Das ITMZ bietet über seine Active Directory Domain Controller folgende Dienste für Windows ab Windows Vista an:

• Authentifizierung und Autorisierung von Benutzern
• Logon Scripts
• Servergespeicherte Windows-Benutzerprofile im zentralem Benutzerverzeichnis (HOME)

Achtung! Wichtige Informationen zur Nutzung von servergespeicherten Benutzerprofilen finden Sie in den Hinweisen

• "Windows-Benutzerprofile für Nutzer der Domäne uni-rostock.de (RECHENZENTRUM)"
•  "FAQ - Oft gestellte Fragen zu Windows-Benutzerprofilen".

Zulassen von domänenübergreifenden Login-Scripts und Nutzerprofilen

Ab Windows 2000 SP4 ist das domänenübergreifende Ausführen von Logon Scripts und das Laden zentraler Nutzerprofile standardmäßigabgeschaltet.
Um diese Dienste domänenübergreifend nutzen zu können, muß in der teilnehmenden Domäne folgende Gruppenrichtlinieneinstellung für jeden teilnehmenden Windows-PC gesetzt werden:

"Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen"

Informationen zum Konfigurieren dieser Einstellung finden Sie unter:

• http://support.microsoft.com/kb/823862/de

Benutzung von Universal Apps (ab Windows 8) mit servergespeicherten Benutzerprofilen erlauben

Um Universal Apps mit servergespeicherten Benutzerprofilen nutzen zu können, muß in der teilnehmenden Domäne folgende Gruppenrichtlinieneinstellung für jeden teilnehmenden Windows-PC gesetzt werden:

"Bereitstellungsvorgänge in speziellen Profilen zulassen"

Informationen zum Konfigurieren dieser Einstellung finden Sie unter:

• https://technet.microsoft.com/de-de/library/jj884083.aspx 

Konfigurieren des abgesicherten UNC-Zugriffs für das korrekte Funktionieren von Anmeldeskripten und Gruppenrichtlinien der Active Directory "uni-rostock.de" 

1. Klicken Sie auf START, geben Sie gpedit.msc im Feld "Suche starten" ein, und drücken Sie dann die EINGABETASTE, um das lokale Gruppenrichtlinienobjekt zu öffnen.
    
   Oder öffnen Sie ein Gruppenrichtlinienobjekt Ihrer Domäne, um die Einstellung für mehrere Systeme zu konfigurieren.
      
2. Wechseln Sie zu folgender Einstellung:
      
   Computer Configuration-> Administrative Templates -> System-> Kerberos-> Use forest search order
     
3. Aktivieren Sie die Einstellung und tragen Sie den vollständigen DNS-Namen (FQDN) Ihrer Domäne ein, z.B. test.uni-rostock.de.
     
4. Wechseln Sie zu folgender Einstellung:
   
   Computer Configuration-> Administrative Templates -> Network -> Network Provider-> Hardened UNC Paths
     
5. Tragen Sie folgende UNC-Pfade und Parameter ein:
      
   UNC-Pfad: \\*\NETLOGON
   Parameter : RequireMutualAuthentication=1, RequireIntegrity=1
   
   UNC-Pfad: \\*\SYSVOL 
   Parameter : RequireMutualAuthentication=1, RequireIntegrity=1

Referenz:

• https://support.microsoft.com/en-us/kb/3000483
• https://blogs.technet.microsoft.com/srd/2015/02/10/ms15-011-ms15-014-hardening-group-policy/
• https://blogs.technet.microsoft.com/kaushika/2015/02/22/guidance-on-deployment-of-ms15-011-and-ms15-014/
• https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/
• https://xitnotes.wordpress.com/2012/03/29/kerberos-in-an-active-directory-forest-trust-vs-external-trust/
• https://blogs.technet.microsoft.com/deds/2012/03/13/ich-glaub-ich-steh-im-wald-kerberos-hilf-mir-suchen/
• https://jorgequestforknowledge.wordpress.com/2011/09/14/kerberos-authentication-over-an-external-trust-is-it-possible-part-6/
• https://support.microsoft.com/en-us/help/2977475/kerberos-forest-search-order-may-not-work-in-an-external-trust-and-eve