Martin Fahr, Martin Binder - download.e-bookshelf.de · Martin Fahr, Martin Binder: Windows Server...

Martin Fahr, Martin Binder

Microsoft Windows Server 2012 R2 Gruppenrichtlinien

Martin Fahr, Martin Binder: Windows Server 2012 R2-Gruppenrichtlinien Microsoft Press Deutschland, Konrad-Zuse-Str. 1, 85716 Unterschleißheim © 2014 O’Reilly Verlag GmbH & Co. KG

Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgend-einer Art verbunden. Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benut-zung dieses Programmmaterials oder Teilen davon entsteht.

Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Perso-nen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes an-gegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig.

Kommentare und Fragen können Sie gerne an uns richten:

Microsoft Press DeutschlandKonrad-Zuse-Straße 185716 UnterschleißheimE-Mail: [email protected]

15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 16 15 14

Druck-ISBN 978-3-86645-695-2 PDF-ISBN 978-3-8483-3067-6 EPUB-ISBN 978-3-8483-0226-0 MOBI-ISBN 978-3-8483-1203-0

© 2014 O’Reilly Verlag GmbH & Co. KG Balthasarstr. 81, 50670 KölnAlle Rechte vorbehalten

Fachlektorat: Frank Langenau, ChemnitzLektorat: Florian Helmchen ([email protected])Layout und Satz: Cordula Winkler, mediaService, Siegen (www.mediaservice.tv)Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com)Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)

Inhaltsverzeichnis

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Über dieses Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Zielgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Abgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Danksagung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1 Gruppenrichtlinien – ein erster Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Was sind Gruppenrichtlinien? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Was ist neu in Windows Server 2012/2012 R2- und Windows 8/8.1- Gruppenrichtlinien? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Remoteupdate (GPUpdate) mit der GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Remoteupdate (GPUpdate) mit PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Domänencontroller-Replikationsstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Erweiterte Auswertung beim Gruppenrichtlinienergebnissatz . . . . . . . . . . . . . . . . . . . . . . . 25Gruppenrichtlinien-Zwischenspeichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Neue Steuerungsmöglichkeiten für Internet Explorer 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Gruppenrichtlinien und Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Clients für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Standardrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Administrationstools für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Gruppenrichtlinien-Verwaltungskonsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Starter-Gruppenrichtlinienobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Gruppenrichtlinienverwaltungs-Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Gruppenrichtlinienobjekt-Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Active Directory Administration Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Advanced Group Policy Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Erste Schritte mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Erstellen von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Der Aufbau von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Aktualisierung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

6 Inhaltsverzeichnis

2 Planen und Verwalten von Gruppenrichtlinien-Infrastrukturen . . . . . . . . . . . . . . . . . . . . 45

Testumgebung für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Variante 1 – Gespiegelte (virtuelle) Testumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Variante 2 – Autarke (virtualisierte) Testumgebung ohne echten Bezug zur produktiven Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Variante 3 – Eigene OUs in produktiver Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Anforderungen identifizieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Technische Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Organisatorische Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Namenskonventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Namenskonventionen für Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Namenskonventionen für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Detailinformationen zu Gruppenrichtlinien dokumentieren . . . . . . . . . . . . . . . . . . . . . . . . 50Beispiele für eindeutige Namensgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Gruppenrichtlinien-Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Erstellen oder Verknüpfen von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . . . . . 52Gruppenrichtlinien im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Verknüpfungen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Verknüpfungen hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Verknüpfungen löschen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Übersicht über vorhandene Verknüpfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Zentrale Administration dokumentieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Organisationseinheiten-Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Design-Grundüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Getrennte OUs für Benutzer- und Computerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Ändern der Standardcontainers für Benutzer und Computer . . . . . . . . . . . . . . . . . . . . . . . . 58Gruppieren von Computern mit gleichen Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Spezielle OUs für Administratoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Besondere OUs für besondere Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Weitere Überlegungen zum Gruppenrichtlinien-Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Richtige Verlinkungsebene wählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Möglichst einfaches Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Performance-Aspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Deaktivieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Beispielszenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Gruppenrichtlinien deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Verknüpfung deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Vererbung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Verknüpfungsebenen für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Weitere Steuerungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Vererbung deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Gruppenrichtlinien erzwingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Zusammenarbeit der Vererbungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Inhaltsverzeichnis 7

Filtern von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Sicherheitsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Gruppenrichtlinien gefiltert anwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Erstellen von WMI-Filtern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Scriptomatic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Beispiele für WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Exportieren und Importieren von WMI-Filtern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Loopbackverarbeitungsmodus für das erneute Laden von Gruppenrichtlinien . . . . . . . . . 84Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Aktivieren des Loopbackverarbeitungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Loopbackverarbeitungsmodus und Sicherheitsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Standardrichtlinien in der Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Was ist in den Standard-Gruppenrichtlinien konfiguriert? . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Standardrichtlinien zurücksetzen mit DcGPOFix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89DcGPOFix in der Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Change-Prozess für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Braucht man einen Change-Prozess für Gruppenrichtlinien? . . . . . . . . . . . . . . . . . . . . . . . 90


3 Verwalten von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Administrationsarbeitsplätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Windows 7 oder Windows 8/8.1? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Installieren der Gruppenrichtlinienverwaltung auf Windows Server 2012 R2 . . . . . . . 95Installieren der Gruppenrichtlinienverwaltung unter Windows 8 . . . . . . . . . . . . . . . . . . . . 96Mit welchem Domänencontroller verbindet sich die GPMC? . . . . . . . . . . . . . . . . . . . . . . . . 96Replikationskonflikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Ändern des Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Verwalten mehrerer Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Tägliche und außergewöhnliche Administrationsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Anzeigen der gesetzten Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Gruppenrichtlinieneinstellungen dokumentieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Suchen nach Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Advanced Group Policy Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Installieren und Konfigurieren von Advanced Group Policy Management . . . . . . . . . . 106Übernehmen der vorhandenen Gruppenrichtlinien in AGPM . . . . . . . . . . . . . . . . . . . . . . . 108Verwalten von Gruppenrichtlinien mit AGPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Notfallwiederherstellung früherer Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Berechtigungsdelegierung mit AGPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Microsoft Security Compliance Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Mehrwert des Security Compliance Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Vergleichen einer Gruppenrichtlinie mit einer Sicherheitsvorlage . . . . . . . . . . . . . . . . . . . 118


Zusammenführen einer Sicherheitsvorlage mit einer Gruppenrichtlinie . . . . . . . . . . . . . 119Anpassen von Einstellungen in einer Sicherheitsvorlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Übernehmen einer Sicherheitsvorlage in die GPMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Starter-Gruppenrichtlinienobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Berechtigungen für Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Bearbeiten von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Delegierung für Standorte, Domänen und OUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Delegierung für WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Sichern und Wiederherstellen von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Sichern von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Sicherungen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Wiederherstellen von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Duplizieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136Kopieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Importieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Arbeiten mit Migrationstabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139GPMC-Skripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Korrekte Syntax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Übersicht über die einzelnen Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

PowerShell-Skripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Übersicht über alle PowerShell-Befehle rund um Gruppenrichtlinien . . . . . . . . . . . . . . . 155Bericht über alle Gruppenrichtlinien erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Wie finde ich Gruppenrichtlinien ohne Kommentar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Automatisches Backup aller Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158GPUpdate mit PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Wiederherstellen von Gruppenrichtlinien mit Restore-GPO . . . . . . . . . . . . . . . . . . . . . . . . . 160Neue Gruppenrichtlinie aus einer Vorlage mit Copy-GPO erzeugen . . . . . . . . . . . . . . . . . 160Einstellungen aus einer gesicherten Gruppenrichtlinie mit Import-GPO importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Neue Gruppenrichtlinien mit New-GPO erzeugen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Berechtigungen auf Gruppenrichtlinien setzen mit Set-GPPermissions . . . . . . . . . . . . . 161Gruppenrichtlinienergebnisse mit Get-GPResultantSetOfPolicy abfragen . . . . . . . . . . . 162


4 Struktur und Verarbeitung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Gruppenrichtlinien in Active Directory und im Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Aufbau von Gruppenrichtlinien-Containern in Active Directory . . . . . . . . . . . . . . . . . . . . 165Aufbau von Group Policy Templates im Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167Versionierung von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Aufspüren von Inkonsistenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Gruppenrichtlinien-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Active Directory Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175SYSVOL-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180Aktivieren der DFS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181


Verarbeitung von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186Anwenden von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Hintergrundaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Gruppenrichtlinien über RAS/VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194Laptops und langsame Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Clientseitige Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199Gruppenrichtlinienhistorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Übersicht über clientseitige Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Lokale Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

5 Softwareinstallation mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Bereitstellungsmethoden für Pakete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214Paket zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214Paket veröffentlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Voraussetzungen für Softwareinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Windows Installer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216MSI-Dateien installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217Keine MSI-Datei – was nun? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

Softwareverteilungspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223Verwenden eines Dateiservers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Verwenden von DFS zur Erstellung von Verteilungspunkten . . . . . . . . . . . . . . . . . . . . . . . . 225

Verwenden von Softwareinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Eigenschaften von Softwareinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Bereitstellen einer Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Eigenschaften eines Pakets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Praktische Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Komponenten von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Advertisement-Objekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Advertisement-Skript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Verarbeitung von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Anwenden von Softwarepaketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Anwendung von Softwareinstallationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Zurücksetzen des Verarbeitungsstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Software Installation Diagnostics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244


6 Computerkonfiguration – Windows-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Namensauflösungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Skripts (Start/Herunterfahren) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

Hinzufügen von Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252Konfigurieren der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

Bereitgestellte Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257


Kontorichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Kennwortrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Kontosperrungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Kerberos-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Fein abgestimmte Kennwortrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Lokale Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Überwachungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Zuweisen von Benutzerrechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Sicherheitsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

Ereignisprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Eingeschränkte Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Systemdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Zentrale Zugriffsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276Richtlinien für Kabelnetzwerke (IEEE 802.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277Windows-Firewall mit erweiterter Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Firewallprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Eingehende und ausgehende Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Verbindungssicherheitsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

Netzwerklisten-Manager-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Drahtlosnetzwerkrichtlinien (IEEE 802.11) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

Drahtlosnetzwerkrichtlinien für Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Drahtlosnetzwerkrichtlinien für Windows Vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

Richtlinien für öffentliche Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Allgemeine Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298Verschlüsselndes Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303BitLocker-Laufwerksverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerksverschlüsselung . . . . . . . 303Einstellungen der automatischen Zertifikatanforderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Vertrauenswürdige Stammzertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Organisationsvertrauen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305Zwischenzertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Vertrauenswürdige Herausgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Nicht vertrauenswürdige Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306Vertrauenswürdige Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Richtlinien für Softwareeinschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Sicherheitsstufen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308Zusätzliche Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308Erzwingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310Designierte Dateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Vertrauenswürdige Herausgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Ausschlaggebende Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312


Netzwerkzugriffsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313Erzwingungsclients erstellen und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315Benutzeroberflächeneinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315Integritätsregistrierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316Prüfen des NAP-Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Anwendungssteuerungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Regelerzwingung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Regelsammlungen konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321Effektive Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325

IP-Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325Die Standardrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Komponenten von IP-Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

Erweiterte Überwachungsrichtlinienkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Richtlinienbasierter QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Grundlagen von QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Differentiated Services Control Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338Drosselungsrate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339Einstellungen für QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339Erweiterte QoS-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341Zusammenspiel mehrerer QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Sicherheitsvorlagen und Secedit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

7 Benutzerkonfiguration – Windows-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346Skripts (Anmelden/Abmelden) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Hinzufügen von Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Legacy-Anmeldeskripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Konfigurieren der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

Richtlinien für öffentliche Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Zertifikatdienstclient – Automatische Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Zertifikatdienstclient – Zertifikatregistrierungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Zertifikatdienstclient – Serverspeicherung von Anmeldeinformationen . . . . . . . . . . . . . 352Vertrauenswürdige Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Richtlinien für Softwareeinschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Ordnerumleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Planen der Ordnerumleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Konfigurieren der Ordnerumleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Richtlinienbasierter QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Bereitgestellte Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Internet Explorer-Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Benutzeroberfläche des Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368


Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369Programme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370Erweitert (nur Voreinstellungsmodus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

Firefox – Safari – Chrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371Firefox konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371Safari konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371Chrome konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372


8 Administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

Einführung in administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374Hunderte von Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374Finden einer Einstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375Inhalt und Wirkung einer Einstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Administrative Vorlagen und ADMX-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379Verarbeitung von administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380Registry.pol-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381Zentrale Verwaltung von ADMX-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381Und was ist mit Windows XP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382Administrationsdisziplin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Erweitern der Standardvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Bereitstellen fertiger Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Erstellen eigener Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Identifizieren der Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Erstellen von ADMX-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Erstellen einer Basisdatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Erstellen von Vorlagen mit ADMX Migrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407


9 Einstellungen – Group Policy Preferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

Group Policy Preferences vs. Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410Group Policy Preferences und SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Was ist mit älteren Clients? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

Elemente im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Umgebung (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Lokale Benutzer und Gruppen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415Geräte (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Netzwerkoptionen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Laufwerkzuordnungen (B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Ordner (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418Netzwerkfreigaben (C) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419Dateien (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420Datenquellen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420INI-Dateien (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421


Dienste (C) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422Ordneroptionen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Geplante Aufgaben (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425Registrierung (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426Drucker (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428Verknüpfungen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430Interneteinstellungen (B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432Startmenü (B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434Regionale Einstellungen (B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435Energieoptionen (C+B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Anwendungen (B) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

Gemeinsame Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436Verarbeitungsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437Zielgruppenadressierung auf Elementebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438


10 Praktische Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441

Active Directory-Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443Sicherheitsgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450Zielgruppenadressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453Erst testen, dann einsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455

Design für Gruppenrichtlinien-Inhalte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Gruppenrichtlinien für unterschiedliche Betriebssysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Gruppenrichtlinien für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Gruppenrichtlinien für Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

Gruppenrichtlinien für Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Abfragen mit Win32_Product . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Abfragen mit CIM_DataFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466Zielgruppenadressierung und WMI-Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Skripts ausführen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469Asynchron oder synchron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469Wie und wo aufrufen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470

Konfiguration von Administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472Einen Bildschirmschoner für alle Benutzer festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473Bildschirmschoner je nach Benutzer (-gruppe) festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474Bildschirmschoner je nach Computer (-gruppe) festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Hintergrundbild des Desktops festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478Hintergrundbild der Anmeldeseite festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481

Internet Explorer konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483Startseiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483Favoriten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486Zonenzuweisungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487Proxyeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490


Kioskcomputer und Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493Kioskmodus konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493Desktop einschränken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

Lokale Gruppen konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499Eingeschränkte Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499GPP Lokale Benutzer und Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

Ordnerumleitung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502Netzlaufwerke verbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

Skripts – Anmelden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510GPP Laufwerkzuordnungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510

Drucker konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514Bereitgestellte Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515GPP Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Lokale Drucker verwalten und Treiber installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521TCP/IP-Drucker dynamisch konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523

Anwendung »XYZ« konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Anwendung installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Konfigurationswerte herausfinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528Anwendung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531


11 Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535

Wo fange ich an? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Protokolle rund um Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537

Berichte der Gruppenrichtlinien-Verwaltungskonsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537Protokolle der Ereignisanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540Textbasierte Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545Weitere Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Fehler beim Erstellen und Verwalten von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . 553Inkonsistente Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554Datei nicht gefunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554Objekt nicht gefunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556Nicht verfügbar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

Fehler beim Bearbeiten von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559Unbekannter Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559Eine Zeichenfolge wurde erwartet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562

Fehler beim Anwenden von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Fehler beim Aufruf nach x Millisekunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564Das Einstellungselement wurde nicht entfernt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

Fehler bei der Softwareinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569Die Anwendung wird nicht installiert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569Das Update ist nicht vorhanden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571


Unerwartete Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574Echte Fehler ausschließen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575Angewendete und nicht angewendete Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . 575Die wirkungslose Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577Die sporadisch wirkungslose Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579Die deaktivierte Eingabeaufforderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580

Lange Start- und Anmeldezeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581Zeiten ermitteln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582Ursachen identifizieren und beheben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583Weitere Überlegungen zum Zeitbedarf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584

Hilfsprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586Dcgpofix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586Gphidedrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586Gpinventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587Gplogview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587GPOLogging-Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587Gpotool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588GPSI Viewer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588Gptime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Killpol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Network Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Orca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589Policy Reporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590Polviewer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590Regshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591Sysinternals Suite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591Winmerge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592Wmiftest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592WMI Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592


Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595

Die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

17

Vorwort

In diesem Kapitel:

Über dieses Buch 18

Zielgruppe 18

Abgrenzung 18

Danksagung 19

18 Vorwort

Über dieses BuchMicrosoft hat mit der Einführung von Active Directory und den Gruppenrichtlinien unter Windows 2000 eine Basis zur effizienten Verwaltung von Benutzern und Computern geschaffen, die inzwischen nicht mehr wegzudenken ist. Auch wenn die Möglichkeiten in den letzten 13 Jahren erheblich erweitert wurden, die grundlegende Technik der Gruppenrichtlinien ist erhalten geblieben. So sind insbesondere die Veränderun-gen bei der Verwendung der Gruppenrichtlinien je nach Windows-Version Thema dieses Buches und erspa-ren Ihnen Arbeit und unangenehme Überraschungen in der Praxis.

Dieses Buch ist die dritte vollständige Überarbeitung der Vorgängertitel »Netzwerkverwaltung mit Windows Server 2003-Gruppenrichtlinien« und »Windows Server 2008- und Windows Vista-Gruppenrichtlinien«.

ZielgruppeDieses Buch ist vor allem für Personen gedacht, die technisch oder organisatorisch mit Windows Netzwerken zu tun haben. Im Besonderen zählen hierzu:

� Microsoft Windows-Systemadministratoren, die mit Hilfe von Gruppenrichtlinien ihr Windows Server-Netzwerk optimal absichern wollen, oder überlegen, welche Vorteile ein Umstieg auf die neue Betriebs-systemgeneration für ihre Organisation hätte.

� Consultants, die Beratungen und Implementierungen im Bereich Active Directory durchführen.

� IT-Entscheider, die das Leistungspotential von Gruppenrichtlinien unter Windows Server 2012/R2 und Windows 8/8.1 entdecken wollen.

� IT-Trainer, die weiterführende Informationen zum Thema Gruppenrichtlinien suchen.

Wenn Sie schon Erfahrungen im Umgang mit Gruppenrichtlinien gesammelt haben, hilft Ihnen diese dritte Auflage des Buches auch die neuen und veränderten Möglichkeiten der Gruppenrichtlinien von Windows 7 bis 8.1/Windows Server 2008 R2 bis 2012 R2 schnell zu verstehen und zu nutzen.

Wollen Sie in die Welt der Gruppenrichtlinien neu einsteigen, finden Sie in diesem Buch eine umfassende Basis zur Verwendung von Gruppenrichtlinien, mit der Sie aufgrund vieler Praxis-Beispiele den Einstieg meistern werden und schnell die Anforderungen in Ihrer Eigenen Umgebung umsetzen können.

AbgrenzungGruppenrichtlinien sind eine Technik, die nicht im Luftleeren Raum existiert, sondern zum einen verschiedene andere technische Lösungen, wie z.B. Active Directory, voraussetzt und zum anderen auf diverse andere Techni-ken einwirkt, die von Gruppenrichtlinien abhängig sind. So lässt sich z.B. Microsofts DirectAccess-VPN nur mithilfe von Gruppenrichtlinien auf den Rechnern konfigurieren und in Betrieb nehmen. Zertifikate werden über Gruppenrichtlinien automatisch verteilt genauso wie IPSec-Verschlüsselung zur Absicherung des internen Netzwerks über Gruppenrichtlinien aktiviert wird.

Diese Liste der Windows-Funktionen mit enger Gruppenrichtlinien-Integration lässt sich fast beliebig verlängern, da Microsoft in den vergangenen Jahren genau dies zum Ziel hatte und in weiten Teilen schon umgesetzt hat: Mit den Gruppenrichtlinien haben Sie eine zentrale Verwaltungsplattform, die eine umfassende Konfiguration aller Clientrechner und Server ermöglicht. Alle diese Möglichkeiten zu beschreiben würde den

Danksagung 19

Rahmen dieses Buchs nicht nur sprengen, es ist auch nicht notwendig, da die jeweils notwendigen Gruppen-richtlinieneinstellungen der verschiedenen speziellen Funktionalitäten in den jeweiligen Anleitungen von z.B. DirectAccess-VPN oder Windows Zertifikatstrukturen beschrieben sind. Wir haben uns daher auf die Erläute-rung der Kernaufgaben und Funktion der Gruppenrichtlinien in Kombination mit praktischen Beispielen beschränken müssen.

DanksagungEin Buch zu schreiben ist für uns, die wir normalerweise ausschließlich in Projekten unterwegs sind, eine große Herausforderung. Auch wenn das Schreiben zu unserem täglichen Leben in Form von den üblichen Konzepten und Dokumentationen gehört, dann aber meist nicht in einem solchen Umfang und Tiefe. Das hat spürbare Auswirkungen auf die Familie und das restliche Berufsleben. Wir sind daher dankbar für Bereitschaft und Unterstützung von diesen Seiten, da es ohne sie nur schwer zu schaffen gewesen wäre. Mar-tin Binder als MVP für Gruppenrichtlinien (Microsoft Most Valuable Professional) ist in dieser 3. Auflage neu hinzugestoßen und bereichert die Kapitel insbesondere auch durch seine praxiserprobten Problem-lösungen und Erfahrungen in den Gruppenrichtlinien-Foren im Web.

21

Kapitel 1

Gruppenrichtlinien – ein erster Überblick

In diesem Kapitel:

Was sind Gruppenrichtlinien? 22

Was ist neu in Windows Server 2012/2012 R2-und Windows 8/8.1-Gruppenrichtlinien? 23

Gruppenrichtlinien und Active Directory 27

Administrationstools für Gruppenrichtlinien 30

Erste Schritte mit Gruppenrichtlinien 38

Zusammenfassung 44

22 Kapitel 1: Gruppenrichtlinien – ein erster Überblick

Funktionierende EDV-Strukturen sind heute in allen Unternehmen die Basis des Erfolgs. Während die Infor-mationstechnologie (IT) vor 10–15 Jahren den Unternehmenserfolg oft nur unterstützt hat, sind Unter-nehmen heutzutage vollkommen abhängig von einer störungsfrei arbeitenden EDV. Medien, wie beispiels-weise E-Mail, die in der Vergangenheit gerne als zusätzliches Kommunikationsmittel verwendet wurden, werden inzwischen in vielen Unternehmen als unternehmenskritisch eingestuft. So erweitern sich ständig die IT-gestützten Dienste und der Vernetzungsgrad steigt stetig. Kaum ein Unternehmen, das nicht ständig mit dem Internet verbunden ist, in dem pro Tag mehr E-Mails gesendet als Briefe verschickt oder Telefonate geführt werden. Dem gegenüber steht der Kostendruck der Unternehmen, was dazu führt, dass Ressourcen konsolidiert werden und immer weniger Administratoren für immer mehr Benutzer zuständig sind.

Eine gut funktionierende IT-Infrastruktur unterstützt den Mitarbeiter bei seinen täglichen Aufgaben, steigert seine Produktivität und minimiert Ausfallzeiten seiner Arbeitsumgebung. Ohne einen hohen Standardisie-rungsgrad der Arbeitsgeräte, in unserem Fall der Computer, ist dies häufig nicht zu erreichen. Änderungen müssen schnell und zuverlässig auf alle Systeme verteilt werden, Systeme müssen nach der Installation ohne großen Aufwand über die notwendigen Sicherheitseinstellungen und unternehmensspezifischen Konfigura-tionen verfügen und dem Benutzer zur Verfügung stehen.

An dieser Stelle kommen in Windows-basierten Infrastrukturen Gruppenrichtlinien ins Spiel. Mit einfachen Mitteln können Sie schnell und effizient Windows-Computer in Ihrem Netzwerk verwalten, Einstellungen ändern und damit einen Unternehmensstandard zur Verfügung stellen. Dabei gehen Gruppenrichtlinien weit über das einfache Setzen von Registrierungswerten hinaus. Sie können Anwendungen verteilen, Laufwerke automatisiert verbinden, Drucker zuordnen, Sicherheitseinstellungen vorgeben, Benutzerumgebungen konfi-gurieren, Anwendungen anpassen und vieles mehr.

In diesem Buch beschäftigen wir uns mit den Möglichkeiten von Gruppenrichtlinien in einem modernen Microsoft-Netzwerk. Dabei gehen wir neben den technischen Optionen auch auf die Aspekte von Planung und Design nicht nur für Gruppenrichtlinien und deren Inhalte, sondern auch für das zugehörige Active Directory ein. Wir werfen einen Blick hinter die Kulissen von Gruppenrichtlinien und stellen alle Kompo-nenten der Gruppenrichtlinien-Bearbeitung und -Verarbeitung vor. Damit geben wir Ihnen alles an die Hand, was Sie brauchen, um eine effiziente und funktionierende Gruppenrichtlinien-Infrastruktur in Ihrem Unternehmen einzuführen und zu betreiben. Zunächst aber geben wir einen Überblick über die Grundlagen von Gruppenrichtlinien.

Was sind Gruppenrichtlinien?Gruppenrichtlinien sind ein Werkzeug zur Verwaltung von Benutzern und Computern in einem Microsoft Windows-Netzwerk. Die Ursprünge reichen bald 20 Jahre zu den Windows NT-Richtlinien zurück. Mit Windows 2000 und der Einführung des Verzeichnisdiensts Active Directory, der eine Voraussetzung dafür ist, sind die heutigen Gruppenrichtlinien geschaffen worden. Seitdem werden sie mit jeder Windows-Version erweitert und stellen in jedem Active Directory-basierten Netzwerk die Basis für die ökonomische und sichere Verwaltung von bis zu mehreren 100.000 Benutzern und Computern dar. Mit wenigen Klicks können Sie z.B. Netzlaufwerke, Hintergrundbilder, Software und Firewalleinstellungen bereitstellen. Der Umfang der Einstellungsmöglichkeiten wächst mit jeder Windows-Version und ist schon lange so groß, dass die Aufzäh-lung jeder einzelnen Einstellung den Rahmen eines Buchs sprengen würde.

Was ist neu in Windows Server 2012/2012 R2- und Windows 8/8.1-Gruppenrichtlinien? 23

Zusammengefasst kann man sagen, dass alle notwendigen Einstellungen für einen Computer oder einen Benutzer über Gruppenrichtlinien zentral ausgerollt und verwaltet werden können. Beispiele können sein:

� Automatische Installation und Deinstallation von Anwendungen

� Konfiguration von Anwendungen

� Steuerung und Konfiguration von Windows-Komponenten

� Steuerung von Zugriffsbeschränkungen auf Funktionalitäten von Anwendungen

� Steuerung von zu verbindenden Netzlaufwerken und Druckern

� Festlegen der Sicherheitskonfiguration von Computern und Benutzern

� Steuerung von zu verarbeitenden Skripts

� Gezielte Änderung von Registrierungswerten

� Konfiguration von Berechtigungen auf Dateien, Ordnern und Registrierungsschlüsseln

� Verwaltung von Gruppenmitgliedschaften

� Viele dieser verschiedenen Themen werden in den nachfolgenden Kapiteln im Detail behandelt und ermöglichen Ihnen so eine schnelle Verwendung in der eigenen Umgebung.

Was ist neu in Windows Server 2012/2012 R2- und Windows 8/8.1-Gruppenrichtlinien?Bevor wir uns mit den verschiedenen Themenbereichen der Gruppenrichtlinien auseinandersetzen, fassen wir in diesem Abschnitt die Veränderungen in den neuen Versionen zusammen. Die Neuerungen mit der Einführung von Windows 8/8.1 und Windows Server 2012/2012 R2 stellen im Wesentlichen Verbesserungen und Erweiterungen dar. Die Grundfunktionalität, wie wir sie seit Windows 2000 kennen, ist geblieben. Wir stellen hier eine Auswahl von neuen Funktionen vor. Die vollständige Übersicht finden Sie für Windows 8/Windows Server 2012 unter http://technet.microsoft.com/library/jj574108.aspx und für Windows 8.1/Windows Server 2012 R2 unter http://technet.microsoft.com/library/dn265973.aspx.

Remoteupdate (GPUpdate) mit der GPMCDie wesentliche Neuerung für die tägliche Arbeit mit Gruppenrichtlinien ist die Möglichkeit, mit Windows Server 2012 die gpupdate-Funktionalität aus der Gruppenrichtlinienverwaltung heraus oder über PowerShell mit dem Befehl invoke-GPUpdate auf Benutzer oder Computer in einer gewählten Organisationseinheit (OU) oder einem Container anzuwenden. Dies erleichtert nicht nur die Arbeit beim Testen neuer Einstellungen, sondern hilft auch bei der Fehlerbeseitigung oder für Notfallmaßnahmen, da man so neue oder veränderte GPOs ohne Remotezugriff oder mithilfe eines Benutzers gezielt auf entfernte Computer anwenden lassen kann. Wirksam ist dieser Mechanismus für Computer mit Windows 7 und Windows 8/8.1 sowie Windows Server 2008 R2 und später. Windows XP und Windows Server 2003 erreicht das Remote-Update nicht.

http://technet.microsoft.com/library/dn265973.aspx

http://technet.microsoft.com/library/jj574108.aspx


Eine Notfallmaßnahme kann z.B. sein, dass die Firewall bestimmte ein-/ausgehende Verbindungen blockiert, um die Verbreitung einer Schadsoftware zu stoppen, oder dass mit Anwendungssteuerungsrichtlinien die Ausführung der zuge-hörigen Datei verhindert wird.

Abbildung 1.1 Anwenden der gpupdate-Funktion über die Gruppenrichtlinienverwaltung

Bedenken Sie, dass die Computer entsprechend angepasste Firewalleinstellungen benötigen, um den Befehl wirksam werden zu lassen. Microsoft stellt dafür extra in den Starter-Gruppenrichtlinienobjekten das GPO (Group Policy Object, Gruppenrichtlinienobjekt) Gruppenrichtlinien-Remoteaktualisierung – Firewallports zur Verfügung. Weitere Informationen finden Sie unter http://technet.microsoft.com/library/jj134201.aspx.

Remoteupdate (GPUpdate) mit PowerShellFür PowerShell bietet sich der Befehl Invoke-GPUpdate computername an. Im folgenden Beispiel nutzen wir erst einen Befehlsteil, um alle Computer zu sammeln, und kombinieren diese Computersammlung dann mit dem Invoke-GPUpdate-Befehl. Dieses Beispiel endet mit dem bekannten –force, welches erreicht, dass nicht nur veränderte GPOs, sondern alle GPOs komplett neu geladen werden.

Weitere Informationen und weitere Beispiele zum Thema PowerShell und Gruppenrichtlinien finden Sie in Kapitel 3.

Domänencontroller-ReplikationsstatusIn der Gruppenrichtlinien-Verwaltungskonsole (GPMC) erhalten Sie jetzt für eine Domäne auf der neuen Registerkarte Status einen Überblick über den Replikationsstatus der Domänencontroller. Dabei werden alle Domänencontroller in die Kategorien Domänencontroller mit synchroner Replikation (in Abbildung 1.2 unten) und nichtsynchroner Replikation (in Abbildung 1.2 in der Mitte) aufgeteilt. Während der Status auf

Beispiel: Get-ADComputer –filter * -Searchbase "ou=loop, dc=loop,dc=local" | foreach{ Invoke-GPUpdate -computer $_.name -force}

TIPP

HINWEIS

http://technet.microsoft.com/library/jj134201.aspx

Was ist neu in Windows Server 2012/2012 R2- und Windows 8/8.1-Gruppenrichtlinien? 25

Domänenebene für die gesamte Replikation angezeigt wird, können Sie unter Gruppenrichtlinienobjekte für jede einzelne Gruppenrichtlinie den Replikationsstatus überprüfen und so mögliche Probleme besser ein-grenzen. Weitere Informationen finden Sie in Kapitel 11.

Abbildung 1.2 Unter Status werden nichtsynchrone Domänencontroller angezeigt

Erweiterte Auswertung beim GruppenrichtlinienergebnissatzWenn Gruppenrichtlinien nicht den erwarteten Effekt auf einem Computer zeigen, bietet der Gruppenricht-linienergebnissatz die Möglichkeit, Details zur Verarbeitung der Richtlinien von Benutzern und Computern anzuzeigen. Diese Darstellung ist jetzt erweitert worden. In der Zusammenfassung sehen Sie Informationen zur erfolgreichen Verarbeitung, ob eine Slow Link-Verbindung festgestellt oder eine Loopbackverarbeitung durchgeführt wurde.

Einen besseren Überblick gewinnen Sie bei der Übersicht über alle angewendeten Gruppenrichtlinien. In der Detailauswertung wird jetzt direkt die Verarbeitungszeit angezeigt und ob eine Richtlinie erzwungen oder deaktiviert wurde. Weitere Informationen zur Fehlersuche finden Sie in Kapitel 11.


Abbildung 1.3 Zusätzliche Informationen helfen bei der Fehlersuche

Abbildung 1.4 Dauerte die Verarbeitung sehr lange oder sind Richtlinien erzwungen/deaktiviert?


Gruppenrichtlinien-ZwischenspeichernUnter dem Namen Policy caching gibt es seit Windows 8.1/Windows Server 2012 R2 eine neue Funktion, die in bestimmten Szenarien eine beschleunigte Gruppenrichtlinien-Verarbeitung ermöglichen kann. Wurden bisher beim Start und bei der Anmeldung alle Richtlinien vom Domänencontroller geladen, ermöglicht die neue Funktion Policy caching das lokale Zwischenspeichern der neuesten Richtlinienversion. Beim nächsten Start und der nächsten Anmeldung werden die Richtlinien aus dem lokalen Cache verarbeitet, wenn sie sich nicht verändert haben. Dies beschleunigt die Anmeldung besonders bei Computern, die keine schnelle Ver-bindung zu einem Domänencontroller haben, wie z.B. über DirectAccess und andere VPN-Verbindungen. Die Funktion heißt Configure Group Policy Caching und lässt sich über administrative Vorlagen anpassen.

Neue Steuerungsmöglichkeiten für Internet Explorer 10Mit der Einführung von Internet Explorer 10 änderte sich einiges an der bisher gewohnten Vorgehensweise, da die Internet Explorer-Wartung nicht mehr zur Verfügung steht. Näheres dazu, insbesondere wie mit den neuen Möglichkeiten Internet Explorer verwaltet wird und welche genauen Einstellungen jeweils die bisher verwendeten Bestandteile der Internet Explorer-Wartung ersetzen, finden Sie in Kapitel 10.

Gruppenrichtlinien und Active DirectoryActive Directory ist eine Verzeichnisdienst-Datenbank zur Verwaltung von Objekten. In dieser Datenbank können neben Benutzern, Gruppen und Computerkonten beispielsweise auch Drucker und freigegebene Ordner gespeichert und veröffentlicht werden. Dabei erlaubt Active Directory, die Objekte hierarchisch zu organisieren. Innerhalb von Active Directory gibt es verschiedene Ebenen, in denen die Objekte abgelegt sind. Die wohl offensichtlichsten sind dabei die Domänen und Organisationseinheiten. Zusätzlich gehören die Objekte einem Standort an, der dynamisch anhand der IP-Adresse des Clients ermittelt wird – voraus-gesetzt, die Standorte sind korrekt gepflegt und implementiert.

Die Einstellungen der Gruppenrichtlinien (GPO) gelten nur für Objekte wie Computer oder Benutzer in dem jeweiligen Verwaltungsbereich. Drucker verarbeiten keine Gruppenrichtlinien und nur durch die Mitglied-schaft in einer Gruppe, die sich im Wirkungsbereich einer Gruppenrichtlinie befindet, werden ebenfalls keine Gruppenrichtlinien wirksam. Ein Verwaltungsbereich ist z.B. eine Domäne, ein Container oder eine Organi-sationseinheit (OU). Ein Verwaltungsbereich kann weitere untergeordnete Verwaltungsbereiche enthalten. So enthält eine Domäne immer Container wie Users und Computers und OUs wie z.B. Domain Controllers. Da die Einstellungen einer Gruppenrichtlinie die Objekte bis in die unterste Ebene der Verwaltungsbereiche erreichen, wirkt eine Gruppenrichtlinie auf umso mehr Objekte, je höher die Gruppenrichtlinie mit einem Verwaltungsbereich wie Domäne oder OU verknüpft ist. Das bedeutet, dass eine Gruppenrichtlinie auf Domänenebene alle Objekte in einer Domäne erreichen kann. Wird beispielsweise eine Gruppenrichtlinie mit der OU Zentrale verknüpft, in welcher der Zugriff auf die Registrierungseditoren verhindert wird, kann kein Benutzer in der OU Zentrale oder einer darunterliegenden OU auf die Registrierungseditoren zugreifen. Benutzer in anderen OUs, die sich nicht unterhalb der OU Zentrale befinden, können diese jedoch ohne Probleme verwenden. Wird ein Benutzer später in die OU Zentrale verschoben, ist auch für diesen der Zugriff auf die Registrierungseditoren nicht mehr möglich. Ein ähnlicher Effekt tritt ein, wenn ein Objekt aus dem


Wirkungsbereich einer Gruppenrichtlinie heraus in einen anderen Container oder eine andere OU verscho-ben wird. In diesem Fall sind die Einstellungen der früheren Gruppenrichtlinien nicht mehr gültig und es werden, sofern vorhanden, die Gruppenrichtlinien übernommen, die mit dem neuen Container oder der neuen OU verknüpft sind.

Zudem bieten alle Microsoft-Systeme seit Windows 2000 eine lokale Richtlinie an, die sich sehr stark an den Funktionen und Möglichkeiten von Gruppenrichtlinien orientiert und unabhängig von Active Directory funktioniert. Über die lokale Richtlinie kann beispielsweise eine Grundkonfiguration und damit eine Basis-absicherung der Systeme direkt nach der Installation realisiert werden. Seit Windows Server 2008 bzw. Windows Vista hat Microsoft zudem die Möglichkeit geschaffen, mehrere lokale Richtlinien auf einem Sys-tem zu betreiben und so unterschiedliche Konfigurationen für lokal angemeldete Benutzer zu ermöglichen. Die Verarbeitung von Gruppen- und lokalen Richtlinien folgt, wie in Abbildung 1.5 dargestellt, einer strikten Reihenfolge. Dabei überschreibt eine später verarbeitete Gruppenrichtlinie ggf. Einstellungen, die bereits in einer früher verarbeiteten Gruppenrichtlinie gesetzt wurden.

� Als Erstes werden die lokalen Richtlinien eines Systems angewendet.

� Anschließend folgen die Gruppenrichtlinien des Standorts, sofern vorhanden.

� Danach folgen die Gruppenrichtlinien auf Domänenebene.

� Schließlich werden die Gruppenrichtlinien verarbeitet, die mit Organisationseinheiten verknüpft sind, angefangen von Organisationseinheiten der höchsten Ebene bis hin zu der OU, in der das Benutzer- bzw. Computerkonto gespeichert ist.

Abbildung 1.5 Verarbeitungsreihenfolge der Gruppenrichtlinien


Bei dieser Verarbeitungsreihenfolge können Einstellungen von Gruppenrichtlinien durch nachfolgend angewen-dete Gruppenrichtlinien überschrieben werden. Um eine funktionierende Richtlinienumgebung zu entwickeln, die optimal auf die Bedürfnisse des Unternehmens angepasst ist, bedarf es daher einer genauen Planung der Container und Gruppenrichtlinienobjekte.

Auf die Planung und Verarbeitung von Gruppenrichtlinien gehen wir in den Kapiteln 2 und 10 näher ein.

Clients für GruppenrichtlinienGruppenrichtlinien sind eine Technik zur Verwaltung von Active Directory-Objekten, ein Einsatz von Gruppen-richtlinien ohne Active Directory ist alleine aus diesem Grund schon nicht möglich. Angewendet und verarbeitet werden können sie von allen Microsoft Windows-Versionen seit Windows 2000, die Mitglied einer Active Direc-tory-Infrastruktur – also einer Domäne – sind. Inzwischen gibt es Anbieter, die auch die Verwaltung von MAC- und Unix-/Linux-Clients ermöglichen. Deren in der Regel kostenpflichtige Produkte erweitern Active Directory und die Gruppenrichtlinien zu einer universellen Verwaltungsbasis auch in heterogenen Umgebungen. Weitere Informationen finden Sie u.a. hier: http://www.centrify.com.

Allerdings steht nicht jedes Feature der Gruppenrichtlinien auch jedem Client zur Verfügung. So haben sich parallel zu den Betriebssystemen auch die Gruppenrichtlinien weiterentwickelt, sodass in der neuesten Version der Gruppenrichtlinien auch Funktionen enthalten sind, die lediglich von Computern mit Windows 8/8.1 oder Windows Server 2012/2012 R2 verarbeitet werden können. Wir geben in diesem Buch immer wieder Hinweise, welche Funktionen von welchen Clients unterstützt werden. Dabei wird in der Regel nicht zwischen Clients und Servern unterschieden, da die Betriebssysteme der gleichen Generation auch die gleichen Funktionen unterstützen. So werden folgende Systeme zusammengefasst:

� Windows 2000 Professional und Windows 2000 Server

� Windows XP Professional und Windows Server 2003

� Windows Vista und Windows Server 2008

� Windows 7 und Windows Server 2008 R2

� Windows 8/8.1 und Windows Server 2012/2012 R2

StandardrichtlinienDamit die Domäne eines Active Directory über eine gewisse Grundsicherheit verfügt, werden automatisch bei der Installation des ersten Domänencontrollers die beiden Gruppenrichtlinienobjekte Default Domain Policy und Default Domain Controllers Policy erzeugt, die üblicherweise als Standardrichtlinien bezeichnet werden. Grundsätzlich sollten diese beiden Gruppenrichtlinien nicht um weitere Einstellungen erweitert werden, da eine Fehlkonfiguration die Funktion der gesamten Active Directory-Umgebung gefährden kann, wenn diese Standardrichtlinien nicht in ihrer Originalform wiederherstellbar sind.

HINWEIS

http://www.centrify.com


Default Domain Policy

Die Default Domain Policy ist mit der Domäne verknüpft und primär für die Konfiguration der Kenn-wortsicherheit für Benutzerkonten verantwortlich. Zusätzlich befinden sich Einstellungen bezüglich der Kerberos-Authentifizierung in diesem Gruppenrichtlinienobjekt. Hier werden meist nur die Einstellungen zur Kennwortsicherheit den eigenen Vorgaben entsprechend angepasst.

Default Domain Controllers Policy

Die Default Domain Controllers Policy ist mit der OU Domain Controllers verknüpft, in der sich standard-mäßig die Computerkonten von Domänencontrollern befinden. Da diese eine gesonderte Rolle in einer Domänenstruktur einnehmen und die Daten von Active Directory lokal speichern, werden in der Default Domain Controllers Policy spezielle Benutzerrechte und Sicherheitsoptionen definiert. Auf diesem Weg wird beispielsweise sichergestellt, dass sich keine einfachen Benutzer lokal an einem Domänencontroller anmel-den können, sondern nur Mitglieder der Gruppen Server-Operatoren und Administratoren.

Administrationstools für GruppenrichtlinienIn diesem Buch stellen wir Ihnen eine Reihe von Tools vor, die bei der Arbeit mit Gruppenrichtlinien zum Einsatz kommen. Auch wenn das primäre Werkzeug die Gruppenrichtlinien-Verwaltungskonsole ist, gibt es weitere Tools, die direkt oder indirekt für einen erfolgreichen Einsatz von Gruppenrichtlinien notwendig sind. Im Folgenden möchten wir Ihnen die wichtigsten Werkzeuge, die wir im Rahmen dieses Buchs verwen-den, kurz vorstellen und zeigen, wo Sie diese bei Bedarf finden können.

Gruppenrichtlinien-VerwaltungskonsoleDie Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ist das Standard-werkzeug für die Verwaltung von Gruppenrichtlinien. Mit der GPMC können Gruppenrichtlinien erstellt und vollständig verwaltet werden. Sie ist in Windows Server 2012 R2 integriert und kann direkt verwendet werden. Mit der aktuellen Version der GPMC, die Sie in Abbildung 1.6 sehen, können Sie alle wichtigen Administrationsaufgaben durchführen. Dazu gehören beispielsweise:

� Erstellen von Gruppenrichtlinien

� Verwalten der Verknüpfungen von Gruppenrichtlinien

� Sichern und Wiederherstellen von Gruppenrichtlinien

� Exportieren und Importieren von Gruppenrichtlinien

� Dokumentieren von Gruppenrichtlinien

� Filtern von Gruppenrichtlinien mit Sicherheitsgruppen oder WMI-Filtern

� Delegieren von Berechtigungen auf Gruppenrichtlinien

� Analysieren der Wirkung von Gruppenrichtlinien

Martin Fahr, Martin Binder - download.e-bookshelf.de · Martin Fahr, Martin Binder: Windows Server...

Documents

Transcript of Martin Fahr, Martin Binder - download.e-bookshelf.de · Martin Fahr, Martin Binder: Windows Server...