Windows Server, Windows XP und Office XP/2003 bieten eine Fülle von Gruppenrichtlinien, mit denen die Konfiguration des Clients von zentraler Stelle aus gesteuert werden kann. Über Gruppenrichtlinien lassen sich aber auch Anwendungen installieren. Dieses Kapitel soll nun Klarheit verschaffen, welche Einstellungen des Betriebssystems Windows XP Professional über Gruppenrichtlinien zentral verwaltet werden können. Dabei werden die zum Lieferumfang gehörenden Gruppenrichtlinien analysiert. Sie erfahren aber auch, welche fehlenden Einstellungen Sie über selbst erstellte Gruppenrichtlinien vornehmen können. Gruppenrichtlinien lassen sich für den lokalen Computer, für den Standort, die Domäne oder eine einzelne Organisationseinheit definieren und zusätzlich verknüpfen und das kann zu Konflikten führen. Der Administrator muss deshalb die Arbeitsweise und das Zusammenspiel von Gruppenrichtlinien bis in die Tiefe verstehen.
Teil 1 - Einführung in Gruppenrichtlinien Teil 3 - Vorlagedateien für fehlende Gruppenrichtlinien selbst erstellen Teil 4 - Microsoft Office im Netzwerk
|
Diese Artikelserie ist ein Ausschnitt aus dem "Integrationshandbuch Microsoft-Netzwerk" von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Galileo Computing. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt. |
Fehlermeldung "String zu lang" Mit dem Service Pack 2 für Windows XP wurden in den ADM-Vorlagen auch Strings verwendet, die länger als 255 Zeichen sind. Auf Windows 2000 und Windows 2003- Servern kommt es daher beim Öffnen der Gruppenrichtlinien zu einer Fehlermeldung " String ist zu lang... " Einen entsprechenden Patch stellt Microsoft unter dem KB-Eintrag 842933 bereit.
Gruppenrichtlinien aktualisieren
Standardmäßig werden Computerrichtlinien und Benutzerrichtlinien alle 90 Minuten im Hintergrund mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten aktualisiert, und natürlich beim Start des Computers bzw. bei der Anmeldung des Benutzers. Das Standardintervall von 90 Minuten und das Zufallsverzögerungsintervall von bis zu 30 Minuten zur Aktualisierung der Gruppenrichtlinien kann jedoch auch über zwei Gruppenrichtlinien verändert werden. Über die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Computer unter Computerkonfiguration – Administrative Vorlagen – System – Gruppenrichtlinien können Sie das Aktualisierungsintervall für Computerrichtlinien festlegen.
|
|
Gruppenrichtlinien aktualisierenKlick aufs Bild zum Vergrößern
Gruppenrichtlinien aktualisieren Klick aufs Bild zum Vergrößern
Über die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Benutzer unter Benutzerkonfiguration – Administrative Vorlagen – System – Gruppenrichtlinien können Sie das Aktualisierungsintervall für Benutzerrichtlinien festlegen
|
|
Gruppenrichtlinien aktualisierenKlick aufs Bild zum Vergrößern
Gruppenrichtlinien aktualisieren Klick aufs Bild zum Vergrößern
Wenn Sie eine Gruppenrichtlinie geändert haben und die Aktualisierung sofort erzwingen wollen, so können Sie dazu auf einem Windows 2000 Server oder Windows 2000 Professional-Client den Befehl secedit mit entsprechenden Parametern verwenden. Der Befehl secedit /? zeigt die möglichen Parameter an. Der Befehl secedit /refreshpolicy machine-policy /enforce aktualisiert unter Windows 2000 die Computergruppenrichtlinien, der Befehl secedit /refreshpolicy userpolicy /enforce aktualisiert die Benutzergruppenrichtlinien.
Unter Windows XP wurde jedoch der Befehl secedit durch den Befehl gpupdate ersetzt. Er aktualisiert lokale und Active Directory–basierte Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen. Die Syntax des Befehls gpupdate lautet:
gpupdate [/target:{computer|user}] [/force] [/wait:Wert] [/logoff] [/boot]
Die Parameter haben folgende Bedeutung:
/target:{computer|user}
Verarbeitet nur die Computereinstellungen oder die aktuellen Benutzereinstellungen. Standardmäßig werden sowohl die Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
/force
Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an.
/wait: Wert
Die Anzahl der Sekunden, die die Richtlinienverarbeitung mit dem Beenden wartet. Der Standardwert beträgt 600 Sekunden. 0 bedeutet nicht warten ; - 1 bedeutet unbegrenzt warten .
/logoff
Führt nach Abschluss der Aktualisierung eine Abmeldung durch. Dies ist für clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber beim Anmelden des Benutzers verarbeiten. Hierzu gehören Softwareinstallation und Ordnerumleitung durch den Benutzer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die erfordern, dass der Benutzer sich abmeldet.
/boot
Startet den Computer nach Abschluss der Aktualisierung neu. Dies ist für clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber beim Start des Computers verarbeiten. Hierzu gehört Softwareinstallation durch den Computer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die einen Neustart des Computers erfordern.
Der Befehl gpupdate wendet sowohl die Computerrichtlinien als auch die Benutzerrichtlinien sofort an. Der Befehl gpupdate /target:computer wendet nur die Computerrichtlinien erneut an, der Befehl gpupdate /target:user hingegen nur die Benutzerrichtlinien, d.h. die Richtlinien in der Kategorie Benutzerkonfiguration der Gruppenrichtlinie.
Die Windows XP-Vorlagedateien für Gruppenrichtlinien nutzen
Nachdem durch die vorangegangenen Kapitel das Wissen zusammengetragen wurde, wie ein RIS-Server aufgesetzt und mit der RIS-Methode ein Computer mit Windows XP Professional eingerichtet wird, soll dieses Kapitel nun Klarheit verschaffen, welche Einstellungen des Betriebssystems Windows XP Professional über Gruppenrichtlinien zentral verwaltet werden können. In den folgenden Kapiteln werden Sie dann erfahren, welche fehlenden Einstellungen Sie über selbst erstellte Gruppenrichtlinien vornehmen können und wie Sie mit den Gruppenrichtlinien umgehen, die von Office XP/2003 zur Verfügung gestellt werden. Bevor dann das Abbild eines Mustercomputers gezogen werden kann, müssen jedoch weitere Vorarbeiten geleistet werden, die entweder automatisiert oder aufgrund einer Checkliste manuell vorgenommen werden.
Bei der Beschreibung der Gruppenrichtlinien werden auch die Schlüsselwerte genannt, die durch die Konfiguration dieser Richtlinien in der Registrierdatenbank geändert werden. Da Sie ein Systemadministrator und nicht nur ein Mausadministrator sind (?), sollte es Sie auch interessieren, welche Änderungen wo im Betriebssystem vorgenommen werden, wenn diese Gruppenrichtlinien konfiguriert werden.
Gruppenrichtlinien-Vorlagedateien von Windows XP
Wenn Sie Windows XP Professional mit dem neuesten Service Pack installiert haben, finden Sie im Verzeichnis C:\Windows\inf sieben adm-Dateien. Es handelt sich um die Gruppenrichtlinien-Vorlagedateien von Windows XP. Kopieren Sie diese Dateien in das Unterverzeichnis NETLOGON\adm oder ein anderes Verzeichnis des Servers S1 , in dem Sie auch andere adm-Dateien wie die von Microsoft Office und die selbst erstellte Gruppenrichtlinien-Vorlagedateien sammeln. NETLOGON ist die Freigabe auf einem Domänencontroller, die Anmeldeskripte aufnimmt.
Die Vorlagedateien, die später in Active Directory zum Zuge kommen, sind diejenigen, die Sie im Gruppenrichtlinieneditor hinzu laden. Beim Vorgang des Hinzuladens von Gruppenrichtlinienvorlagedateien (adm-Dateien) werden im Gruppenrichtlinieneditor alle adm-Dateien aus dem Verzeichnis %SystemRoot%\inf des Servers angezeigt. Nebenbei bemerkt: Dieses Verzeichnis enthält neben adm-Dateien auch noch eine Fülle von inf- und pnf-Dateien. Sicherlich wäre es bei der Konstruktion von Active Directory übersichtlicher geworden, wenn man für adm-Dateien ein separates Verzeichnis, z.B. %SystemRoot%\adm angedacht hätte.
Service Packs auf aktuellere adm-Dateien überprüfen
Wichtig zu wissen ist jedenfalls folgendes: Die adm-Dateien von Windows XP waren umfangreicher und aktueller als die adm-Dateien von Windows 2000 Server, hatten aber dieselben Dateinamen. In der Erstauflage dieses Buches riet ich dazu, die adm-Dateien von Windows XP Professional in das Verzeichnis %SystemRoot%\inf des Windows 2000-Servers zu kopieren und dabei in XP-xyz.adm umzubenennen. Die Originaldateien von Windows 2000 Server sollten also nicht mit den Windows XP adm-Dateien überschrieben werden. Ich begründete dieses Vorgehen damit, dass man so nicht Gefahr laufe, durch ein späteres Einspielen eines Windows 2000 Server Service Packs die aktuelleren Windows XP adm-Dateien mit Dateien des Service Packs zu überschreiben, welche die Besonderheiten von Windows XP wieder nicht berücksichtigten. Meine Befürchtungen sollten sich als richtig erweisen: Das später veröffentlichte Service Pack 4 zu Windows 2000 Server enthielt wiederum adm-Dateien mit einem alten Stand. Hätten Sie z.B. die Datei System.adm von Windows XP in das Verzeichnis %SystemRoot%\inf des Windows 2000-Servers kopiert und dabei nicht in XP-System.adm umbenannt, so wäre diese Datei beim späteren Einspielen des Windows 2000 Server SP4 durch eine system.adm ersetzt worden, die die Besonderheiten von Windows XP nicht berücksichtigt und eine viel geringere Anzahl von Richtlinien enthält, eben nur diejenigen, welche von den Microsoft Entwicklern für Windows 2000 Professional erstellt wurden. Man kann den Eindruck gewinnen, als wenn beim Hersteller des Service Packs die rechte Hand nicht weiß,...?
Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien
Wenn Sie nunmehr die adm-Dateien von Windows Server 2003 mit den adm-Dateien von Windows XP mit SP1 ansehen, werden Sie feststellen, dass die adm-Dateien von Windows Server 2003 alle Richtlinien enthalten, um Windows XP zentral zu verwalten. Sie könnten also auf die Idee kommen, dass Sie mit den Windows Server 2003 adm-Dateien arbeiten können. Doch mit dem SP2 zu Windows XP kommen auch neue Richtlinien hinzu. Die adm-Dateien im Verzeichnis %SystemRoot%\inf eines Windows XP-Clients mit SP2 werden also einen aktuelleren Stand haben als die gleichnamigen Dateien im gleichnamigen Windows Server 2003-Verzeichnis. Folglich werden Sie diese aktuelleren adm-Dateien in das Verzeichnis %SystemRoot%\inf des Servers übernehmen müssen. Wenn Sie den Dateien bei der Übernahme auf den Server nicht einen neuen Namen geben, besteht dann wieder die Gefahr, dass beim Einspielen eines zukünftigen Service Packs zu Windows Server 2003 die aktuelleren Dateien durch alte Versionen überschrieben werden, weil die Microsoft Entwickler vielleicht erneut vergessen haben, im Service Pack auch die adm-Dateien auf den neuesten Stand zu bringen. Deshalb mein dringender Rat:
Benennen Sie die adm-Dateien vorher bei der Übernahme in das Serververzeichnis %SystemRoot%\inf um, z.B. in XP-xyz.adm. Ein zweiter Rat: Überprüfen Sie jedes Mal, wenn ein Service Pack zu Windows XP, Windows Server 2000/2003 oder Office XP/2003 erscheint, welche Version der gleichnamigen adm-Dateien die aktuellere ist. Verlassen Sie sich dabei nicht unbedingt auf das Erstellungsdatum der Datei. Überprüfen Sie vielmehr, ob alle benötigten Richtlinien enthalten sind. Die Größe der adm-Dateien ist ein erster Hinweis.
Wenn es mehrere Domänencontroller im Active Directory gibt, so müssen alle adm-Dateien auf allen Domänencontrollern auf demselben Stand sein. Das bedeutet, dass neuere adm-Dateien in die Verzeichnisse %SystemRoot%\inf aller Domänencontroller eingespielt werden müssen. Allein deshalb ist es sinnvoll, alle aktuellen adm-Dateien in einem zentralen Serververzeichnis zu sammeln und dort auf dem aktuellsten Stand zu halten. Liegt dieses Verzeichnis in der Freigabe Netlogon , so wird es automatisch auf alle anderen Domänencontroller repliziert. Aktualisierte adm-Dateien werden dann ebenfalls repliziert. Sie müssen sich lediglich nacheinander an den verschiedenen Domänencontrollern anmelden und dieselben neuen adm-Dateien aus der Freigabe Netlogon des Servers in dessen Verzeichnis %SystemRoot%\inf kopieren, und dabei aus den angesprochenen Gründen umbenennen!
Nehmen Sie das Einspielen der jeweils aktuellen adm-Dateien in eine Checkliste für die Installation neuer Domänencontroller auf. Muss ein defekter oder unterdimensionierter Domänencontroller ausgetauscht werden, so besteht die Gefahr, dass dieser mit alten adm-Dateien bespielt wird.
Auch bezüglich der Installation weiterer Domänencontroller wäre es vorteilhaft, wenn adm-Dateien in einem Verzeichnis lägen, dass wie die Freigabe Netlogon automatisch repliziert wird. Auf allen Domänencontrollern würden durch die Replikation immer dieselben Versionen von Gruppenrichtlinienvorlagedateien liegen.
Windows XP-Gruppenrichtlinien analysieren
Um nun herauszufinden, welche Gruppenrichtlinien dieser Windows XP-Vorlagedateien genutzt werden sollten, richten Sie eine Organisationseinheit Company unterhalb der Domäne Company.local ein. Unterhalb der OU Company (OU = Organization Unit) richten Sie zwei weitere Sub-OUs mit den Bezeichnungen Computer und Benutzer ein. Verschieben Sie den Computer MUSTERPC aus dem Container Computers bzw. RIS in die neue Sub-OU Computer unterhalb der OU Company , denn Gruppenrichtlinien wirken immer nur auf Objekte, die im zugehörigen Container liegen.
Erstellen Sie in der Sub-OU Benutzer eine neue Kennung Testuser mit dem vollen Namen Hugo Testuser . Wenn diese Kennung bereits existiert, weil Sie sie bereits beim Durcharbeiten des Kapitels eines anderen Kapitels benutzt haben, so löschen Sie zuerst sowohl die Kennung als auch ein eventuell vorhandenes Basisverzeichnis (Userhome Directory) und Profilverzeichnis (Roaming Profile Directory), um ohne Vorlasten zu testen.
Nachfolgend wird davon ausgegangen, dass Sie das neue Gruppenrichtlinienwerkzeug GPMC.MSI noch nicht installiert haben. Ist das der Fall, so ist die Vorgehensweise ähnlich, jedoch stimmen dann die Abbildungen nicht mit Ihrer Testumgebung überein. Bei Windows Small Business Server 2003 wird die GPMC.MSI standardmäßig mitinstalliert.
Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Computer ein: Öffnen Sie die Eigenschaften der Sub-OU, dort die Registerkarte Gruppenrichtlinien und starten Sie die Schaltfläche Neu . Als Name für die neue Gruppenrichtlinie wählen Sie XP-Standardcomputer , weil diese Richtlinie für den Standardcomputer gelten soll.
Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Benutzerdefinierte Konfigurationseinstellungen deaktivieren . Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_LOCAL_MACHINE der Registrierdatenbank angewendet wird, führt die Deaktivierung der benutzerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.
|
|
Benutzerdefinierte Konfigurationseinstellungen deaktivierenKlick aufs Bild zum Vergrößern
Benutzerdefinierte Konfigurationseinstellungen deaktivieren Klick aufs Bild zum Vergrößern
Wählen Sie OK und danach Bearbeiten . Wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/entfernen . Im neuen Fenster Vorlagen hinzufügen/entfernen sehen Sie die Standardvorlagedateien, die beim Erstellen einer neuen Gruppenrichtlinie geladen werden. Es handelt sich um die Dateien conf.adm , inetres.adm und system.adm .
|
|
Vorlagedateien hinzufügen/entfernenKlick aufs Bild zum Vergrößern
Vorlagedateien hinzufügen/entfernen Klick aufs Bild zum Vergrößern
Beim Erstellen einer neuen Gruppenrichtlinie wird im Verzeichnis %SystemRoot%\SYSVOL\sysvol\Company.local\Policies ein Unterverzeichnis generiert, dessen Name eine kryptische Aneinanderreihung von Buchstaben und Zahlen, eingeschlossen in geschweiften Klammern ist.
|
|
Neues VerzeichnisKlick aufs Bild zum Vergrößern
Neues Verzeichnis Klick aufs Bild zum Vergrößern
Wenn Sie die Eigenschaften der Gruppenrichtlinie aufrufen, finden Sie diesen Verzeichnisnamen in der Registerkarte Allgemein im Feld Eindeutiger Name .
Unterhalb dieses Verzeichnisses werden die Unterverzeichnisse ADM , Machine und User automatisch erzeugt und die Dateien conf.adm , inetres.adm und system.adm aus dem Verzeichnis %SYSTEMROOT%\inf in das generierte Verzeichnis ADM kopiert. Arbeiten Sie mit Windows 2000 Server, so handelt es sich um Vorlagedateien für Windows 2000 Server bzw. für Windows 2000 Professional. Arbeiten Sie mit Windows Server 2003, so sind diese Vorlagedateien bereits für Windows XP erweitert. Jedoch sind nicht die Erweiterungen eingearbeitet, die durch das SP2 von Windows XP hinzukommen.
Wenn Sie unter Windows 2000 Server die Vorlagedateien von Windows XP verwenden wollen, müssen Sie im Fenster Vorlagen hinzufügen/entfernen die drei Vorlagen conf , inetres und system zuerst über die Schaltfläche Entfernen entladen und dann über die Schaltfläche Hinzufügen die gewünschten XP-Vorlagen laden.
Da die Vorlagedateien von Windows XP dieselben Namen haben wie die Vorlagedateien von Windows Server 2000/2003, können Sie später in einer komplexeren Umgebung nicht mehr unterscheiden, ob in einer bestimmten Gruppenrichtlinie die Vorlagedateien von Windows 2000/2003 oder von Windows XP geladen wurden. Ich schlage Ihnen deshalb vor, zuerst alle von Windows XP übernommenen Dateien *.adm in XP-*.adm umzubenennen, in das Verzeichnis %SystemRoot%\inf des Server einzuspielen und diese XP-*.adm-Vorlagedateien hinzuzufügen.
Da Sie später die Windows XP-Gruppenrichtlinien-Vorlagedateien und auch selbst erstellte ADM-Vorlagedateien noch oft hinzuladen werden, bietet es sich an, die in XP-xyz.adm umbenannten Vorlagedateien von Windows XP in das Verzeichnis %SYSTEMROOT%\inf des Servers zu kopieren, denn dann werden diese Vorlagedateien wie die Original-Windows 2000/2003-Vorlagedateien sofort angezeigt, sobald Sie die Schaltfläche Hinzufügen im Fenster Vorlagen hinzufügen/entfernen anklicken.
adm-Dateien sind abwärtskompatibel
Die für Windows XP erweiterten adm-Dateien sind bezüglich Windows 2000 Professional abwärtskompatibel. Abwärtskompatibilität bedeutet in diesem Fall, dass die Vorlagedateien von Windows XP auch in einer Mischumgebung von Clients mit Windows 2000 Professional und Windows XP verwendet werden können. Die speziellen Erweiterungen dieser adm-Dateien um Richtlinien für Windows XP werden von Windows 2000 Professional-Clients ignoriert.
Wichtiger Hinweis: Gruppenrichtlinien-Vorlagedatei (*.adm-Datei) erweitern nur die Kategorie Administrative Vorlagen . Diese Kategorie finden Sie sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration , wenn Sie eine Gruppenrichtlinie über die Schaltfläche Bearbeiten öffnen. Wenn Sie eine *.adm-Datei hinzufügen, werden jedoch die neuen Richtlinien nicht immer sofort angezeigt. Um sicher zu sein, dass Sie alle Richtlinien anschließend in beiden Kategorien Computerkonfiguration als auch Benutzerkonfiguration sehen, schließen Sie nach dem Hinzuladen einer adm-Datei die Gruppenrichtlinie und öffnen sie erneut über die Schaltfläche Bearbeiten .
Doch welche der XP-Gruppenrichtlinien-Vorlagedateien sollen geladen werden? Welche Funktion haben die verschiedenen adm-Dateien? Sie können alle Windows XP-ADM-Dateien mit Notepad.exe ansehen und bearbeiten. Sie können auch alle Windows XP-ADM-Dateien einzeln nacheinander laden, um zu sehen, welche Änderungen sich jeweils unter Computerkonfiguration und unter Benutzerkonfiguration ergeben. Dabei stellen Sie folgendes fest:
XP-conf.adm ist für Netmeeting-Richtlinien zuständig und stellt Richtlinien unter Computerkonfiguration und unter Benutzerkonfiguration zur Verfügung.
XP-inetcorp.adm stellt unter Benutzerkonfiguration eine Richtlinie für die Wartung des Internet Explorers zur Verfügung, die sich aber nicht starten lässt.
XP-inetres.adm ist für ebenfalls für den Zugriff auf das Internet zuständig und stellt hierfür sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration Richtlinien bereit.
XP-system.adm stellt sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration viele wichtige Richtlinien bereit.
XP-wmplayer enthält nur benutzerbezogene Gruppenrichtlinieneinstellungen für den Windows Media Player.
XP-wuau.adm enthält nur maschinenbezogene Gruppenrichtlinie für den Windows Update Service.
Solange Sie Netmeeting nicht einsetzen, sollten Sie die Gruppenrichtliniendatei XP-conf.adm nicht hinzuladen. Für die gerade in der OU Computer erstellte Gruppenrichtlinie XP-Standardcomputer sind die Richtliniedateien XP-inetres.adm , XP-system.adm , XP-wuau.adm interessant.
In der OU Benutzer werden wir später eine Gruppenrichtlinie mit dem Namen XP-Standardbenutzer erstellen. Für diese Gruppenrichtlinie werden dann die Gruppenrichtliniendateien XP-inetres.adm , XP-system.adm und XP-wmplayer.adm geladen.
Festlegen der Windows XP-Gruppenrichtlinien für den Standard-Computer
Wählen Sie nun die Eigenschaften der Gruppenrichtlinie XP-Standardcomputer in der OU Computer an, klicken Sie auf Bearbeiten , wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/ entfernen . Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows Server 2000/2003-Vorlagen conf , inetres und system . Danach fügen Sie die Windows XP-Vorlagen XP-inetres.adm , XP-system.adm und XP-wuau.adm hinzu.
|
|
Vorlagen hinzufügenKlick aufs Bild zum Vergrößern
Vorlagen hinzufügen Klick aufs Bild zum Vergrößern
Jetzt werden alle Richtlinien in der Kategorie Computerkonfiguration durchgesehen und wichtige Richtlinien aktiviert bzw. konfiguriert.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Die Aktivierung der Richtlinie Periodische Überprüfung auf Softwareaktualisierungen von Internet Explorer deaktiviert die Überprüfung, ob eine neue Version des Browsers verfügbar ist. Wenn Sie diese Richtlinie aktivieren, wird die Überprüfung, ob die aktuellste verfügbare Browserversion installiert ist, und die Benachrichtigung über eine verfügbare neue Version deaktiviert. Ohne Aktivierung dieser Richtlinie wird standardmäßig im Abstand von 30 Tagen überprüft, ob eine neue Version verfügbar ist.
Die Aktivierung der Richtlinie Anzeigen des Begrüßungsbildschirms beim Programmstart deaktiviert die Anzeige des Internet Explorer-Begrüßungsbildschirms beim Browserstart.
In der Kategorie Windows Installer können Sie die Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren, wodurch ein einfacher Benutzer keine neuen Systemwiederherstellungspunkte über Start – Programme – Zubehör – Systemprogramme – Systemwiederherstellung mehr erzeugen darf.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Standardmäßig erstellt Windows Installer bei jeder Installation einer Anwendung automatisch einen Systemwiederherstellungsprüfpunkt. Dadurch können Benutzer ihren Computer in dem Zustand wiederherstellen, den er vor der Installation der Anwendung aufwies. Durch die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren kann nur noch ein Administrator über Start – Programme – Zubehör – Systemprogramme – Systemwiederherstellung einen neuen Prüfpunkt erstellen. Jeder andere Anwender erhält bei dem Versuch folgende Fehlermeldung.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Beachten Sie bitte, dass es zwei weitere Richtlinien in der Kategorie Computerkonfiguration – Administrative Vorlagen – System – Systemwiederherstellung gibt:
Systemwiederherstellung deaktivieren und Konfiguration deaktivieren .
Die Richtlinie Systemwiederherstellung deaktivieren legt fest, ob die Systemwiederherstellung ein- oder ausgeschaltet ist. Standardmäßig ist die Systemwiederherstellung eingeschaltet. Wenn der Administrator auf einem Windows XP-Computer über die Systemsteuerung das Icon System startet und die Registerkarte Systemwiederherstellung anwählt, stellt er fest, dass per Standardeinstellung der Maximalwert für Systemwiederherstellungsprüfpunkte 12 % der Systempartition beträgt.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
In der Registrierdatenbank finden Sie unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore den Schlüssel DiskPercent . Bei aktivierter Systemwiederherstellung hat er den Wert 12 , bei deaktivierter Systemwiederherstellung den Wert c . Hier finden Sie auch den Schlüssel DisableSR , der bei Deaktivierung von 0 auf 1 umgestellt wird. Wird eine der Richtlinien Systemwiederherstellung deaktivieren oder Konfiguration deaktivieren eingestellt, so finden Sie nach dem nächsten Start des Windows XP-Computers unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore die Schlüssel DisableRestore und DisableConfig mit entsprechenden Werten.
Die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren erzeugt unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer den Schlüssel LimitSystemRestoreCheckpointing .
Durch die Aktivierung der Richtlinie Systemwiederherstellung deaktivieren wird auch für den Administrator unter Systemsteuerung – System die Registerkarte Systemwiederherstellung komplett ausgeblendet.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Die Beschreibung der zweiten Richtlinie Konfiguration deaktivieren ist ein wenig verwirrend:
Die Systemwiederherstellung ermöglicht es dem Benutzer bei Vorliegen eines Problems den Computer auf einen vorherigen Zustand zurückzusetzen, ohne persönliche Dateien zu verlieren. Das Verhalten dieser Einstellung ist abhängig von der Einstellung von "Systemwiederherstellung deaktivieren".
Wenn Sie diese Einstellung aktivieren, verschwindet die Möglichkeit, die Systemwiederherstellung auf der Konfigurationsschnittstelle zu konfigurieren. Wenn die Einstellung "Konfigurationseinstellung deaktivieren" deaktiviert ist, ist die Konfigurationsschnittstelle noch sichtbar, es werden jedoch alle Standardwerte der Systemwiederherstellungskonfiguration erzwungen. Wenn Sie sie nicht konfigurieren, bleibt die Konfigurationsschnittstelle für die Systemwiederherstellung, der Benutzer kann die Systemwiederherstellung konfigurieren.
Alles verstanden? Gemeint ist folgendes: Wenn die Richtlinie Systemwiederherstellung deaktivieren "nicht konfiguriert" ist und die Richtlinie Konfiguration deaktivieren deaktiviert ist, kann der Administrator die Registerkarte Systemwiederherstellung zwar über Systemsteuerung – System aufrufen, sieht darin, dass die Systemwiederherstellung über eine Gruppenrichtlinie deaktiviert wurde, er kann diese Einstellung aber nicht verändern. Ein einfacher Benutzer sieht auch weiterhin nicht die Registerkarte " Systemwiederherstellung ".
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Da Sie in Ihrer Organisation nur durchgetestete und mit Ihrer Umgebung kompatible Anwendungen einsetzen werden und der einfache Anwender keine weiteren Anwendungen oder Hardwaretreiber installieren darf, können Sie wahrscheinlich auf das Windows XP Feature Systemwiederherstellung verzichten, auf jeden Fall aber unterbinden, dass der Standardanwender neue Systemwiederherstellungspunkte erstellen darf. Die Systemwiederherstellungspunkte speichern auf der lokalen Festplatte den Zustand des Systems vor der Installation einer neuen Anwendung, dadurch geht Speicherplatz verloren. Da Sie noch einige Standardanwendungen wie Microsoft Office, den Adobe Reader und vielleicht noch eine kaufmännische Anwendung mitsichert. Bevor Sie ein Abbild ziehen, können Sie zumindest für diese vorher durchgetesteten Anwendungen die Erstellung von Systemwiederherstellungspunkten deaktivieren.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Falls die Richtlinie Automatische Updates konfigurieren deaktiviert ist, müssen alle verfügbaren Updates vom Administrator auf der Windows Update-Website manuell herunter geladen, getestet und zur Installation freigegeben werden. Dazu kann später auch ein Server mit den SUS-Diensten (SUS = Software Update Service) installiert werden. Die Clients versuchen also nicht, selbständig und ohne Ihre Kontrolle Updates zu installieren.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Über die Aktivierung der Richtlinien Windows-Installationsdateipfad angeben und Windows Service Pack-Installationspfad angeben können Sie erreichen, dass die Quelldateien von nachzuinstallierende Komponenten im Verzeichnis Install\WindowsXP des Servers gesucht werden, statt vom CD-ROM-Laufwerk bzw. aus der Freigabe RemoteInstall eines Servers, von dem ursprünglich mittels RIS der Client aufgesetzt wurde. Im Kapitel »Das Anmeldeskript« lesen Sie, dass es sinnvoll ist, für alle Anwender im Anmeldeskript das Laufwerk U:\ oder ein anderes fest für diesen Zweck definiertes Laufwerk über den Befehl net use u: \\Servername\Install mit dem Software-Archiv des Servers am jeweiligen Standort zu verbinden. Wenn Sie diese beiden Richtlinien aktivieren und als Pfad jeweils U:\WindowsXP eintragen, können Komponenten von Windows XP jederzeit nachinstalliert werden, vorausgesetzt, der angemeldete Anwender hat die Berechtigungen zur Installation von Komponenten.
In der Kategorie Computerkonfiguration – Administrative Vorlagen – System – Benutzerprofile sollten Sie auf jeden Fall die Richtlinie Sicherheitsgruppe » Administratoren « zu servergespeicherten Profilen hinzufügen aktivieren.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Der Hintergrund ist folgender: Wenn Sie auf dem Server ein Verzeichnis mit dem Namen Profiles anlegen und unter demselben Namen freigeben, so können Sie für bestimmte Anwender so genannte servergespeicherte Benutzerprofile (Roaming Profiles) anlegen. Wenn Sie anschließend für die Kennung Testuser in der Registerkarte Profil als Profilpfad \ \s1profiles\%Username% eintragen, wird bei der nächsten Anmeldung des Anwenders Testuser automatisch unterhalb der Freigabe Profiles ein Verzeichnis mit der Anmeldekennung des sich anmeldenden Anwenders erzeugt und das Profil der Kennung von C:\Dokumente und Einstellungen\Testuser dorthin kopiert. Jedoch erhält nur das System und der Anwender Testuser selbst Vollzugriff auf das generierte Profilverzeichnis \\s1\profiles\Testuser , der Administrator kann es nicht einmal einsehen. Durch die Aktivierung der Richtlinie Sicherheitsgruppe » Administratoren « zu servergespeicherten Profilen hinzufügen erhält auch der Administrator Vollzugriff auf neu erstelle Profilverzeichnisse des Servers. Ohne dieses Recht ist aber der Administrator z.B. nicht berechtigt, dieses Serververzeichnis zu löschen, wenn die Kennung Testuser nicht mehr benötigt wird und damit auch das servergespeicherte Benutzerprofil gelöscht werden soll.
Durch die Aktivierung der Richtlinie Benutzer bei Fehlschlag des servergespeicherten Profils abmelden können Sie verhindern, dass ein Benutzer sich mit der unter C:\Dokumente und Einstellungen vorhandenen lokalen Kopie des servergespeicherten Profils auch dann lokal anmelden kann, wenn kein Anmeldeserver antwortet bzw. der Server mit dem servergespeicherten Profil nicht antwortet.
Diese Richtlinie sollten Sie nicht für Laptops aktivieren, denn Laptop -Besitzer sollen sich ja gerade auch dann anmelden können, wenn ihr Laptop nicht mit dem Netzwerk verbunden ist! Für anderen Clients ist es durchaus sinnvoll, diese Richtlinie zu aktivieren. Denn wenn das servergespeicherte Profil nicht zur Verfügung steht, stehen oftmals auch andere wichtige Verzeichnisse wie das Gruppenablageverzeichnis, das Basisverzeichnis des Anwenders, die Netzwerkdrucker oder der Exchange Server nicht zur Verfügung, zumindest dann, wenn sich diese Verzeichnisse und Dienste auf dem Server befinden, zu dem der Client keine Verbindung aufbauen kann. Kann der Benutzer sich trotzdem mit einem lokalen temporären Profil anmelden, so findet er anschließend nicht seine durchkonfigurierte Arbeitsumgebung vor. Er beginnt zu arbeiten, kann anschließend seine neuen Dokumente nicht an gewohnter Stelle speichern oder drucken. Entweder schickt er Ihnen eine E-Mail und oder bittet Sie telefonisch um Hilfe. Nur werden Sie gerade jetzt fürchterlich in Stress sein, weil wahrscheinlich ein Serverausfall all diese Probleme verursachte.
Das Aktivieren der Richtlinie Willkommenseite für Erste Schritte bei der Anmeldung nicht anzeigen blendet die Willkommenseite aus, die bei jeder ersten Benutzeranmeldung auf Windows 2000 Professional und Windows XP Professional angezeigt wird.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Durch das Aktivieren der Richtlinie Immer klassische Anmeldung verwenden wird der Benutzer gezwungen, sich mit dem klassischen Anmeldefenster am Computer anzumelden. Dieses Anmeldefenster hat das alte Design von Windows 2000 Professional. Bei einem Windows XP-Comuter, der nicht an eine Domäne angebunden ist, werden im Anmeldefenster standardmäßig die lokal eingerichteten Benutzerkennungen angezeigt. Über Systemsteuerung – Benutzerkonten – Art der Benutzeranmeldung ändern können Sie aber auch unter Windows XP die Option Willkommenseite verwenden deaktivieren und das klassische Anmeldefenster erzwingen, das die Eingabe eines Kontonamens erfordert. Bei Windows XP-Clients, die Mitglieder einer Domäne sind, wird immer das klassische Anmeldefenster angezeigt.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Die Aktivierung der Richtlinie Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten wird in der Erklärung der Richtlinie wie folgt beschrieben und sollte deshalb aktiviert werden:
Legt fest, ob Windows XP beim Start des Computers und bei der Benutzeranmeldung auf das Netzwerk wartet. Standardmäßig wartet Windows XP beim Start und bei der Benutzeranmeldung nicht, bis das Netzwerk vollständig konfiguriert ist. Vorhandene Benutzer werden angemeldet, indem zwischengespeicherte Zugangsberechtigungen verwendet werden, was zu kürzeren Anmeldezeiten führt. Wenn das Netzwerk verfügbar wird, werden im Hintergrund Gruppenrichtlinien angewendet.
Man beachte, dass dies eine Aktualisierung im Hintergrund ist, Erweiterungen wie Softwareinstallation und Ordnerumleitung zwei Anmeldungen benötigen, damit die Änderungen wirksam werden. Um sicher arbeiten zu können, erfordern diese Erweiterungen, dass keine Benutzer angemeldet sind. Daher müssen sie im Vordergrund bearbeitet werden, bevor Benutzer den Computer aktiv verwenden. Zusätzlich dazu kann es sein, dass für Änderungen am Benutzerobjekt, wie z.B. Hinzufügen eines Pfades eines servergespeicherten Profils, eines Basisverzeichnisses oder eines Benutzerobjekt-Anmeldeskripts das Erkennen von bis zu zwei Anmeldungen erforderlich ist….
Hinweis: Wenn Sie die Anwendung der Ordnerumleitung, Softwareinstallation oder der Einstellungen von servergespeicherten Profilen in nur einem Anmeldevorgang garantieren wollen, aktivieren Sie diese Einstellung, um sicherzustellen, dass Windows darauf wartet, dass das Netzwerk zur Verfügung steht, bevor die Richtlinien angewendet werden.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Über die Aktivierung der Richtlinie Remoteunterstützung anbieten können Sie einzelne Mitarbeiter oder eine Gruppe von Mitarbeitern angeben, die die Steuerung eines anderen Computers übernehmen darf, um vom eigenen Arbeitsplatz aus einem Mitarbeiter Hilfe anzubieten (Fernwartung). Dazu muss dann auch die Richtlinie Angeforderte Remoteunterstützung aktiviert werden. In der Richtlinie Remoteunterstützung anbieten müssen Sie außerdem einzelne Helpdesk-Benutzer oder besser eine Sicherheitsgruppe wie z.B. Helpdesk-Mitarbeiter und die Gruppe Domänen-Admins als berechtigte Helfer einsetzen. Beachten Sie dabei das zu verwendende Format:
Wenn die Richtlinien Fehlerbenachrichtigung anzeigen und Fehler melden deaktiviert sind, werden Meldungen über Programmfehler nicht an Microsoft gesendet. Wenn derartige Programmfehler wiederholt auftreten, wird es Ihr Job sein, diese zu beheben. Hoffen Sie nicht, dass Microsoft-Mitarbeiter Ihnen diese Arbeit abnehmen. Sie können die Richtlinie also deaktivieren.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Durch die verschiedenen Richtlinien unter Offlinedateien können Sie verhindern, dass sensible Unternehmensdaten durch die Offline-Synchronisation auf lokale Festplatten geraten. Wenn in Ihrem Unternehmen alle Daten nur auf den Servern liegen sollen und es keine Mitarbeiter gibt, die mit Laptops arbeiten und Dokumente auch offline zuhause oder beim Kunden im Zugriff haben sollen, so können Sie über diese Richtlinien bereits in der Computerkonfiguration verhindern, dass Daten zwischen dem Server und dem Client synchronisiert werden oder der Anwender an den Einstellungen der Offline-Synchronisation manipulieren kann. Überlegenswert ist es, in einer speziellen OU alle Laptops und Tablet -PCs zusammen zu fassen und dort über geeignete Richtlinien die Nutzung von Offline-Dateien wieder zuzulassen.
Sie können jedoch dieselben Einstellungen auch unter Benutzerkonfiguration vornehmen. Wenn es also eine Benutzer-Sicherheitsgruppe gibt, die offline mit Firmendaten arbeiten müssen, so sollten Sie diese Einstellungen nicht unter Computerkonfiguration vornehmen, sondern spezielle Offline-Gruppenrichtlinien für bestimmte Anwendergruppen erstellen und die Richtlinien in der Benutzerkonfiguration vornehmen.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Ein wichtiger Hinweis: Einstellungen in der Kategorie Computerkonfiguration überschreiben in der Regel gleichnamige Einstellungen in der Kategorie Benutzerkonfiguration !
Das Thema »mobile Anwender« gewinnt immer mehr an Bedeutung und ist nicht nur technisch komplex. Wenn Sie darüber hinaus Windows Terminal einsetzen, potenziert sich die Komplexität. Dieses Thema und die damit verbundenen Probleme (Sicherheit der Daten, Synchronisation der Daten mit dem Server usw.) müssen Sie deshalb separat behandeln. Erstellen Sie zuerst eine funktionierende Konfiguration für einen Arbeitsplatzcomputer, der ständig online ist. Haben Sie diese Konfiguration im Griff, so können Sie in einer speziellen Testumgebung Schritt für Schritt herausfinden, was Sie an den Skripten, den Installationsroutinen und den Gruppenrichtlinien modifizieren und verfeinern müssen, um auch spezielle Arbeitsplätze wie Laptops, Tablet-PC oder Terminalserver-Clients in den Griff zu bekommen.
Wo werden die Einstellungen im Bereich »Computerkonfiguration« auf dem Domänencontroller gespeichert?
Sie haben nun über das Snap-In Active Directory- Benutzer und - Computer Änderungen an einer Gruppenrichtlinie im Bereich Computerkonfiguration vorgenommen, und diese Änderungen werden in der Registrierdatenbank jedes Clients vorgenommen, der sich in der OU Computer befindet. Wo auf dem Server werden aber diese Änderungen abgespeichert? Im Verzeichnis %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies\{Eindeutiger Name der Gruppenrichtlinie}\Machine finden Sie jetzt eine Datei namens Registry .pol . Wenn Sie die Datei Registry.pol mit einem Hex-Editor öffnen, können Sie lesen, in welchen Pfaden der Registry Änderungen vorgenommen werden: Unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies und unter HKEY_LOCAL_MACHINE\Software\Policies . Da die gesamte Gruppenrichtlinie unterhalb von %SYSTEMROOT%\SYSVOL gespeichert wird und da das gesamte Verzeichnis %SYSTEMROOT%\SYSVOL zwischen allen Domänencontrollern der Domäne repliziert wird, muss ein Client-Computer, der in einem anderen Standort steht, nicht bei jedem Start die Gruppenrichtlinie über die langsame WAN-Verbindung von dem Server auslesen, auf dem die Gruppenrichtlinie erstellt wird. Der Client in einer Filiale meldet sich an einem Domänencontroller in der Filiale an und liest die auf diesen Domänencontroller replizierte Gruppenrichtlinie aus. Das verringert die Netzlast und führt zu einer besseren Verfügbarkeit des gesamten Netzwerks, wenn irgendwo in der Organisation einmal ein Domänencontroller ausfällt oder gewartet werden muss und somit nicht verfügbar ist.
Festlegen der Gruppenrichtlinien für den Standard-Benutzer
Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Benutzer ein. Die Sub-OU Benutzer befindet sich unterhalb der OU Company . Wählen Sie die Eigenschaften der OU, dort die Registerkarte Gruppenrichtlinien und dann die Schaltfläche Neu . Als Name für die neue Gruppenrichtlinie wählen Sie XP-Standardbenutzer , weil diese Richtlinie für den Standardanwender gelten soll. Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Konfigurationseinstellungen des Computers deaktivieren . Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_CURRENT_USER der Registrierdatenbank angewendet wird, führt die Deaktivierung der computerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.
Klicken Sie auf OK, dann auf Bearbeiten . Klicken Sie unter Benutzerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und wählen Sie Vorlagedateien hinzufügen/entfernen . Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows Server 2000/2003-Vorlagen conf , inetres und system . Danach fügen Sie die Vorlagen XPinetres.adm , XPsystem.adm und XP-wmplayer hinzu.
Nachfolgend werden alle Änderungen im Bereich Benutzerkonfiguration dieser Gruppenrichtlinie aufgeführt, die für unsere Testumgebung sinnvoll erscheinen. In einer komplexen Produktionsumgebung werden Sie jedoch weitere Gruppenrichtlinien aktivieren und die Möglichkeiten, die der Standardbenutzer hat, um sich seine Arbeitsumgebung einzustellen, mehr oder weniger einschränken.
Die Gruppenrichtlinien im Bereich Benutzerkonfiguration sind sehr umfangreich. Sie können die Arbeitsoberfläche eines Anwenders über Gruppenrichtlinien so stark einschränken, dass der Desktop und das Startmenü starr vorgeschrieben sind und nicht durch den Anwender verändert werden können, dass der Anwender nur ganz bestimmte Anwendungen (namentlich in einer Positivliste genannte ausführbare Dateien) starten kann und keinen Zugriff auf bestimmte lokale Laufwerke, Verzeichnisse oder die Registrierdatenbank erhält. Sie können jedoch auch die Anwender in Gruppen kategorisieren und bestimmten Powerusern mehr Manipulationsrechte zubilligen, indem Sie mehrere Gruppenrichtlinien definieren und durch eine geschickte Rechtevergabe steuern, welche Anwendergruppe von welcher Gruppenrichtlinie betroffen ist.
In unserem Testszenario wird später eine zweite Gruppenrichtlinie für fortgeschrittene Anwender wie Abteilungsleiter, Mitarbeiter der Benutzerbetreuung oder Mitarbeiter der IT-Entwicklungsabteilung eingerichtet und gezeigt, wie man mit nur zwei Gruppenrichtlinien ein überschaubares Richtlinienkonzept für alle Mitarbeiter erstellt, das auch nach einigen Monaten nicht mehr nur von dem Systemverwalter, der es erdacht hat, verstanden wird, sondern auch von seinen Kollegen.
Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
Um die Auswirkungen der Änderungen der Gruppenrichtlinie im Bereich Benutzerkonfiguration für einen Standardbenutzer zu sehen, melden Sie sich am Windows XP-Computer unter der Kennung Testuser an. Standardmäßig werden Benutzerrichtlinien alle 90 Minuten im Hintergrund mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten aktualisiert, und natürlich bei der Anmeldung des Benutzers. Da Sie sich aber sicherlich nicht ständig unter der Kennung Testuser ab- und wieder anmelden möchten oder 90 Minuten warten wollen, um die Auswirkung einer geänderten Richtlinie auf den Client testen zu können, können Sie das Aktualisierungsintervall von 90 auf 0 Minuten sowie das zufällige Verzögerungsintervall von 30 auf 0 Minuten heruntersetzen. Dies hat jedoch wahrscheinlich zur Folge, dass der Bildschirm jede Minute bei der Übernahme der Gruppenrichtlinie kurz flackert. Vergessen Sie also nicht, diese Werte später im Produktionsbetrieb wieder auf geeignete Werte (z.B. die Standardwerte) zurückzusetzen.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Richtlinien für Microsoft Internet Explorer
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet-Explorer Wartung – Benutzeroberfläche können Sie mit der Richtlinie Browsertitel den Fenstertitel des Microsoft Internet Explorers ändern. Wenn Sie hier z.B. den Organisationsnamen Company einsetzen, erscheint als Titelleiste Microsoft Internet Explorer bereitgestellt von Company .
Unter Benutzerkonfiguration –Windows-Einstellungen – Internet-Explorer Wartung – Verbindung können Sie mit der Richtlinie Proxyeinstellungen den zu verwendenden Proxy-Server angeben, z.B. einen ISA-Server.
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet-Explorer Wartung – URLs können Sie mit der Richtlinie Favoriten und Links wichtige Favoriten und Links für alle Anwender vorkonfigurieren. Wenn Sie die Option Vorhandene Favoriten und Links löschen markieren, werden nicht mehr die vom Microsoft Internet Browser voreingestellten Favoriten MSN und Radiostationsübersicht sowie die Links Kostenlose Hotmail , Links anpassen , Windows und Windows Media angezeigt.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet Explorer-Wartung – URLs können Sie mit der Richtlinie Wichtige URLs die Startseite und den Suchdienst für alle Anwender vorgeben. Diese Seiten müssen mit dem Ausdruck http:// beginnen.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Die Möglichkeiten, die Sie mit den Richtlinien unter Benutzerkonfiguration – Windows-Einstellungen – Skripts (Anmelden/Abmelden) und unter Benutzerkonfiguration – Windows-Einstellungen – Ordnerumleitung haben, sind vielfältig und äußerst wichtig. Sie werden an anderer Stelle in dieser Artikelserie detailliert beschrieben.
Durch die Aktivierung der Richtlinien Assistenten für Internetzugang deaktivieren , Änderungen der Verbindungseinstellungen deaktivieren und Änderungen der Proxyeinstellungen deaktivieren können Sie sicherstellen, dass die von Ihnen vorgenommenen Voreinstellungen bezüglich des standardisierten Zugangs zum Internet durch den Anwender nicht manipuliert werden können. Wenn Sie z.B. einen ISA-Server einsetzten und für alle Anwender voreingestellt haben, dass der Zugang zum Internet über diesen ISA-Server, der gleichzeitig als Proxy-Server fungiert, erfolgen soll, können Sie mit dieser Richtlinie sicherstellen, dass Anwender nicht unbemerkt ein Modem oder eine IDSN-Karte anschließen und den ISA-Server umgehen.
|
|
RichtlinienKlick aufs Bild zum Vergrößern
Richtlinien Klick aufs Bild zum Vergrößern
Richtlinien für Windows Explorer
Unter Administrative Vorlagen – Windows Explorer erscheint zumindest die Aktivierung folgender Richtlinien sinnvoll:
Klassische Shell aktivieren Diese Einstellung ermöglicht das Entfernen der Funktionen Active Desktop und Webansicht.
Blendet den Menüeintrag »Verwalten« im Windows Explorer-Kontextmenü aus Nur der Administrator, nicht aber der Standardanwender soll den lokalen Computer verwalten können.
Diese angegebenen Datenträger im Fenster »Arbeitsplatz« ausblenden Sie können bestimmte Laufwerke wie die lokalen Laufwerke A: und B: ausblenden. Wenn in Ihrer Organisation bei den Anwendern in der Regel nur Computer ohne Disketten- oder CD-Laufwerke aufgestellt werden, müssen Sie diese Richtlinie nicht konfigurieren.
Registerkarte »Hardware« entfernen Nur der Administrator, nicht jedoch der Standardanwender soll die Hardware manipulieren können.
Registerkarte »DFS« entfernen Der Standardanwender soll keine Änderungen an DFS-Einstellungen vornehmen können.
CD-Brennfunktionen entfernen Sie möchten verhindern, dass ein Anwender interne Daten auf eine CD brennt.
Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
Durch die Aktivierung der Richtlinie Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken wird die Verwendung aller Snap-Ins für den Standardanwender verhindert. In einer großen Organisation werden Sie später bestimmte Mitarbeiter mit eingeschränkten Administ