Deaktivieren von Connected Accounts per Gruppenrichtlinie
Was sind Connected Accounts?
Connected Accounts sind Benutzeraccounts, die mit Windows Live verbunden sind, um Daten, Apps und sogar Systemeinstellungen über verschiedene Geräte zu synchronisieren. So werden beispielweise Apps, die mit einem Connected Account auf einem Windows 8 Tablet installiert wurden, bei der nächsten Anmeldung automatisch auf dem Windows 8 Rechner installiert, um sie auch dort direkt verwenden zu können.
Unterscheiden muss man hier zwischen lokalen Benutzerkonten, die zu Microsoft Accounts umgewandelt werden, und Accounts in der Domäne, die man zwar mit einem Microsoft Konto verbinden kann, um die Datensynchronisation zu automatisieren, bei denen es aber logischerweise nicht möglich ist, sich mit der Live-ID des Microsoft Kontos am Rechner anzumelden. Bedeutung in Firmennetzwerken Connected Accounts sind für Privatanwender sehr praktisch, doch in Firmennetzwerken ergeben sich, je nach Infrastruktur, aus der automatischen Synchronisation einige Sicherheitsbedenken. Es können beispielsweise firmeninterne Daten wie Passwörter nach außen oder private Daten des Benutzers ohne dessen Zutun auf den Firmenrechner synchronisiert werden. Deaktivieren der Connected Accounts per Gruppenrichtlinie Die Gruppenrichtlinie zum Deaktivieren der Connected Accounts befindet sich unter Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsAccounts:Block Microsoft Accounts
Die Gruppenrichtlinie bietet zwei Einstellungsmöglichkeiten:
1. Users can’t add Microsoft accounts: Diese Einstellung verbietet es allen Benutzern auf diesem Computer ihren Account mit einem Microsoft-Konto zu verbinden. Dies gilt sowohl für lokale Benutzer als auch für Domänenbenutzer.
2. Users can’t add or log on with Microsoft accounts: Diese Einstellung verbietet zusätzlich zur 1. Einstellung das Anmelden am Rechner mit einem Microsoft Account. Dies gilt allerdings nur für lokale Benutzerkonten, die in ein Microsoft-Konto umgewandelt wurden. Auch das lokale Administratorkonto kann durch diese Gruppenrichtlinie am Anmelden gehindert werden. Domänenbenutzer, die einen Connected Account haben, können sich trotz dieser Einstellung weiterhin ganz normal anmelden. Diese Nutzer müssen ihren Account manuell von ihrem Microsoft-Konto trennen (siehe Bild unten).
Sollten in der Domäne bereits Benutzer vorhanden sein, die einen Connected Account eingerichtet haben, kann man mit Hilfe des AppLockers die Ausführung der verbundenen Packaged Apps einschränken. Eine Anleitung hierzu findet man in der TechNet: http://technet.microsoft.com/en-us/library/jj161142.aspx
MEHR BLOG-KATEGORIEN
- ASP.NET
- Active Directory
- Administration Tools
- Allgemein
- Backup
- ChatBots
- Configuration Manager
- DNS
- Data Protection Manager
- Deployment
- Endpoint Protection
- Exchange Server
- Gruppenrichtlinien
- Hyper-V
- Intune
- Konferenz
- Künstliche Intelligenz
- Linux
- Microsoft Office
- Microsoft Teams
- Office 365
- Office Web App Server
- Powershell
- Remote Desktop Server
- Remote Server
- SQL Server
- Sharepoint Server
- Sicherheit
- System Center
- Training
- Verschlüsselung
- Virtual Machine Manager
- Visual Studio
- WSUS
- Windows 10
- Windows 8
- Windows Azure
- Windows Client
- Windows Server
- Windows Server 2012
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Zertifikate