KVM etabliert sich als Standardlösung zur Virtualisierung unter Linux. Der ADMIN-Schwerpunkt hilft beim Bau virtueller Linux-Maschinen, stellt das ... (mehr)

Einstellungen

Um Windows-Server mit SCM abzusichern, ist kein Active Directory notwendig, die Einstellungen lassen sich auch in lokale Richtlinien einlesen. Dazu stellt SCM das Zusatztool »LocalGPO« zur Verfügung. Mit dem Tool aus der Programmgruppe »Microsoft Security Compliance Manager« lassen sich Einstellungen lokal aus SCM in eine Richtlinie auf dem Server importieren.

Das Tool arbeitet in der Befehlszeile und stellt verschiedene Optionen für den Import zur Verfügung. LocalGPO ist vor allem für Server gedacht, die über keine Domänenanbindung verfügen. Im ersten Schritt installieren Sie das Tool auf dem Server und können anschließend auf der Befehlszeile die Einstellungen importieren.

Nach der Installation starten Sie dazu »LocalGPO Command-line« in der Programmgruppe »LocalGPO« . Um die Einstellungen einer SCM-Baseline auf einem lokalen Server zu importieren, erstellen Sie zunächst die Baseline, wie zuvor beschrieben. Anschließend exportieren Sie diese als GPO-Backup in ein Verzeichnis. Dieses kopieren Sie auf den Server, auf dem Sie die Richtlinien umsetzen wollen. Anschließend geben Sie den Befehl »cscript LocalGPO.wsf /Path:<Pfad zur GPO-Sicherung>« ein ( Abbildung 3 ).

Abbildung 3: SCM kann Einstellungen auch als Skript importieren.

Bei der Umsetzung der neuen Einstellungen, speichert LocalGPO die Einstellungen der lokalen Richtlinie. So können Sie diese jederzeit wiederherstellen. Um die ursprünglichen Einstellungen auf dem Server wiederherzustellen, verwenden Sie den Befehl »cscript LocalGPO.wsf /Restore« .

Mit LocalGPO haben Sie auch die Möglichkeit, die Einstellungen der lokalen Sicherheitsrichtlinie in eine GPO-Datensicherung zu sichern. Diese können Sie zum einen ebenfalls zum Wiederherstellen nutzen, indem Sie sie auf einem Server wieder importieren. Zum anderen können Sie diese Sicherung auf anderen lokalen Servern importieren. Außerdem ist es möglich, auf Basis dieser Sicherung eine neue Active-Directory-Gruppenrichtlinie zu erstellen und diese Einstellungen zu importieren. Verwenden Sie dazu den Befehl »cscript LocalGPO.wsf /Path: <Pfad> /Export« . Importieren können Sie diese Sicherung entweder mit LocalGPO, oder Sie verwenden die Gruppenrichtlinienverwaltungskonsole.

Sie können aber auch die lokale Sicherheitsrichtlinie eines Servers in ein »GPOPack« exportieren. Mit diesem können Sie die Sicherheitseinstellungen auf einem anderen Server importieren, ohne dass Sie LocalGPO auf dem Zielsystem installieren müssen. Verwenden Sie dazu den Befehl »cscript LocalGPO.wsf /Path: "<Pad>" /Export /GPOPack« . Mehr zu diesem Thema lesen Sie auf der Internetseite [5] . (ofr)

Der Autor

Thomas Joos ist freiberuflicher IT-Consultant und seit über 20 Jahren in der IT tätig. Neben seinen Projekten schreibt er praxisnahe Fachbücher und Fachartikel rund um Windows und andere Microsoft-Themen. Online trifft man ihn unter http://thomasjoos.spaces.live.com .

comments powered by Disqus
Mehr zum Thema

Security Baselines für Windows 10

Windows 10 lässt sich umfassend mit Gruppenrichtlinien steuern, das gilt vor allem auch für Sicherheitseinstellungen. Administratoren müssen sich dabei nicht selbst an allen Settings abarbeiten, denn Microsoft stellt für jede neue Windows-10-Version auch aktualisierte Gruppenrichtlinienvorlagen zur Verfügung. Zusätzlich bieten die Redmonder Empfehlungen und Vorlagen an, mit denen Sie Windows-10-Arbeitsstationen wie auch Server unter Windows Server 2016 und 2019 absichern.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023