DATA 5 GmbH - Themenseite

Befreiungslink - öffnet die DATA 5 Seite in neuem Fenster

Aktuell


 

 Gruppenrichtlinien

 

Themen

  Gesamtübersicht

  Windows

  Netzwerktechnik

  Exchange & Messaging

  Sicherheit (ISA...)
  PC & Büro (Office...)
  Hardware
 Home---AC.net---Home

 

Verwandte Seiten

 Lerneinheit Gruppenrichtlinien

 Inhalt

 Info
 Dokumente zum Einstieg / Überblick
 Group Policy Management Consolole
     Delegation des Richtlinien-Managements mit der GPMC
 Benutzerrechte via Richtlinien ändern
 Infos in der Technischen Referenz
 Troubleshooting
 ADM-Dateien
 Weblinks zum Thema

 Rechtshinweise

Info

Gruppenrichtlinien sind ein sehr effizientes Mittel zur Verwaltung von Windows Installationen. Sie ermöglichen zentrale Kontrolle von sehr vielen Funktionen aller Domänenmitglieder (Server und Arbeitsplätze). Automatische Softwareverteilung, zentrale Sicherheitskonfiguration, zentrale Steuerung von Optionen von Betriebssystem und Anwendungen und vieles mehr. Allerdings (wie so oft) benötigt diese Technik auch einiges an Einarbeitungs- und Planungszeit. Der Verwaltung der Gruppenrichtlinien wurde bei Windows Server 2003 durch die Einführung der "Group Policy Management Console (GPMC)" deutlich verbessert.

  
15. Februar 2006

Sprung zum Seitenanfang

Dokumente zum Einstieg / Überblick

 Introduction to Group Policy in Windows Server 2003 

Folgendes Dokument stellt verschiedene Szenarien (Aufgaben) und deren Realisierung mit Richtlinien vor:
 Implementing Common Desktop Management Scenarios with the Group Policy Management Console

Eine deutsche Webseite, die sich ausschließlich mit Gruppenrichtlinien beschäftigt findet man hier:
 Gruppenrichtlinien.de

Buchtipp

 Netzwerkverwaltung mit Windows Server 2003 Gruppenrichtlinien

Sprung zum Seitenanfang

Group Policy Mangement Console

Die Group Policy Management Console ist ein zusätzliches Snap-In, welches die Verwaltung der Gruppenrichtlinien wesentlich erleichtert. Die Zusammenhänge werden wesentlich übersichtlicher dargestellt, die Delegation des Richtlinien-Managements wird expliziert unterstützt. Außerdem ist es jetzt möglich, Richtlinien zu exportieren und in anderen Domänen (!) zu importieren!

 Administering Group Policy with the GPMC 
 Migrating GPOs across Domains with GPMC 

Die GPMC ist NICHT auf der Windows Server 2003 Produkt-CD enthalten. Sie muss aus dem Web geladen werden.

 Download GPMC mit SP1

Die GPMO kann auch via Scripts gesteuert werden. Einige Scripts werden zusammen mit der GPMC installiert (Ordner %Programfiles%\GPMC\Scripts) Damit lassen sich Routinearbeiten automatisieren:

 GPMC-Scripting 

Sprung zum Seitenanfang

Delegation des Richtlinienmanagements mit der GPMC

Wenn das Richtlinienmanagement innerhalb einer Domäne delegiert werden soll, dann sind im wesentlichen drei Punkte zu regeln:

  1. Wer darf in der Domäne neue Richtlinien erstellen. Dieses Punkt wird in der GPMC über die Registerkarte »Delegierung« des Objektes »Gruppenrichtlinienobjekte« geregelt.
  2. Es muss definiert werden, wer welche Richtlinie verwalten, d.h. lesen, ändern, löschen etc...darf. Dies wird über die Registerkarte »Delegierung« jedes einzelnen GPO-Objektes individuell geregelt
  3. Nun ist noch wichtig, wer die GPOs mit den OUs verknüpfen darf (=Anwenden der Richtlinie). Dies wird ebenfalls über die GPMC geregelt. Dafür zuständig ist die Registerkarte »Delegierung« an der jeweiligen OU. Zusätzlich ließe sich bei Bedarf hier auch noch regeln, wer die analysieren darf (Resultant Set of Policies).

Detaillierte Informationen über dieses Thema findet man in folgendem Dokument im Kapitel »Delegation«
 Administering Group Policy with the GPMC 

Sprung zum Seitenanfang

Ändern von Benutzerrechten per Gruppenrichtlinien

Oft ist es in der Praxis notwendig, die so genannten Benutzerrechte zu ändern. Dies kann man per Gruppenrichtlinie erledigen:

 Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Zuweisen von Benutzerrechten

Hier findet man so wichtige Einstellungen, wie zum Beispiel »Lokale Anmeldung«, »Auf diesen Computer vom Netz zugreifen«, »Wechselprüfung umgehen« und vieles andern.

Vorsicht

Wenn man bei den Benutzerrechten zu weit von den Microsoft Vorgabe abweicht, hat das oft unerwartete Nebenwirkungen. Ein Dokument, welches die Benutzerrechte gut erklärt, und auf die Nebenwirkungen eingeht findet man hier:

 Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibiläten mit Clients, Diensten und Programmen auftreten (KB 823659)

Sprung zum Seitenanfang

 Infos in der Technischen Referenz

 Technische Referenz Windows 2000 Server: Band Verteilte Systeme: Kapitel 22
 US-Original: Online Chapter 22 - Windows 2000 Group Policy

Sprung zum Seitenanfang

Troubleshooting

Richtlinien sind eine sehr komplexe Angelegenheit. Mit Einführung der GPMO wurde aber auch das Troubleshooting stark vereinfacht.

 GPMC-Troubleshooting 

Neben der GPMO liefert auch das so genannte "Resultant Set of policies" eine große Hilfe. Bei Windows XP und 2003 ist dies bereits im Standardumfang enthalten (GPResult.exe). Für Windows 2000 im Ressouce Kit enthalten.

 GPResult.exe als Ressource-Kit Tools

Sprung zum Seitenanfang

ADM-Dateien

 Recommendations for Managing ADM-Files - Windows Server 2003 (KB 816662)

 Group Policy Reference for Windows XP Service Pack 2

Sprung zum Seitenanfang

 Weblinks zum Thema

Gruppenrichtlinien steuern unter anderem auch die Registry der Zielmaschinen. Dies geschieht über die sog. "Administrative Templates". Dies sind Dateien mit der Endung "ADM". Microsoft stellt eine Exceldatei bereits, die alle mit Windows Server 2003 gelieferten ADM-Dateien beschreibt. Interessant an dieser Excel ist die Tatsache, dass auch die zu manipulierenden Registry Keys dokumentiert werden. Dies erspart ggf. die manuelle Analyse der ADM-Dateien. Hier gibt´s die Excel-Datei:

 Group Policy Reference (Windows Server 2003) 

Wer Gruppenrichtlinien selbst entwickeln möchte, oder einfach nur ein tieferes Verständnis dafür bekommen bekommen möchte, dem sei der folgender Artikel empfohlen:

 Implementing Registry-Based Group Policy 

Weitere Links zum Thema

 Registry Tipps gibt es viele [ T2016 ]
 Policy Template Editor
 Registry File to Policy Template Tools

Auch Gruppenmitgliedschaften kann per Gruppenrichtlinien erzwingen. So kann beispielsweise bestimmte Gruppen automatisiert zur Lokalen Administratorengruppe hinzufügen. Dies ist interessant für Administratoren, die nicht zu den Domänen-Admins gehören. Wie das geht beschreibt folgender Artikel:

 Updates to Restricted Groups ("Member of") Behavior of User-Defined Local Groups (KB 810076)

 Anwendung von Gruppenrichtlinien auf Stand Alone Maschinen

Sprung zum Seitenanfang

 Rechtshinweise

Kein Teil dieser Informationen darf ohne schriftliche Genehmigung reproduziert, vervielfältigt, veröffentlicht oder in Lehrveranstaltungen verwendet werden. Die Nutzung ist ausschließlich zum persönlichen Gebrauch des Lesers gedacht. Sie können aber gerne einen Link auf diese Seite setzen (Links sollten ein neues Fenster öffnen). Es wird darauf hingewiesen, dass Markenzeichen, Namen, Produkte und Bezeichnungen auch ohne ausdrückliche Nennung oder Kennzeichnung durch Rechte Dritter geschützt sind! Es obliegt dem Anwender die Informationen und Programme selbst zu prüfen und gegebenenfalls zu entscheiden, ob diese für seine beabsichtigten Zwecke tauglich sind. Die Informationen auf unserer Webpräsenz werden ohne Anspruch auf Korrektheit oder Vollständigkeit veröffentlicht. Auf unsere ausführliche Rechtshinweise wird ausdrücklich verwiesen.

(C) DATA 5 Ingenieurbüro für Datentechnik GmbH

 http://www.DATA5.de

Sprung zum Seitenanfang

(C) DATA 5 Ingenieurbüro für Datentechnik GmbH

http://www.data5.de