryption during authentication. Sending unencrypted passwords is a security risk. Default: Disabled.
1997	Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung Diese Sicherheitseinstellung bestimmt, wie lange sich eine SMB-Sitzung (Server Message Block) im Leerlauf befinden muss, bevor die Sitzung aufgrund von Inaktivität unterbrochen wird. Administratoren können mit dieser Richtlinie steuern, wann ein Computer eine inaktive SMB-Sitzung unterbricht. Wenn die Clientaktivität wiederaufgenommen wird, wird die Sitzung automatisch wiederhergestellt. Eine Richtlinieneinstellung von 0 bedeutet, dass inaktive Sitzungen so schnell wie möglich getrennt werden sollen. Der maximale Wert ist 99999. Dieser Wert entspricht 208 Tagen und deaktiviert die Richtlinie. Standardeinstellung: Diese Richtlinie ist nicht definiert, das heißt, dass das System 15 Minuten für Server und nicht-definierte Arbeitsstationen festlegt.	Microsoft network server: Amount of idle time required before suspending a session This security setting determines the amount of continuous idle time that must pass in a Server Message Block (SMB) session before the session is suspended due to inactivity. Administrators can use this policy to control when a computer suspends an inactive SMB session. If client activity resumes, the session is automatically reestablished. For this policy setting, a value of 0 means to disconnect an idle session as quickly as is reasonably possible. The maximum value is 99999, which is 208 days; in effect, this value disables the policy. Default:This policy is not defined, which means that the system treats it as 15 minutes for servers and undefined for workstations.
1998	Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Serverkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignatur ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Client zugelassen wird. Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver erst mit einem Microsoft-Netzwerkclient, wenn dieser der SMB-Paketsignierung zustimmt. Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignatur zwischen dem Client und Server ausgehandelt. Standardeinstellung: Deaktiviert für Mitgliedsserver Aktiviert für Domänencontroller Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn die clientseitige SMB-Signatur erforderlich ist, kann der Client ebenso wenig eine Sitzung mit Servern ohne aktivierte Paketsignatur einrichten. Die serverseitige SMB-Signatur ist standardmäßig nur auf Domänencontrollern aktiviert. Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignatur mit Clients mit aktivierter clientseitiger SMB-Signatur ausgehandelt. Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Wichtig Damit diese Richtlinie auf Computern unter Windows 2000 wirksam wird, muss auch die serverseitige Paketsignatur aktiviert werden. Legen Sie zum Aktivieren der serverseitigen SMB-Paketsignatur die folgende Richtlinie fest: Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Server zustimmt) Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Windows 2000-Server auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Weitere Informationen finden Sie unter "https://go.microsoft.com/fwlink/?LinkID=787136".	Microsoft network server: Digitally sign communications (always) This security setting determines whether packet signing is required by the SMB server component. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent "man-in-the-middle" attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether SMB packet signing must be negotiated before further communication with an SMB client is permitted. If this setting is enabled, the Microsoft network server will not communicate with a Microsoft network client unless that client agrees to perform SMB packet signing. If this setting is disabled, SMB packet signing is negotiated between the client and server. Default: Disabled for member servers. Enabled for domain controllers. Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. On Windows 2000 and later, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. Similarly, if client-side SMB signing is required, that client will not be able to establish a session with servers that do not have packet signing enabled. By default, server-side SMB signing is enabled only on domain controllers. If server-side SMB signing is enabled, SMB packet signing will be negotiated with clients that have client-side SMB signing enabled. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. Important For this policy to take effect on computers running Windows 2000, server-side packet signing must also be enabled. To enable server-side SMB packet signing, set the following policy: Microsoft network server: Digitally sign communications (if server agrees) For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the Windows 2000 server: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
1999	Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur mit anfordernden Clients aushandelt. Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Microsoft-Datei- und -Druckfreigabe und viele andere Netzwerkvorgänge, z. B. die Remoteverwaltung von Windows. Zur Vermeidung von Man-in-the-Middle-Angriffen, bei denen SMB-Pakete während der Übertragung geändert werden, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignatur aushandelt, wenn sie von einem SMB-Client angefordert wird. Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignatur aus, wie vom Client angefordert. Folglich wird die Paketsignatur ausgehandelt, wenn sie auf dem Client aktiviert ist. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client die SMB-Paketsignatur nie aus. Standardeinstellung: Aktiviert (nur auf Domänencontrollern) Wichtig Damit Windows 2000-Server die Signatur mit Windows NT 4.0-Clients aushandeln, muss der folgende Registrierungswert auf dem Server mit Windows 2000 auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und neueren Betriebssystemen wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) – Steuert, ob die Paketsignatur für die clientseitige SMB-Komponente aktiviert ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente erforderlich ist. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, eine SMB-Signatur vorzunehmen. Durch die SMB-Paketsignatur kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Auslagerungsmöglichkeiten des Prozessors und dem E/A-Verhalten von Anwendungen deutlich beeinträchtigt werden. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter "https://go.microsoft.com/fwlink/?LinkID=787136".	Microsoft network server: Digitally sign communications (if client agrees) This security setting determines whether the SMB server will negotiate SMB packet signing with clients that request it. The server message block (SMB) protocol provides the basis for Microsoft file and print sharing and many other networking operations, such as remote Windows administration. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets. This policy setting determines whether the SMB server will negotiate SMB packet signing when an SMB client requests it. If this setting is enabled, the Microsoft network server will negotiate SMB packet signing as requested by the client. That is, if packet signing has been enabled on the client, packet signing will be negotiated. If this policy is disabled, the SMB client will never negotiate SMB packet signing. Default: Enabled on domain controllers only. Important For Windows 2000 servers to negotiate signing with Windows NT 4.0 clients, the following registry value must be set to 1 on the server running Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Notes All Windows operating systems support both a client-side SMB component and a server-side SMB component. For Windows 2000 and above, enabling or requiring packet signing for client and server-side SMB components is controlled by the following four policy settings: Microsoft network client: Digitally sign communications (always) - Controls whether or not the client-side SMB component requires packet signing. Microsoft network client: Digitally sign communications (if server agrees) - Controls whether or not the client-side SMB component has packet signing enabled. Microsoft network server: Digitally sign communications (always) - Controls whether or not the server-side SMB component requires packet signing. Microsoft network server: Digitally sign communications (if client agrees) - Controls whether or not the server-side SMB component has packet signing enabled. If both client-side and server-side SMB signing is enabled and the client establishes an SMB 1.0 connection to the server, SMB signing will be attempted. SMB packet signing can significantly degrade SMB performance, depending on dialect version, OS version, file sizes, processor offloading capabilities, and application IO behaviors. This setting only applies to SMB 1.0 connections. For more information, reference: https://go.microsoft.com/fwlink/?LinkID=787136.
2000	Microsoft-Netzwerk (Server): Clientverbindungen trennen, wenn die Anmeldezeit überschritten wird Mit dieser Sicherheitseinstellung wird bestimmt, ob die Verbindungen von Benutzern, die außerhalb der gültigen Anmeldezeiten des Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden. Diese Einstellung betrifft die SMB-Komponente (Server Message Block). Wenn diese Richtlinie aktiviert ist, werden Clientverbindungen mit dem SMB-Dienst bei einer Überschreitung der Anmeldezeit des Benutzers zwangsweise getrennt. Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung außerhalb der Anmeldezeiten des Clients aufrecht erhalten werden. Standardeinstellung unter Windows Vista und höher: Aktiviert Standardeinstellung unter Windows XP: Deaktiviert	Microsoft network server: Disconnect clients when logon hours expire This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB Service to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default on Windows Vista and above: Enabled. Default on Windows XP: Disabled
2001	Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Diese Richtlinieneinstellung bestimmt, ob ein anonymer Benutzer SID (Sicherheits-ID)-Attribute für einen anderen Benutzer anfordern kann. Wenn diese Richtlinie aktiviert ist, kann ein anonymer Benutzer das SID-Attribut für einen anderen Benutzer anfordern. Ein anonymer Benutzer mit Kenntnis der SID eines Administrators kann eine Verbindung mit einem Computer herstellen, auf dem diese Richtlinie aktiviert ist, und anhand der SID den Namen des Administrators ermitteln. Diese Einstellung wirkt sich sowohl auf die SID-in-Name-Übersetzung als auch auf die Name-in-SID-Übersetzung aus. Wird die Richtlinieneinstellung deaktiviert, kann ein anonymer Benutzer für einen anderen Benutzer nicht das SID-Attribut anfordern. Standardeinstellung auf Arbeitsstationen und Mitgliedsservern: Deaktiviert. Standardeinstellung auf Domänencontrollern unter Windows Server 2008 oder höher: Deaktiviert. Standardeinstellung auf Domänencontrollern unter Windows Server 2003 R2 oder niedriger: Aktiviert.	Network access: Allow anonymous SID/name translation This policy setting determines whether an anonymous user can request security identifier (SID) attributes for another user. If this policy is enabled, an anonymous user can request the SID attribute for another user. An anonymous user with knowledge of an administrator's SID could contact a computer that has this policy enabled and use the SID to get the administrator's name. This setting affects both the SID-to-name translation as well as the name-to-SID translation. If this policy setting is disabled, an anonymous user cannot request the SID attribute for another user. Default on workstations and member servers: Disabled. Default on domain controllers running Windows Server 2008 or later: Disabled. Default on domain controllers running Windows Server 2003 R2 or earlier: Enabled.
2002	Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauten Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte. Diese Sicherheitsoption ermöglicht wie folgt zusätzliche Einschränkungen für anonyme Verbindungen: Aktiviert: Aufzählung von SAM-Konten nicht erlauben. Diese Option ersetzt in den Sicherheitsberechtigungen für Ressourcen "Jeder" durch "Authentifizierte Benutzer". Deaktiviert: Keine zusätzlichen Einschränkungen. Es werden nur die Standardberechtigungen verwendet. Standardwert für Arbeitsstationen: Aktiviert. Standardwert für Server: Aktiviert. Wichtig Diese Richtlinie hat keinen Einfluss auf Domänencontroller.	Network access: Do not allow anonymous enumeration of SAM accounts This security setting determines what additional permissions will be granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. This security option allows additional restrictions to be placed on anonymous connections as follows: Enabled: Do not allow enumeration of SAM accounts. This option replaces Everyone with Authenticated Users in the security permissions for resources. Disabled: No additional restrictions. Rely on default permissions. Default on workstations: Enabled. Default on server:Enabled. Important This policy has no impact on domain controllers.
2003	Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben Diese Sicherheitseinstellung bestimmt, ob die anonyme Aufzählung von SAM-Konten und Freigaben zulässig ist. Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauten Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte. Aktivieren Sie diese Richtlinie, wenn Sie die anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben möchten. Standardeinstellung: Deaktiviert	Network access: Do not allow anonymous enumeration of SAM accounts and shares This security setting determines whether anonymous enumeration of SAM accounts and shares is allowed. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. If you do not want to allow anonymous enumeration of SAM accounts and shares, then enable this policy. Default: Disabled.
2004	Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen Diese Sicherheitseinstellung bestimmt, ob Kennwörter und Anmeldeinformationen für die spätere Verwendung bei der Domänenauthentifizierung gespeichert werden. Wenn Sie diese Einstellung aktivieren, werden keine Kennwörter und Anmeldeinformationen auf dem Computer gespeichert. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Kennwörter und Anmeldeinformationen für die spätere Verwendung bei der Domänenauthentifizierung auf dem Computer gespeichert. Hinweis: Wenn Sie diese Sicherheitseinstellung konfigurieren, treten Änderungen an dieser Sicherheitseinstellung erst nach einem Neustart von Windows in Kraft. Standardeinstellung: Deaktiviert	Network access: Do not allow storage of passwords and credentials for network authentication This security setting determines whether Credential Manager saves passwords and credentials for later use when it gains domain authentication. If you enable this setting, Credential Manager does not store passwords and credentials on the computer. If you disable or do not configure this policy setting, Credential Manager will store passwords and credentials on this computer for later use for domain authentication. Note: When configuring this security setting, changes will not take effect until you restart Windows. Default: Disabled.
2005	Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichen Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauten Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte. Die SID von "Jeder" wird standardmäßig aus dem für anonyme Verbindungen erstellten Token entfernt. Daher gelten die der Gruppe "Jeder" gewährten Berechtigungen nicht für anonyme Benutzer. Wenn diese Option eingestellt ist, können anonyme Benutzer nur auf die Ressourcen zugreifen, für die ihnen explizit Berechtigungen erteilt wurden. Wenn diese Richtlinie aktiviert ist, wird die SID von "Jeder" dem für anonyme Verbindungen erstellten Token hinzugefügt. In diesem Fall können anonyme Benutzer auf alle Ressourcen zugreifen, für die der Gruppe "Jeder" Berechtigungen gewährt wurden. Standardeinstellung: Deaktiviert	Network access: Let Everyone permissions apply to anonymous users This security setting determines what additional permissions are granted for anonymous connections to the computer. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. This is convenient, for example, when an administrator wants to grant access to users in a trusted domain that does not maintain a reciprocal trust. By Default, the Everyone security identifier (SID) is removed from the token created for anonymous connections. Therefore, permissions granted to the Everyone group do not apply to anonymous users. If this option is set, anonymous users can only access those resources for which the anonymous user has been explicitly given permission. If this policy is enabled, the Everyone SID is added to the token that is created for anonymous connections. In this case, anonymous users are able to access any resource for which the Everyone group has been given permissions. Default: Disabled.
2006	Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, welche Kommunikationssitzungen (Pipes) Attribute und Berechtigungen besitzen, die den anonymen Zugriff zulassen. Standardeinstellung: Kein	Network access: Named pipes that can be accessed anonymously This security setting determines which communication sessions (pipes) will have attributes and permissions that allow anonymous access. Default: None.
2007	Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, welche Registrierungsschlüssel unabhängig von den in der Zugriffssteuerungsliste (ACL) des Registrierungsschlüssels "winreg" aufgelisteten Benutzern oder Gruppen über das Netzwerk zugänglich sind. Standardeinstellung: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Warnung Eine falsche Bearbeitung der Registrierung kann schwere Beschädigungen des Systems zur Folge haben. Erstellen Sie eine Sicherung aller wichtigen Daten auf dem Computer, bevor Sie Änderungen an der Registrierung vornehmen. Hinweis: Diese Sicherheitseinstellung ist in früheren Versionen von Windows nicht verfügbar. Die auf Computern unter Windows XP angezeigte Sicherheitseinstellung "Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann" entspricht der Sicherheitsoption "Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann" der Windows Server 2003-Produktfamilie. Weitere Informationen finden Sie unter "Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann". Standardeinstellung: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion	Network access: Remotely accessible registry paths This security setting determines which registry keys can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: This security setting is not available on earlier versions of Windows. The security setting that appears on computers running Windows XP, "Network access: Remotely accessible registry paths" corresponds to the "Network access: Remotely accessible registry paths and subpaths" security option on members of the Windows Server 2003 family. For more information, see Network access: Remotely accessible registry paths and subpaths. Default: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion
2008	Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, welche Registrierungspfade und Unterpfade unabhängig von den in der Zugriffssteuerungsliste (ACL) des Registrierungsschlüssels "winreg" aufgelisteten Benutzern oder Gruppen über das Netzwerk zugänglich sind. Standardeinstellung: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Warnung Eine falsche Bearbeitung der Registrierung kann schwere Beschädigungen des Systems zur Folge haben. Erstellen Sie eine Sicherung aller wichtigen Daten auf dem Computer, bevor Sie Änderungen an der Registrierung vornehmen. Hinweis: Unter Windows XP besitzt diese Einstellung den Namen "Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann". Wenn Sie diese Einstellung auf einem einer Domäne angehörenden Computer mit einem Betriebssystem der Windows Server 2003-Produktfamilie konfigurieren, wird diese Einstellung von Computern unter Windows XP geerbt, sie wird jedoch als "Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann" angezeigt. Weitere Informationen finden Sie unter "Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann".	Network access: Remotely accessible registry paths and subpaths This security setting determines which registry paths and subpaths can be accessed over the network, regardless of the users or groups listed in the access control list (ACL) of the winreg registry key. Default: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Caution Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. Note: On Windows XP, this security setting was called "Network access: Remotely accessible registry paths." If you configure this setting on a member of the Windows Server 2003 family that is joined to a domain, this setting is inherited by computers running Windows XP, but will appear as the "Network access: Remotely accessible registry paths" security option. For more information, see Network access: Remotely accessible registry paths and subpaths.
2009	Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken Wenn diese Einstellung aktiviert ist, ist der anonyme Zugriff auf Freigaben und Pipes auf die in den folgenden Richtlinien festgelegten Freigaben und Pipes beschränkt: Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Standardeinstellung: Aktiviert	Network access: Restrict anonymous access to Named Pipes and Shares When enabled, this security setting restricts anonymous access to shares and pipes to the settings for: Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously Default: Enabled.
2010	Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, auf welche Netzwerkfreigaben anonyme Benutzer zugreifen können. Standardeinstellung: Keine festgelegt	Network access: Shares that can be accessed anonymously This security setting determines which network shares can accessed by anonymous users. Default: None specified.
2011	Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten Diese Sicherheitseinstellung bestimmt, wie Netzwerkanmeldungen mit lokalen Konten authentifiziert werden. Wenn diese Einstellung auf "Klassisch" festgelegt ist, werden mit Anmeldeinformationen von lokalen Konten ausgeführte Netzwerkanmeldungen anhand dieser Anmeldeinformationen authentifiziert. Das Modell "Klassisch" ermöglicht eine genauere Steuerung des Ressourcenzugriffs. Mithilfe des Modells "Klassisch" können Sie für unterschiedliche Benutzer verschiedene Zugriffsarten für die gleiche Ressource konfigurieren. Ist diese Einstellung auf "Nur Gast" festgelegt, werden mit Anmeldeinformationen von lokalen Konten ausgeführte Netzwerkanmeldungen automatisch dem Konto "Gast" zugeordnet. Bei Verwendung des Modells "Nur Gast" können alle Benutzer gleich behandelt werden. Alle Benutzer werden als Gast authentifiziert und erhalten die gleiche Zugriffsstufe für eine Ressource ("Schreibgeschützt" oder "Ändern"). Standardeinstellung für Domänencomputer: Klassisch Standardeinstellung für eigenständige Computer: Nur Gast Wichtig Beim Modell "Nur Gast" hat jeder Benutzer, der über das Netzwerk auf den Computer zugreifen kann (einschließlich anonymer Internetbenutzer), Zugriff auf Ihre freigegebenen Ressourcen. Sie müssen den Computer mit der Windows-Firewall oder einem ähnlichen Gerät vor nicht autorisiertem Zugriff schützen. Desgleichen müssen beim Modell "Klassisch" lokale Konten durch Kennwörter geschützt werden. Andernfalls können diese Benutzerkonten von jedem verwendet werden, um auf freigegebene Systemressourcen zuzugreifen. Hinweis Diese Einstellung hat keinen Einfluss auf interaktive Anmeldungen, die remote mit Diensten wie Telnet oder Remotedesktopdiensten ausgeführt werden. Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Diese Richtlinie hat keine Auswirkung auf Computer unter Windows 2000. Wenn der Computer keiner Domäne angehört, werden durch diese Einstellung auch die Registerkarten "Freigabe" und "Sicherheit" im Explorer entsprechend dem verwendeten Sicherheitsmodell geändert.	Network access: Sharing and security model for local accounts This security setting determines how network logons that use local accounts are authenticated. If this setting is set to Classic, network logons that use local account credentials authenticate by using those credentials. The Classic model allows fine control over access to resources. By using the Classic model, you can grant different types of access to different users for the same resource. If this setting is set to Guest only, network logons that use local accounts are automatically mapped to the Guest account. By using the Guest model, you can have all users treated equally. All users authenticate as Guest, and they all receive the same level of access to a given resource, which can be either Read-only or Modify. Default on domain computers: Classic. Default on stand-alone computers: Guest only Important With the Guest only model, any user who can access your computer over the network (including anonymous Internet users) can access your shared resources. You must use the Windows Firewall or another similar device to protect your computer from unauthorized access. Similarly, with the Classic model, local accounts must be password protected; otherwise, those user accounts can be used by anyone to access shared system resources. Note: This setting does not affect interactive logons that are performed remotely by using such services as Telnet or Remote Desktop Services Remote Desktop Services was called Terminal Services in previous versions of Windows Server. This policy will have no impact on computers running Windows 2000. When the computer is not joined to a domain, this setting also modifies the Sharing and Security tabs in File Explorer to correspond to the sharing and security model that is being used.
2012	Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Mit dieser Sicherheitseinstellung wird bestimmt, ob bei der nächsten Kennwortänderung der Hashwert von LAN Manager (LM) für das neue Kennwort gespeichert wird. Der LM-Hash ist, verglichen mit dem kryptografisch sichereren Windows NT-Hash, relativ schwach und anfällig für Angriffe. Da der LM-Hash auf dem lokalen Computer in der Sicherheitsdatenbank gespeichert wird, sind die Kennwörter bei einem Angriff auf die Sicherheitsdatenbank möglicherweise gefährdet. Standardeinstellung unter Windows Vista und höher: Aktiviert Standardeinstellung unter Windows XP: Deaktiviert Wichtig Windows 2000 Service Pack 2 (SP2) und höher bietet Kompatibilität mit der Authentifizierung für frühere Versionen von Windows, beispielsweise Microsoft Windows NT 4.0. Diese Einstellung kann sich auf die Kommunikationsfähigkeit von Computern unter Windows 2000 Server, Windows 2000 Professional, Windows XP und der Windows Server 2003-Produktfamilie mit Computern unter Windows 95 und Windows 98 auswirken.	Network security: Do not store LAN Manager hash value on next password change This security setting determines if, at the next password change, the LAN Manager (LM) hash value for the new password is stored. The LM hash is relatively weak and prone to attack, as compared with the cryptographically stronger Windows NT hash. Since the LM hash is stored on the local computer in the security database the passwords can be compromised if the security database is attacked. Default on Windows Vista and above: Enabled Default on Windows XP: Disabled. Important Windows 2000 Service Pack 2 (SP2) and above offer compatibility with authentication to previous versions of Windows, such as Microsoft Windows NT 4.0. This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP, and the Windows Server 2003 family to communicate with computers running Windows 95 and Windows 98.
2013	Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Diese Sicherheitseinstellung bestimmt, ob die Verbindungen von Benutzern, die außerhalb der gültigen Anmeldezeiten des Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden. Diese Einstellung betrifft die SMB-Komponente (Server Message Block). Wenn diese Richtlinie aktiviert ist, werden Clientverbindungen mit dem SMB-Dienst bei einer Überschreitung der Anmeldezeit des Clients zwangsweise getrennt. Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung außerhalb der Anmeldezeiten des Clients aufrecht erhalten werden. Standardeinstellung: Aktiviert Hinweis: Diese Sicherheitseinstellung verhält sich wie eine Kontorichtlinie. Für Domänenkonten kann nur eine Kontorichtlinie verwendet werden. Die Kontorichtlinie muss in der Standarddomänenrichtlinie definiert werden und wird von den Domänencontrollern der Domäne erzwungen. Ein Domänencontroller verwendet immer die Kontorichtlinie aus dem Gruppenrichtlinienobjekt der Standarddomänenrichtlinie. Dies gilt auch dann, wenn eine andere Kontorichtlinie auf die Organisationseinheit angewendet wird, in der der Domänencontroller enthalten ist. Standardmäßig erhalten auch Arbeitsstationen und Server, die einer Domäne angehören (z. B. Mitgliedcomputer), dieselbe Kontorichtlinie für ihre lokalen Konten. Wenn eine Kontorichtlinie für die Organisationseinheit mit den Mitgliedcomputern definiert wird, können sich die lokalen Kontorichtlinien für Mitgliedcomputer jedoch von der Domänenkontorichtlinie unterscheiden. Kerberos-Einstellungen werden nicht auf Mitgliedcomputer angewendet.	Network security: Force logoff when logon hours expire This security setting determines whether to disconnect users who are connected to the local computer outside their user account's valid logon hours. This setting affects the Server Message Block (SMB) component. When this policy is enabled, it causes client sessions with the SMB server to be forcibly disconnected when the client's logon hours expire. If this policy is disabled, an established client session is allowed to be maintained after the client's logon hours have expired. Default: Enabled. Note: This security setting behaves as an account policy. For domain accounts, there can be only one account policy. The account policy must be defined in the Default Domain Policy, and it is enforced by the domain controllers that make up the domain. A domain controller always pulls the account policy from the Default Domain Policy Group Policy object (GPO), even if there is a different account policy applied to the organizational unit that contains the domain controller. By default, workstations and servers that are joined to a domain (for example, member computers) also receive the same account policy for their local accounts. However, local account policies for member computers can be different from the domain account policy by defining an account policy for the organizational unit that contains the member computers. Kerberos settings are not applied to member computers.
2014	Netzwerksicherheit: LAN Manager-Authentifizierungsebene Diese Sicherheitseinstellung bestimmt, welches Abfrage/Rückmeldung-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl beeinflusst wie folgt die von Clients verwendete Authentifizierungsprotokollstufe, die ausgehandelte Sitzungssicherheitsstufe und die von Servern akzeptierte Authentifizierungsstufe: LM- und NTLM-Antworten senden: Von Clients wird LM- und NTLM-Authentifizierung, jedoch nie NTLMv2-Sitzungssicherheit verwendet; Von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert. LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Von Clients werden LM- und NTLM-Authentifizierung sowie NTLMv2-Sitzungssicherheit verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert. Nur NTLM-Antworten senden: Von Clients wird nur NTLM-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert. Nur NTLMv2-Antworten senden: Von Clients wird nur NTLMv2-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern werden LM-, NTLM- und NTLMv2-Authentifizierung akzeptiert. Nur NTLMv2-Antworten senden. LM verweigern: Von Clients wird nur NTLMv2-Authentifizierung verwendet. NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird; von Domänencontrollern wird LM verweigert (akzeptiert werden nur NTLM- und NTLMv2-Authentifizierung). Nur NTLMv2-Antworten senden. LM und NTLM verweigern: Von Clients wird nur NTLMv2-Authentifizierung verwendet, NTLMv2-Sitzungssicherheit wird verwendet, wenn diese vom Server unterstützt wird. Von Domänencontrollern werden LM und NTLM verweigert (nur NTLMv2-Authentifizierung wird akzeptiert). Wichtig Diese Einstellung beeinflusst u. U. die Fähigkeit von Computern unter Windows 2000 Server, Windows 2000 Professional, Windows XP und der Windows Server 2003-Produktfamilie, über das Netzwerk mit Computern unter Windows NT 4.0 und früher zu kommunizieren. Als diese Beschreibung verfasst wurde, wurde NTLMv2 von Computern unter Windows NT 4.0 SP4 und früher z. B. nicht unterstützt. NTLM wurde von Computern mit Windows 95 und Windows 98 nicht unterstützt. Standard: Windows 2000 und Windows XP: Senden von LM- & NTLM-Antworten Windows Server 2003: Senden von NTLM-Antwort (ausschließlich) Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2: Senden von NTLMv2-Antwort (ausschließlich)	Network security: LAN Manager authentication level This security setting determines which challenge/response authentication protocol is used for network logons. This choice affects the level of authentication protocol used by clients, the level of session security negotiated, and the level of authentication accepted by servers as follows: Send LM & NTLM responses: Clients use LM and NTLM authentication and never use NTLMv2 session security; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send LM & NTLM - use NTLMv2 session security if negotiated: Clients use LM and NTLM authentication and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLM response only: Clients use NTLM authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers accept LM, NTLM, and NTLMv2 authentication. Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM (accept only NTLM and NTLMv2 authentication). Send NTLMv2 response only\refuse LM & NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; domain controllers refuse LM and NTLM (accept only NTLMv2 authentication). Important This setting can affect the ability of computers running Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and the Windows Server 2003 family to communicate with computers running Windows NT 4.0 and earlier over the network. For example, at the time of this writing, computers running Windows NT 4.0 SP4 and earlier did not support NTLMv2. Computers running Windows 95 and Windows 98 did not support NTLM. Default: Windows 2000 and windows XP: send LM & NTLM responses Windows Server 2003: Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: Send NTLMv2 response only
2015	Netzwerksicherheit: Signaturanforderungen für LDAP-Clients Diese Sicherheitseinstellung bestimmt wie folgt die im Namen von Clients, die LDAP BIND-Anforderungen senden, angeforderte Datensignaturstufe: Keine: Die LDAP BIND-Anforderung wird mit den vom Aufrufer festgelegten Optionen gesendet. Signatur aushandeln: Wenn TLS/SSL (Transport Layer Security/Secure Sockets Layer) nicht gestartet wurde, wird die LDAP BIND-Anforderung mit eingestellter LDAP-Datensignaturoption initiiert (zusätzlich zu den vom Aufrufer festgelegten Optionen). Wenn TLS\SSL gestartet wurde, wird die LDAP BIND-Anforderung mit den vom Aufrufer festgelegten Optionen initiiert. Signatur erforderlich: Diese Option entspricht "Signatur aushandeln". Wenn die Zwischenantwort "saslBindInProgress" des LDAP-Servers jedoch nicht besagt, dass eine Signatur des LDAP-Datenverkehrs erforderlich ist, wird dem Aufrufer mitgeteilt, dass die Anforderung mit dem LDAP BIND-Befehl fehlgeschlagen ist. Warnung Wenn Sie den Server auf "Signatur erforderlich" einstellen, muss diese Einstellung auch für den Client gewählt werden. Wird der Client nicht eingestellt, wird die Verbindung mit dem Server getrennt. Hinweis: Diese Einstellung hat keinen Einfluss auf "ldap_simple_bind" oder "ldap_simple_bind_s". Die mit Windows XP Professional gelieferten LDAP-Clients von Microsoft verwenden weder "ldap_simple_bind" noch "ldap_simple_bind_s" für die Kommunikation mit Domänencontrollern. Standardeinstellung: Signatur aushandeln	Network security: LDAP client signing requirements This security setting determines the level of data signing that is requested on behalf of clients issuing LDAP BIND requests, as follows: None: The LDAP BIND request is issued with the options that are specified by the caller. Negotiate signing: If Transport Layer Security/Secure Sockets Layer (TLS\SSL) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the options specified by the caller. If TLS\SSL has been started, the LDAP BIND request is initiated with the options that are specified by the caller. Require signature: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed. Caution If you set the server to Require signature, you must also set the client. Not setting the client results in a loss of connection with the server. Note: This setting does not have any impact on ldap_simple_bind or ldap_simple_bind_s. No Microsoft LDAP clients that are shipped with Windows XP Professional use ldap_simple_bind or ldap_simple_bind_s to talk to a domain controller. Default: Negotiate signing.
2016	Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Diese Sicherheitseinstellung ermöglicht es einem Client, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit anzufordern. Diese Werte hängen vom Wert der Sicherheitseinstellung "LAN Manager-Authentifizierungsebene" ab. Zu diesen Optionen gehören: NTLMv2-Sitzungssicherheit erfordern: Die Verbindung ist nicht erfolgreich, wenn das NTLMv2-Protokoll nicht ausgehandelt wird. 128-Bit-Verschlüsselung erfordern: Die Verbindung ist nicht erfolgreich, wenn die starke Verschlüsselung (128-Bit) nicht ausgehandelt wird. Standardeinstellung: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erfordern	Network security: Minimum session security for NTLM SSP based (including secure RPC) clients This security setting allows a client to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if NTLMv2 protocol is not negotiated. Require 128-bit encryption: The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption
2017	Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Diese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit anzufordern. Diese Werte hängen vom Wert der Sicherheitseinstellung "LAN Manager-Authentifizierungsebene" ab. Zu den Optionen gehören: NTLMv2-Sitzungssicherheit erfordern. Die Verbindung ist nicht erfolgreich, wenn die Nachrichtenintegrität nicht ausgehandelt wird. 128-Bit-Verschlüsselung erfordern. Die Verbindung ist nicht erfolgreich, wenn die starke Verschlüsselung (128-Bit) nicht ausgehandelt wird. Standardeinstellung: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erfordern	Network security: Minimum session security for NTLM SSP based (including secure RPC) servers This security setting allows a server to require the negotiation of 128-bit encryption and/or NTLMv2 session security. These values are dependent on the LAN Manager Authentication Level security setting value. The options are: Require NTLMv2 session security: The connection will fail if message integrity is not negotiated. Require 128-bit encryption. The connection will fail if strong encryption (128-bit) is not negotiated. Default: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008: No requirements. Windows 7 and Windows Server 2008 R2: Require 128-bit encryption
2018	Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen Diese Sicherheitseinstellung bestimmt, ob das Kennwort für das Administratorkonto eingegeben werden muss, bevor der Zugriff auf das System gewährt wird. Wenn diese Option aktiviert ist, erfordert die Wiederherstellungskonsole nicht die Eingabe eines Kennworts, und Sie werden automatisch am System angemeldet. Standardeinstellung: Diese Richtlinie ist nicht definiert und automatische administrative Anmelding ist daher nicht erlaubt.	Recovery console: Allow automatic administrative logon This security setting determines if the password for the Administrator account must be given before access to the system is granted. If this option is enabled, the Recovery Console does not require you to provide a password, and it automatically logs on to the system. Default: This policy is not defined and automatic administrative logon is not allowed.
2019	Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen Durch Aktivieren dieser Sicherheitsoption wird der SET-Befehl der Wiederherstellungskonsole verfügbar. Dieser Befehl dient zum Einstellen der folgenden Umgebungsvariablen der Wiederherstellungskonsole: AllowWildCards: Aktiviert die Platzhalterunterstützung für einige Befehle (z. B. DEL-Befehl). AllowAllPaths: Erlaubt den Zugriff auf alle Dateien und Ordner auf dem Computer. AllowRemovableMedia: Erlaubt das Kopieren von Dateien auf Wechselmedien, z. B. eine Diskette. NoCopyPrompt: Zeigt beim Überschreiben vorhandener Daten keine Eingabeaufforderung an. Standardeinstellung: Deaktiviert	Recovery console: Allow floppy copy and access to all drives and all folders Enabling this security option makes the Recovery Console SET command available, which allows you to set the following Recovery Console environment variables: AllowWildCards: Enable wildcard support for some commands (such as the DEL command). AllowAllPaths: Allow access to all files and folders on the computer. AllowRemovableMedia: Allow files to be copied to removable media, such as a floppy disk. NoCopyPrompt: Do not prompt when overwriting an existing file. Default: This policy is not defined and the recover console SET command is not available.
2020	Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen Diese Sicherheitseinstellung bestimmt, ob ein Computer ohne vorherige Anmeldung an Windows heruntergefahren werden kann. Wenn diese Richtlinie aktiviert ist, ist der Befehl "Herunterfahren" auf dem Windows-Anmeldebildschirm verfügbar. Wenn diese Richtlinie deaktiviert ist, wird die Option zum Herunterfahren des Computers nicht auf dem Windows-Anmeldebildschirm angezeigt. In diesem Fall müssen Benutzer in der Lage sein, sich erfolgreich am Computer anzumelden, und sie müssen das Benutzerrecht "Herunterfahren des Systems" besitzen, um das ein System herunterfahren zu können. Standardeinstellung auf Arbeitsstationen: Aktiviert Standardeinstellung auf Servern: Deaktiviert	Shutdown: Allow system to be shut down without having to log on This security setting determines whether a computer can be shut down without having to log on to Windows. When this policy is enabled, the Shut Down command is available on the Windows logon screen. When this policy is disabled, the option to shut down the computer does not appear on the Windows logon screen. In this case, users must be able to log on to the computer successfully and have the Shut down the system user right before they can perform a system shutdown. Default on workstations: Enabled. Default on servers: Disabled.
2021	Herunterfahren: Auslagerungsdatei des virtuellen Arbeitspeichers löschen Diese Sicherheitseinstellung bestimmt, ob die Auslagerungsdatei des virtuellen Speichers beim Herunterfahren des Systems gelöscht wird. Der virtuelle Speicher verwendet eine Systemauslagerungsdatei, um Seiten des Arbeitsspeichers auf den Datenträger zu spiegeln, wenn sie nicht verwendet werden. Auf einem aktiven System wird diese Auslagerungsdatei ausschließlich vom Betriebssystem geöffnet, und sie ist gut geschützt. Systeme, die so konfiguriert sind, dass der Start über andere Betriebssysteme zulässig ist, müssen jedoch u. U. sicherstellen, dass die Systemauslagerungsdatei beim Herunterfahren des Systems gelöscht wird. Dadurch wird gewährleistet, dass möglicherweise in die Auslagerungsdatei geschriebene sensible Informationen aus dem Prozessspeicher nicht für einen nicht autorisierten Benutzer verfügbar werden, der sich direkten Zugriff auf die Auslagerungsdatei verschafft. Wenn diese Richtlinie aktiviert ist, wird die Systemauslagerungsdatei beim Herunterfahren gelöscht. Wenn Sie diese Sicherheitsoption aktivieren, wird die Ruhezustanddatei ("hiberfil.sys") ebenfalls gelöscht, wenn der Ruhezustand deaktiviert ist. Standardeinstellung: Deaktiviert	Shutdown: Clear virtual memory pagefile This security setting determines whether the virtual memory pagefile is cleared when the system is shut down. Virtual memory support uses a system pagefile to swap pages of memory to disk when they are not used. On a running system, this pagefile is opened exclusively by the operating system, and it is well protected. However, systems that are configured to allow booting to other operating systems might have to make sure that the system pagefile is wiped clean when this system shuts down. This ensures that sensitive information from process memory that might go into the pagefile is not available to an unauthorized user who manages to directly access the pagefile. When this policy is enabled, it causes the system pagefile to be cleared upon clean shutdown. If you enable this security option, the hibernation file (hiberfil.sys) is also zeroed out when hibernation is disabled. Default: Disabled.
2022	Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen Diese Sicherheitseinstellung bestimmt, ob die privaten Schlüssel des Benutzers die Verwendung eines Kennworts erfordern. Folgende Optionen sind verfügbar: Keine Benutzereingabe erforderlich, wenn neue Schlüssel gespeichert und verwendet werden Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten Mal verwendet wird Bei jeder Verwendung eines Schlüssels Kennwort eingeben Weitere Informationen finden Sie unter "Public Key Infrastructure". Standardeinstellung: Diese Richtlinie ist nicht definiert.	System Cryptography: Force strong key protection for user keys stored on the computer This security setting determines if users' private keys require a password to be used. The options are: User input is not required when new keys are stored and used User is prompted when the key is first used User must enter a password each time they use a key For more information, see Public key infrastructure. Default: This policy is not defined.
2023	Systemkryptografie: FIPS 140-konforme kryptografische Algorithmen einschließlich Verschlüsselungs-, Hashing- und Signaturalgorithmen verwenden Für den Sicherheitsdienstanbieter (Security Service Provider, SSP) des Kanals werden durch diese Sicherheitseinstellung die schwächeren SSL (Secure Sockets Layer)-Protokolle deaktiviert und nur die TLS (Transport Layer Security)-Protokolle als Client und als Server unterstützt (sofern zutreffend). Ist diese Einstellung aktiviert, verwendet der Sicherheitsanbieter für TLS/SSL (Transport Layer Security/Secure Sockets Layer) nur die von FIPS 140 genehmigten kryptografischen Algorithmen: 3DES und AES für Verschlüsselung, Kryptografie für öffentliche Schlüssel per RSA oder ECC für den TLS-Schlüsselaustausch und die Authentifizierung und nur SHA1, SHA256, SHA384 und SHA512 (Secure Hashing Algorithm) für die TLS-Hashinganforderungen. Für den EFS-Dienst (verschlüsselndes Dateisystem) werden der Verschlüsselungsalgorithmus "Dreifach-DES" (Data Encryption Standard) und der Verschlüsselungsalgorithmus "AES" (Advanced Encryption Standard) für die Verschlüsselung von Dateidaten unterstützt, die vom NTFS-Dateisystem unterstützt werden. Standardmäßig wird von EFS der AES-Algorithmus mit einem 256-Bit-Schlüssel in der Windows Server 2003- und Windows Vista-Produktfamilie und unter Windows XP der DESX-Algorithmus für die Verschlüsselung von Dateidaten verwendet. Informationen zu EFS finden Sie unter "Encrypting File System" (verschlüsselndes Dateisystem). Für die Remotedesktopdienste wird nur der Dreifach-DES-Verschlüsselungsalgorithmus zur Verschlüsselung der Netzwerkkommunikation der Remotedesktopdienste unterstützt. Hinweis: Die Remotedesktopdienste wurden in vorherigen Versionen von Windows Server als Terminaldienste bezeichnet. Für BitLocker muss diese Richtlinie aktiviert werden, damit Verschlüsselungsschlüssel generiert werden können. Wiederherstellungskennwörter, die erstellt werden, wenn diese Richtlinie aktiviert ist, sind nicht mit BitLocker für Windows 8, Windows Server 2012 und ältere Betriebssystemversionen kompatibel. Wird diese Richtlinie auf Computer unter Betriebssystemen vor Windows 8.1 und Windows Server 2012 R2 angewendet, wird die Erstellung oder Verwendung von Wiederherstellungskennwörtern durch BitLocker verhindert. Für die entsprechenden Computer müssen Wiederherstellungsschlüssel verwendet werden. Standardeinstellung: Deaktiviert Hinweis: Der Federal Information Processing Standard (FIPS) 140 ist eine für die Zertifizierung von kryptografischer Software konzipierte Sicherheitsimplementierung. Gemäß FIPS 140 überprüfte Software wird von der US-Regierung verlangt und von anderen bekannten Institutionen gewünscht.	System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms For the Schannel Security Service Provider (SSP), this security setting disables the weaker Secure Sockets Layer (SSL) protocols and supports only the Transport Layer Security (TLS) protocols as a client and as a server (if applicable). If this setting is enabled, Transport Layer Security/Secure Sockets Layer (TLS/SSL) Security Provider uses only the FIPS 140 approved cryptographic algorithms: 3DES and AES for encryption, RSA or ECC public key cryptography for the TLS key exchange and authentication, and only the Secure Hashing Algorithm (SHA1, SHA256, SHA384, and SHA512) for the TLS hashing requirements. For Encrypting File System Service (EFS), it supports the Triple Data Encryption Standard (DES) and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. By default, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003 and Windows Vista family and DESX algorithm in Windows XP for encrypting file data. For information about EFS, see Encrypting File System. For Remote Desktop Services, it supports only the Triple DES encryption algorithm for encrypting Remote Desktop Services network communication. Note: Remote Desktop Services was called Terminal Services in previous versions of Windows Server. For BitLocker, this policy needs to be enabled before any encryption key is generated. Recovery passwords created when this policy is enabled are incompatible with BitLocker on Windows 8, Windows Server 2012, and earlier operating systems. If this policy is applied to computers running operating systems prior to Windows 8.1 and Windows Server 2012 R2, BitLocker will prevent the creation or use of recovery passwords; recovery keys should be used for those computers instead. Default: Disabled. Note: The Federal Information Processing Standard (FIPS) 140 is a security implementation designed for certifying cryptographic software. FIPS 140 validated software is required by the U.S. Government and requested by other prominent institutions.
2024	Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden. Beschreibung: Diese Sicherheitseinstellung bestimmt, welchem Sicherheitsprinzipal (SID) der BESITZER von Objekten zugewiesen wird, wenn das Objekt von einem Mitglied der Gruppe "Administratoren" erstellt wird. Standardeinstellung: Windows XP: Benutzer-SID Windows 2003: Gruppe "Administratoren"	System objects: Default owner for objects created by members of the Administrators group Description This security setting determines which security principal (SID) will be assigned the OWNER of objects when the object is created by a member of the Administrators Group. Default: Windows XP: User SID Windows 2003 : Administrators Group
2025	Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren Diese Sicherheitseinstellung bestimmt, ob das Ignorieren der Groß-/Kleinschreibung für alle Subsysteme erzwungen wird. Das Win32-Subsystem ignoriert die Schreibweise. Der Kernel unterstützt jedoch die Beachtung der Groß-/Kleinschreibung für andere Subsysteme, z. B. POSIX. Wenn diese Einstellung aktiviert ist, wird das Ignorieren der Groß-/Kleinschreibung für alle Verzeichnisobjekte, symbolischen Verknüpfungen und EA-Objekte, einschließlich Dateiobjekte, erzwungen. Das Win32-Subsystem beachtet die Schreibweise auch dann nicht, wenn diese Einstellung deaktiviert ist. Standardeinstellung: Aktiviert	System objects: Require case insensitivity for non-Windows subsystems This security setting determines whether case insensitivity is enforced for all subsystems. The Win32 subsystem is case insensitive. However, the kernel supports case sensitivity for other subsystems, such as POSIX. If this setting is enabled, case insensitivity is enforced for all directory objects, symbolic links, and IO objects, including file objects. Disabling this setting does not allow the Win32 subsystem to become case sensitive. Default: Enabled.
2026	Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken Diese Sicherheitseinstellung bestimmt die Stärke der standardmäßigen freigegebenen Zugriffssteuerungsliste (DACL) für Objekte. Active Directory verwaltet eine globale Liste von freigegebenen Systemressourcen, z. B. DOS-Gerätenamen, Mutexe und Semaphore. Auf diese Weise können Objekte ausfindig gemacht und von Prozessen gemeinsam genutzt werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die definiert, wer auf die Objekte zugreifen kann und welche Berechtigungen gewährt werden. Wenn diese Richtlinie aktiviert ist, ist die Standard-DACL stärker. Sie erlaubt Nicht-Administratoren das Lesen freigegebener Objekte, diese Benutzer können jedoch keine Objekte ändern, die sie nicht selbst erstellt haben. Standardeinstellung: Aktiviert	System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) This security setting determines the strength of the default discretionary access control list (DACL) for objects. Active Directory maintains a global list of shared system resources, such as DOS device names, mutexes, and semaphores. In this way, objects can be located and shared among processes. Each type of object is created with a default DACL that specifies who can access the objects and what permissions are granted. If this policy is enabled, the default DACL is stronger, allowing users who are not administrators to read shared objects but not allowing these users to modify shared objects that they did not create. Default: Enabled.
2027	Systemeinstellungen: optionale Subsysteme Diese Sicherheitseinstellung bestimmt, welche Subsysteme zur Unterstützung der Anwendungen optional gestartet werden können. Sie können mit dieser Sicherheitseinstellung beliebig viele Subsysteme zur Unterstützung der Anwendung entsprechend den Umgebungsanforderungen angeben. Standardeinstellung: POSIX	System settings: Optional subsystems This security setting determines which subsystems can optionally be started up to support your applications. With this security setting, you can specify as many subsystems to support your applications as your environment demands. Default: POSIX.
2028	Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden Diese Sicherheitseinstellung bestimmt, ob digitale Zertifikate verarbeitet werden, wenn ein Benutzer oder Prozess versucht, Software mit der Dateinamenerweiterung EXE auszuführen. Diese Sicherheitseinstellung dient zum Aktivieren oder Deaktivieren von Zertifikatregeln, einer Art Softwareeinschränkungsrichtlinien-Regel. Mithilfe von Softwareeinschränkungsrichtlinien können Sie eine Zertifikatregel erstellen, die die Ausführung von Authenticode-signierter Software basierend auf dem digitalen Zertifikat der Software zulässt oder verweigert. Damit Zertifikatregeln wirksam werden, müssen Sie diese Sicherheitseinstellung aktivieren. Wenn Zertifikatregeln aktiviert sind, überprüfen die Softwareeinschränkungsrichtlinien auch eine Zertifikatssperrliste (CRL), um sicherzustellen, dass das Zertifikat und die Signatur der Software gültig sind. Dadurch kann die Leistung beim Starten signierter Programme beeinträchtigt werden. Sie können dieses Feature deaktivieren. Deaktivieren Sie im Dialogfeld "Eigenschaften von Vertrauenswürdige Herausgeber" die Kontrollkästchen "Herausgeber" und "Zeitstempel". Weitere Informationen finden Sie in der Beschreibung zum Einstellen von Optionen für vertrauenswürdige Herausgeber. Standardeinstellung: Deaktiviert	System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies This security setting determines if digital certificates are processed when a user or process attempts to run software with an .exe file name extension. This security settings is used to enable or disable certificate rules, a type of software restriction policies rule. With software restriction policies, you can create a certificate rule that will allow or disallow software that is signed by Authenticode to run, based on the digital certificate that is associated with the software. In order for certificate rules to take effect, you must enable this security setting. When certificate rules are enabled, software restriction policies will check a certificate revocation list (CRL) to make sure the software's certificate and signature are valid. This may decrease performance when start signed programs. You can disable this feature. On Trusted Publishers Properties, clear the Publisher and Timestamp check boxes. For more information, see Set trusted publisher options. Default: Disabled.
2029	Maximale Größe des Anwendungsprotokolls Diese Sicherheitseinstellung definiert die maximale Größe des Anwendungsereignisprotokolls, das eine Größe von theoretisch maximal 4 GB besitzt. Praktisch liegt die Grenze bei etwa 300 MB. Hinweise Protokolldateigrößen müssen ein Vielfaches von 64 KB sein. Wenn Sie einen Wert eingeben, der kein Vielfaches von 64 KB ist, rundet die Ereignisanzeige die Protokolldateigröße auf ein Vielfaches von 64 KB auf. Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Die Größe des Ereignisprotokolls und der Protokollumbruch sollten entsprechend den beim Entwurf des Unternehmenssicherheitsplans festgelegten Unternehmens- und Sicherheitsanforderungen definiert werden. Implementieren Sie diese Ereignisprotokolleinstellungen ggf. auf der Standort-, Domänen- oder Organisationseinheitsebene, um die Vorteile der Gruppenrichtlinieneinstellungen zu nutzen. Standardeinstellung: Für die Windows Server 2003-Produktfamilie, 16 MB; für Windows XP Professional Service Pack 1, 8 MB; für Windows XP Professional, 512 KB	Maximum application log size This security setting specifies the maximum size of the application event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2030	Maximale Größe des Sicherheitsprotokolls Diese Sicherheitseinstellung definiert die maximale Größe des Sicherheitsereignisprotokolls, das eine Größe von theoretisch maximal 4 GB besitzt. Praktisch liegt die Grenze bei etwa 300 MB. Hinweise Protokolldateigrößen müssen ein Vielfaches von 64 KB sein. Wenn Sie einen Wert eingeben, der kein Vielfaches von 64 KB ist, rundet die Ereignisanzeige die Protokolldateigröße auf ein Vielfaches von 64 KB auf. Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Die Größe des Ereignisprotokolls und der Protokollumbruch sollten entsprechend den beim Entwurf des Unternehmenssicherheitsplans festgelegten Unternehmens- und Sicherheitsanforderungen definiert werden. Implementieren Sie diese Ereignisprotokolleinstellungen ggf. auf der Standort-, Domänen- oder Organisationseinheitsebene, um die Vorteile der Gruppenrichtlinieneinstellungen zu nutzen. Standardeinstellung: Für die Windows Server 2003-Produktfamilie, 16 MB; für Windows XP Professional Service Pack 1, 8 MB; für Windows XP Professional, 512 KB	Maximum security log size This security setting specifies the maximum size of the security event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2031	Maximale Größe des Systemprotokolls Diese Sicherheitseinstellung definiert die maximale Größe des Systemereignisprotokolls, das eine Größe von theoretisch maximal 4 GB besitzt. Praktisch liegt die Grenze bei etwa 300 MB. Hinweise Protokolldateigrößen müssen ein Vielfaches von 64 KB sein. Wenn Sie einen Wert eingeben, der kein Vielfaches von 64 KB ist, rundet die Ereignisanzeige die Protokolldateigröße auf ein Vielfaches von 64 KB auf. Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Die Größe des Ereignisprotokolls und der Protokollumbruch sollten entsprechend den beim Entwurf des Unternehmenssicherheitsplans festgelegten Unternehmens- und Sicherheitsanforderungen definiert werden. Implementieren Sie diese Ereignisprotokolleinstellungen ggf. auf der Standort-, Domänen- oder Organisationseinheitsebene, um die Vorteile der Gruppenrichtlinieneinstellungen zu nutzen. Standardeinstellung: Für die Windows Server 2003-Produktfamilie, 16 MB; für Windows XP Professional Service Pack 1, 8 MB; für Windows XP Professional, 512 KB	Maximum system log size This security setting specifies the maximum size of the system event log, which has a theoretical maximum of 4 GB. Practically the limit is lower (~300MB). Notes Log file sizes must be a multiple of 64 KB. If you enter a value that is not a multiple of 64 KB, Event Viewer will round he log file size up to a multiple of 64 KB. This setting does not appear in the Local Computer Policy object. Event Log size and log wrapping should be defined to match the business and security requirements you determined when designing your enterprise security plan. Consider implementing these Event Log settings at the site, domain, or organizational unit level, to take advantage of Group Policy settings. Default: For the Windows Server 2003 family, 16 MB; for Windows XP Professional Service Pack 1, 8 MB; for Windows XP Professional, 512 KB.
2032	Zugriff auf Systemprotokoll durch lokale Gästegruppe und Benutzer mit ANONYMOUS-ANMELDUNG verhindern Diese Sicherheitseinstellung bestimmt, ob Gäste am Zugriff auf das Systemereignisprotokoll gehindert werden. Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Diese Sicherheitseinstellung betrifft nur Computer unter Windows 2000 und Windows XP. Standardeinstellung: "Aktiviert" für Windows XP, "Deaktiviert" für Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing application log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2033	Zugriff auf Sicherheitsprotokoll durch lokale Gästegruppe und Benutzer mit ANONYMOUS-ANMELDUNG verhindern Diese Sicherheitseinstellung bestimmt, ob Gäste am Zugriff auf das Anwendungsereignisprotokoll gehindert werden. Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Diese Sicherheitseinstellung betrifft nur Computer unter Windows 2000 und Windows XP. Standardeinstellung: "Aktiviert" für Windows XP, "Deaktiviert" für Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing security log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2034	Zugriff auf Systemprotokoll durch lokale Gästegruppe und Benutzer mit ANONYMOUS-ANMELDUNG verhindern Diese Sicherheitseinstellung bestimmt, ob Gäste am Zugriff auf das Anwendungsereignisprotokoll gehindert werden. Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Diese Sicherheitseinstellung betrifft nur Computer unter Windows 2000 und Windows XP. Standardeinstellung: "Aktiviert" für Windows XP, "Deaktiviert" für Windows 2000	Prevent local guests group and ANONYMOUS LOGIN users from accessing system log This security setting determines if guests are prevented from accessing the application event log. Notes This setting does not appear in the Local Computer Policy object. This security setting affects only computers running Windows 2000 and Windows XP. Default: Enabled for Windows XP, Disabled for Windows 2000
2035	Anwendungsprotokoll-Aufbewahrung Diese Sicherheitseinstellung definiert die Anzahl von Tagen, während denen Ereignisse für das Anwendungsprotokoll aufbewahrt werden, wenn als Aufbewahrungsmethode für das Anwendungsprotokoll "Nach Tagen" festgelegt ist. Legen Sie diesen Wert nur fest, wenn Sie das Protokoll in geplanten Intervallen archivieren, und vergewissern Sie sich, dass die "Maximale Größe des Anwendungsprotokolls" groß genug für das Intervall ist. Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Standardeinstellung: Keine.	Retain application log This security setting determines the number of days' worth of events to be retained for the application log if the retention method for the application log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum application log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2036	Sicherheitsprotokoll-Aufbewahrung Diese Sicherheitseinstellung definiert die Anzahl von Tagen, während denen Ereignisse für das Sicherheitsprotokoll aufbewahrt werden, wenn als Aufbewahrungsmethode für das Sicherheitsprotokoll "Nach Tagen" eingestellt ist. Stellen Sie diesen Wert nur ein, wenn Sie das Protokoll in geplanten Intervallen archivieren, und vergewissern Sie sich, dass die "Maximale Größe des Sicherheitsprotokolls" groß genug ist für das Intervall. Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Ein Benutzer muss über die Benutzerberechtigungen für die Überwachungsverwaltung und Sicherheitsprotokolle verfügen, um auf das Sicherheitsprotokoll zugreifen zu können. Standardeinstellung: Kein(e).	Retain security log This security setting determines the number of days' worth of events to be retained for the security log if the retention method for the security log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum security log size is large enough to accommodate the interval. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None.
2037	Systemprotokoll-Aufbewahrung Diese Sicherheitseinstellung definiert die Anzahl von Tagen, während deren Ereignisse für das Systemprotokoll aufbewahrt werden, wenn als Aufbewahrungsmethode für das Systemprotokoll "Nach Tagen" eingestellt ist. Stellen Sie diesen Wert nur ein, wenn Sie das Protokoll in geplanten Intervallen archivieren, und vergewissern Sie sich, dass die "Maximale Größe des Systemprotokolls" groß genug ist für das Intervall. Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Standardeinstellung: Keine	Retain system log This security setting determines the number of days' worth of events to be retained for the system log if the retention method for the system log is By Days. Set this value only if you archive the log at scheduled intervals and you make sure that the Maximum system log size is large enough to accommodate the interval. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2038	Aufbewahrungsmethode des Anwendungsprotokolls Diese Sicherheitseinstellung bestimmt die "Umbruchmethode" für das Anwendungsprotokoll. Wenn Sie das Anwendungsprotokoll nicht archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse bei Bedarf überschreiben". Wenn Sie das Protokoll in geplanten Intervallen archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", klicken Sie auf "Ereignisse auf Tagen basierend überschreiben", und legen Sie die entsprechende Anzahl von Tagen in der Einstellung "Anwendungsprotokoll-Aufbewahrung" fest. Vergewissern Sie sich, dass die "Maximale Größe des Anwendungsprotokolls" groß genug ist für das Intervall. Wenn Sie alle Ereignisse im Protokoll aufbewahren müssen, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse nie überschreiben (Protokoll manuell löschen)". Diese Option setzt voraus, dass das Protokoll manuell gelöscht wird. In diesem Fall werden neue Ereignisse gelöscht, wenn die maximale Protokollgröße erreicht wird. Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Standardeinstellung: Keine	Retention method for application log This security setting determines the "wrapping" method for the application log. If you do not archive the application log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain application log setting. Make sure that the Maximum application log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Note: This setting does not appear in the Local Computer Policy object. Default: None.
2039	Aufbewahrungsmethode des Sicherheitsprotokolls Diese Sicherheitseinstellung bestimmt die "Umbruchmethode" für das Sicherheitsprotokoll. Wenn Sie das Sicherheitsprotokoll nicht archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse bei Bedarf überschreiben". Wenn Sie das Protokoll in geplanten Intervallen archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", klicken Sie auf "Ereignisse auf Tagen basierend überschreiben", und legen Sie die entsprechende Anzahl von Tagen in der Einstellung "Sicherheitsprotokoll-Aufbewahrung" fest. Vergewissern Sie sich, dass die "Maximale Größe des Sicherheitsprotokolls" groß genug für das Intervall ist. Wenn Sie alle Ereignisse im Protokoll aufbewahren müssen, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse nie überschreiben (Protokoll manuell löschen)". Diese Option setzt voraus, dass das Protokoll manuell gelöscht wird. In diesem Fall werden neue Ereignisse gelöscht, wenn die maximale Protokollgröße erreicht wird. Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Ein Benutzer muss über die Benutzerberechtigungen für die Überwachungsverwaltung und Sicherheitsprotokolle verfügen, um auf das Sicherheitsprotokoll zugreifen zu können. Standardeinstellung: Kein(e).	Retention method for security log This security setting determines the "wrapping" method for the security log. If you do not archive the security log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the retain security log setting. Make sure that the Maximum security log size is large enough to accommodate the interval. If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded. Notes This setting does not appear in the Local Computer Policy object. A user must possess the Manage auditing and security log user right to access the security log. Default: None.
2040	Aufbewahrungsmethode des Systemprotokolls Diese Sicherheitseinstellung bestimmt die "Umbruchmethode" für das Systemprotokoll. Wenn Sie das Systemprotokoll nicht archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse bei Bedarf überschreiben". Wenn Sie das Protokoll in geplanten Intervallen archivieren, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", klicken Sie auf "Ereignisse auf Tagen basierend überschreiben", und legen Sie die entsprechende Anzahl von Tagen in der Einstellung "Systemprotokoll-Aufbewahrung" fest. Vergewissern Sie sich, dass die "Maximale Größe des Systemprotokolls" groß genug für das Intervall ist. Wenn Sie alle Ereignisse im Protokoll aufbewahren müssen, aktivieren Sie im Dialogfeld "Eigenschaften" für diese Richtlinie das Kontrollkästchen "Diese Richtlinieneinstellung definieren", und klicken Sie dann auf "Ereignisse nie überschreiben (Protokoll manuell löschen)". Diese Option setzt voraus, dass das Protokoll manuell gelöscht wird. In diesem Fall werden neue Ereignisse gelöscht, wenn die maximale Protokollgröße erreicht wird. Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Standardeinstellung: Keine.	Retention method for system log This security setting determines the "wrapping" method for the system log. If you do not archive the system log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events as needed. If you archive the log at scheduled intervals, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Overwrite events by days and specify the appropriate number of days in the Retain system log setting. Make sure that the Maximum system log size is large enough to accommodate the interval .If you must retain all the events in the log, in the Properties dialog box for this policy, select the Define this policy setting check box, and then click Do not overwrite events (clear log manually). This option requires that the log be cleared manually. In this case, when the maximum log size is reached, new events are discarded Note: This setting does not appear in the Local Computer Policy object. Default: None.
2041	Eingeschränkte Gruppen Diese Sicherheitseinstellung ermöglicht einem Administrator das Definieren von zwei Eigenschaften für sicherheitsempfindliche Gruppen ("eingeschränkte" Gruppen). Die beiden Eigenschaften sind "Mitglieder" und "Mitglied von". Die Liste "Mitglieder" definiert, wer der eingeschränkten Gruppe angehört. Die Liste "Mitglied von" legt fest, welchen anderen Gruppen die eingeschränkte Gruppe angehört. Wenn eine Richtlinie "Eingeschränkte Gruppen" erzwungen wird, werden alle aktuellen Mitglieder einer eingeschränkten Gruppe, die nicht in der Liste "Mitglieder" enthalten sind, entfernt. Alle Benutzer in der Liste "Mitglieder", die zurzeit keine Mitglieder der eingeschränkten Gruppe sind, werden hinzugefügt. Die Richtlinie "Eingeschränkte Gruppen" dient zum Steuern der Gruppenmitgliedschaft. Sie können mit dieser Richtlinie festlegen, welche Mitglieder einer Gruppe angehören. Alle nicht in der Richtlinie angegebenen Mitglieder werden während der Konfiguration oder Aktualisierung entfernt. Zudem gewährleistet die Konfigurationsoption zum Umkehren der Mitgliedschaft, dass jede eingeschränkte Gruppe nur ein Mitglied der in der Spalte "Mitglied von" definierten Gruppen ist. Sie können z. B. eine Richtlinie "Eingeschränkte Gruppen" erstellen, um nur bestimmten Benutzern (z. B. Alice und John) die Mitgliedschaft bei der Gruppe "Administratoren" zu erlauben. Wenn die Richtlinie aktualisiert wird, verbleiben nur Alice und John als Mitglieder in der Gruppe "Administratoren". Zwei Methoden stehen zum Anwenden der Richtlinie "Eingeschränkte Gruppen" zur Auswahl: Definieren Sie die Richtlinie in einer Sicherheitsvorlage, die während der Konfiguration auf den lokalen Computer angewendet wird. Definieren Sie die Einstellung direkt in einem Gruppenrichtlinienobjekt (GPO). In diesem Fall wird die Richtlinie bei jeder Aktualisierung der Richtlinie angewendet. Die Sicherheitseinstellungen werden auf Arbeitsstationen alle 90 Minuten und auf Servern oder Domänencontrollern alle 5 Minuten aktualisiert. Die Einstellungen werden auch alle 16 Stunden aktualisiert, unabhängig davon, ob Änderungen vorgenommen wurden. Standardeinstellung: Nicht definiert Warnung Wenn eine Richtlinie "Eingeschränkte Gruppen" definiert ist und die Gruppenrichtlinie aktualisiert wird, werden alle aktuellen Mitglieder, die nicht in der Mitgliederliste der Richtlinie "Eingeschränkte Gruppen" enthalten sind, entfernt. Dies kann auch Standardmitglieder wie Administratoren betreffen. Hinweise Eingeschränkte Gruppen sollten in erster Linie zum Konfigurieren der Mitgliedschaft von lokalen Gruppen auf Arbeitsstationen oder Mitgliedservern verwendet werden. Eine leere Liste "Mitglieder" bedeutet, dass die eingeschränkte Gruppe keine Mitglieder hat. Eine leere Liste "Mitglied von" bedeutet, dass die Gruppen, denen die eingeschränkte Gruppe angehört, nicht definiert sind.	Restricted Groups This security setting allows an administrator to define two properties for security-sensitive groups ("restricted" groups). The two properties are Members and Member Of. The Members list defines who belongs and who does not belong to the restricted group. The Member Of list specifies which other groups the restricted group belongs to. When a Restricted Groups Policy is enforced, any current member of a restricted group that is not on the Members list is removed. Any user on the Members list who is not currently a member of the restricted group is added. You can use Restricted Groups policy to control group membership. Using the policy, you can specify what members are part of a group. Any members that are not specified in the policy are removed during configuration or refresh. In addition, the reverse membership configuration option ensures that each Restricted Group is a member of only those groups that are specified in the Member Of column. For example, you can create a Restricted Groups policy to only allow specified users (for example, Alice and John) to be members of the Administrators group. When policy is refreshed, only Alice and John will remain as members of the Administrators group. There are two ways to apply Restricted Groups policy: Define the policy in a security template, which will be applied during configuration on your local computer. Define the setting on a Group Policy object (GPO) directly, which means that the policy goes into effect with every refresh of policy. The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes. Default: None specified. Caution If a Restricted Groups policy is defined and Group Policy is refreshed, any current member not on the Restricted Groups policy members list is removed. This can include default members, such as administrators. Notes Restricted Groups should be used primarily to configure membership of local groups on workstation or member servers. An empty Members list means that the restricted group has no members; an empty Member Of list means that the groups to which the restricted group belongs are not specified.
2042	Sicherheitseinstellungen für Systemdienste Diese Einstellungen ermöglichen einem Administrator das Definieren des Startmodus (manuell, automatisch oder deaktiviert) sowie der Zugriffsberechtigungen (Starten, Anhalten oder Unterbrechen) für alle Systemdienste. Standardeinstellung: Nicht definiert Hinweise Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt. Wenn Sie den Startmodus für einen Systemdienst auf "Automatisch" einstellen, müssen Sie durch geeignete Tests sicherstellen, dass die Dienste ohne Benutzereingriffe gestartet werden können. Nicht benötigte oder nicht verwendete Dienste sollten zwecks Leistungsoptimierung auf "manuell" eingestellt werden.	System Services security settings Allows an administrator to define the startup mode (manual, automatic, or disabled) as well as the access permissions (Start, Stop, or Pause) for all system services. Default: Undefined. Notes This setting does not appear in the Local Computer Policy object. If you choose to set system service startup to Automatic, perform adequate testing to verify that the services can start without user intervention. For performance optimization, set unnecessary or unused services to Manual.
2043	Sicherheitseinstellungen für die Registrierung Diese Einstellungen ermöglichen einem Administrator das Definieren von Zugriffsberechtigungen (in freigegebenen Zugriffssteuerungslisten, DACLs) und Überwachungseinstellungen (in Systemzugriffssteuerungslisten, SACLs) für Registrierungsschlüssel mit dem Sicherheitskonfigurations-Manager. Standardeinstellung: Nicht definiert Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt.	Registry security settings Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for registry keys using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object.
2044	Sicherheitseinstellungen für das Dateisystem Diese Einstellungen ermöglichen einem Administrator das Definieren von Zugriffsberechtigungen (in freigegebenen Zugriffssteuerungslisten, DACLs) und Überwachungseinstellungen (in Systemzugriffssteuerungslisten, SACLs) für Dateisystemobjekte mit dem Sicherheitskonfigurations-Manager. Standardeinstellung: Nicht definiert Hinweis: Diese Einstellung wird nicht im lokalen Computerrichtlinienobjekt angezeigt.	File System security settings Allows an administrator to define access permissions (on discretionary access control lists (DACLs)) and audit settings (on system access control lists (SACLs)) for file system objects using Security Configuration Manager. Default: Undefined. Note: This setting does not appear in the Local Computer Policy object.
2045	Überwachung: Überschreiben der Einstellungen für Kategorie-Überwachungsrichtlinien durch die Einstellungen für Unterkategorie-Überwachungsrichtlinien (Windows Vista oder höher) erzwingen Windows Vista und neuere Windows-Versionen ermöglichen die Verwaltung von Überwachungsrichtlinien anhand von entsprechenden Unterkategorien. Durch Festlegen der Überwachungsrichtlinie auf Kategorieebene wird das neue Unterkategorie-Überwachungsrichtlinienfeature überschrieben. Die Gruppenrichtlinie ermöglicht lediglich das Festlegen der Überwachungsrichtlinie auf Kategorieebene, und durch eine bestehende Gruppenrichtlinie werden unter Umständen die Unterkategorieeinstellungen neuer Computer überschrieben, wenn diese der Domäne beitreten oder auf Windows Vista oder höhere Versionen aktualisiert werden. Windows Vista und neuere Versionen enthalten einen neuen Registrierungswert ("SCENoApplyLegacyAuditPolicy"), der die Verwaltung von Überwachungsrichtlinien mit Unterkategorien ermöglicht, ohne die Gruppenrichtlinie ändern zu müssen. Durch diesen Wert wird verhindert, dass aus der Gruppenrichtlinie und der lokalen Sicherheitsrichtlinie stammende Überwachungsrichtlinien auf Kategorieebene angewendet werden. Wenn die hier festgelegte Überwachungsrichtlinie auf Kategorieebene nicht mit den derzeit generierten Ereignissen übereinstimmt, kann dies daran liegen, dass dieser Registrierungsschlüssel nicht festgelegt ist. Standardeinstellung: Aktiviert	Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings. Windows Vista and later versions of Windows allow audit policy to be managed in a more precise way using audit policy subcategories. Setting audit policy at the category level will override the new subcategory audit policy feature. Group Policy only allows audit policy to be set at the category level, and existing group policy may override the subcategory settings of new machines as they are joined to the domain or upgraded to Windows Vista or later versions. To allow audit policy to be managed using subcategories without requiring a change to Group Policy, there is a new registry value in Windows Vista and later versions, SCENoApplyLegacyAuditPolicy, which prevents the application of category-level audit policy from Group Policy and from the Local Security Policy administrative tool. If the category level audit policy set here is not consistent with the events that are currently being generated, the cause might be that this registry key is set. Default: Enabled
2046	Benutzerkontensteuerung: Verwendung des Administratorgenehmigungsmodus für das integrierte Administratorkonto Diese Sicherheitseinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto. Verfügbare Optionen: • Aktiviert: Für das integrierte Administratorkonto wird der Administratorgenehmigungsmodus verwendet. Standardmäßig wird der Benutzer bei jedem Vorgang, der erhöhte Rechte erfordert, zur Genehmigung des Vorgangs aufgefordert. • Deaktiviert (Standardeinstellung): Im integrierten Administratorkonto werden alle Anwendungen mit vollständigen Administratorrechten ausgeführt.	User Account Control: Use Admin Approval Mode for the built-in Administrator account This policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account. The options are: • Enabled: The built-in Administrator account uses Admin Approval Mode. By default, any operation that requires elevation of privilege will prompt the user to approve the operation. • Disabled: (Default) The built-in Administrator account runs all applications with full administrative privilege.
2047	DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzer oder Gruppen auf DCOM-Anwendungen remote oder lokal zugreifen können. Mit dieser Einstellung wird die Angriffsfläche des Computers für DCOM-Anwendungen gesteuert. Verwenden Sie diese Richtlinieneinstellung, um Zugriffsberechtigungen für alle Computer an bestimmte Benutzer für DCOM-Anwendungen im Unternehmen zu erteilen. Wenn Sie die Benutzer oder Gruppen angeben, denen Berechtigungen erteilt werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL-Darstellung (Security Descriptor Definition Language) dieser Gruppen und Rechte gefüllt. Falls keine Sicherheitsbeschreibung angegeben wird, wird die Richtlinieneinstellung in der Vorlage definiert, nicht jedoch erzwungen. Benutzern und Gruppen können explizite "Zulassen"- oder "Verweigern"-Rechte für den lokalen Zugriff und den Remotezugriff erteilt werden. Die Registrierungseinstellungen, die als Ergebnis der Aktivierung der Richtlinieneinstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" erstellt werden, haben Vorrang, d. h. eine höhere Priorität als die vorherigen Registrierungseinstellungen in diesem Bereich. Von Remote Procedure Call Services (RpcSs) werden die neuen Registrierungsschlüssel im Abschnitt "Richtlinien" auf Computereinschränkungen überprüft. Diese Registrierungseinträge haben Vorrang vor den vorhandenen Registrierungsschlüsseln unter OLE. Dies bedeutet, dass zuvor vorhandene Registrierungseinstellungen nicht mehr gültig sind. Wenn Sie die vorhandenen Einstellungen ändern, werden die Computerzugriffsberechtigungen für Benutzer nicht geändert. Seien Sie beim Konfigurieren der Liste mit Benutzern und Gruppen vorsichtig. Mögliche Werte für diese Richtlinieneinstellung: Leer. Der Schlüssel für die Richtlinienerzwingung kann von der lokalen Sicherheitsrichtlinie gelöscht werden. Mit diesem Wert wird die Richtlinie gelöscht und dann auf den Status "Nicht definiert" festgelegt. Der Wert "Leer" wird mit dem ACL-Editor und durch Leeren der Liste erstellt. Klicken Sie anschließend auf "OK". SDDL. Dies ist die SDDL-Darstellung (Security Descriptor Definition Language) der Gruppen und Rechte, die Sie beim Aktivieren der Richtlinie angeben. Nicht definiert. Dies ist der Standardwert. Hinweis Falls dem Administrator die Berechtigung zum Zugriff auf DCOM-Anwendungen aufgrund von Änderungen, die in Windows an DCOM vorgenommen wurden, verweigert wird, kann der Administrator die Richtlinieneinstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" verwenden, um DCOM-Zugriff auf den Computer zu verwalten. Der Administrator kann durch Verwendung dieser Einstellung angeben, welche Benutzer und Gruppen auf die DCOM-Anwendung auf dem Computer sowohl lokal als auch remote zugreifen können. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und die Benutzer wiederhergestellt. Öffnen Sie hierzu die Einstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax", und klicken Sie auf "Sicherheit bearbeiten". Geben Sie die Gruppen an, die enthalten sein sollen, und die Computerzugriffsberechtigungen für diese Gruppen. Dadurch wird die Einstellung definiert und der entsprechende SDDL-Wert festgelegt.	DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax This policy setting determines which users or groups can access DCOM application remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this policy setting to specify access permissions to all the computers to particular users for DCOM applications in the enterprise. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access. The registry settings that are created as a result of enabling the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting take precedence over (have higher priority) the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions, and these registry entries take precedence over the existing registry keys under OLE. This means that previously existing registry settings are no longer effective, and if you make changes to the existing settings, computer access permissions for users are not changed. Use care in configuring their list of users and groups. The possible values for this policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it as Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied permission to access DCOM applications due to the changes made to DCOM in Windows, the administrator can use the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting to manage DCOM access to the computer. The administrator can specify which users and groups can access the DCOM application on the computer both locally and remotely by using this setting. This will restore control of the DCOM application to the administrator and users. To do this, open the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer access permissions for those groups. This defines the setting and sets the appropriate SDDL value.
2048	DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzer oder Gruppen die DCOM-Anwendung remote oder lokal starten oder aktivieren können. Mit dieser Einstellung wird die Angriffsfläche des Computers für DCOM-Anwendungen kontrolliert. Verwenden Sie diese Richtlinieneinstellung, um Zugriffsberechtigungen für alle Computer an bestimmte Benutzer für DCOM-Anwendungen zu erteilen. Wenn Sie diese Einstellung festlegen und Benutzer oder Gruppen angeben, denen Berechtigungen erteilt werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL-Darstellung (Security Descriptor Definition Language) dieser Gruppen und Rechte gefüllt. Falls keine Sicherheitsbeschreibung angegeben wird, wird die Richtlinieneinstellung in der Vorlage definiert, nicht jedoch erzwungen. Benutzern und Gruppen können explizite Zulassen- oder Verweigern-Rechte für den lokalen Start, den Remotestart, die lokale Aktivierung und die Remoteaktivierung erteilt werden. Die Registrierungseinstellungen, die als Ergebnis dieser Richtlinie erstellt werden, haben Vorrang vor den vorherigen Registrierungseinstellungen in diesem Bereich. Von Remote Procedure Call Services (RpcSs) werden die neuen Registrierungsschlüssel im Abschnitt "Richtlinien" auf Computereinschränkungen überprüft. Diese Registrierungseinträge haben Vorrang vor den vorhandenen Registrierungsschlüsseln unter OLE. Mögliche Werte für diese Richtlinieneinstellung: Leer: Der Schlüssel für die Richtlinienerzwingung kann von der lokalen Sicherheitsrichtlinie gelöscht werden. Mit diesem Wert wird die Richtlinie gelöscht und dann auf den Status "Nicht definiert" festgelegt. Der Wert "Leer" wird mit dem ACL-Editor und durch Leeren der Liste erstellt. Klicken Sie anschließend auf "OK". o SDDL. Dies ist die SDDL-Darstellung (Security Descriptor Definition Language) der Gruppen und Rechte, die Sie beim Aktivieren der Richtlinie angeben. Nicht definiert: Dies ist der Standardwert. Hinweis Falls dem Administrator die Berechtigung zum Starten und Aktivieren von DCOM-Anwendungen aufgrund von Änderungen, die in Windows an DCOM vorgenommen wurden, verweigert wird, kann der Administrator diese Richtlinie zum Steuern der DCOM-Aktivierung und zum Starten für den Computer verwenden. Der Administrator kann angeben, welche Benutzer und Gruppen die DCOM-Anwendung auf dem Computer sowohl lokal als auch remote starten oder aktivieren können, indem die Richtlinieneinstellung "DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" verwendet wird. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und die Benutzer wiederhergestellt. Öffnen Sie hierzu die Einstellung "DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax", und klicken Sie auf "Sicherheit bearbeiten". Geben Sie die Gruppen an, die enthalten sein sollen, und die Computerstartberechtigungen für diese Gruppen. Dadurch wird die Einstellung definiert und der entsprechende SDDL-Wert festgelegt.	DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax This policy setting determines which users or groups can launch or activate DCOM applications remotely or locally. This setting is used to control the attack surface of the computer for DCOM applications. You can use this setting to grant access to all the computers to users of DCOM applications. When you define this setting, and specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. If the security descriptor is left blank, the policy setting is defined in the template, but it is not enforced. Users and groups can be given explicit Allow or Deny privileges on local launch, remote launch, local activation, and remote activation. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Remote Procedure Call Services (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE. The possible values for this Group Policy setting are: Blank: This represents the local security policy way of deleting the policy enforcement key. This value deletes the policy and then sets it to Not defined state. The Blank value is set by using the ACL editor and emptying the list, and then pressing OK. SDDL: This is the Security Descriptor Definition Language representation of the groups and privileges you specify when you enable this policy. Not Defined: This is the default value. Note If the administrator is denied access to activate and launch DCOM applications due to the changes made to DCOM in this version of Windows, this policy setting can be used for controlling the DCOM activation and launch to the computer. The administrator can specify which users and groups can launch and activate DCOM applications on the computer both locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. This restores control of the DCOM application to the administrator and specified users. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Specify the groups you want to include and the computer launch permissions for those groups. This defines the setting and sets the appropriate SDDL value.
2049	Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren. Verfügbare Optionen: • Erhöhte Rechte ohne Eingabeaufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, für den Rechteerweiterungen, jedoch keine Zustimmung oder Anmeldeinformationen erforderlich sind. Hinweis: Verwenden Sie diese Option nur in Umgebungen, in denen besonders starke Einschränkungen gelten. • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines privilegierten Benutzernamens und eines entsprechenden Kennworts aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. • Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang eine Heraufstufung von Rechten erforderlich ist, wird der Benutzer auf dem sicheren Desktop dazu aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wählt der Benutzer "Zulassen" aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt. • Eingabeaufforderung zu Anmeldeinformationen: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und -kennworts mit Administratorrechten aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt. • Eingabeaufforderung zur Zustimmung: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer dazu aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wählt der Benutzer "Zulassen" aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung fortgesetzt. • Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien (Standardeinstellung): Wenn für einen Vorgang für eine Nicht-Microsoft-Anwendung Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop dazu aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wählt der Benutzer "Zulassen" aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.	User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode This policy setting controls the behavior of the elevation prompt for administrators. The options are: • Elevate without prompting: Allows privileged accounts to perform an operation that requires elevation without requiring consent or credentials. Note: Use this option only in the most constrained environments. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. If the user enters valid credentials, the operation continues with the user's highest available privilege. • Prompt for consent on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for credentials: When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Prompt for consent: When an operation requires elevation of privilege, the user is prompted to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege. • Prompt for consent for non-Windows binaries: (Default) When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select either Permit or Deny. If the user selects Permit, the operation continues with the user's highest available privilege.
2050	Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer. Verfügbare Optionen: • Eingabeaufforderung zu Anmeldeinformationen: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und Kennworts mit Administratorrechten aufgefordert. Falls der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt. • Anforderungen für erhöhte Rechte automatisch ablehnen: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird eine konfigurierbare Meldung für Zugriffsfehler angezeigt. Unternehmen, in denen Desktopcomputer als Standardbenutzer ausgeführt werden, können diese Einstellung zur Verringerung der Anrufe beim Helpdesk wählen. • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop (Standardeinstellung): Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines anderen Benutzernamens und -kennworts aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit dem entsprechenden Recht fortgesetzt.	User Account Control: Behavior of the elevation prompt for standard users This policy setting controls the behavior of the elevation prompt for standard users. The options are: • Prompt for credentials: (Default) When an operation requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Automatically deny elevation requests: When an operation requires elevation of privilege, a configurable access denied error message is displayed. An enterprise that is running desktops as standard user may choose this setting to reduce help desk calls. • Prompt for credentials on the secure desktop: When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a different user name and password. If the user enters valid credentials, the operation continues with the applicable privilege.
2051	Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer. Verfügbare Optionen: • Aktiviert (Standardeinstellung): Wird ein Anwendungsinstallationspaket erkannt, für das Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und -kennworts mit Administratorrechten aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit dem entsprechenden Recht fortgesetzt. • Deaktiviert: Anwendungsinstallationspakete werden nicht erkannt, und es werden keine erhöhten Rechte angefordert. In Unternehmen, in denen Desktopcomputer als Standardbenutzer ausgeführt und delegierte Installationstechnologien wie Group Policy Software Install (GPSI) oder Systems Management Server (SMS) verwendet werden, sollte die Richtlinieneinstellung deaktiviert werden. In diesem Fall ist die Erkennung des Installationsprogramms unnötig.	User Account Control: Detect application installations and prompt for elevation This policy setting controls the behavior of application installation detection for the computer. The options are: • Enabled: (Default) When an application installation package is detected that requires elevation of privilege, the user is prompted to enter an administrative user name and password. If the user enters valid credentials, the operation continues with the applicable privilege. • Disabled: Application installation packages are not detected and prompted for elevation. Enterprises that are running standard user desktops and use delegated installation technologies such as Group Policy Software Installation or Systems Management Server (SMS) should disable this policy setting. In this case, installer detection is unnecessary.
2052	Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind Mit dieser Richtlinieneinstellung werden Public Key Infrastructure (PKI)-Signaturüberprüfungen für alle interaktiven Anwendungen erzwungen, die Rechteerweiterungen erfordern. Administratoren in Unternehmen können die steuern, welche Anwendungen durch Hinzufügen von Zertifikaten im Speicher für vertrauenswürdige Herausgeber auf lokalen Computern ausgeführt werden dürfen. Verfügbare Optionen: • Aktiviert: Erzwingt die Überprüfung des PKI-Zertifizierungspfads für eine angegebene ausführbare Datei, bevor sie ausgeführt werden darf. • Deaktiviert (Standardeinstellung): Erzwingt nicht die Überprüfung des PKI-Zertifizierungspfads, bevor eine angegebene ausführbare Datei ausgeführt werden darf.	User Account Control: Only elevate executable files that are signed and validated This policy setting enforces public key infrastructure (PKI) signature checks for any interactive applications that request elevation of privilege. Enterprise administrators can control which applications are allowed to run by adding certificates to the Trusted Publishers certificate store on local computers. The options are: • Enabled: Enforces the PKI certification path validation for a given executable file before it is permitted to run. • Disabled: (Default) Does not enforce PKI certification path validation before a given executable file is permitted to run.
2053	Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind Mit dieser Sicherheitseinstellung wird gesteuert, ob sich Anwendungen, die gemäß Anforderung mit einer Integritätsebene für die Barrierefreiheit der Benutzeroberfläche (UIAccess) ausgeführt werden sollen, an einem sicheren Ort im Dateisystem befinden müssen. Sichere Orte sind auf die folgenden Verzeichnisse begrenzt: - …\Programme\, einschließlich Unterverzeichnissen - …\Windows\system32 - …\Programme (x86)\, einschließlich Unterverzeichnissen für 64-Bit-Versionen von Windows Hinweis: Von Windows wird unabhängig vom Status dieser Sicherheitseinstellung eine Public Key Infrastructure (PKI)-Signaturüberprüfung für jede interaktive Anwendung erzwungen, von der eine Ausführung mit einer UIAccess-Integritätsebene angefordert wird. Verfügbare Optionen: • Aktiviert (Standardeinstellung): Befindet sich eine Anwendung an einem sicheren Ort im Dateisystem, wird sie nur mit UIAccess-Integrität ausgeführt. • Deaktiviert: Eine Anwendung wird auch dann mit UIAccess-Integrität gestartet, wenn sie sich nicht an einem sicheren Ort im Dateisystem befindet.	User Account Control: Only elevate UIAccess applications that are installed in secure locations This policy setting controls whether applications that request to run with a User Interface Accessibility (UIAccess) integrity level must reside in a secure location in the file system. Secure locations are limited to the following: - …\Program Files\, including subfolders - …\Windows\system32\ - …\Program Files (x86)\, including subfolders for 64-bit versions of Windows Note: Windows enforces a public key infrastructure (PKI) signature check on any interactive application that requests to run with a UIAccess integrity level regardless of the state of this security setting. The options are: • Enabled: (Default) If an application resides in a secure location in the file system, it runs only with UIAccess integrity. • Disabled: An application runs with UIAccess integrity even if it does not reside in a secure location in the file system.
2054	Benutzerkontensteuerung: Administratorgenehmigungsmodus aktivieren Mit dieser Sicherheitseinstellung wird das Verhalten aller Richtlinieneinstellungen der Benutzerkontensteuerung (UAC) für den Computer gesteuert. Verfügbare Optionen: • Aktiviert (Standardeinstellung): Der Administratorgenehmigngsmodus ist aktiviert. Die Richtlinie muss aktiviert werden, und zugehörige UAC-Richtlinieneinstellungen müssen ebenfalls ordnungsgemäß festgelegt werden, um die Ausführung des integrierten Administratorkontos und aller anderen Benutzer, die Mitglieder der Administratorgruppe sind, im Administratorgenehmigungsmodus zu ermöglichen. • Deaktiviert: Der Administratorgenehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen werden deaktiviert. Hinweis: Wird die Richtlinieneinstellung deaktiviert, werden Sie vom Sicherheitscenter benachrichtigt, dass die Gesamtsicherheit des Betriebssystems verringert wurde.	User Account Control: Turn on Admin Approval Mode This policy setting controls the behavior of all User Account Control (UAC) policy settings for the computer. If you change this policy setting, you must restart your computer. The options are: • Enabled: (Default) Admin Approval Mode is enabled. This policy must be enabled and related UAC policy settings must also be set appropriately to allow the built-in Administrator account and all other users who are members of the Administrators group to run in Admin Approval Mode. • Disabled: Admin Approval Mode and all related UAC policy settings are disabled. Note: If this policy setting is disabled, the Security Center notifies you that the overall security of the operating system has been reduced.
2055	Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln Mit dieser Richtlinienseinstellung wird gesteuert, ob die Anforderung für erhöhte Rechte auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt wird. Verfügbare Optionen: • Aktiviert (Standardeinstellung): Alle Anforderungen für erhöhte Rechte werden auf dem sicheren Desktop angezeigt. Dies geschieht unabhängig von den für Administratoren und Standardbenutzer geltenden Richtlinieneinstellungen für das Eingabeaufforderungsverhalten. • Deaktiviert: Alle Anforderungen für erhöhte Rechte werden auf dem interaktiven Benutzerdesktop angezeigt. Es werden die für Administratoren und Benutzer geltenden Richtlinieneinstellungen für das Eingabeaufforderungsverhalten verwendet.	User Account Control: Switch to the secure desktop when prompting for elevation This policy setting controls whether the elevation request prompt is displayed on the interactive user's desktop or the secure desktop. The options are: • Enabled: (Default) All elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users. • Disabled: All elevation requests go to the interactive user's desktop. Prompt behavior policy settings for administrators and standard users are used.
2056	Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren Mit dieser Richtlinieneinstellung wird gesteuert, ob Schreibfehler in Anwendungen in definierte Orte in der Registrierung und im Dateisystem umgeleitet werden. Mit der Richtlinieneinstellung werden Anwendungen aufgefangen, die unter dem Administratorkonto ausgeführt werden, und von denen Laufzeitanwendungsdaten in "%Programme%, %Windir%, %Windir%\system32" oder "HKLM\Software\." geschrieben werden. Verfügbare Optionen: • Aktiviert (Standardeinstellung): Schreibfehler in Anwendungen werden zur Laufzeit an definierte Benutzerorte für das Dateisystem und die Registrierung umgeleitet. • Deaktiviert: Für Anwendungen, von denen Daten in geschützte Orte geschrieben werden, wird ein Fehler zurückgegeben.	User Account Control: Virtualize file and registry write failures to per-user locations This policy setting controls whether application write failures are redirected to defined registry and file system locations. This policy setting mitigates applications that run as administrator and write run-time application data to %ProgramFiles%, %Windir%, %Windir%\system32, or HKLM\Software. The options are: • Enabled: (Default) Application write failures are redirected at run time to defined user locations for both the file system and registry. • Disabled: Applications that write data to protected locations fail.
2057	Erstellen symbolischer Verknüpfungen Mit diesem Recht wird bestimmt, ob der Benutzer eine symbolische Verknüpfung von dem Computer erstellen kann, an dem der Benutzer angemeldet ist. Standardwert: Administrator WARNUNG: Dieses Recht sollte nur vertrauenswürdigen Benutzern erteilt werden. Symbolische Verknüpfungen können in Anwendungen, die nicht zur Behandlung dieser Art von Verknüpfungen entworfen wurden, ein Sicherheitsrisiko darstellen. Hinweis Diese Einstellung kann in Verbindung mit einer Symlink-Dateisystemeinstellung verwendet werden, die mithilfe des Befehlszeilen-Hilfsprogramms zur Steuerung dieser auf dem Computer zulässigen Arten von Symlinks geändert werden kann. Geben Sie an der Befehlszeile "fsutil behavior set symlinkevaluation /?" ein, um weitere Informationen zu "fsutil" und symbolischen Verknüpfungen anzuzeigen.	Create Symbolic Links This privilege determines if the user can create a symbolic link from the computer he is logged on to. Default: Administrator WARNING: This privilege should only be given to trusted users. Symbolic links can expose security vulnerabilities in applications that aren't designed to handle them. Note This setting can be used in conjunction a symlink filesystem setting that can be manipulated with the command line utility to control the kinds of symlinks that are allowed on the machine. Type 'fsutil behavior set symlinkevaluation /?' at the command line to get more information about fsutil and symbolic links.
2058	Verändern einer Objektbezeichnung Mit diesem Recht wird bestimmt, welche Benutzerkonten die Integritätsebene von Objekten, z. B. Dateien, Registrierungsschlüsseln oder Prozessen im Besitz anderer Benutzer, ändern können. Von Prozessen, die unter einem Benutzerkonto ausgeführt werden, kann die Bezeichnung eines Objekts im Besitz dieses Benutzers auf eine niedrigere Ebene geändert werden, ohne dass dieses Recht erforderlich ist. Standardwert: Kein(e)	Modify an object label This privilege determines which user accounts can modify the integrity label of objects, such as files, registry keys, or processes owned by other users. Processes running under a user account can modify the label of an object owned by that user to a lower level without this privilege. Default: None
2059	Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben. Mit dieser Richtlinieneinstellung wird gesteuert, ob Programme für die Barrierefreiheit der Benutzeroberfläche (UIAccess oder UIA) den sicheren Desktop für von einem Standardbenutzer verwendete Eingabeaufforderungen für erhöhte Rechte automatisch deaktivieren können. • Aktiviert: Von UIA-Programmen, einschließlich Windows-Remoteunterstützung, wird automatisch der sichere Desktop für Benutzeraufforderungen mit erhöhten Rechten deaktiviert. Sofern Sie nicht auch die Eingabeauforderung für erhöhte Rechte deaktiviert haben, werden die Benutzeraufforderungen auf dem Desktop des interaktiven Benutzers anstatt auf dem sicheren Desktop angezeigt. • Deaktiviert (Standardeinstellung): Der sichere Desktop kann nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Einstellung "Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln" deaktiviert werden.	User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop. This policy setting controls whether User Interface Accessibility (UIAccess or UIA) programs can automatically disable the secure desktop for elevation prompts used by a standard user. • Enabled: UIA programs, including Windows Remote Assistance, automatically disable the secure desktop for elevation prompts. If you do not disable the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. • Disabled: (Default) The secure desktop can be disabled only by the user of the interactive desktop or by disabling the "User Account Control: Switch to the secure desktop when prompting for elevation" policy setting.
2060	Diese Einstellung wird von der Anmeldeinformationsverwaltung bei Sicherungs-/Wiederherstellungsvorgängen verwendet. Kein Konto sollte über diese Berechtigung verfügen, da es nur Winlogon zugewiesen ist. Die Sicherheit der Anmeldeinformationen von Benutzern wird unter Umständen gefährdet, wenn diese Berechtigung anderen Entitäten gewährt wird.	This setting is used by Credential Manager during Backup/Restore. No accounts should have this privilege, as it is only assigned to Winlogon. Users saved credentials might be compromised if this privilege is given to other entities.
2061	Zeitzone ändern Durch dieses Benutzerrecht wird bestimmt, welche Benutzer und Gruppen die Zeitzone ändern können, die vom Computer zum Anzeigen der lokalen Zeit verwendet wird. Dabei handelt es sich um die Systemzeit des Computers zuzüglich des Zeitzonenoffsets. Die Systemzeit selbst ist absolut und nicht von Änderungen in der Zeitzone betroffen. Dieses Benutzerrecht wird im standardmäßigen Domänencontroller-Gruppenrichtlinienobjekt und in der lokalen Sicherheitsrichtlinie der Arbeitsstationen und Server definiert. Standardeinstellung: Administratorem, Benutzer	Change the Time Zone This user right determines which users and groups can change the time zone used by the computer for displaying the local time, which is the computer's system time plus the time zone offset. System time itself is absolute and is not affected by a change in the time zone. This user right is defined in the Default Domain Controller Group Policy object (GPO) and in the local security policy of the workstations and servers. Default: Administrators, Users
2062	Prozessarbeitssatz vergrößern Durch diese Berechtigung wird festgelegt, mit welchen Benutzerkonten die Größe eines Prozessarbeitssatzes vergrößert oder verkleinert werden kann. Standardeinstellung: Benutzer Der Arbeitssatz eines Prozesses ist der Satz der Speicherseiten, die derzeit für den Prozess im physischen RAM sichtbar sind. Diese Seiten sind resident und können von einer Anwendung ohne Auslösen eines Seitenfehlers verwendet werden. Die minimalen und maximalen Arbeitssatzgrößen betreffen das Auslagerungsverhalten des virtuellen Arbeitsspeichers für einen Prozess. Warnung: Durch Vergrößern der Arbeitssatzgröße für einen Prozess wird die Menge des physischen Speichers verringert, der für den Rest des Systems verfügbar ist.	Increase a process working set This privilege determines which user accounts can increase or decrease the size of a process’s working set. Default: Users The working set of a process is the set of memory pages currently visible to the process in physical RAM memory. These pages are resident and available for an application to use without triggering a page fault. The minimum and maximum working set sizes affect the virtual memory paging behavior of a process. Warning: Increasing the working set size for a process decreases the amount of physical memory available to the rest of the system.
2063	Netzwerksicherheit: Beschränken von NTLM: Ausgehenden NTLM-Datenverkehr zu Remoteservern Mit dieser Richtlinieneinstellung kann ausgehender NTLM-Datenverkehr von diesem Computer mit dem Betriebssystem Windows 7 bzw. Windows Server 2008 R2 an einen beliebigen Windows-Remoteserver abgelehnt oder überwacht werden. Wenn Sie "Alle zulassen" auswählen oder die Richtlinieneinstellung nicht konfigurieren, können Identitäten vom Clientcomputer mithilfe der NTLM-Authentifizierung auf einem Remoteserver authentifiziert werden. Wenn Sie "Alle überwachen" auswählen, wird vom Clientcomputer für jede NTLM-Authentifizierungsanforderung auf einem Remoteserver ein Ereignis protokolliert. Dies ermöglicht die Bestimmung der Server, die vom Clientcomputer NTLM-Authentifizierungsanforderungen empfangen. Wenn Sie "Alle verweigern" auswählen, können Identitäten vom Clientcomputer nicht mithilfe der NTLM-Authentifizierung auf einem Remoteserver authentifiziert werden. Verwenden Sie die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen", um eine Liste von Remoteservern zu definieren, auf denen von Clients NTLM-Authentifizierung verwendet werden darf. Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt. Hinweis: Überwachungs- und Blockierungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.	Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers This policy setting allows you to deny or audit outgoing NTLM traffic from this Windows 7 or this Windows Server 2008 R2 computer to any Windows remote server. If you select "Allow all" or do not configure this policy setting, the client computer can authenticate identities to a remote server by using NTLM authentication. If you select "Audit all," the client computer logs an event for each NTLM authentication request to a remote server. This allows you to identify those servers receiving NTLM authentication requests from the client computer. If you select "Deny all," the client computer cannot authenticate identities to a remote server by using NTLM authentication. You can use the "Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication" policy setting to define a list of remote servers to which clients are allowed to use NTLM authentication. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit and block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2064	Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr Mit dieser Richtlinieneinstellung lässt sich der eingehende NTLM-Datenverkehr verweigern oder überwachen. Wenn Sie "Alle zulassen" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden vom Server alle NTLM-Authentifizierungsanforderungen zugelassen. Wenn Sie "Alle Domänenkonten verweigern" auswählen, werden NTLM-Authentifizierungsanforderungen für Domänenanmeldungen vom Server verweigert, und es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist. Die Anmeldung an einem lokalen Konto ist jedoch möglich. Wenn Sie "Alle Konten verweigern" auswählen, werden vom Server NTLM-Authentifizierungsanforderungen von eingehendem Datenverkehr verweigert, und es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist. Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt. Hinweis: Blockierungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM"erfasst.	Network security: Restrict NTLM: Incoming NTLM traffic This policy setting allows you to deny or allow incoming NTLM traffic. If you select "Allow all" or do not configure this policy setting, the server will allow all NTLM authentication requests. If you select "Deny all domain accounts," the server will deny NTLM authentication requests for domain logon and display an NTLM blocked error, but allow local account logon. If you select "Deny all accounts," the server will deny NTLM authentication requests from incoming traffic and display an NTLM blocked error. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2065	Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne Mit dieser Richtlinieneinstellung können Sie die NTLM-Authentifizierung in einer Domäne von diesem Domänencontroller verweigern. Diese Richtlinie wirkt sich nicht auf die interaktive Anmeldung an diesem Domänencontroller aus. Wenn Sie "Deaktiviert" auswählen oder die Richtlinieneinstellung nicht konfigurieren, lässt der Domänencontroller alle NTLM-Pass-Through-Authentifizierungsanforderungen in der Domäne zu. Wenn Sie "Für Domänenkonten an Domänenserver verweigern" auswählen, werden vom Domänencontroller alle NTLM-Authentifzierungsanmeldeversuche an allen Servern in der Domäne verweigert, von denen Domänenkonten verwendet werden. Es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen für NTLM-Authentifizierung in dieser Domäne hinzufügen" enthalten ist. Bei Auswahl von "Für Domänenkonto verweigern" werden vom Domänencontroller NTLM-Authentifizierungsanmeldeversuche von Domänenkonten verweigert. Es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen für NTLM-Authentifizierung in dieser Domäne hinzufügen" enthalten ist. Bei Auswahl von "Für Domänenserver verweigern" werden vom Domänencontroller NTLM-Authentifizierungsanforderungen an alle Server in der Domäne verweigert. Es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen für NTLM-Authentifizierung in dieser Domäne hinzufügen" enthalten ist. Bei Auswahl von "Alle verweigern" werden vom Domänencontroller alle NTLM-Pass-Through-Authentifizierungsanforderungen von den Servern und für die Konten verweigert. Es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen für NTLM-Authentifizierung in dieser Domäne hinzufügen" enthalten ist. Die Richtlinie wird mindestens unter Windows Server 2008 R2 unterstützt. Hinweis: Blockierereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Diensteprotokoll/Microsoft/Windows/NTLM" erfasst.	Network security: Restrict NTLM: NTLM authentication in this domain This policy setting allows you to deny or allow NTLM authentication within a domain from this domain controller. This policy does not affect interactive logon to this domain controller. If you select "Disabled" or do not configure this policy setting, the domain controller will allow all NTLM pass-through authentication requests within the domain. If you select "Deny for domain accounts to domain servers" the domain controller will deny all NTLM authentication logon attempts to all servers in the domain that are using domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain account" the domain controller will deny all NTLM authentication logon attempts from domain accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny for domain servers" the domain controller will deny NTLM authentication requests to all servers in the domain and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. If you select "Deny all," the domain controller will deny all NTLM pass-through authentication requests from its servers and for its accounts and return an NTLM blocked error unless the server name is on the exception list in the "Network security: Restrict NTLM: Add server exceptions for NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Block events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2066	Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen Mit dieser Richtlinieneinstellung kann eine Ausnahmeliste mit Remoteservern erstellt werden, für die die Verwendung der NTLM-Authentifizierung durch Clients zulässig ist, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Ausgehenden NTLM-Datenverkehr zu Remoteservern" konfiguriert ist. Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste mit Remoteservern definieren, für die die Verwendung der NTLM-Authentifizierung durch Clients zulässig ist. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Das Benennungsformat für Server in dieser Ausnahmeliste ist der vollqualifizierte Domänenname (FQDN) oder der NetBIOS-Servername, der von der Anwendung verwendet wird (jeweils ein Name pro Zeile). Zur Sicherstellung von Ausnahmen muss der von allen Anwendungen verwendete Name in der Liste enthalten sein. Damit eine Ausnahme genau ist, muss der Servername in beiden Benennungsformaten aufgeführt werden. Als Platzhalterzeichen kann an einer beliebigen Stelle in der Zeichenfolge ein Sternchen (*) verwendet werden.	Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication This policy setting allows you to create an exception list of remote servers to which clients are allowed to use NTLM authentication if the "Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers" policy setting is configured. If you configure this policy setting, you can define a list of remote servers to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the application, listed one per line. To ensure exceptions the name used by all applications needs to be in the list, and to ensure an exception is accurate, the server name should be listed in both naming formats . A single asterisk (*) can be used anywhere in the string as a wildcard character.
2067	Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen Mit dieser Richtlinieneinstellung können Sie eine Ausnahmeliste von Servern in dieser Domäne erstellen, für die Clients die NTLM-Pass-Through-Authentifizierung verwenden dürfen, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne verweigern" festgelegt ist. Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste von Servern in dieser Domäne definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Das Benennungsformat für Server in dieser Ausnahmeliste ist der vollqualifizierte Domänenname (FQDN) oder der NetBIOS-Servername, der von der aufrufenden Anwendung verwendet wird (jeweils ein Name pro Zeile). Als Platzhalterzeichen können Sie am Anfang oder Ende der Zeichenfolge ein Sternchen (*) verwenden.	Network security: Restrict NTLM: Add server exceptions in this domain This policy setting allows you to create an exception list of servers in this domain to which clients are allowed to use NTLM pass-through authentication if the "Network Security: Restrict NTLM: Deny NTLM authentication in this domain" is set. If you configure this policy setting, you can define a list of servers in this domain to which clients are allowed to use NTLM authentication. If you do not configure this policy setting, no exceptions will be applied. The naming format for servers on this exception list is the fully qualified domain name (FQDN) or NetBIOS server name used by the calling application listed one per line. A single asterisk (*) can be used at the beginning or end of the string as a wildcard character.
2068	Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen Bei Verwendung von NTLM für das lokale System ist das Zurückgreifen auf eine NULL-Sitzung zulässig. Die Standardeinstellung ist bis Windows Vista TRUE und in Windows 7 FALSE.	Network security: Allow LocalSystem NULL session fallback Allow NTLM to fall back to NULL session when used with LocalSystem. The default is TRUE up to Windows Vista and FALSE in Windows 7.
2069	Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren Mit dieser Richtlinieneinstellung können Sie die Verschlüsselungstypen festlegen, die von Kerberos-Client verwendet werden dürfen. Nur ausgewählte Verschlüsselungstypen sind zulässig. Diese Einstellung kann sich auf die Kompatibilität mit Clientcomputern oder Diensten und Anwendungen auswirken. Eine Mehrfachauswahl ist zulässig. Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.	Network security: Configure encryption types allowed for Kerberos This policy setting allows you to set the encryption types that Kerberos is allowed to use. If not selected, the encryption type will not be allowed. This setting may affect compatibility with client computers or services and applications. Multiple selections are permitted. This policy is supported on at least Windows 7 or Windows Server 2008 R2.
2071	Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Onlineidentitäten zu ermöglichen. Diese Richtlinie wird standardmäßig auf Computern deaktiviert, die einer Domäne angehören. Dadurch ist gegenüber dem Computer, der einer Domäne angehört, keine Authentifizierung mit Onlineidentitäten möglich.	Network security: Allow PKU2U authentication requests to this computer to use online identities. This policy will be turned off by default on domain joined machines. This would prevent online identities from authenticating to the domain joined machine.
2072	Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Mithilfe dieser Richtlinie können Sie den eingehenden NTLM-Datenverkehr überwachen. Wenn Sie "Deaktivieren" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden vom Server keine Ereignisse für eingehenden NTLM-Datenverkehr protokolliert. Bei Auswahl von "Überwachung für Domänenkonten aktivieren", werden vom Server Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf die Option "Alle Domänenkonten verweigern" festgelegt ist. Bei Auswahl von "Überwachung für alle Konten aktivieren" werden vom Server Ereignisse für alle NTLM-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf "Alle Konten verweigern" festgelegt wird. Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt. Hinweis: Überwachungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.	Network security: Restrict NTLM: Audit Incoming NTLM Traffic This policy setting allows you to audit incoming NTLM traffic. If you select "Disable", or do not configure this policy setting, the server will not log events for incoming NTLM traffic. If you select "Enable auditing for domain accounts", the server will log events for NTLM pass-through authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all domain accounts" option. If you select "Enable auditing for all accounts", the server will log events for all NTLM authentication requests that would be blocked when the "Network Security: Restrict NTLM: Incoming NTLM traffic" policy setting is set to the "Deny all accounts" option. This policy is supported on at least Windows 7 or Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2073	Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Mithilfe dieser Richtlinieneinstellung können Sie die NTLM-Authentifizierung in einer Domäne von diesem Domänencontroller überwachen. Wenn Sie "Deaktivieren" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden keine Ereignisse für die NTLM-Authentifizierung in der Domäne protokolliert. Wenn Sie "Für Domänenkonten an Domänenserver aktivieren" auswählen, werden Ereignisse für NTLM-Authentifizierungsanmeldeversuche für Domänenkonten an Domänenservern protokolliert, wenn die NTLM-Authentifizierung verweigert werden würde, da in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne" die Option "Für Domänenkonten an Domänenserver verweigern" ausgewählt ist. Wenn Sie "Für Domänenkonten aktivieren" auswählen, werden Ereignisse für NTLM-Authentifizierungsanmeldeversuche protokolliert, für die Domänenkonten verwendet werden, wenn die NTLM-Authentifizierung verweigert werden würde, da in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne" die Option "Für Domänenkonten verweigern" ausgewählt ist. Bei Auswahl von "Für Domänenserver aktivieren" werden Ereignisse für NTLM-Authentifizierungsanforderungen an alle Server in der Domäne protokolliert, wenn die NTLM-Authentifizierung verweigert werden würde, da in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne" die Option "Für Domänenserver verweigern" ausgewählt ist. Bei Auswahl von "Alle aktivieren" werden Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen von den Servern und für die Konten protokolliert, die verweigert werden würden, da in der Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne" die Option "Alle verweigern" ausgewählt ist. Die Richtlinie wird mindestens unter Windows Server 2008 R2 unterstützt. Hinweis: Überwachungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.	Network security: Restrict NTLM: Audit NTLM authentication in this domain This policy setting allows you to audit NTLM authentication in a domain from this domain controller. If you select "Disable" or do not configure this policy setting, the domain controller will not log events for NTLM authentication in this domain. If you select "Enable for domain accounts to domain servers," the domain controller will log events for NTLM authentication logon attempts for domain accounts to domain servers when NTLM authentication would be denied because "Deny for domain accounts to domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain accounts," the domain controller will log events for NTLM authentication logon attempts that use domain accounts when NTLM authentication would be denied because "Deny for domain accounts" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable for domain servers" the domain controller will log events for NTLM authentication requests to all servers in the domain when NTLM authentication would be denied because "Deny for domain servers" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. If you select "Enable all" the domain controller will log events for NTLM pass-through authentication requests from its servers and for its accounts which would be denied because "Deny all" is selected in the "Network security: Restrict NTLM: NTLM authentication in this domain" policy setting. This policy is supported on at least Windows Server 2008 R2. Note: Audit events are recorded on this computer in the "Operational" Log located under the Applications and Services Log/Microsoft/Windows/NTLM.
2074	Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben Diese Richtlinieneinstellung ermöglicht lokalen Systemdiensten, von denen die Negotiate-Authentifizierung verwendet wird, die Verwendung der Computeridentität, wenn wieder auf die NTLM-Authentifizierung zurückgegriffen wird. Wenn Sie diese Richtlinieneinstellung aktivieren, wird für Dienste, die als lokales System ausgeführt werden und die Negotiate-Authentifizierung verwenden, die Computeridentität verwendet. Dies kann ggf. dazu führen, dass einige Authentifizierungsanforderungen zwischen den Windows-Betriebssystemen scheitern und eine Fehlermeldung zurückgegeben wird. Wenn Sie die Richtlinieneinstellung deaktivieren, werden Dienste, die als lokales System ausgeführt werden und die Negotiate-Authentifizierung verwenden, beim Rückgriff auf die NTLM-Authentifizierung anonym authentifiziert. Diese Richtlinie ist unter Windows 7 und höher automatisch aktiviert. Diese Richtlinie ist unter Windows Vista automatisch deaktiviert. Die Richtlinie wird mindestens unter Windows Vista oder Windows Server 2008 unterstützt. Hinweis: Unter Windows Vista oder Windows Server 2008 wird diese Einstellung nicht in der Gruppenrichtlinie angezeigt.	Network security: Allow Local System to use computer identity for NTLM This policy setting allows Local System services that use Negotiate to use the computer identity when reverting to NTLM authentication. If you enable this policy setting, services running as Local System that use Negotiate will use the computer identity. This might cause some authentication requests between Windows operating systems to fail and log an error. If you disable this policy setting, services running as Local System that use Negotiate when reverting to NTLM authentication will authenticate anonymously. By default, this policy is enabled on Windows 7 and above. By default, this policy is disabled on Windows Vista. This policy is supported on at least Windows Vista or Windows Server 2008. Note: Windows Vista or Windows Server 2008 do not expose this setting in Group Policy.
2075	Microsoft-Netzwerkserver: Prüfungsstufe des Server-SPN-Zielnamens Durch diese Richtlinieneinstellung wird die Stufe der Prüfung gesteuert, die von einem Computer mit freigegebenen Ordnern oder Druckern (dem Server) für den Dienstprinzipalnamen (SPN) ausgeführt wird, der vom Clientcomputer beim Einrichten einer Sitzung mit dem SMB-Protokoll (Server Message Block) bereitgestellt wird. Das SMB-Protokoll (Server Message Block) bildet die Grundlage für die Datei- und Druckfreigabe und andere Netzwerkvorgänge, beispielsweise die Remoteverwaltung von Windows. Das SMB-Protokoll unterstützt die Prüfung des Dienstprinzipalnamens des SMB-Servers in dem Authentifizierungs-BLOB, das von einem SMB-Client bereitgestellt wird, um SMB-Server vor einer Angriffsklasse, so genannten SMB-Relayangriffen, zu schützen. Diese Einstellung betrifft sowohl SMB1 als auch SMB2. Durch die Sicherheitseinstellung wird die Stufe der Prüfung festgelegt, die von einem SMB-Server für den Dienstprinzipalnamen (SPN) ausgeführt wird, der vom SMB-Client beim Einrichten einer Sitzung mit einem SMB-Server bereitgestellt wird. Optionen: Aus – Der SPN ist nicht erforderlich, oder der SPN eines SMB-Clients wird vom SMB-Server nicht überprüft. Bei Bereitstellung durch den Client akzeptieren – Der vom SMB-Client bereitgestellte SPN wird vom Server akzeptiert und überprüft, und eine Sitzung kann eingerichtet werden, sofern sie der SPN-Liste des SMB-Servers für den Server entspricht. Liegt für den SPN KEINE Übereineinstimmung vor, wird die Sitzungsanforderung für den SMB-Client verweigert. Gefordert von Client – Vom SMB-Client MUSS bei der Sitzungseinrichtung ein SPN gesendet werden, und der angegebene SPN MUSS mit dem SMB-Server übereinstimmen, der aufgefordert wird, eine Verbindung herzustellen. Wird vom Client kein SPN angegeben, oder liegt für den angegebenen SPN keine Übereinstimmung vor, wird die Sitzung verweigert. Standard: Aus Alle Windows-Betriebssysteme unterstützen sowohl clientseitige SMB-Komponenten als auch serverseitige SMB-Komponenten. Diese Einstellung betrifft das Verhalten des SMB-Servers, und die Implementierung muss sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckfunktionen zu verhindern. Zusätzliche Informationen über die Implementierung und Verwendung der Einstellung zum Schutz von SMB-Servern finden Sie auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=144505).	Microsoft network server: Server SPN target name validation level This policy setting controls the level of validation a computer with shared folders or printers (the server) performs on the service principal name (SPN) that is provided by the client computer when it establishes a session using the server message block (SMB) protocol. The server message block (SMB) protocol provides the basis for file and print sharing and other networking operations, such as remote Windows administration. The SMB protocol supports validating the SMB server service principal name (SPN) within the authentication blob provided by a SMB client to prevent a class of attacks against SMB servers referred to as SMB relay attacks. This setting will affect both SMB1 and SMB2. This security setting determines the level of validation a SMB server performs on the service principal name (SPN) provided by the SMB client when trying to establish a session to an SMB server. The options are: Off – the SPN is not required or validated by the SMB server from a SMB client. Accept if provided by client – the SMB server will accept and validate the SPN provided by the SMB client and allow a session to be established if it matches the SMB server’s list of SPN’s for itself. If the SPN does NOT match, the session request for that SMB client will be denied. Required from client - the SMB client MUST send a SPN name in session setup, and the SPN name provided MUST match the SMB server that is being requested to establish a connection. If no SPN is provided by client, or the SPN provided does not match, the session is denied. Default: Off All Windows operating systems support both a client-side SMB component and a server-side SMB component. This setting affects the server SMB behavior, and its implementation should be carefully evaluated and tested to prevent disruptions to file and print serving capabilities. Additional information on implementing and using this to secure your SMB servers can be found at the Microsoft website (https://go.microsoft.com/fwlink/?LinkId=144505).
2076	Microsoft-Netzwerkserver: Es wird versucht, mit S4U2Self Anspruchsinformationen abzurufen. Diese Sicherheitseinstellung unterstützt Clients unter einer Windows-Version vor Windows 8 beim Zugreifen auf eine Dateifreigabe, für die Benutzeransprüche erforderlich sind. Diese Einstellung legt fest, ob der lokale Dateiserver die Kerberos Service For User To Self (S4U2Self)-Funktion zum Abrufen der Ansprüche eines Netzwerkclientprinzipals von der Kontodomäne des Clients verwendet. Diese Einstellung sollte nur aktiviert werden, wenn vom Dateiserver Benutzeransprüche zum Steuern des Dateizugriffs verwendet und Clientprinzipale unterstützt werden, deren Konten sich möglicherweise in einer Domäne mit Clientcomputern und Domänencontrollern befinden, auf denen eine niedrigere Version als Windows 8 ausgeführt wird. Legen Sie diese Einstellung auf "Automatisch" (Standard) fest, sodass vom Dateiserver automatisch abgeschätzt werden kann, ob Ansprüche für den Benutzer erforderlich sind. Ein Administrator setzt diese Einstellung nur explizit auf "Aktiviert", wenn lokale Dateizugriffsrichtlinien vorliegen, die Benutzeransprüche enthalten. Ist diese Sicherheitseinstellung aktiviert, wird vom Windows-Dateiserver das Zugriffstoken eines authentifizierten Netzwerkclientprinzipals überprüft und ermittelt, ob Anspruchsinformationen vorhanden sind. Liegen keine Ansprüche vor, wird vom Dateiserver die Kerberos S4U2Self-Funktion verwendet, um eine Verbindung mit einem Windows Server 2012-Domänencontroller in der Kontodomäne des Clients herzustellen und ein anspruchsbasiertes Zugriffstoken für den Clientprinzipal abzurufen. Ein anspruchsbasiertes Token ist möglicherweise zum Zugreifen auf Dateien oder Ordner erforderlich, für die Richtlinien für die anspruchsbasierte Zugriffssteuerung gelten. Ist diese Einstellung deaktiviert, wird vom Windows-Dateiserver nicht versucht, ein anspruchsbasiertes Zugriffstoken für den Clientprinzipal abzurufen. Standard: Automatisch.	Microsoft network server: Attempt S4U2Self to obtain claim information This security setting is to support clients running a version of Windows prior to Windows 8 that are trying to access a file share that requires user claims. This setting determines whether the local file server will attempt to use Kerberos Service-For-User-To-Self (S4U2Self) functionality to obtain a network client principal’s claims from the client’s account domain. This setting should only be set to enabled if the file server is using user claims to control access to files, and if the file server will support client principals whose accounts may be in a domain which has client computers and domain controllers running a version of Windows prior to Windows 8. This setting should be set to automatic (default) so that the file server can automatically evaluate whether claims are needed for the user. An administrator would want to set this setting explicitly to “Enabled” only if there are local file access policies that include user claims. When enabled this security setting will cause the Windows file server to examine the access token of an authenticated network client principal and determine if claim information is present. If claims are not present the file server will then use the Kerberos S4U2Self feature to attempt to contact a Windows Server 2012 domain controller in the client’s account domain, and obtain a claims-enabled access token for the client principal. A claims-enabled token may be needed to access files or folders which have claim-based access control policy applied. If this setting is disabled, the Windows file server will not attempt to obtain a claim-enabled access token for the client principal. Default: Automatic.
2077	Konten: Microsoft-Konten blockieren Mit dieser Richtlinieneinstellung wird verhindert, dass Benutzer auf dem Computer neue Microsoft-Konten hinzufügen. Wenn Sie die Option "Benutzer können keine Microsoft-Konten hinzufügen" auswählen, sind Benutzer auf dem Computer nicht in der Lage, neue Microsoft-Konten zu erstellen, lokale Konten in Microsoft-Konten zu ändern oder Domänenkonten mit einem Microsoft-Konto zu verbinden. Diese Option empfiehlt sich, wenn Sie die Verwendung von Microsoft-Konten im Unternehmen einschränken möchten. Wenn Sie die Option "Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden" auswählen, können sich Microsoft-Kontobenutzer nicht unter Windows anmelden. Dies könnte auch einen Administrator des Computers daran hindern, sich zur Verwaltung des Systems anzumelden. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren (empfohlen), können sich Benutzer mit Microsoft-Konten unter Windows anmelden.	Accounts: Block Microsoft accounts This policy setting prevents users from adding new Microsoft accounts on this computer. If you select the "Users can’t add Microsoft accounts" option, users will not be able to create new Microsoft accounts on this computer, switch a local account to a Microsoft account, or connect a domain account to a Microsoft account. This is the preferred option if you need to limit the use of Microsoft accounts in your enterprise. If you select the "Users can’t add or log on with Microsoft accounts" option, existing Microsoft account users will not be able to log on to Windows. Selecting this option might make it impossible for an existing administrator on this computer to log on and manage the system. If you disable or do not configure this policy (recommended), users will be able to use Microsoft accounts with Windows.
2078	Interaktive Anmeldung: Schwellenwert des Computerkontos. Die Computersperrrichtlinie wird nur auf den Computern erzwungen, auf denen Bitlocker zum Schutz der Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass die entsprechenden Wiederherstellungskennwort-Sicherungsrichtlinien aktiviert sind. Diese Sicherheitseinstellung ermittelt die Anzahl der gescheiterten Anmeldeversuche, die zum Sperren des Computers führen. Ein gesperrter Computer kann nur durch Eingabe des Wiederherstellungsschlüssels an der Konsole wiederhergestellt werden. Sie können die maximal zulässige Anzahl von Anmeldeversuchen auf einen Wert zwischen 1 und 999 festlegen. Wenn Sie den Wert auf 0 festlegen, wird der Computer nie gesperrt. Werte zwischen 1 und 3 werden als 4 interpretiert. Gescheiterte Anmeldeversuche bei Arbeitsstationen oder Mitgliedsservern, die entweder mit STRG+ALT+ENTF oder kennwortgeschützten Bildschirmschonern gesperrt wurden, zählen als gescheiterte Anmeldeversuche. Die Computersperrrichtlinie wird nur auf den Computern erzwungen, auf denen Bitlocker zum Schutz der Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass die entsprechenden Wiederherstellungskennwort-Sicherungsrichtlinien aktiviert sind. Standardwert: 0.	Interactive logon: Machine account threshold. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that appropriate recovery password backup policies are enabled. This security setting determines the number of failed logon attempts that causes the machine to be locked out. A locked out machine can only be recovered by providing recovery key at console. You can set the value between 1 and 999 failed logon attempts. If you set the value to 0, the machine will never be locked out. Values from 1 to 3 will be interpreted as 4. Failed password attempts against workstations or member servers that have been locked using either CTRL+ALT+DELETE or password protected screen savers counts as failed logon attempts. The machine lockout policy is enforced only on those machines that have Bitlocker enabled for protecting OS volumes. Please ensure that the appropriate recovery password backup policies are enabled. Default: 0.
2079	Interaktive Anmeldung: Computerinaktivitätsbeschränkung. Die Inaktivität einer Anmeldesitzung wurde festgestellt. Wenn die Dauer der Inaktivität die Inaktivitätsbeschränkung überschreitet, wird der Bildschirmschoner aktiviert und die Sitzung damit gesperrt. Standard: nicht erzwungen.	Interactive logon: Machine inactivity limit. Windows notices inactivity of a logon session, and if the amount of inactive time exceeds the inactivity limit, then the screen saver will run, locking the session. Default: not enforced.
2080	Ruft ein Identitätstoken für einen anderen Benutzer in derselben Sitzung ab. Wenn einem Benutzer dieses Benutzerrecht zugewiesen wird, können Programme im Auftrag dieses Benutzers ausgeführt werden, um ein Identitätstoken anderer Benutzer zu erhalten, die sich in derselben Sitzung interaktiv angemeldet haben. Dazu muss der Aufrufer jedoch über ein Identitätstoken des Sitzungsbenutzers verfügen. Nicht anwendbar auf Desktop-Windows-Clients/-Server, auf denen für jeden Benutzer eine eigene Sitzung eingerichtet wird.	Obtain an impersonation token for another user in the same session. Assigning this privilege to a user allows programs running on behalf of that user to obtain an impersonation token of other users who interactively logged on within the same session provided the caller has an impersonation token of the session user. Not applicable within desktop windows client/server where every user gets a separate session.
2081	Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen Mit dieser Richtlinieneinstellung können Sie RPC-Verbindungen mit SAM einschränken. Falls die Richtlinieneinstellung nicht aktiviert ist, wird die Standardsicherheitsbeschreibung verwendet. Diese Richtlinie wird mindestens unter Windows Server 2016 unterstützt.	Network access: Restrict clients allowed to make remote calls to SAM This policy setting allows you to restrict remote rpc connections to SAM. If not selected, the default security descriptor will be used. This policy is supported on at least Windows Server 2016.
2082	Interaktive Anmeldung: Keinen Benutzernamen bei der Anmeldung anzeigen Diese Sicherheitseinstellung bestimmt, ob der Benutzername der Person, die sich bei diesem PC anmeldet, bei der Windows-Anmeldung angezeigt wird, und zwar nach der Eingabe der Anmeldeinformationen und vor der Anzeige des PC-Desktops. Wenn die Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt. Wenn die Richtlinie deaktiviert ist, wird der Benutzername angezeigt. Standardwert: Deaktiviert.	Interactive logon: Don't display username at sign-in This security setting determines whether the username of the person signing in to this PC appears at Windows sign-in, after credentials are entered, and before the PC desktop is shown. If this policy is enabled, the username will not be shown. If this policy is disabled, the username will be shown. Default: Disabled.
57343	Sie sind im Begriff, die Sicherheitseinstellungen für diesen Dienst zu ändern. Durch Ändern der Standardsicherheit für den Dienst können aufgrund der inkonsistenten Konfiguration zwischen diesem Dienst und den von diesem Dienst abhängigen Diensten Probleme entstehen. Möchten Sie den Vorgang fortsetzen?	You are about to change the security settings for this service. Changing the default security for the service could cause problems due to inconsistent configuration between this service and other services that rely on it. Do you want to continue?
57345	Sie sind im Begriff, neue Vorlageninformationen in die lokale Richtlinie dieses Computers zu importieren. Dies führt zu Änderungen der Sicherheitseinstellungen des Computers. Möchten Sie den Vorgang fortsetzen?	You are about to import new template information into the local computer policy for this computer. Doing so will change your computer security settings. Do you want to continue?
57346	Computersicherheit wird konfiguriert	Configuring Computer Security
57350	Aktuelle Datenbank der Sicherheitskonfiguration: Lokale Richtliniendatenbank %s	Current Security Configuration Database: Local Policy Database %s
57351	Aktuelle Datenbank der Sicherheitskonfiguration: Eigene Datenbank %s	Current Security Configuration Database: Private Database %s
57352	Die Analyseinformationen werden generiert.	Generating analysis information
57353	Das Importieren ist fehlgeschlagen.	Import Failed
57354	Untergeordnete Elemente wurden definiert.	Subitems defined
57355	Nicht verfügbar	Not Available
57356	Neuer Dienst	New Service
57357	Konfiguration von:	Configuring:
57358	Da&tei hinzufügen... Fügt dieser Vorlage eine neue Datei oder einen neuen Ordner hinzu.	Add &File... Adds a new file or folder to this template
57359	Diese Datei oder diesen Ordner zur Vorlage hinzufügen:	Add this file or folder to the template:
57360	Datei oder Ordner hinzufügen	Add a file or folder
57361	Microsoft Corporation	Microsoft Corporation
57362	10.0	10.0
57363	Ermöglicht das Bearbeiten von Sicherheitsvorlagendateien.	Security Templates is an MMC snap-in that provides editing capabilities for security template files.
57364	Bietet Sicherheitskonfigurationen und Analysen für Windows-Computer unter Verwendung von Sicherheitsvorlagendateien.	Security Configuration and Analysis is an MMC snap-in that provides security configuration and analysis for Windows computers using security template files.
57365	Sicherheitseinstellungen ist ein Erweiterungs-Snap-In für das Gruppenrichtlinien-Snap-In, mit dem Sicherheitsrichtlinien für Computer in der Domäne definiert werden können.	The Security Settings Extension snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.
57366	Richtlinie &importieren... Importiert eine Vorlagendatei in dieses Richtlinienobjekt.	&Import Policy... Import a template file into this policy object.
57367	Richtlinie ex&portieren... Exportiert eine Vorlage aus dieser Richtlinie in eine Datei.	E&xport policy... Export template from this policy to a file.
57368	Die Datei %s ist bereits vorhanden. Soll sie überschrieben werden?	File %s already exists. Do you want to overwrite it?
57370	Fehler	Failure
57371	Keine Überwachung	No auditing
57372	Die Richtlinien konnten nicht aktualisiert werden.	Windows cannot update the policies.
57373	Der Abschnitt konnte nicht kopiert werden.	Windows cannot copy the section
57374	Datei auswählen, um sie hinzuzufügen	Select File to Add
57375	Datenbank öffnen	Open database
57376	Datenbank erstellen	Create Database
57377	Richtlinie exportieren nach	Export Policy To
57378	Richtlinie importieren von	Import Policy From
57380	Vorlage importieren	Import Template
57381	Vorlage exportieren nach	Export Template To
57382	Sicherheitseinstellung	Security Setting
57384	Die lokale Richtliniendatenbank konnten nicht geöffnet werden.	Windows cannot open the local policy database.
57385	Lokale Richtliniendatenbank	Local Policy Database
57386	Die Datenbank der lokalen Sicherheitseinstellungen kann nicht mit dem Snap-In "Sicherheitskonfiguration und -analyse" geändert werden. Verwenden Sie das Gruppenrichtlinien-Snap-In, um die lokalen Sicherheitseinstellungen zu bearbeiten.	The local security settings database cannot be edited from the Security Configuration and Analysis snap-in. Use the Group Policy snap-in to edit the local security settings.
57387	\help\75393cf0-f17a-453d-98a9-592b009289c2.chm	\help\75393cf0-f17a-453d-98a9-592b009289c2.chm
57388	\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm	\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm
57389	\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm	\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm
57390	\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm	\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm
57391	\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm	\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htm
57392	\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm	\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm
57394	Es sind neue Richtlinieneinstellungen auf dem Computer vorhanden. Möchten Sie die Ansicht der effektiven Richtlinie aktualisieren?	There are new policy settings on your computer. Do you want to update your view of the effective policy?
57395	Computereinstellung auf %s	Computer setting on %s
57396	Die Datenbank konnte nicht erstellt werden, da keine Vorlagendatei ausgewählt wurde. Öffnen einer vorhandenen DatenbankKlicken Sie mit der rechten Maustaste auf das Bereichselement Sicherheitskonfiguration und -analyse. Klicken Sie auf Datenbank öffnen Wählen Sie eine Datenbank, und klicken Sie auf ÖFFNEN Erstellen einer neuen Datenbank Klicken Sie mit der rechten Maustaste auf das Bereichselement Sicherheitskonfiguration und - analyse . Klicken Sie auf Datenbank öffnen. Geben Sie den Namen der neuen Datenbank ein, und klicken Sie auf ÖFFNEN. Wählen Sie eine zu importierende Sicherheitskonfigurationsdatei und klicken Sie OPEN.	This database couldn't be created because no template file was selected. To Open an Existing DatabaseRight click on the Security Configuration and Analysis scope item. Choose Open Database Choose a database and press OPEN To Create a New Database Right click on the Security Configuration and Analysis scope item. Choose Open Database. Type in a new database name and press OPEN. Choose a security configuration file to import and press OPEN.
57397	&Vorhandene Berechtigungen für alle Unterschlüssel mit vererbbaren Berechtigungen ersetzen	&Replace existing permissions on all subkeys with inheritable permissions
57398	V&ererbbare Berechtigungen an alle Unterschlüssel verteilen	&Propagate inheritable permissions to all subkeys
57399	Ä&ndern der Berechtigungen des Schlüssels nicht zulassen	&Do not allow permissions on this key to be replaced
57400	Mitgliedschaft konfigurieren für %s	Configure Membership for %s
57401	Das Ticket läuft ab in:	Ticket expires in:
57402	Das Ticket läuft nicht ab.	Ticket doesn't expire.
57403	Die Ticketerneuerung läuft ab in:	Ticket renewal expires in:
57404	Die Ticketerneuerung ist deaktiviert.	Ticket renewal is disabled.
57405	Maximale Toleranz:	Maximum tolerance:
57407	Nicht anwendbar	Not Applicable
57410	Benutzer- und Gruppennamen	User and group names
57411	Benutzer oder Gruppe hinzufügen	Add User or Group
57412	Verbindungen der Clients nicht trennen:	Do not disconnect clients:
57413	Verbindung trennen bei einer Leerlaufzeit über:	Disconnect when idle time exceeds:
57414	Anmeldungen nicht zwischenspeichern:	Do not cache logons:
57415	Cache:	Cache:
57416	Aufforderungsstart vor Kennwortablauf:	Begin prompting this many days before password expires:
57418	&Diesen Schlüssel konfigurieren	&Configure this key then
57419	Die globale Pfadbeschreibung konnte nicht gespeichert werden.	Could not save global location description
57420	Die Pfadbeschreibung konnte nicht gespeichert werden.	Could not save location description
57421	Neu laden Lädt die Sicherheitsrichtlinie neu.	Reload Reload the security policy
57422	Änderungen an %1 vor dem erneuten Laden speichern?	Save changes to %1 before reloading it?
57423	Lokale Sicherheitseinstellungen	Local Security Settings
57424	WSecEdit Security Settings Class	WSecEdit Security Settings Class
57425	WSecEdit Local Security Settings Class	WSecEdit Local Security Settings Class
57428	Mit dem Snap-In für lokale Sicherheitseinstellungen kann Sicherheit auf dem lokalen Computer definiert werden.	The Local Security Settings snap-in helps you define security on the local system.
57430	WSecEdit RSOP Security Settings Class	WSecEdit RSOP Security Settings Class
57431	Das Snap-In für die RSOP-Sicherheitseinstellungserweiterung erweitert das RSOP-Snap-In und ermöglicht Ihnen, Ergebnissatzrichtlinien für Computer in der Domäne anzuzeigen.	The RSOP Security Settings Extension snap-in extends the RSOP snap-in and helps you view resultant security policies for computers in your domain.
57435	Ü&bernehmen	&Apply
57436	Die Gruppenrichtlinieneinstellungen, die für diesen Computer gelten, konnten nicht ermittelt werden. Beim Abrufen der Einstellungen von der lokalen Sicherheitsrichtliniendatenbank (%%windir%%\security\database\secedit.sdb) ist folgender Fehler aufgetreten: %s Alle lokalen Sicherheitseinstellungen werden angezeigt, aber es wird nicht angegeben, ob die jeweilige Sicherheitseinstellung von der Gruppenrichtlinie definiert wurde. Alle über diese Benutzeroberfläche geänderten lokalen Sicherheitseinstellungen können anschließend von den Richtlinien auf Domänenebene außer Kraft gesetzt werden.	The Group Policy security settings that apply to this machine could not be determined. The error returned when trying to retrieve these settings from the local security policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy. Any local security setting modified through this User Interface may subsequently be overridden by domain-level policies.
57437	Die Gruppenrichtlinieneinstellungen, die für diesen Computer gelten, konnten nicht ermittelt werden. Beim Abrufen der Einstellungen von der lokalen Richtliniendatenbank (%%windir%%\security\database\secedit.sdb) ist folgender Fehler aufgetreten: %s Alle lokalen Sicherheitseinstellungen werden angezeigt, aber es wird nicht angegeben, ob die jeweilige Sicherheitseinstellung von der Gruppenrichtlinie definiert wurde.	The Group Policy security settings that apply to this machine could not be determined. The error received when trying to retrieve these settings from the local policy database (%%windir%%\security\database\secedit.sdb) was: %s All local security settings will be displayed, but no indication will be given as to whether or not a given security setting is defined by Group Policy.
57438	Protokolldatei:	Log file:
57439	Richtlinienname	Policy Name
57440	Einstellung	Setting
57441	Die Richtlinie %1 wurde ordnungsgemäß angewendet.	The policy %1 was correctly applied.
57442	Beim Konfigurieren eines untergeordneten Objekts ist ein Fehler aufgetreten. (Oder das Richtlinienmodul konnte das untergeordnete Objekt einer bestimmten Richtlinieneinstellung nicht konfigurieren.) Weitere Informationen finden Sie unter %windir%\security\logs\winlogon.log.	There was an error configuring a child of this object. (or The policy engine attempted and failed to configure the child of a specific policy setting.) For more information, see %windir%\security\logs\winlogon.log
57443	Die Richtlinie %1 verursachte den folgenden Fehler %2. Weitere Informationen finden Sie unter %windir%\security\logs\winlogon.log auf dem Zielcomputer.	The policy %1 resulted in the following error %2. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57444	Die Richtlinie %1 hat einen unzulässigen Status verursacht, der protokolliert wurde. Weitere Informationen finden Sie unter %%windir%%\security\logs\winlogon.log auf dem Zielcomputer.	The policy %1 resulted in an invalid status and was logged. See %%windir%%\security\logs\winlogon.log on the target machine for more information.
57445	Das Richtlinienmodul hat nicht versucht, die Einstellung zu ändern. Weitere Informationen finden Sie unter %windir%\security\logs\winlogon.log auf dem Zielcomputer.	The policy engine did not attempt to configure the setting. For more information, see %windir%\security\logs\winlogon.log on the target machine.
57446	Sicherheit &anzeigen...	&View Security...
57447	Die Vorlage konnte nicht nach %1 exportiert werden. Fehler: %2	Couldn't export template to %1. The error returned was: %2
57448	Sollen Änderungen an der Sicherheitsdatenbank gespeichert werden?	Save changes to Security Database?
57449	Anmelden über Remotedesktopdienste verweigern	Deny log on through Remote Desktop Services
57450	Anmelden über Remotedesktopdienste zulassen	Allow log on through Remote Desktop Services
57451	Vorlagensuchpfad konnte nicht hinzugefügt werden.	Couldn't add template search path
57453	\Security\Logs	\Security\Logs
57454	Der Sicherheitsabschnitt dieser Gruppenrichtlinie kann nur mit der PDC-Emulation bearbeitet werden.	The security portion of this group policy may only be edited on the PDC Emulator.
57455	Diese Einstellung ist mit Computern, die Windows 2000 Service Pack 1 oder früher ausführen, nicht kompatibel. Wenden Sie Gruppenrichtlinienobjekte mit dieser Einstellung nur auf Computer an, die eine höhere Version des Betriebssystems ausführen.	This setting is not compatible with computers running Windows 2000 Service Pack 1 or earlier. Apply Group Policy objects containing this setting only to computers running a later version of the operating system.
57456	Alle Eigenschaftenseiten müssen geschlossen sein, bevor %1 gelöscht werden kann.	Close all property pages before deleting %1
57457	Der Wert muss zwischen %d und %d liegen.	Value must be between %d and %d
57458	Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen	Network access: Allow anonymous SID/Name translation
57459	Administratoren müssen über lokale Anmeldeberechtigungen verfügen.	Administrators must be granted the logon local right.
57460	Das lokale Anmelden kann nicht allen Benutzern oder Administratoren verweigert werden.	You cannot deny all users or administrator(s) from logging on locally.
57461	Einige Konten können nicht übersetzt werden.	Some accounts cannot be translated.
57462	Schließen Sie alle sekundären Fenster, um Änderungen zu übernehmen oder diese Eigenschaftenseite zu schließen.	To apply your changes or close this property sheet, close all secondary windows.
57463	Das Fenster kann nicht geöffnet werden. Es kann kein Benutzeroberflächen-Thread für die Eigenschaftenseite erstellt werden.	The window cannot be opened. Windows cannot create a UI thread for the property sheet.
57464	\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm	\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htm
57465	Direkthilfe	What's this?
57466	sct	sct
57467	\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm	\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm
57468	Der Wert muss zwischen %d und %d liegen oder 0 sein.	Value must be between %d and %d or 0
57469	Diese Einstellung gilt nur für frühere Betriebssysteme als Windows Server 2003.	This setting affects only operating systems earlier than Windows Server 2003.
57470	Das Ändern dieser Einstellung kann Auswirkungen auf die Kompatibilität zu Clients, Diensten und Anwendungen haben. %1	Modifying this setting may affect compatibility with clients, services, and applications. %1
57471	Weitere Informationen finden Sie unter %1. (Q%2!lu!)	For more information, see %1. (Q%2!lu!)
57472	Sie sind im Begriff, diese Einstellung in einen Wert zu ändern, der Auswirkungen auf die Kompatibilität zu Clients, Diensten und Anwendungen haben kann. %1 Möchten Sie diese Änderung fortsetzen?	You are about to change this setting to a value that may affect compatibility with clients, services, and applications. %1 Do you want to continue with the change?
57473	Administratoren und DIENST muss nach der Authentifizierungsberechtigung das Recht zum Annehmen der Identität des Clients gewährt werden.	Administrators and SERVICE must be granted the impersonate client after authentication privilege
57474	Diese Einstellung wird möglicherweise nicht erzwungen, wenn eine andere Richtlinie konfiguriert ist, die die Überwachungsrichtlinie auf Kategoriestufe außer Kraft setzt. %1	This setting might not be enforced if other policy is configured to override category level audit policy. %1
57475	Weitere Informationen finden Sie unter %1 in der technischen Referenz zur Sicherheitsrichtlinie.	For more information, see %1 in the Security Policy Technical Reference.
58000	Kein Erklärungstext für diese Aktion	No explain text for this action
58003	Computer wird gesperrt nach	Machine will be locked after
58100	Zentrale Zugriffsrichtlinien verwalten... Zentrale Zugriffsrichtlinien dieser Vorlage hinzufügen oder daraus entfernen	Manage Central Access Policies... Add/Remove Central Access Policies to this template
58107	Diese Zugriffsrichtlinie enthält die folgenden Richtlinienregeln:	This Access Policy includes the following Policy rules:
58108	Status	Status
58109	Zentrale Zugriffsrichtlinien werden von Active Directory heruntergeladen...	Downloading central access policies from active directory...
58110	Fehler: Zentrale Zugriffsrichtlinien konnten nicht heruntergeladen werden.	Error: Central access policies could not be downloaded
58111	Bereit...	Ready...
58113	Diese zentrale Zugriffsrichtlinie wurde nicht gefunden. Die Zugriffsrichtlinie wurde möglicherweise aus Active Directory gelöscht oder weist ungültige Einstellungen auf. Stellen Sie die Richtlinie entweder im Active Directory-Verwaltungscenter wieder her, oder entfernen Sie diese Richtlinie aus der Konfiguration.	This central access policy could not be found. It may have been deleted from Active Directory or have invalid settings. Restore this policy in Active Directory Administrative Center (AD AC) or remove it from the configuration.
59001	Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken	Accounts: Limit local account use of blank passwords to console logon only
59002	Überwachung: Zugriff auf globale Systemobjekte prüfen	Audit: Audit the access of global system objects
59003	Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen	Audit: Audit the use of Backup and Restore privilege
59004	Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können	Audit: Shut down system immediately if unable to log security audits
59005	Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben	Devices: Prevent users from installing printer drivers
59010	Geräte: Entfernen ohne vorherige Anmeldung erlauben	Devices: Allow undock without having to log on
59011	Domänencontroller: Serveroperatoren das Einrichten von geplanten Aufgaben erlauben	Domain controller: Allow server operators to schedule tasks
59012	Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern	Domain controller: Refuse machine account password changes
59013	Domänencontroller: Signaturanforderungen für LDAP-Server	Domain controller: LDAP server signing requirements
59015	Signatur erforderlich	Require signing
59016	Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren	Domain member: Disable machine account password changes
59017	Domänenmitglied: Maximalalter von Computerkontenkennwörtern	Domain member: Maximum machine account password age
59018	Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)	Domain member: Digitally encrypt or sign secure channel data (always)
59019	Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)	Domain member: Digitally encrypt secure channel data (when possible)
59020	Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)	Domain member: Digitally sign secure channel data (when possible)
59021	Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)	Domain member: Require strong (Windows 2000 or later) session key
59022	Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich	Interactive logon: Do not require CTRL+ALT+DEL
59023	Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen	Interactive logon: Don't display last signed-in
59024	Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist	Interactive logon: Display user information when the session is locked
59025	Benutzeranzeige-, Benutzer und Domänennamen anzeigen	User display name, domain and user names
59026	Nur Benutzeranzeigenamen anzeigen	User display name only
59027	Keine Benutzerinformationen anzeigen	Do not display user information
59028	Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen	Interactive logon: Message text for users attempting to log on
59029	Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen	Interactive logon: Message title for users attempting to log on
59030	Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)	Interactive logon: Number of previous logons to cache (in case domain controller is not available)
59031	Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern	Interactive logon: Prompt user to change password before expiration
59032	Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich	Interactive logon: Require Domain Controller authentication to unlock workstation
59033	Interaktive Anmeldung: Windows Hello for Business oder Smartcard erforderlich	Interactive logon: Require Windows Hello for Business or smart card
59034	Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards	Interactive logon: Smart card removal behavior
59035	Keine Aktion	No Action
59036	Arbeitsstation sperren	Lock Workstation
59037	Abmeldung erzwingen	Force Logoff
59038	Trennen, falls Remotedesktopdienste-Sitzung	Disconnect if a remote Remote Desktop Services session
59039	Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)	Microsoft network client: Digitally sign communications (always)
59040	Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)	Microsoft network client: Digitally sign communications (if server agrees)
59041	Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden	Microsoft network client: Send unencrypted password to third-party SMB servers
59042	Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung	Microsoft network server: Amount of idle time required before suspending session
59043	Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)	Microsoft network server: Digitally sign communications (always)
59044	Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)	Microsoft network server: Digitally sign communications (if client agrees)
59045	Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird	Microsoft network server: Disconnect clients when logon hours expire
59046	Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen	Network access: Do not allow storage of passwords and credentials for network authentication
59047	Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben	Network access: Do not allow anonymous enumeration of SAM accounts
59048	Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben	Network access: Do not allow anonymous enumeration of SAM accounts and shares
59049	Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichen	Network access: Let Everyone permissions apply to anonymous users
59050	Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken	Network access: Restrict anonymous access to Named Pipes and Shares
59051	Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann	Network access: Named Pipes that can be accessed anonymously
59052	Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann	Network access: Shares that can be accessed anonymously
59053	Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann	Network access: Remotely accessible registry paths and sub-paths
59054	Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann	Network access: Remotely accessible registry paths
59055	Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten	Network access: Sharing and security model for local accounts
59056	Klassisch - lokale Benutzer authentifizieren sich als sie selbst	Classic - local users authenticate as themselves
59057	Nur Gast - lokale Benutzer authentifizieren sich als Gast	Guest only - local users authenticate as Guest
59058	Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern	Network security: Do not store LAN Manager hash value on next password change
59059	Netzwerksicherheit: LAN Manager-Authentifizierungsebene	Network security: LAN Manager authentication level
59060	LM- und NTLM-Antworten senden	Send LM & NTLM responses
59061	LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)	Send LM & NTLM - use NTLMv2 session security if negotiated
59062	Nur NTLM-Antworten senden	Send NTLM response only
59063	Nur NTLMv2-Antworten senden	Send NTLMv2 response only
59064	Nur NTLMv2-Antworten senden. LM verweigern	Send NTLMv2 response only. Refuse LM
59065	Nur NTLMv2-Antworten senden. LM & NTLM verweigern	Send NTLMv2 response only. Refuse LM & NTLM
59066	Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)	Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
59067	Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)	Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
59070	NTLMv2-Sitzungssicherheit erfordern	Require NTLMv2 session security
59071	128-Bit-Verschlüsselung erfordern	Require 128-bit encryption
59072	Netzwerksicherheit: Signaturanforderungen für LDAP-Clients	Network security: LDAP client signing requirements
59074	Signatur aushandeln	Negotiate signing
59076	Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen	Recovery console: Allow automatic administrative logon
59077	Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen	Recovery console: Allow floppy copy and access to all drives and all folders
59078	Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen	Shutdown: Allow system to be shut down without having to log on
59079	Herunterfahren: Auslagerungsdatei des virtuellen Arbeitspeichers löschen	Shutdown: Clear virtual memory pagefile
59080	Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken	System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
59081	Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden	System objects: Default owner for objects created by members of the Administrators group
59082	Administratorengruppe	Administrators group
59083	Objektersteller	Object creator
59084	Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren	System objects: Require case insensitivity for non-Windows subsystems
59085	Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden	System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
59086	Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen	System cryptography: Force strong key protection for user keys stored on the computer
59087	Keine Benutzereingabe erforderlich, wenn neue Schlüssel gespeichert und verwendet werden	User input is not required when new keys are stored and used
59088	Benutzer wird zur Eingabe aufgefordert, wenn der Schlüssel zum ersten Mal verwendet wird	User is prompted when the key is first used
59089	Bei jeder Verwendung eines Schlüssels Kennwort eingeben	User must enter a password each time they use a key
59090	Systemeinstellungen: Zertifikatsregeln zur Durchsetzung von Softwareeinschränkungsrichtlinien auf Windows-Programme anwenden	System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
59091	Systemeinstellungen: optionale Subsysteme	System settings: Optional subsystems
59092	Anmeldungen	logons
59093	Tage	days
59094	Minuten	minutes
59095	Sekunden	seconds
59096	DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax	DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
59097	DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax	DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax
59098	Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken	Devices: Restrict CD-ROM access to locally logged-on user only
59099	Geräte: Formatieren und Auswerfen von Wechselmedien zulassen	Devices: Allowed to format and eject removable media
59100	Administratoren	Administrators
59101	Administratoren und Hauptbenutzer	Administrators and Power Users
59102	Administratoren und interaktive Benutzer	Administrators and Interactive Users
59103	Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken	Devices: Restrict floppy access to locally logged-on user only
59104	Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie außer Kraft zu setzen	Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
59105	Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern	Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
59106	Alle zulassen	Allow all
59107	Alle verweigern	Deny all
59108	Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr	Network security: Restrict NTLM: Incoming NTLM traffic
59110	Alle Domänenkonten verweigern	Deny all domain accounts
59111	Alle Konten verweigern	Deny all accounts
59112	Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne	Network security: Restrict NTLM: NTLM authentication in this domain
59113	Deaktivieren	Disable
59114	Für Domänenkonten an Domänenserver verweigern	Deny for domain accounts to domain servers
59115	Für Domänenkonten verweigern	Deny for domain accounts
59116	Für Domänenserver verweigern	Deny for domain servers
59118	Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen	Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
59119	Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen	Network security: Restrict NTLM: Add server exceptions in this domain
59120	Netzwerksicherheit: Zurückgreifen auf NULL-Sitzung für lokales System zulassen	Network security: Allow LocalSystem NULL session fallback
59121	Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren	Network security: Configure encryption types allowed for Kerberos
59122	DES_CBC_CRC	DES_CBC_CRC
59123	DES_CBC_MD5	DES_CBC_MD5
59124	RC4_HMAC_MD5	RC4_HMAC_MD5
59125	AES128_HMAC_SHA1	AES128_HMAC_SHA1
59126	AES256_HMAC_SHA1	AES256_HMAC_SHA1
59127	Künftige Verschlüsselungstypen	Future encryption types
59129	Netzwerksicherheit: Lässt an diesen Computer gerichtete PKU2U-Authentifizierungsanforderungen zu, um die Verwendung von Onlineidentitäten zu ermöglichen.	Network security: Allow PKU2U authentication requests to this computer to use online identities.
59130	Alle überwachen	Audit all
59131	Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen	Network security: Restrict NTLM: Audit Incoming NTLM Traffic
59132	Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen	Network security: Restrict NTLM: Audit NTLM authentication in this domain
59133	Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben	Network security: Allow Local System to use computer identity for NTLM
59135	Überwachung für Domänenkonten aktivieren	Enable auditing for domain accounts
59136	Überwachung für alle Konten aktivieren	Enable auditing for all accounts
59138	Für Domänenkonten an Domänenserver aktivieren	Enable for domain accounts to domain servers
59139	Für Domänenkonten aktivieren	Enable for domain accounts
59140	Für Domänenserver aktivieren	Enable for domain servers
59141	Alle aktivieren	Enable all
59142	Microsoft-Netzwerkserver: SPN-Zielnamenüberprüfungsstufe für Server	Microsoft network server: Server SPN target name validation level
59144	Bei Bereitstellung durch Client akzeptieren	Accept if provided by client
59145	Gefordert von Client	Required from client
59146	Microsoft-Netzwerkserver: Es wird versucht, mit S4U2Self Anspruchsinformationen abzurufen.	Microsoft network server: Attempt S4U2Self to obtain claim information
59147	Standard	Default
59150	Konten: Microsoft-Konten blockieren	Accounts: Block Microsoft accounts
59151	Diese Richtlinie ist deaktiviert.	This policy is disabled
59152	Benutzer können keine Microsoft-Konten hinzufügen	Users can't add Microsoft accounts
59153	Benutzer können keine Microsoft-Konten hinzufügen oder sich damit anmelden	Users can't add or log on with Microsoft accounts
59154	Interaktive Anmeldung: Schwellenwert für Computerkontosperrung	Interactive logon: Machine account lockout threshold
59155	Interaktive Anmeldung: Inaktivitätsgrenze des Computers	Interactive logon: Machine inactivity limit
59156	ungültige Anmeldeversuche	invalid logon attempts
59157	Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen	Network access: Restrict clients allowed to make remote calls to SAM
59158	Interaktive Anmeldung: Keinen Benutzernamen bei der Anmeldung anzeigen	Interactive logon: Don't display username at sign-in

File Name:	wsecedit.dll.mui
Directory:	%WINDIR%\WinSxS\amd64_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_de-de_8d47f7830b01e1a4\
File Size:	496 kB
File Permissions:	rw-rw-rw-
File Type:	Win32 DLL
File Type Extension:	dll
MIME Type:	application/octet-stream
Machine Type:	Intel 386 or later, and compatibles
Time Stamp:	0000:00:00 00:00:00
PE Type:	PE32
Linker Version:	14.10
Code Size:	0
Initialized Data Size:	507904
Uninitialized Data Size:	0
Entry Point:	0x0000
OS Version:	10.0
Image Version:	10.0
Subsystem Version:	6.0
Subsystem:	Windows GUI
File Version Number:	10.0.15063.0
Product Version Number:	10.0.15063.0
File Flags Mask:	0x003f
File Flags:	(none)
File OS:	Windows NT 32-bit
Object File Type:	Dynamic link library
File Subtype:	0
Language Code:	German
Character Set:	Unicode
Company Name:	Microsoft Corporation
File Description:	Sicherheitskonfigurations-UI-Modul
File Version:	10.0.15063.0 (WinBuild.160101.0800)
Internal Name:	WSECEDIT
Legal Copyright:	© Microsoft Corporation. Alle Rechte vorbehalten.
Original File Name:	WSecEdit.dll.mui
Product Name:	Betriebssystem Microsoft® Windows®
Product Version:	10.0.15063.0
Directory:	%WINDIR%\WinSxS\x86_microsoft-windows-s..gement-ui.resources_31bf3856ad364e35_10.0.15063.0_de-de_31295bff52a4706e\

wsecedit.dll.mui is Multilingual User Interface resource file that contain German language for file wsecedit.dll (Sicherheitskonfigurations-UI-Modul).

File Description:	Sicherheitskonfigurations-UI-Modul
File Version:	10.0.15063.0 (WinBuild.160101.0800)
Company Name:	Microsoft Corporation
Internal Name:	WSECEDIT
Legal Copyright:	© Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename:	WSecEdit.dll.mui
Product Name:	Betriebssystem Microsoft® Windows®
Product Version:	10.0.15063.0
Translation:	0x407, 1200