Holger Voges
Verwaltung von Windows 10 mit Gruppenrichtlinien und Intune
Ein praktischer Leitfaden
5., aktualisierte und erweiterte Auflage
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht.
Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information der Deutschen Nationalbibliothek:
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt.
Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) – auch nicht für Zwecke der Unterrichtsgestaltung – reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
© 2021 Carl Hanser Verlag München, www.hanser-fachbuch.de
Lektorat: Sylvia Hasselbach
Copy editing: Sandra Gottmann, Wasserburg
Herstellung: Irene Weilhart
Umschlagdesign: Marc Müller-Bremer, München, www.rebranding.de
Umschlagrealisation: Max Kostopoulos
Titelmotiv: © Max Kostopoulos
Gesamtherstellung: Eberl & Koesel, Krugzell
Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr. 0748702
Print-ISBN: 978-3-446-46389-9
E-Book-ISBN: 978-3-446-46772-9
E-ePub-ISBN: 978-3-446-46773-6
Titelei
Impressum
Inhalt
Vorwort
Wissenswertes zu diesem Buch
1 Einleitung
1.1 Was sind Gruppenrichtlinien?
1.2 Auf welche Objekte wirken Gruppenrichtlinien?
1.3 Wann werden Gruppenrichtlinien verarbeitet?
1.4 Wie viele Gruppenrichtlinien sollte man verwenden?
1.5 Worauf muss man beim Ändern von Einstellungen achten?
1.6 Was Sie brauchen, um die Aufgaben nachvollziehen zu können
2 Die Gruppenrichtlinienverwaltung
2.1 Einführung
2.2 Gruppenrichtlinienverwaltung auf einem Server installieren
2.3 Gruppenrichtlinienverwaltung erkunden
2.4 Gruppenrichtlinienverknüpfungen und -objekte
2.5 Gruppenrichtlinienobjekte im Detail
2.5.1 Register Bereich einer Gruppenrichtlinie
2.5.2 Register Details eines GPO
2.5.3 Register Einstellungen eines GPO
2.5.4 Register Delegierung eines GPO
2.5.5 Register Status eines GPO
2.6 Standorte und Gruppenrichtlinien
2.7 Weitere Elemente der Gruppenrichtlinienverwaltung
2.8 Gruppenrichtlinie erstellen
2.9 Gruppenrichtlinie verknüpfen
2.10 Gruppenrichtlinie bearbeiten
3 Verarbeitungsreihenfolge von Gruppenrichtlinien
3.1 Einführung
3.2 Grundlagen der Gruppenrichtlinienverarbeitung
3.3 Verarbeitungsreihenfolge in der Gruppenrichtlinienverarbeitung
3.4 Anpassungen der Verarbeitungsreihenfolge von GPOs
3.4.1 Bereiche von GPOs deaktivieren
3.4.2 Verknüpfungen aktivieren/deaktivieren
3.4.3 Vererbung deaktivieren
3.4.4 Erzwingen von GPOs
3.5 Loopbackverarbeitungsmodus
3.5.1 Loopbackverarbeitungsmodus einrichten
4 Gruppenrichtlinien filtern
4.1 Einführung
4.2 Filtern über Gruppenzugehörigkeiten
4.2.1 Sicherheitsfilterung verwenden
4.2.2 Berechtigungen verweigern
4.3 WMI-Filter
4.3.1 Einführung in WMI
4.3.2 WQL zum Filtern von GPOs
4.3.3 WMI-Filter erstellen
4.3.4 WMI-Filter anwenden
4.3.5 WMI-Filter entfernen
4.3.6 WMI-Filter exportieren
4.3.7 WMI-Filter importieren
4.3.8 Beispiele von WMI-Abfragen für WMI-Filter
4.3.9 WMI-Filter optimieren
5 Gruppenrichtlinien-Infrastruktur planen
5.1 Einführung
5.2 AD-Design und GPOs
5.2.1 OUs und Gruppenrichtlinien
5.2.2 GPOs und Sicherheitsfilterung
5.3 Wie viele Einstellungen gehören in ein GPO?
5.4 Benennung von GPOs
5.5 Dokumentieren von GPOs
5.6 Testen von GPOs
5.7 Empfohlene Vorgehensweisen
6 Softwareverteilung mit Gruppenrichtlinien
6.1 Einführung
6.2 Konzepte
6.2.1 Unterstützte Dateitypen
6.2.2 Softwareverteilung an Benutzer oder Computer
6.2.3 Zuweisen und Veröffentlichen
6.2.4 Kategorien
6.3 Praktisches Vorgehen
6.3.1 Vorbereitung
6.3.2 Gruppenrichtlinie für Zuweisung an Computer erstellen
6.3.3 Gruppenrichtlinie konfigurieren
6.3.4 Gruppenrichtlinienobjekt verknüpfen
6.3.5 Verteilung testen
6.3.6 Veröffentlichen für Benutzer
6.4 Eigenschaften von Paketen bearbeiten
6.4.1 Register Allgemein
6.4.2 Register Bereitstellung von Software
6.4.3 Register Aktualisierungen
6.4.4 Register Kategorien
6.4.5 Register Änderungen
6.4.6 Register Sicherheit
6.5 Probleme bei der Softwareverteilung
6.6 Software verteilen mit Specops Deploy/App
6.6.1 Verteilen der Client Side Extension
6.6.2 Erstellen eines Software-Verteilungspakets
6.6.3 Überprüfen der Installation
6.6.4 Ziele angeben mit Targetting
6.6.5 Konfiguration von Specops Deploy/App
6.6.6 Specops und PowerShell
6.6.7 Fazit
7 Sicherheitseinstellungen
7.1 Einführung
7.2 Namensauflösungsrichtlinie
7.3 Kontorichtlinien
7.3.1 Kennwortrichtlinien
7.3.2 Kontosperrungsrichtlinien
7.3.3 Kerberos-Richtlinien
7.3.4 Empfohlene Einstellungen für Kontorichtlinien
7.4 Lokale Richtlinien
7.4.1 Überwachungsrichtlinien
7.4.2 Zuweisen von Benutzerrechten
7.4.3 Sicherheitsoptionen
7.5 Ereignisprotokoll
7.6 Eingeschränkte Gruppen
7.7 Systemdienste, Registrierung und Dateisystem
7.7.1 Systemdienste
7.7.2 Registrierung
7.7.3 Dateisystem
7.8 Richtlinien im Bereich Netzwerksicherheit
7.8.1 Richtlinien für Kabelnetzwerke
7.8.2 Windows Firewall
7.8.3 Netzwerklisten-Manager-Richtlinien
7.8.4 Drahtlosnetzwerkrichtlinien
7.8.5 Richtlinien für öffentliche Schlüssel
7.8.6 Softwareeinschränkungen
7.8.7 Netzwerkzugriffsschutz
7.8.8 Anwendungssteuerung mit AppLocker
7.8.9 IP-Sicherheitsrichtlinien
7.8.10 Erweiterte Überwachungsrichtlinienkonfiguration
7.9 Sicherheitsvorlagen und das Security Compliance Toolkit
7.9.1 Sicherheitsvorlagen
7.9.2 Der Policy Analyzer
7.9.3 Security Baselines anwenden
8 Administrative Vorlagen
8.1 Einführung
8.2 ADMX und ADML
8.3 Zentraler Speicher
8.4 ADM-Vorlagen hinzufügen
8.5 Administrative Vorlagen verwalten
8.6 Administrative Vorlagen – Computerkonfiguration
8.6.1 Drucker
8.6.2 Netzwerkeinstellungen
8.6.3 Startmenü und Taskleiste
8.6.4 System
8.6.5 Systemsteuerung
8.6.6 Windows-Komponenten
8.7 Administrative Vorlagen – Benutzerkonfiguration
8.7.1 Desktop
8.7.2 Netzwerk
8.7.3 Startmenü und Taskleiste
8.7.4 System
8.7.5 Systemsteuerung
8.7.6 Windows-Komponenten
8.8 Einstellungen finden
8.8.1 Administrative Vorlagen filtern
8.8.2 Group Policy Settings Reference
8.8.3 getadmx.com
9 Erweitern von administrativen Vorlagen
9.1 Einführung
9.2 ADMX-Datei erweitern
9.3 ADML-Datei an erweiterte ADMX-Datei anpassen
9.4 ADM-Datei in ADMX-Datei umwandeln
9.5 Eigene ADMX-Dateien erstellen
10 Windows-Einstellungen: Benutzerkonfiguration
10.1 Einführung
10.2 An- und Abmeldeskripte
10.3 Softwareeinschränkungen
10.4 Ordnerumleitungen
10.4.1 Probleme, die Ordnerumleitungen lösen
10.4.2 Probleme, die die Ordnerumleitung schafft
10.5 Richtlinienbasierter QoS (Quality of Service)
11 Gruppenrichtlinien-Einstellungen
11.1 Einführung
11.2 Gruppenrichtlinieneinstellungen konfigurieren
11.2.1 Das CRUD-Prinzip
11.2.2 Zielgruppenadressierung auf Elementebene
11.2.3 Variablen
11.3 Die Einstellungen im Detail
11.3.1 Windows-Einstellungen
11.3.2 Systemsteuerungseinstellungen
11.4 Weitere Optionen
11.4.1 XML-Darstellung und Migration der Einstellungen
11.4.2 Kopieren, Umbenennen und Deaktivieren
11.4.3 Gemeinsame Optionen
11.5 Fehlersuche
12 Gruppenrichtlinien in Windows 10
12.1 Windows 10 ‒ Software as a Service
12.1.1 Windows Updates verteilen
12.1.2 Windows Update for Business
12.1.3 Übermittlungsoptimierung/Delivery Optimization
12.1.4 Bereitstellungsringe verwenden
12.2 Windows 10 und die Privatsphäre
12.2.1 Windows-Telemetrie
12.2.2 Funktionsdaten
12.2.3 Weitere Datenschutzoptionen
12.2.4 Windows Defender Smartscreen konfigurieren
12.3 Der Microsoft Store
12.4 Oberfläche anpassen
12.4.1 Startmenü und Taskleiste
12.4.2 Programmverknüpfungen anpassen
12.5 Der alte Edge-Browser
12.6 Der neue Edge-Browser
12.6.1 Edge-Updates verwalten
12.6.2 Einstellungen vornehmen
12.6.3 Auswertung der Richtlinien
12.7 Virtualisierungsbasierte Sicherheit
12.7.1 Windows Defender Credential Guard
12.7.2 Windows Defender Application Control/Device Guard
12.7.3 Application Guard
12.8 Clientkonfiguration aus der Cloud
13 Funktionsweise von Gruppenrichtlinien
13.1 Die Rolle der Domänencontroller
13.2 Die Replikation des SYSVOL-Ordners
13.3 Gruppenrichtlinien auf Standorten
13.4 Die Rolle des Clients
13.4.1 Client Side Extensions
13.4.2 Verarbeitung der GPOs – synchron/asynchron
13.4.3 Verarbeitung der GPOs – Vordergrund/Hintergrund
13.4.4 Gruppenrichtlinien-Zwischenspeicherung
13.4.5 Windows-Schnellstart
13.4.6 Slow Link Detection
13.4.7 Loopbackverarbeitung
14 Verwalten von Gruppenrichtlinienobjekten
14.1 Einführung
14.2 Gruppenrichtlinienobjekte (GPOs) sichern und wiederherstellen
14.2.1 GPO sichern
14.2.2 Alle GPOs sichern
14.2.3 GPO wiederherstellen
14.2.4 Sicherungen verwalten
14.3 Einstellungen importieren und migrieren
14.3.1 Einstellungen importieren
14.3.2 Einstellungen migrieren
14.3.3 Einstellungen zusammenführen
14.4 Starter-Gruppenrichtlinienobjekte
14.5 Massenaktualisierung
15 Fehlersuche und Problembehebung
15.1 Einführung
15.2 Gruppenrichtlinienergebnisse
15.2.1 Gruppenrichtlinienergebnis-Assistent
15.2.2 Gruppenrichtlinienergebnis untersuchen
15.3 Gruppenrichtlinienmodellierung
15.3.1 Gruppenrichtlinienmodellierungs-Assistent
15.3.2 Gruppenrichtlinienmodellierung auswerten
15.4 GPResult
15.5 Gruppenrichtlinien-Eventlog
15.6 Debug-Logging
15.7 Performanceanalyse
16 Advanced Group Policy Management (AGPM)
16.1 Gruppenrichtlinien in Teams bearbeiten
16.2 Installation von AGPM
16.2.1 Vorbereitende Maßnahmen
16.2.2 Installation des Servers
16.2.3 Installation des Clients
16.2.4 Clients konfigurieren
16.3 AGPM-Einrichtung
16.4 Der Richtlinien-Workflow (1)
16.5 AGPM-Rollen und Berechtigungen
16.6 Der Richtlinien-Workflow (2)
16.7 Versionierung, Papierkorb, Backup
16.8 Vorlagen
16.9 Exportieren, Importieren und Testen
16.10 Labeln, Differenzen anzeigen, Suchen
16.11 Das Archiv, Sichern des Archivs
16.12 Logging und Best Practices
16.13 Zusammenfassung
17 Intune einrichten
17.1 Azure, Azure AD und Intune
17.2 Integration von AD und AAD
17.3 Intune bereitstellen
17.4 Geräte für die Verwaltung registrieren
17.5 Eine eigene DNS-Domäne registrieren
17.6 Benutzer und Gruppen verwalten
17.6.1 Benutzer anlegen
17.6.2 Gruppen
17.6.3 Administrative Rollen
17.7 Berechtigungen delegieren mit Rollen, Bereichen und Bereichstags
17.8 Geräteregistrierung konfigurieren
17.9 Lokale Administratoren verwalten
17.10 Grundeinstellungen vornehmen
17.10.1 Kennwortrichtlinie
17.10.2 Sicherheitsstandards verwalten
17.10.3 Das Unternehmensportal
17.10.4 Portal konfigurieren
17.10.5 Die Sprache im Webportal anpassen
18 Clientverwaltung mit Intune
18.1 Konfigurationsprofile einrichten
18.1.1 Configuration Service Provider und SyncML
18.1.2 ADMX-basierte Konfigurationen
18.1.3 ADMX-basierte Richtlinien per OMA-URI ansprechen
18.1.4 Eigene ADMX-Dateien verwenden
18.1.5 Gruppenmitgliedschaften konfigurieren
18.1.6 Konflikte mit Gruppenrichtlinien auflösen
18.2 Konformitätsregeln
18.2.1 Erstellen einer Benachrichtigung
18.2.2 Erstellen einer Konformitätsrichtlinie
18.2.3 Prüfen von Konformitätsrichtlinien
18.3 Windows Update verwalten
18.3.1 Updateringe
18.3.2 Feature Updates
18.3.3 Microsoft Office 365 aktualisieren
18.4 PowerShell-Skripte verteilen
18.5 Software bereitstellen
18.5.1 Apps aus dem Microsoft Store installieren
18.5.2 MSI(X)-Pakete verteilen
18.5.3 Win32-Anwendungen und komplexe MSI-Pakete verteilen
18.5.4 Anwendungen entfernen
18.5.5 Fehlersuche
18.6 Security Baselines
18.7 Gruppenrichtlinienanalyse
18.8 Einstellungen manuell synchronisieren
18.8.1 Sync vom Portal aus starten
18.8.2 Sync clientseitig starten
18.9 Fehlersuche
18.9.1 Devicemanagement-Ereignisprotokoll
18.9.2 Die Management Engine
18.9.3 Log-Daten mit dem MdmDiagnosticsTool.exe sammeln
18.9.4 Geplante Aufgaben
18.9.5 Die Registry
18.9.6 Zertifikate
18.9.7 dsregcmd.exe
18.9.8 SyncML-Viewer
18.9.9 Client-Troubleshooting aus dem Portal
18.9.10 Fehlercodes
18.10 Neuerungen nachverfolgen
19 Windows Auditing einrichten
19.1 Das erweiterte Auditing einrichten
19.1.1 Überwachungsrichtlinien
19.1.2 Den Zugriff auf Objektzugriffe (Dateien, Registry, Drucker) protokollieren
19.1.3 Überwachungsrichtlinien verwalten mit Auditpol
19.2 Die Ereignisanzeige konfigurieren
19.3 Das Ereignisprotokoll sichten
19.3.1 Die XML-Ansicht von Ereignis-Einträgen
19.3.2 XML-Filter und XPath-Abfragen
19.3.3 Mehrere XPath-Abfragen in einem XML-Filter kombinieren
19.3.4 Ereignisprotokolle mit PowerShell abfragen
19.4 Ereignisprotokoll-Weiterleitung einrichten
19.4.1 Manuelles Einrichten eines Sammeldienstes
19.4.2 Einrichten des Sammeldienstes per Gruppenrichtlinie
19.4.3 Anpassen der Berechtigungen des Sicherheitsprotokolls
19.5 PowerShell-Logging
19.5.1 Over the Shoulder Transcription
19.5.2 Skriptblock-Logging
19.5.3 Konfigurieren des Protokolls
19.6 Ereignisse auswerten
20 Gruppenrichtlinien und PowerShell
20.1 Skripte mit Gruppenrichtlinien ausführen
20.1.1 Das (korrekte) Konfigurieren von Anmeldeskripten
20.1.2 Startreihenfolge und Startzeit von Skripten
20.2 Windows PowerShell mit GPOs steuern und überwachen
20.3 Gruppenrichtlinienobjekte mit PowerShell verwalten
20.3.1 Dokumentieren, sichern, wiederherstellen
20.3.2 Health Check
20.3.3 Mit Kennwortrichtlinien und WMI-Filtern arbeiten
20.3.4 Ein neues Gruppenrichtlinienobjekt anlegen
20.3.5 Sonstige Cmdlets
20.4 Externe Ressourcen
20.5 PowerShell deaktivieren
20.6 Zusammenfassung
Vorwort |
Liebe LeserInnen,
Sie halten die inzwischen 5. Auflage dieses Buches in der Hand, das im Laufe von über 10 Jahren nicht nur zwei verschiedene Autoren, sondern auch mehrere Titelwechsel erlebt hat. Der Titel dieser Ausgabe soll widerspiegeln, dass der Fokus nicht mehr allein auf der Konfiguration von Gruppenrichtlinien liegt, sondern auch das Thema Microsoft PowerShell streift und Microsoft Intune sowie die Verwaltung von Windows-Ereignisprotokollen behandelt. Speziell Intune und Ereignisprotokolle sind in der Vorauflage erwähnt, jedoch aus Zeit- und Platzgründen nicht behandelt worden. Aber Platz ist ja in der kleinsten Hütte, und für die Zeit hat im Jahr 2020 COVID-19 gesorgt. So entsteht aus schlechten Dingen manchmal auch Gutes.
Neben einigen Fehlerkorrekturen, die ich vor allem Ihrem Feedback verdanke, habe ich in dieser Ausgabe das Kapitel über die Änderungen in Windows 10 auf den neuesten Stand gebracht. Wesentliche Änderungen haben sich vor allem im Windows-Servicemodell ergeben, die auch eine Reihe von neuen Gruppenrichtlinien mit sich bringen. Außerdem darf natürlich der neue, Chromium-basierte Edge-Browser nicht fehlen.
Dem Thema Windows-Ereignisanzeige habe ich aufgrund der Komplexität ein komplettes Kapitel gewidmet. Es behandelt die Konfiguration nicht nur aus Gruppenrichtliniensicht, sondern beschreibt ausführlich, wie das Ereignisprotokoll funktioniert und wie Sie es mit Bordmitteln zentral speichern können (Ereignisprotokoll-Weiterleitung).
Die mit Abstand umfangreichste Neuerung betrifft Microsoft Intune. Intune ist ein von Microsoft gehosteter Dienst, der es Ihnen erlaubt, Ihre Clients immer und zu jeder Zeit aus dem Internet heraus zu verwalten, ohne dafür eine eigene Server-Infrastruktur zur Verfügung zu stellen. Das Buch geht dabei vor allem auf die Ähnlichkeiten zu Gruppenrichtlinien ein, ohne das Thema vollständig behandeln zu wollen. Die komplette Thematik würde ein eigenes Buch erfordern. Trotzdem werden Sie im deutschsprachigen Raum aktuell nichts finden, das die Thematik ähnlich umfangreich abdeckt.
Entfernt wurde hingegen das Kapitel über Desired State Configuration (DSC). Das Thema ist nach wie vor interessant, sein Haupteinsatzweck liegt aber im Cloud Deployment. Die großen Schatten, die es im Bereich der Konfigurationsverwaltung vorauswarf, gehörten dann doch eher einem Scheinriesen1.
Wenn Sie trotz ausgiebiger Kontrolle meinerseits Fehler in diesem Buch finden, schicken Sie mir bitte eine Mail an holger.voges@netz-weise.de. Ich werde Korrekturen als Errata unter https://Gruppenrichtlinien.training zur Verfügung stellen.
Wie immer an dieser Stelle ein Dank an meine Partnerin, die nicht nur als Corona-Heldin hilft, das System am Laufen zu halten, sondern mich seelisch und moralisch aufgebaut hat, wenn mich Intune wieder an den Rand eines Nervenzusammenbruchs gebracht hat.
Und nun viel Spaß beim Lesen.
Holger Voges
1 https://de.wikipedia.org/wiki/Scheinriese
Wissenswertes zu diesem Buch |
Diese kurze Einleitung enthält wichtige Informationen zum Inhalt des Buches und weiterführende Quellen. Auch wenn Sie niemals Vorworte lesen, sollten Sie dieses Kapitel nicht überspringen – es ist kein Vorwort!
Dieses Buch ist in 20 Kapitel gegliedert. Die Kapitel bauen zum Teil aufeinander auf, müssen aber nicht unbedingt in der vorgegebenen Reihenfolge gelesen werden.
Kapitel 1 gibt Ihnen einen Überblick darüber, was man unter Gruppenrichtlinien versteht.
In Kapitel 2 finden Sie eine Beschreibung der wichtigsten Funktionen der Gruppenrichtlinien-Verwaltungskonsole (GPMC). Außerdem erfahren Sie, wie Sie Gruppenrichtlinienobjekte anlegen und verwalten können.
Kapitel 3 behandelt die Verarbeitungsreihenfolge von Gruppenrichtlinienobjekten (GPOs). Das Verständnis der Verarbeitungsreihenfolge ist enorm wichtig, da alle GPOs von den gleichen Vorlagen abgeleitet sind und Einstellungen sich daher gegenseitig überschreiben können.
In Kapitel 4 erfahren Sie, wie Sie die Anwendung von GPOs auf bestimmte Benutzer oder Computer einschränken können, indem Sie Filter verwenden.
Kapitel 5 widmet sich der Planung von GPOs und den Aspekten, die man beim AD-Design beachten sollte, um Gruppenrichtlinien effizient anwenden zu können.
In Kapitel 6 werden die Grundlagen der Softwareverteilung mit Gruppenrichtlinien-Bordmitteln vermittelt. Da die Fähigkeiten von Windows hier sehr eingeschränkt sind, wird danach die Erweiterung von GPOs am Beispiel von „Specops Deploy/App“ gezeigt, einem Fremdherstellertool, das die Softwareverteilung stark erweitert bzw. ersetzt.
Kapitel 7 zeigt die Sicherheitseinstellungen, die Sie für Computer per Gruppenrichtlinien konfigurieren können. Das Kapitel geht nicht auf alle Details ein, verschafft Ihnen aber einen guten Überblick über die Möglichkeiten, Sicherheitseinstellungen zentral vorzunehmen.
Kapitel 8 geht am Beispiel einzelner administrativer Vorlagen auf die Möglichkeiten ein, Computer und Benutzer zu konfigurieren.
In Kapitel 9 erfahren Sie, wie Gruppenrichtlinien-Vorlagen funktionieren und wie Sie sie nutzen können, um GPOs für Ihre eigenen Zwecke zu erweitern.
In Kapitel 10 werden Funktionen wie Ordnerumleitung gezeigt, die im Knoten „Windows-Einstellungen“ im Benutzer-Teil der Gruppenrichtlinien zu finden sind.
Mit Windows Vista haben die Gruppenrichtlinieneinstellungen in Windows Einzug gehalten. Gruppenrichtlinieneinstellungen können Login-Skripte fast vollständig ersetzen. In Kapitel 11 finden Sie eine ausführliche Beschreibung der Funktionsweise.
Kapitel 12 befasst sich mit Windows 10, den einzelnen Features-Releases und neuen Funktionen, die mit Windows 10 zum ersten Mal eingeführt worden sind.
Kapitel 13 ist ein Kapitel für Fortgeschrittene. Es zeigt, was bei der Verarbeitung von Gruppenrichtlinien auf Client und Server passiert. Wenn es Sie nicht interessiert, wie Windows Gruppenrichtlinien anwendet, können Sie dieses Kapitel überspringen.
Kapitel 14, Verwalten von GPOs, geht auf die Verwaltungsaufgaben wie das Sichern und die Wiederherstellung von GPOs ein.
Kapitel 15 zeigt Ihnen, wie Sie vorgehen können, wenn Ihre Gruppenrichtlinien sich nicht so verhalten, wie Sie das erwarten. Anhand von verschiedenen Werkzeugen wird gezeigt, wie Sie Fehler aufspüren und beheben können.
Kapitel 16, Advanced Group Policy Management (AGPM), behandelt die Bearbeitung von Gruppenrichtlinien im Team. Sie benötigen dafür aber eine Zusatzsoftware, die bei Microsoft lizenziert werden muss.
Kapitel 17 stellt eine Einführung in die Clientverwaltung mit Microsoft Intune dar. Außerdem erfahren Sie hier, wie Sie ein Intune-Konto anlegen können, um die Beispiele selber anwenden zu können.
Kapitel 18, Clientverwaltung mit Intune, zeigt an einer Reihe von Beispielen, wie Sie Clients konfigurieren, Software verteilen und Reports über die Clientkonfiguration erstellen können.
Kapitel 19 befasst sich mit dem Überwachen von Windows mit Hilfe von Ereignisprotokollen. Sie erfahren, wie Sie Ereignisprotokolle zentral anpassen und sammeln können, um auf Bedrohungen frühzeitig zu reagieren.
Kapitel 20 fasst alle Themenbereiche rund um das Skripting zusammen. Sie erfahren, wie Sie mit Gruppenrichtlinien Start- und Anmeldeskripte ausführen können, wie Sie mithilfe von PowerShell viele Verwaltungsaufgaben automatisieren und auf welche Weise Sie mit AppLocker die Ausführung von PowerShell einschränken oder verhindern können.
In einigen Kapiteln dieses Buches werden verschiedene hilfreiche PowerShell-Skripte beschrieben, welche die Verwaltung von Gruppenrichtlinien vereinfachen. Sie finden alle Codeschnipsel in erweiterter Form als PowerShell-Modul auf der Website zum Buch, www.gruppenrlinien.training sowie in der PowerShell-Gallery von Microsoft. Um es zu installieren, entpacken Sie das Modul in einen der Pfade, die in der Umgebungsvariablen %PSModulePath% hinterlegt sind. Die Datei muss vorher entblockt werden (s. Bild 1). Alternativ können Sie es über die PowerShell-Gallery über den Befehl Install-Module -Name GroupPolicyHelper installieren. Das Modul wird ständig erweitert. Mehr Informationen zu PowerShell-Modulen finden Sie in Abschnitt 17.4 im Kasten „PowerShell-Module“.
Bild 1
Ich habe versucht, Ihnen das Eingeben von Links so einfach wie möglich zu machen. Dafür finden Sie hinter allen komplizieren Links eine Kurzform, die den Bitly.com-Dienst nutzt. Der Kurzlink wird eingeführt über „oder kurz“ und startet mit https://bit.ly/.
Da ein Bild mehr als 1000 Worte sagt und ein Video aus vielen Bildern besteht, habe ich einige der hier im Buch behandelten Themen auch als Video veröffentlicht. Dafür habe ich den YouTube-Channel „Gruppenrichtlinien in Windows Server" eingerichtet. Sie finden ihn unter https://www.youtube.com/channel/UCmV-KA9FZaanVcIY72wIkbw oder kurz https://bit.ly/2uMpuY7.
Administrative Vorlagen sind im Buch in zwei Kapiteln besprochen, aber trotzdem ist es nicht möglich, alle durchzugehen. Daher habe ich mich dazu entschlossen, das auch für Windows 10 nicht zu tun, zumal mit Windows as a Service sowieso ständig mit neuen Gruppenrichtlinien zu rechnen ist. Stattdessen finden Sie unter https://www.netz-weise.de/weisheiten/doku.html eine Reihe von Dokumenten zur Verwaltung von Gruppenrichtlinien.
Nutzen Sie auch meinen Blog als Informationsquelle. Unter https://www.Netz-Weise-it.training/weisheiten/tipps.html schreibe ich regelmäßig über verschiedene IT-Themen, die mich beschäftigen. Sie finden hier einige Informationen zum Thema Gruppenrichtlinien. Wenn Sie sich für Hyper-V, SQL Server, Windows oder PowerShell interessieren, ist vielleicht auch das eine oder andere für Sie dabei. Außerdem ist der Blog von Mark Heitbrink sehr empfehlenswert, der unter http://www.gruppenrichtlinien.de/ einen reichhaltigen Fundus an Informationen zur Verfügung stellt.
Im Umfeld von Gruppenrichtlinien gibt es eine Reihe von Fachbegriffen, die z. T. nicht ganz einfach zu unterscheiden sind. Das Ganze wird durch schlechte englische Übersetzungen nicht einfacher gemacht. Es folgt eine kleine Definition der wichtigsten Begriffe und Abkürzungen. Ich fürchte, dass auch in diesem Buch durch die Arbeit von ursprünglich zwei Autoren die Benennung trotz aller Anstrengungen nicht immer konsistent ist.
Begriff |
Erläuterung |
Gruppenrichtlinie |
Eine einzelne Einstellung, die auf einen Computer oder Benutzer angewendet werden kann |
Gruppenrichtlinienobjekt (GPO) |
Gruppenrichtlinien werden in Gruppenrichtlinienobjekten zusammengefasst. Ein GPO ist keine Gruppenrichtlinie! Die Definition wird aber trotzdem oft synonym verwendet. |
Gruppenrichtlinien-Vorlage (GPT) |
Die Gruppenrichtlinien-Vorlage bezeichnet den Ordner im Dateisystem, in dem die meisten der Gruppenrichtlinien abgelegt sind. |
Gruppenrichtlinien-Container (GPC) |
Das Objekt, das im AD angelegt wird, wenn man ein neues GPO erstellt, wird auch als Group Policy Container bezeichnet. |
Gruppenrichtlinieneinstellungen |
Microsoft hat mit Windows Vista neue Einstellungsmöglichkeiten eingeführt, die im Englischen als „Group Policy Preferences“ bezeichnet werden. Im Deutschen wurde das zu „Gruppenrichtlinieneinstellungen“ übersetzt, was sehr missverständlich ist, weil es sich eben nicht um einen Oberbegriff für alle Einstellungen handelt (der Oberbegriff ist Gruppenrichtlinie), sondern um eine ganz spezielle Gruppe von Einstellungen. |
Gruppenrichtlinien-Verwaltungskonsole (GPMC) |
Das Werkzeug zur Verwaltung von GPOs |
Gruppenrichtlinien-Editor |
Das Werkzeug zum Bearbeiten eines GPO und zum Setzen von einzelnen Gruppenrichtlinien |
Microsoft hat angekündigt, dass Windows 10 das letzte Windows Client-Betriebssystem sein wird, das sie veröffentlichen. Statt alle paar Jahre eine neue Windows-Version herauszubringen, erhält man Windows as a Service, was nichts weiter bedeutet, als dass man im Zeitraum von sechs Monaten Upgrades erhält, die neue Funktionen nachrüsten. Unternehmen können das verhindern, indem sie die LTSC-Version von Windows 10 nutzen – der sogenannte Long Term Servicing Channel. Die LTSC-Version steht aber nur für Windows 10 Enterprise Edition zur Verfügung.
Wenn Sie die Professional Version von Windows 10 einsetzen, müssen Sie damit rechnen, dass Sie in Zukunft nicht mehr alle Gruppenrichtlinien verwenden können. Microsoft hat sich dazu entschieden, nur die Enterprise Edition vollständig zu unterstützen. Eine Liste aller Gruppenrichtlinien, die seit der Version 1607 von Windows 10 nicht mehr unterstützt werden, finden Sie unter https://docs.microsoft.com/de-de/windows/client-management/group-policies-for-enterprise-and-education-editions oder kurz https://bit.ly/2CfO2yM.
1 | Einleitung |
In diesem Kapitel werden folgende Fragen beantwortet:
Was sind Gruppenrichtlinien?
Mit Gruppenrichtlinien arbeiten
Welche technische Ausstattung benötigen Sie, um die im Buch beschriebenen Aufgaben nachvollziehen zu können?
1.1 | Was sind Gruppenrichtlinien? |
Gruppenrichtlinien sind Benutzer- oder Computereinstellungen, die zentral konfiguriert und abgelegt sind und auf einen oder eine Gruppe von Computern oder Benutzern angewendet werden können. Gruppenrichtlinien werden in Sammlungen, sogenannten Group Policy Objects (GPO), zusammengefasst ‒ merken Sie sich diesen Begriff, es ist das meistverwendete Kürzel in diesem Buch. Viele dieser Einstellungen werden dabei in der Systemregistrierung vorgenommen, einige Einstellungen liegen aber auch außerhalb der Systemregistrierung in Form von Dateien oder im Active Directory vor. Mehr zur Funktionsweise erfahren Sie in Kapitel 13, „Funktionsweise von Gruppenrichtlinien“.
Mit Gruppenrichtlinien kann man eine rudimentäre Form der Softwareverteilung durchführen, Sicherheitseinstellungen auf Computern zentral vorgeben und erzwingen, Dienste konfigurieren, Datei- und Registry-Einstellungen setzen, An- und Abmeldeskripte konfigurieren, die Oberfläche des Benutzers umkonfigurieren, Funktionen an- oder abschalten sowie konfigurieren, Zertifikate verteilen und noch vieles mehr.
Zusätzlich zu den Richtlinien wurden mit Server 2008 die Einstellungen eingeführt ‒ eine nicht besonders gelungene Übersetzung aus dem Englischen, wo diese Erweiterung Preferences heißt, was so viel wie Vorzüge oder Vorteile bedeutet. Einstellungen erlauben es, klassische Anmeldeskriptaufgaben wie das Verbinden von Netzlaufwerken oder Druckern auszuführen oder Dateien auf den Zielrechner zu kopieren. Mehr hierzu erfahren Sie in Kapitel 11, „Gruppenrichtlinien-Einstellungen“.
1.2 | Auf welche Objekte wirken Gruppenrichtlinien? |
Gruppenrichtlinien haben mit Gruppen nur wenig zu tun, auch wenn der Name dies suggeriert. Zwar kann man auch über Gruppenzugehörigkeiten steuern, ob eine Gruppenrichtlinie auf einen Benutzer oder Computer angewendet werden darf ‒ mehr hierzu in Kapitel 4, „Gruppenrichtlinien filtern“ ‒, aber Anwendung finden Gruppenrichtlinien nur auf Benutzer- oder Computerkonten. Gruppenrichtlinien wirken niemals auf Gruppen, und das ist auch gut so, denn sonst würden Gruppenrichtlinien sich nicht mehr verwalten lassen.
Welche Gruppenrichtlinien auf ein Benutzer- oder Computerobjekt wirken, hängt einzig vom Speicherort des Kontos im AD ab. Gruppenrichtlinien werden im AD mit drei Typen von Objekten verknüpft, mit Standorten, der Domäne und Organisationseinheiten unterhalb des Domänenobjekts. Ein Konto, das sich „unterhalb“ einer Gruppenrichtlinie befindet, also in einer OU (Organisational Unit), die von einer Gruppenrichtlinie betroffen ist, wird auch durch die Gruppenrichtlinie konfiguriert. Gruppenrichtlinieneinstellungen sind dabei additiv. Liegt ein Konto also im Einflussbereich mehrerer Richtlinien, so werden die Einstellungen aller Richtlinien addiert angewendet.
1.3 | Wann werden Gruppenrichtlinien verarbeitet? |
Gruppenrichtlinien werden bei der Anmeldung und dem Systemstart verarbeitet. Außerdem findet eine regelmäßige Hintergrundaktualisierung statt. Alle 90 Minuten mit einer zufälligen Abweichung von + 30 Minuten gleicht ein Computer seine Einstellungen mit denen der Domäne ab1. Bei Domänencontrollern liegt das Standardintervall bei fünf Minuten. Die zufälligen Abweichungen werden eingesetzt, damit nicht alle Computer gleichzeitig die Richtlinien abfragen und das Netzwerk und die Server überlasten.
PRAXISTIPP: Sie können diese Werte auch ändern – in einer Gruppenrichtlinie! Sehr kurze Aktualisierungsintervalle sind aber nicht zu empfehlen, da sie das System und das Netzwerk belasten. Zu seltene Hintergrundaktualisierungen können hingegen dazu führen, dass wichtige Änderungen nicht in einer akzeptablen Zeit übernommen werden. Daher sollten Sie in der Regel die Standardwerte beibehalten.
1.4 | Wie viele Gruppenrichtlinien sollte man verwenden? |
Generell gilt, dass die Verarbeitung von Gruppenrichtlinien den Start- und Anmeldevorgang erheblich verzögern kann. Wenn Sie die Einstellungen auf viele GPOs verteilen, kann dies zulasten der Performance gehen. Daher kann es, wenn Sie sehr viele Gruppenrichtlinien konfigurieren, durchaus sinnvoll sein, viele Einstellungen auf wenige GPOs zu verteilen. Außerdem kann man Gruppenrichtlinien in Bereichen deaktivieren, da Sie aus einem Computer- und einem Benutzeranteil bestehen, die getrennt verarbeitet werden.
Eine genauere Betrachtung der Auswirkungen auf die Anmeldeperformance und wie Sie diese prüfen können, finden Sie in Kapitel 15, „Fehlersuche und Problembehandlung“.
Gruppenrichtlinien sind ein mächtiges Werkzeug, mit dem eine Fülle von Einstellungen und Anpassungen möglich ist. In der Praxis werden Sie jedoch nur die Anpassungen vornehmen wollen, die für Ihr Netzwerk wichtig sind. Bei deutlich über 3000 Richtlinien ohne zusätzliche Vorlagen verlieren sonst auch erfahrene Administratoren den Überblick.
Die wichtigsten Bereiche der Gruppenrichtlinien lernen Sie in den folgenden Kapiteln kennen und sehen dabei viele Beispiele für den Einsatz in der Praxis.
1.5 | Worauf muss man beim Ändern von Einstellungen achten? |
Gruppenrichtlinien wirken, sobald eine Einstellung übernommen wurde. Wenn Sie Einstellungen vorgenommen haben, in denen Sie z. B. der Systemgruppe „Jeder“ das Recht zum lokalen Anmelden verweigern, ist diese Einstellung ab dem Zeitpunkt aktiv, in dem Sie OK klicken. Sobald ein Client diese Einstellung zieht, ist sie auf dem Client wirksam. Aber auch durch versehentliche Fehlkonfigurationen kommt es immer wieder zu Problemen mit Richtlinien. Darum werden Sie in diesem Buch exemplarische Vorgehensweisen finden, die Ihnen einen sicheren Umgang mit den Gruppenrichtlinien vermitteln. Für häufige Probleme werden auch Lösungen bereitgestellt.
1.6 | Was Sie brauchen, um die Aufgaben nachvollziehen zu können |
Die Verwaltung von Gruppenrichtlinien sollten Sie immer in einer abgesicherten Testumgebung ausprobieren, bevor Sie beginnen, damit in der Praxis zu arbeiten. Um die Beispiele dieses Buches nachvollziehen zu können, empfehle ich Ihnen mindestens eine virtuelle Maschine mit Windows Server 2016 und eine Reihe von Testclients mit Windows 7, Windows 8.1 und Windows 10 oder zumindest den Betriebssystemen zu installieren, die bei Ihnen im Unternehmen zum Einsatz kommen. Achten Sie darauf, dass Sie für Domänenumgebungen mindestens die Professional-Varianten des Client-Betriebssystems benötigen, für manche Funktionen auch die Enterprise-Variante.
Die virtuellen Maschinen müssen über das Netzwerk miteinander kommunizieren können, Internetzugang wird hingegen keiner benötigt. Ab Windows 8 Professional bietet es sich an, Hyper-V einzusetzen, das als Bestandteil des Betriebssystems mitgeliefert wird. Auf Windows 7 empfiehlt sich das kostenlose Virtual Box.
Richten Sie eine Domäne ein, und nehmen Sie Clients in die Domäne auf. Sie können nun eine Umgebung errichten, die in etwa dem Firmenumfeld, in dem Sie arbeiten, entspricht (typische OU-Struktur, Standorte, Gruppen, Beispielbenutzer etc.), oder Sie warten damit, bis Sie in Kapitel 4 etwas über typische OU-Strukturen für die Arbeit mit Gruppenrichtlinien erfahren haben.
Wenn Sie keine eigene Testumgebung zur Verfügung haben, können Sie auch auf Windows Azure zurückgreifen oder sich eine Testumgebung erstellen. Für dieses Buch können Sie Beispielskripte von der Website www.gruppenrichtlinien.training herunterladen.
1 Genau genommen passiert dies sogar noch häufiger, da der Computer die Einstellungen des Computers und die des Benutzers unabhängig voneinander konfiguriert.
2 | Die Gruppenrichtlinienverwaltung |
In diesem Kapitel werden folgende Themen behandelt:
Die Gruppenrichtlinienverwaltung hinzufügen
Mit der Gruppenrichtlinienverwaltung arbeiten
Gruppenrichtlinienobjekte im Detail
Gruppenrichtlinienobjekte erstellen
Gruppenrichtlinienobjekte verknüpfen
2.1 | Einführung |
Für die Verwaltung von GPOs stellt Microsoft seit Windows Server 2003 die Gruppenrichtlinienverwaltungskonsole (GPMC, Group Policy Management Console) zur Verfügung.
Diese wird automatisch installiert, wenn Sie einen Server zum Domänencontroller machen. Da Sie eine Domäne niemals direkt vom Domänencontroller aus verwalten sollten, können Sie die GPMC auch auf einem anderen Server oder besser noch auf einem administrativen Client installieren.
Bild 2.1
2.2 | Gruppenrichtlinienverwaltung auf einem Server installieren |
Die GPMC steht bei Windows Server als installierbares Feature zur Verfügung. Sie müssen sie nur über den Server-Manager oder das Windows Admin Center aktivieren.
Öffnen Sie den Server-Manager und klicken Sie unter Verwaltung auf Rollen und Features hinzufügen.
Bild 2.2
Übernehmen Sie im Assistenten die Standardeinstellungen, und wählen Sie dann im Fenster Features die Checkbox Gruppenrichtlinienverwaltung.
Bild 2.3
Klicken Sie nun Weiter und zum Abschluss auf Installieren.
Alternativ können Sie die GPMC auch über Windows PowerShell nachinstallieren, indem Sie in einer administrativen PowerShell-Konsole den Befehl Install-WindowsFeature -Name GPMC aufrufen.
Am empfehlenswertesten ist es, die Administration von einem Client aus auszuführen. Auf dem Client müssen die Administrationswerkzeuge allerdings noch nachinstalliert werden. Sie bekommen den kompletten Satz unter dem Namen „Remote Server Administration Tools“ inklusive des Servers Managers bei Microsoft zum Download. Suchen Sie dafür bei der Suchmaschine Ihres Vertrauens nach „Windows RSAT Tools“. Sie müssen lediglich beachten, dass die RSAT-Tools nicht zwischen den Client-Betriebssystemen kompatibel sind. Wenn Sie die Tools also auf einem älteren Client (Windows 7) installieren, bekommen Sie auch eine alte Version der GPMC. Am besten verwenden Sie immer die aktuellste Windows-Version.
Die RSAT-Tools kommen in Form eines Windows Update-Pakets. Die Installation kann mit einem Doppelklick gestartet werden und benötigt nur ein Akzeptieren der Lizenzbedingungen. Sie brauchen hinterher nichts mehr zu aktivieren, die Tools sind sofort gebrauchsfertig auf dem Client. Ab Windows 10 FR 1809 können Sie die GPMC direkt als optionales Feature aus dem Internet nachinstallieren. Verwenden Sie dafür folgenden PowerShell-Befehl:
2.3 | Gruppenrichtlinienverwaltung erkunden |
Bild 2.4
Im linken Bereich der GPMC finden Sie die Baumansicht der Gesamtstruktur mit allen Ihren Domänen und Standorten. Öffnen Sie den Knoten „Gruppenrichtlinienobjekte“ unterhalb der Domäne. Hier finden Sie die Gruppenrichtlinienobjekte (GPOs).
PRAXISTIPP: Am schnellsten starten Sie die GPMC über den Ausführen-Befehl. Drücken Sie hierzu gleichzeitig Windows+R. Im Ausführen-Fenster, das sich nun öffnet, geben Sie gpmc.msc an und bestätigen mit Enter.
2.4 | Gruppenrichtlinienverknüpfungen und -objekte |
Im Gegensatz zum Symbol des GPO „Default Domain Policy“ im Container Gruppenrichtlinienobjekte trägt das Symbol der „Default Domain Policy“ unterhalb des Domänennamens einen kleinen Pfeil – es handelt sich um eine Verknüpfung.
Bild 2.5
GPOs können auf der Domäne, den Organisationseinheiten und auf Standorten verknüpft werden, gespeichert werden sie aber stets im Container „Gruppenrichtlinienobjekte“.
Sie können ein GPO auch mehrfach verknüpfen und z. B. eine Richtlinie für Benutzer mit den Organisationseinheiten OU=Benutzer,OU=Hannover,DC=Netz-Weise,DC=eu und OU=Benutzer,OU=Hamburg,DC=Netz-Weise,DC=eu verknüpfen.
2.5 | Gruppenrichtlinienobjekte im Detail |
Erweitern Sie nun den Knoten „Gruppenrichtlinienobjekte“ und wählen Sie in der Konsolenstruktur die Default Domain Policy.
2.5.1 | Register Bereich einer Gruppenrichtlinie |
Bild 2.6
Im Register Bereich sehen Sie oben „Verknüpfungen“. Hier sind unter „Pfad“ die Domänen und Organisationseinheiten aufgeführt, mit denen das GPO verknüpft ist.
Daneben ist vermerkt, ob die Richtlinie erzwungen wird. Erzwingen bedeutet, dass diese Richtlinien immer Vorrang haben, wenn es zu Konflikten zwischen den Einstellungen unterschiedlicher GPOs kommt. Näheres dazu erfahren Sie in Abschnitt 3.4.4 – „Erzwingen von GPOs“, und in Kapitel 13, „Funktionsweise von Gruppenrichtlinien“.
Verknüpfungen können deaktiviert werden, ohne sie zu löschen. So können Sie GPOs zeitweise unwirksam machen.
In der Mitte des Fensters sind Sicherheitsfilterungen aufgezeigt. Über die Sicherheitsfilterung können Sie festlegen, für welche Benutzer und Computer eine Gruppenrichtlinie gültig wird. Standardmäßig ist stets die Gruppe „Authentifizierte Benutzer“ eingetragen. Zu dieser gehören alle Benutzer und Computer, die sich in der Domäne angemeldet haben.
Sie können die authentifizierten Benutzer entfernen und stattdessen andere Gruppen berechtigen. Dadurch schränken Sie den Kreis der Konten, die von dem GPO betroffen werden, ein. In Abschnitt 4.2.1 – „Sicherheitsfilterung anwenden“, erhalten Sie mehr Details zur Wirkweise der Sicherheitsfilterung.
WMI-Filterung stellt eine Möglichkeit dar, die Wirkung eines GPO auf bestimmte Computer zu beschränken. Allerdings werden für WMI-Filter keine Gruppen verwendet, sondern Hard- oder Softwareeigenschaften eines Rechners abgefragt, anhand derer dann entschieden wird, ob ein GPO angewendet wird oder nicht. WMI-Filter werden ebenfalls in Kapitel 4 behandelt.
2.5.2 | Register Details eines GPO |
Wählen Sie nun das Register Details.
Bild 2.7
Unter Details ist aufgeführt, wer der Besitzer des GPO ist, wann diese erstellt und wann zuletzt geändert wurde, welche Version der Benutzer- und Computereinstellungen vorliegt – mehr hierzu später – und wie die eindeutige ID der Richtlinie lautet. Über „Objektstatus“ können Sie das GPO hier ganz oder teilweise deaktivieren.
2.5.3 | Register Einstellungen eines GPO |
In der Registerkarte Einstellungen finden Sie einen Report über alle aktiven Einstellungen eines GPO. Diese Report ist vor allem dann wichtig, wenn Sie die Einstellungen eines GPO überprüfen wollen. Im Group Policy Editor, der Konsole zum Bearbeiten eines GPO, ist das Suchen nach gesetzten oder nicht gesetzten Einstellungen ein bisschen wie die Suche nach der Nadel im Heuhaufen.
Klicken Sie zum Überprüfen der Einstellungen auf das Register Einstellungen und dann im rechten Bereich des Fensters auf Computerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Kontorichtlinien/Kennwortrichtlinien. Sie können hier die einzelnen Einstellungen sehen, die im Knoten „Kennwortrichtlinien“ vorgenommen wurden. Was diese Einstellungen bedeuten, erfahren Sie in Kapitel 7, „Sicherheitseinstellungen“.
Bild 2.8
2.5.4 | Register Delegierung eines GPO |
Bild 2.9
Unter dem Register Delegierung sind die einzelnen Gruppen und deren Berechtigungen auf das Gruppenrichtlinienobjekt differenziert aufgeführt. Die Sicherheitsfilterung, die Sie bereits unter Bereich konfigurieren konnten, wird tatsächlich hier angewendet. Über die Delegierung können aber auch administrative Einstellungen auf ein GPO angepasst werden. Zudem können Sie den Zugriff auf ein GPO hier komplett verweigern, was z. B. genutzt werden kann, um Administratoren von den Wirkungen der Gruppenrichtlinien auszunehmen.
2.5.5 | Register Status eines GPO |
Bild 2.10
Unter Status können Sie ab Windows Server 2012 den Replikationsstatus eines GPO prüfen. Die Replikation eines GPO wird über zwei verschiedene Systeme gesteuert, das Active Directory und das Dateisystem. Hier können Sie sehen, ob beide Systeme synchron sind. Den Status können Sie nur direkt auf dem GPO im Container „Gruppenrichtlinienobjekte“ sehen, auf einer Verknüpfung wird er nicht angezeigt.
2.6 | Standorte und Gruppenrichtlinien |
Gruppenrichtlinien können auch mit AD-Standorten verknüpft werden. Sie benötigen hierfür allerdings Organisations-Admin-Rechte.
Standorte werden standardmäßig nicht angezeigt. Um Ihre Standorte einzublenden, wählen Sie aus dem Kontextmenü von Standorte den Eintrag Standorte anzeigen aus.
Bild 2.11
Standortverknüpfungen sind die einzige Möglichkeit, GPOs auch domänenübergreifend zu konfigurieren, und sollten mit sehr viel Fingerspitzengefühl eingesetzt werden. Mehr dazu finden Sie in Abschnitt 13.3, „Gruppenrichtlinien auf Standorten“.
PRAXISTIPP: Indem Sie die Richtlinien für WSUS und Softwareverteilung mit einem Standort statt einer den Standort repräsentierenden Organisationseinheit verknüpfen, stellen Sie sicher, dass mobile Geräte stets die lokale Quelle für Updates und Software verwenden. Das Computerkonto des Notebooks eines Berliner Vertriebsmitarbeiters ist stets in der OU Vertrieb. Für die Ermittlung des Standortes wird das Subnetz des Computers ausgewertet.
Da das Notebook seine IP-Konfiguration von einem lokalen DHCP-Server (z. B. in Hannover) erhält, erkennt das System den aktuellen Standort und kann den Verkehr lokal halten, ohne dass ein Administrator ständig die Computerkonten verschieben müsste.
2.7 | Weitere Elemente der Gruppenrichtlinienverwaltung |
Sie sehen in der Konsolenstruktur des Weiteren die Elemente WMI-Filter, Starter-Gruppenrichtlinienobjekte, Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse. Auf diese gehen wir in späteren Kapiteln ausgiebig ein. An dieser Stelle bleibt es bei einer groben Übersicht, welche Sie der Tabelle 2.1 entnehmen können.
Element |
Aufgabe |
WMI-Filter |
Dient der Verwaltung von WMI-Filtern. Mit WMI-Filtern ist es möglich, GPOs anhand von Client-Eigenschaften dynamisch anzuwenden. WMI-Filter müssen immer in diesem Knoten erstellt werden und können dann mit einem GPO verknüpft werden. |
Starter-Gruppenrichtlinienobjekte |
Hierbei handelt es sich um Vorlagensammlungen, die verwendet werden können, um ein neues GPO mit Standardeinstellungen auszustatten. Die Vorlagen werden unter Starter-Gruppenrichtlinienobjekte gespeichert und verwaltet, müssen aber vor der ersten Verwendung erst importiert werden. |
Gruppenrichtlinienmodellierung |
Die Gruppenrichtlinienmodellierung dient dazu, Auswirkungen von Gruppenrichtlinienverknüpfungen im Vorfeld zu testen. |
Gruppenrichtlinienergebnisse |
Mit Gruppenrichtlinienergebnissen lässt sich nachvollziehen, welche Einstellungen für Benutzer und Computer aus welchen GPOs gekommen sind und wie diese verarbeitet wurden. |
2.8 | Gruppenrichtlinie erstellen |
Erstellen Sie nun ein neues GPO im Knoten „Gruppenrichtlinienobjekte“. Klicken Sie dazu auf den Knoten und wählen Sie im Kontextmenü den Befehl Neu. Geben Sie einen sprechenden Namen für das GPO ein – das Thema Benennungskonventionen wird in einem späteren Kapitel noch ausführlich behandelt. Starter-Gruppenrichtlinienobjekte stehen erst nach der Aktivierung zur Verfügung und sind in fast allen Fällen auch sinnlos und veraltet.
2.9 | Gruppenrichtlinie verknüpfen |
Nachdem Sie das GPO erstellt haben, müssen Sie es verknüpfen, damit es zur Anwendung kommt. Wählen Sie dazu eine Test-Organisationseinheit aus, mit der Sie die neue Gruppenrichtlinie verknüpfen. Wenn Sie noch keine Test-OU erstellt haben, können Sie auch aus dem Kontextmenü mit Neue Organisationseinheit eine Organisationseinheit erstellen.
Bild 2.12
Markieren Sie die Organisationseinheit und klicken Sie im Kontextmenü auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen. Wählen Sie nun im Fenster Gruppenrichtlinienobjekt auswählen das GPO aus, das Sie hier verknüpfen möchten.
Sie können alternativ auch ein GPO auf einer Organisationseinheit in einem Schritt erstellen und verknüpfen. Wählen Sie dazu im Kontextmenü der OU den Befehl Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
PRAXISTIPP: In einer Produktivumgebung ist es nicht empfehlenswert, Gruppenrichtlinienobjekte direkt zu erstellen. Sie sollten diese erst erstellen und konfigurieren, anschließend mit einer Test-OU verknüpfen, Testbenutzer und -Computer der OU hinzufügen und sich mit diesen anmelden. Erst wenn Sie sicher sind, dass das GPO keinen Schaden anrichtet, sollte es mit einer produktiven OU verknüpft werden.
2.10 | Gruppenrichtlinie bearbeiten |
Um die Konfiguration eines GPO anzupassen, wählen Sie aus seiner Verknüpfung oder dem Objekt selber im Kontextmenü Bearbeiten aus. Die Bearbeitung des GPO findet in einem eigenen Werkzeug statt, dem Gruppenrichtlinien-Editor.
Bild 2.13
Der Gruppenrichtlinien-Editor ist untergliedert in die Bereiche „Computerkonfiguration“ und „Benutzerkonfiguration“, die sich aus den Richtlinien und den Einstellungen zusammensetzen.
Der Bereich „Richtlinien“ besteht aus den drei Bereichen „Softwareeinstellungen“, „Windows-Einstellungen“ und „Administrative Vorlagen“.
Zu den einzelnen Richtlinien, und was sie bedeuten, erfahren Sie in den nächsten Kapiteln mehr.
3 | Verarbeitungsreihenfolge von Gruppenrichtlinien |