04Bildschirm automatisch sperren
Zusätzlich zu den Kennwortrichtlinien sollten Sie veranlassen, dass sich Computer nach einiger Zeit automatisch sperren. Sie können zum Beispiel die Einstellung aktivieren, dass nach einer bestimmten Zeit der Bildschirmschoner auf den Arbeitsstationen aktiviert wird und die Anwender ein Kennwort eingeben müssen, wenn der Bildschirm entsperrt werden soll.
Falls der Bildschirm nicht gesperrt ist, können ungehindert andere Anwender unter dem Namen des angemeldeten Benutzers Aktionen durchführen. Sie finden die Einstellungen für Bildschirmschoner unter Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Anpassung in den Gruppenrichtlinien. Diese Einstellung müssen Sie unabhängig von den Einstellungen der Kennwörter festlegen. Zur Konfiguration können Sie entweder eine neue GPO (Gruppenrichtlinie) erstellen oder eine bereits vorhandene konfigurieren. Die Standardrichtlinien im Windows-Server-2012-Netzwerk sollten Sie möglichst auch bei einer solchen Konfiguration nicht ändern. Passen Sie die folgenden Einstellungen an:
1. Bildschirmschoner aktivieren auf Aktiviert.
2. Kennwortschutz für den Bildschirmschoner verwenden ebenfalls auf Aktiviert.
3. Zeitlimit für Bildschirmschoner auf Aktiviert und als Einstellung beispielsweise 600 Sekunden bis zur Aktivierung.
Haben Sie die gewünschten Eintragungen vorgenommen, können Sie den Gruppenrichtlinienverwaltungs-Editor wieder schließen. Verknüpfen Sie die erstellte Richtlinie wieder mit der Domäne oder einer OU (Organisationseinheit).
Wenn Sie die Richtlinie erstellt und verknüpft haben, klicken Sie die Domäne in der Gruppenrichtlinienverwaltung an. Auf der rechten Seite sehen Sie alle Gruppenrichtlinien, die direkt mit der Domäne verknüpft sind. Markieren Sie die Verknüpfung der Bildschirmschonerrichtlinie auf der rechten Seite der Gruppenrichtlinienverwaltung und klicken Sie auf die Pfeile, bis die Verknüpfung ganz oben angeordnet ist. Dadurch ist sichergestellt, dass diese Verknüpfung und die Einstellungen des verknüpften GPOs zuerst angewendet werden.
05Inaktive Benutzer finden
Generell sollten Sie auch überprüfen, welche Benutzer nicht mehr aktiv im Einsatz sind. Dazu verwenden Sie auf dem Domänencontroller einfach den Befehl
dsquery user -inactive <Anzahl der Wochen>
So erkennen Sie auf einen Blick, welche Benutzerkonten eine bestimmte Anzahl an Tagen nicht mehr aktiv waren.
- Windows - inaktive Benutzer finden
Nicht aktive Benutzer lassen Sie sich in der Befehlszeile anzeigen. - Windows - inaktive Benutzer finden
Sie können sich mit Zusatztools inaktive Konten anzeigen lassen.
Sie können in diesem Zusammenhang auch auf die kostenlosen AD Admin Tools von Solarwinds setzen. Der Vorteil der AD-Admins-Tools und des Inactive-User-Account-Removal-Tools ist, dass sie wesentlich mehr inaktive Konten erfassen. Dsquery zeigt nur Konten an, die sich schon einmal angemeldet haben. Das Inactive-User-Account-Removal-Tool hingegen präsentiert auch Benutzerkonten, die sich noch nie angemeldet haben. Sie können diese Konten direkt im Tool entfernen lassen.