Windows Server, Windows XP und Office XP/2003 bieten eine Fülle von Gruppenrichtlinien, mit denen die Konfiguration des Clients von zentraler Stelle aus gesteuert werden kann. Über Gruppenrichtlinien lassen sich aber auch Anwendungen installieren. Dieses Kapitel soll nun Klarheit verschaffen, welche Einstellungen des Betriebssystems Windows XP Professional über Gruppenrichtlinien zentral verwaltet werden können. Dabei werden die zum Lieferumfang gehörenden Gruppenrichtlinien analysiert. Sie erfahren aber auch, welche fehlenden Einstellungen Sie über selbst erstellte Gruppenrichtlinien vornehmen können. Gruppenrichtlinien lassen sich für den lokalen Computer, für den Standort, die Domäne oder eine einzelne Organisationseinheit definieren und zusätzlich verknüpfen und das kann zu Konflikten führen. Der Administrator muss deshalb die Arbeitsweise und das Zusammenspiel von Gruppenrichtlinien bis in die Tiefe verstehen.
Teil 1 – Einführung in Gruppenrichtlinien
Teil 3 – Vorlagedateien für fehlende Gruppenrichtlinien selbst erstellen
Teil 4 – Microsoft Office im Netzwerk
Diese Artikelserie ist ein Ausschnitt aus dem „Integrationshandbuch Microsoft-Netzwerk“ von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Galileo Computing. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt. |
Fehlermeldung „String zu lang“
Mit dem Service Pack 2 für Windows XP wurden in den ADM-Vorlagen auch Strings verwendet, die länger als 255 Zeichen sind. Auf Windows 2000 und Windows 2003- Servern kommt es daher beim Öffnen der Gruppenrichtlinien zu einer Fehlermeldung „String ist zu lang…“ Einen entsprechenden Patch stellt Microsoft unter dem KB-Eintrag 842933 bereit.
Table des matières
Gruppenrichtlinien aktualisieren
Standardmäßig werden Computerrichtlinien und Benutzerrichtlinien alle 90 Minuten im Hintergrund mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten aktualisiert, und natürlich beim Start des Computers bzw. bei der Anmeldung des Benutzers. Das Standardintervall von 90 Minuten und das Zufallsverzögerungsintervall von bis zu 30 Minuten zur Aktualisierung der Gruppenrichtlinien kann jedoch auch über zwei Gruppenrichtlinien verändert werden. Über die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Computer unter Computerkonfiguration – Administrative Vorlagen – System – Gruppenrichtlinien können Sie das Aktualisierungsintervall für Computerrichtlinien festlegen.
Gruppenrichtlinien aktualisieren |
Über die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Benutzer unter Benutzerkonfiguration – Administrative Vorlagen – System – Gruppenrichtlinien können Sie das Aktualisierungsintervall für Benutzerrichtlinien festlegen
Gruppenrichtlinien aktualisieren |
Wenn Sie eine Gruppenrichtlinie geändert haben und die Aktualisierung sofort erzwingen wollen, so können Sie dazu auf einem Windows 2000 Server oder Windows 2000 Professional-Client den Befehl secedit mit entsprechenden Parametern verwenden. Der Befehl secedit /? zeigt die möglichen Parameter an. Der Befehl secedit /refreshpolicy machine-policy /enforce aktualisiert unter Windows 2000 die Computergruppenrichtlinien, der Befehl secedit /refreshpolicy userpolicy /enforce aktualisiert die Benutzergruppenrichtlinien.
Unter Windows XP wurde jedoch der Befehl secedit durch den Befehl gpupdate ersetzt. Er aktualisiert lokale und Active Directory–basierte Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen. Die Syntax des Befehls gpupdate lautet:
gpupdate [/target:{computer|user}] [/force] [/wait:Wert] [/logoff] [/boot]
Die Parameter haben folgende Bedeutung:
/target:{computer|user}
Verarbeitet nur die Computereinstellungen oder die aktuellen Benutzereinstellungen. Standardmäßig werden sowohl die Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
/force
Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an.
/wait:Wert
Die Anzahl der Sekunden, die die Richtlinienverarbeitung mit dem Beenden wartet. Der Standardwert beträgt 600 Sekunden. 0 bedeutet nicht warten; –1 bedeutet unbegrenzt warten.
/logoff
Führt nach Abschluss der Aktualisierung eine Abmeldung durch. Dies ist für clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber beim Anmelden des Benutzers verarbeiten. Hierzu gehören Softwareinstallation und Ordnerumleitung durch den Benutzer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die erfordern, dass der Benutzer sich abmeldet.
/boot
Startet den Computer nach Abschluss der Aktualisierung neu. Dies ist für clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber beim Start des Computers verarbeiten. Hierzu gehört Softwareinstallation durch den Computer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die einen Neustart des Computers erfordern.
Der Befehl gpupdate wendet sowohl die Computerrichtlinien als auch die Benutzerrichtlinien sofort an. Der Befehl gpupdate /target:computer wendet nur die Computerrichtlinien erneut an, der Befehl gpupdate /target:user hingegen nur die Benutzerrichtlinien, d.h. die Richtlinien in der Kategorie Benutzerkonfiguration der Gruppenrichtlinie.
Die Windows XP-Vorlagedateien für Gruppenrichtlinien nutzen
Nachdem durch die vorangegangenen Kapitel das Wissen zusammengetragen wurde, wie ein RIS-Server aufgesetzt und mit der RIS-Methode ein Computer mit Windows XP Professional eingerichtet wird, soll dieses Kapitel nun Klarheit verschaffen, welche Einstellungen des Betriebssystems Windows XP Professional über Gruppenrichtlinien zentral verwaltet werden können. In den folgenden Kapiteln werden Sie dann erfahren, welche fehlenden Einstellungen Sie über selbst erstellte Gruppenrichtlinien vornehmen können und wie Sie mit den Gruppenrichtlinien umgehen, die von Office XP/2003 zur Verfügung gestellt werden. Bevor dann das Abbild eines Mustercomputers gezogen werden kann, müssen jedoch weitere Vorarbeiten geleistet werden, die entweder automatisiert oder aufgrund einer Checkliste manuell vorgenommen werden.
Bei der Beschreibung der Gruppenrichtlinien werden auch die Schlüsselwerte genannt, die durch die Konfiguration dieser Richtlinien in der Registrierdatenbank geändert werden. Da Sie ein Systemadministrator und nicht nur ein Mausadministrator sind (?), sollte es Sie auch interessieren, welche Änderungen wo im Betriebssystem vorgenommen werden, wenn diese Gruppenrichtlinien konfiguriert werden.
Gruppenrichtlinien-Vorlagedateien von Windows XP
Wenn Sie Windows XP Professional mit dem neuesten Service Pack installiert haben, finden Sie im Verzeichnis C:\Windows\inf sieben adm-Dateien. Es handelt sich um die Gruppenrichtlinien-Vorlagedateien von Windows XP. Kopieren Sie diese Dateien in das Unterverzeichnis NETLOGON\adm oder ein anderes Verzeichnis des Servers S1, in dem Sie auch andere adm-Dateien wie die von Microsoft Office und die selbst erstellte Gruppenrichtlinien-Vorlagedateien sammeln. NETLOGON ist die Freigabe auf einem Domänencontroller, die Anmeldeskripte aufnimmt.
Die Vorlagedateien, die später in Active Directory zum Zuge kommen, sind diejenigen, die Sie im Gruppenrichtlinieneditor hinzu laden. Beim Vorgang des Hinzuladens von Gruppenrichtlinienvorlagedateien (adm-Dateien) werden im Gruppenrichtlinieneditor alle adm-Dateien aus dem Verzeichnis %SystemRoot%\inf des Servers angezeigt. Nebenbei bemerkt: Dieses Verzeichnis enthält neben adm-Dateien auch noch eine Fülle von inf- und pnf-Dateien. Sicherlich wäre es bei der Konstruktion von Active Directory übersichtlicher geworden, wenn man für adm-Dateien ein separates Verzeichnis, z.B. %SystemRoot%\adm angedacht hätte.
Service Packs auf aktuellere adm-Dateien überprüfen
Wichtig zu wissen ist jedenfalls folgendes: Die adm-Dateien von Windows XP waren umfangreicher und aktueller als die adm-Dateien von Windows 2000 Server, hatten aber dieselben Dateinamen. In der Erstauflage dieses Buches riet ich dazu, die adm-Dateien von Windows XP Professional in das Verzeichnis %SystemRoot%\inf des Windows 2000-Servers zu kopieren und dabei in XP-xyz.adm umzubenennen. Die Originaldateien von Windows 2000 Server sollten also nicht mit den Windows XP adm-Dateien überschrieben werden. Ich begründete dieses Vorgehen damit, dass man so nicht Gefahr laufe, durch ein späteres Einspielen eines Windows 2000 Server Service Packs die aktuelleren Windows XP adm-Dateien mit Dateien des Service Packs zu überschreiben, welche die Besonderheiten von Windows XP wieder nicht berücksichtigten. Meine Befürchtungen sollten sich als richtig erweisen: Das später veröffentlichte Service Pack 4 zu Windows 2000 Server enthielt wiederum adm-Dateien mit einem alten Stand. Hätten Sie z.B. die Datei System.adm von Windows XP in das Verzeichnis %SystemRoot%\inf des Windows 2000-Servers kopiert und dabei nicht in XP-System.adm umbenannt, so wäre diese Datei beim späteren Einspielen des Windows 2000 Server SP4 durch eine system.adm ersetzt worden, die die Besonderheiten von Windows XP nicht berücksichtigt und eine viel geringere Anzahl von Richtlinien enthält, eben nur diejenigen, welche von den Microsoft Entwicklern für Windows 2000 Professional erstellt wurden. Man kann den Eindruck gewinnen, als wenn beim Hersteller des Service Packs die rechte Hand nicht weiß,…?
Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien
Wenn Sie nunmehr die adm-Dateien von Windows Server 2003 mit den adm-Dateien von Windows XP mit SP1 ansehen, werden Sie feststellen, dass die adm-Dateien von Windows Server 2003 alle Richtlinien enthalten, um Windows XP zentral zu verwalten. Sie könnten also auf die Idee kommen, dass Sie mit den Windows Server 2003 adm-Dateien arbeiten können. Doch mit dem SP2 zu Windows XP kommen auch neue Richtlinien hinzu. Die adm-Dateien im Verzeichnis %SystemRoot%\inf eines Windows XP-Clients mit SP2 werden also einen aktuelleren Stand haben als die gleichnamigen Dateien im gleichnamigen Windows Server 2003-Verzeichnis. Folglich werden Sie diese aktuelleren adm-Dateien in das Verzeichnis %SystemRoot%\inf des Servers übernehmen müssen. Wenn Sie den Dateien bei der Übernahme auf den Server nicht einen neuen Namen geben, besteht dann wieder die Gefahr, dass beim Einspielen eines zukünftigen Service Packs zu Windows Server 2003 die aktuelleren Dateien durch alte Versionen überschrieben werden, weil die Microsoft Entwickler vielleicht erneut vergessen haben, im Service Pack auch die adm-Dateien auf den neuesten Stand zu bringen. Deshalb mein dringender Rat:
Benennen Sie die adm-Dateien vorher bei der Übernahme in das Serververzeichnis %SystemRoot%\inf um, z.B. in XP-xyz.adm. Ein zweiter Rat: Überprüfen Sie jedes Mal, wenn ein Service Pack zu Windows XP, Windows Server 2000/2003 oder Office XP/2003 erscheint, welche Version der gleichnamigen adm-Dateien die aktuellere ist. Verlassen Sie sich dabei nicht unbedingt auf das Erstellungsdatum der Datei. Überprüfen Sie vielmehr, ob alle benötigten Richtlinien enthalten sind. Die Größe der adm-Dateien ist ein erster Hinweis.
Wenn es mehrere Domänencontroller im Active Directory gibt, so müssen alle adm-Dateien auf allen Domänencontrollern auf demselben Stand sein. Das bedeutet, dass neuere adm-Dateien in die Verzeichnisse %SystemRoot%\inf aller Domänencontroller eingespielt werden müssen. Allein deshalb ist es sinnvoll, alle aktuellen adm-Dateien in einem zentralen Serververzeichnis zu sammeln und dort auf dem aktuellsten Stand zu halten. Liegt dieses Verzeichnis in der Freigabe Netlogon, so wird es automatisch auf alle anderen Domänencontroller repliziert. Aktualisierte adm-Dateien werden dann ebenfalls repliziert. Sie müssen sich lediglich nacheinander an den verschiedenen Domänencontrollern anmelden und dieselben neuen adm-Dateien aus der Freigabe Netlogon des Servers in dessen Verzeichnis %SystemRoot%\inf kopieren, und dabei aus den angesprochenen Gründen umbenennen!
Nehmen Sie das Einspielen der jeweils aktuellen adm-Dateien in eine Checkliste für die Installation neuer Domänencontroller auf. Muss ein defekter oder unterdimensionierter Domänencontroller ausgetauscht werden, so besteht die Gefahr, dass dieser mit alten adm-Dateien bespielt wird.
Auch bezüglich der Installation weiterer Domänencontroller wäre es vorteilhaft, wenn adm-Dateien in einem Verzeichnis lägen, dass wie die Freigabe Netlogon automatisch repliziert wird. Auf allen Domänencontrollern würden durch die Replikation immer dieselben Versionen von Gruppenrichtlinienvorlagedateien liegen.
Windows XP-Gruppenrichtlinien analysieren
Um nun herauszufinden, welche Gruppenrichtlinien dieser Windows XP-Vorlagedateien genutzt werden sollten, richten Sie eine Organisationseinheit Company unterhalb der Domäne Company.local ein. Unterhalb der OU Company (OU = Organization Unit) richten Sie zwei weitere Sub-OUs mit den Bezeichnungen Computer und Benutzer ein. Verschieben Sie den Computer MUSTERPC aus dem Container Computers bzw. RIS in die neue Sub-OU Computer unterhalb der OU Company, denn Gruppenrichtlinien wirken immer nur auf Objekte, die im zugehörigen Container liegen.
Erstellen Sie in der Sub-OU Benutzer eine neue Kennung Testuser mit dem vollen Namen Hugo Testuser. Wenn diese Kennung bereits existiert, weil Sie sie bereits beim Durcharbeiten des Kapitels eines anderen Kapitels benutzt haben, so löschen Sie zuerst sowohl die Kennung als auch ein eventuell vorhandenes Basisverzeichnis (Userhome Directory) und Profilverzeichnis (Roaming Profile Directory), um ohne Vorlasten zu testen.
Nachfolgend wird davon ausgegangen, dass Sie das neue Gruppenrichtlinienwerkzeug GPMC.MSI noch nicht installiert haben. Ist das der Fall, so ist die Vorgehensweise ähnlich, jedoch stimmen dann die Abbildungen nicht mit Ihrer Testumgebung überein. Bei Windows Small Business Server 2003 wird die GPMC.MSI standardmäßig mitinstalliert.
Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Computer ein: Öffnen Sie die Eigenschaften der Sub-OU, dort die Registerkarte Gruppenrichtlinien und starten Sie die Schaltfläche Neu. Als Name für die neue Gruppenrichtlinie wählen Sie XP-Standardcomputer, weil diese Richtlinie für den Standardcomputer gelten soll.
Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Benutzerdefinierte Konfigurationseinstellungen deaktivieren. Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_LOCAL_MACHINE der Registrierdatenbank angewendet wird, führt die Deaktivierung der benutzerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.
Benutzerdefinierte Konfigurationseinstellungen deaktivieren |
Wählen Sie OK und danach Bearbeiten. Wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/entfernen. Im neuen Fenster Vorlagen hinzufügen/entfernen sehen Sie die Standardvorlagedateien, die beim Erstellen einer neuen Gruppenrichtlinie geladen werden. Es handelt sich um die Dateien conf.adm, inetres.adm und system.adm.
Vorlagedateien hinzufügen/entfernen |
Beim Erstellen einer neuen Gruppenrichtlinie wird im Verzeichnis %SystemRoot%\SYSVOL\sysvol\Company.local\Policies ein Unterverzeichnis generiert, dessen Name eine kryptische Aneinanderreihung von Buchstaben und Zahlen, eingeschlossen in geschweiften Klammern ist.
Neues Verzeichnis |
Wenn Sie die Eigenschaften der Gruppenrichtlinie aufrufen, finden Sie diesen Verzeichnisnamen in der Registerkarte Allgemein im Feld Eindeutiger Name.
Unterhalb dieses Verzeichnisses werden die Unterverzeichnisse ADM , Machine und User automatisch erzeugt und die Dateien conf.adm, inetres.adm und system.adm aus dem Verzeichnis %SYSTEMROOT%\inf in das generierte Verzeichnis ADM kopiert. Arbeiten Sie mit Windows 2000 Server, so handelt es sich um Vorlagedateien für Windows 2000 Server bzw. für Windows 2000 Professional. Arbeiten Sie mit Windows Server 2003, so sind diese Vorlagedateien bereits für Windows XP erweitert. Jedoch sind nicht die Erweiterungen eingearbeitet, die durch das SP2 von Windows XP hinzukommen.
Wenn Sie unter Windows 2000 Server die Vorlagedateien von Windows XP verwenden wollen, müssen Sie im Fenster Vorlagen hinzufügen/entfernen die drei Vorlagen conf, inetres und system zuerst über die Schaltfläche Entfernen entladen und dann über die Schaltfläche Hinzufügen die gewünschten XP-Vorlagen laden.
Da die Vorlagedateien von Windows XP dieselben Namen haben wie die Vorlagedateien von Windows Server 2000/2003, können Sie später in einer komplexeren Umgebung nicht mehr unterscheiden, ob in einer bestimmten Gruppenrichtlinie die Vorlagedateien von Windows 2000/2003 oder von Windows XP geladen wurden. Ich schlage Ihnen deshalb vor, zuerst alle von Windows XP übernommenen Dateien *.adm in XP-*.adm umzubenennen, in das Verzeichnis %SystemRoot%\inf des Server einzuspielen und diese XP-*.adm-Vorlagedateien hinzuzufügen.
Da Sie später die Windows XP-Gruppenrichtlinien-Vorlagedateien und auch selbst erstellte ADM-Vorlagedateien noch oft hinzuladen werden, bietet es sich an, die in XP-xyz.adm umbenannten Vorlagedateien von Windows XP in das Verzeichnis %SYSTEMROOT%\inf des Servers zu kopieren, denn dann werden diese Vorlagedateien wie die Original-Windows 2000/2003-Vorlagedateien sofort angezeigt, sobald Sie die Schaltfläche Hinzufügen im Fenster Vorlagen hinzufügen/entfernen anklicken.
adm-Dateien sind abwärtskompatibel
Die für Windows XP erweiterten adm-Dateien sind bezüglich Windows 2000 Professional abwärtskompatibel. Abwärtskompatibilität bedeutet in diesem Fall, dass die Vorlagedateien von Windows XP auch in einer Mischumgebung von Clients mit Windows 2000 Professional und Windows XP verwendet werden können. Die speziellen Erweiterungen dieser adm-Dateien um Richtlinien für Windows XP werden von Windows 2000 Professional-Clients ignoriert.
Wichtiger Hinweis: Gruppenrichtlinien-Vorlagedatei (*.adm-Datei) erweitern nur die Kategorie Administrative Vorlagen. Diese Kategorie finden Sie sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration, wenn Sie eine Gruppenrichtlinie über die Schaltfläche Bearbeiten öffnen. Wenn Sie eine *.adm-Datei hinzufügen, werden jedoch die neuen Richtlinien nicht immer sofort angezeigt. Um sicher zu sein, dass Sie alle Richtlinien anschließend in beiden Kategorien Computerkonfiguration als auch Benutzerkonfiguration sehen, schließen Sie nach dem Hinzuladen einer adm-Datei die Gruppenrichtlinie und öffnen sie erneut über die Schaltfläche Bearbeiten.
Doch welche der XP-Gruppenrichtlinien-Vorlagedateien sollen geladen werden? Welche Funktion haben die verschiedenen adm-Dateien? Sie können alle Windows XP-ADM-Dateien mit Notepad.exe ansehen und bearbeiten. Sie können auch alle Windows XP-ADM-Dateien einzeln nacheinander laden, um zu sehen, welche Änderungen sich jeweils unter Computerkonfiguration und unter Benutzerkonfiguration ergeben. Dabei stellen Sie folgendes fest:
XP-conf.adm ist für Netmeeting-Richtlinien zuständig und stellt Richtlinien unter Computerkonfiguration und unter Benutzerkonfiguration zur Verfügung.
XP-inetcorp.adm stellt unter Benutzerkonfiguration eine Richtlinie für die Wartung des Internet Explorers zur Verfügung, die sich aber nicht starten lässt.
XP-inetres.adm ist für ebenfalls für den Zugriff auf das Internet zuständig und stellt hierfür sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration Richtlinien bereit.
XP-system.adm stellt sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration viele wichtige Richtlinien bereit.
XP-wmplayer enthält nur benutzerbezogene Gruppenrichtlinieneinstellungen für den Windows Media Player.
XP-wuau.adm enthält nur maschinenbezogene Gruppenrichtlinie für den Windows Update Service.
Solange Sie Netmeeting nicht einsetzen, sollten Sie die Gruppenrichtliniendatei XP-conf.adm nicht hinzuladen. Für die gerade in der OU Computer erstellte Gruppenrichtlinie XP-Standardcomputer sind die Richtliniedateien XP-inetres.adm, XP-system.adm, XP-wuau.adm interessant.
In der OU Benutzer werden wir später eine Gruppenrichtlinie mit dem Namen XP-Standardbenutzer erstellen. Für diese Gruppenrichtlinie werden dann die Gruppenrichtliniendateien XP-inetres.adm, XP-system.adm und XP-wmplayer.adm geladen.
Festlegen der Windows XP-Gruppenrichtlinien für den Standard-Computer
Wählen Sie nun die Eigenschaften der Gruppenrichtlinie XP-Standardcomputer in der OU Computer an, klicken Sie auf Bearbeiten, wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/ entfernen. Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows Server 2000/2003-Vorlagen conf, inetres und system. Danach fügen Sie die Windows XP-Vorlagen XP-inetres.adm, XP-system.adm und XP-wuau.adm hinzu.
Vorlagen hinzufügen |
Jetzt werden alle Richtlinien in der Kategorie Computerkonfiguration durchgesehen und wichtige Richtlinien aktiviert bzw. konfiguriert.
Richtlinien |
Die Aktivierung der Richtlinie Periodische Überprüfung auf Softwareaktualisierungen von Internet Explorer deaktiviert die Überprüfung, ob eine neue Version des Browsers verfügbar ist. Wenn Sie diese Richtlinie aktivieren, wird die Überprüfung, ob die aktuellste verfügbare Browserversion installiert ist, und die Benachrichtigung über eine verfügbare neue Version deaktiviert. Ohne Aktivierung dieser Richtlinie wird standardmäßig im Abstand von 30 Tagen überprüft, ob eine neue Version verfügbar ist.
Die Aktivierung der Richtlinie Anzeigen des Begrüßungsbildschirms beim Programmstart deaktiviert die Anzeige des Internet Explorer-Begrüßungsbildschirms beim Browserstart.
In der Kategorie Windows Installer können Sie die Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren, wodurch ein einfacher Benutzer keine neuen Systemwiederherstellungspunkte über Start – Programme – Zubehör – Systemprogramme – Systemwiederherstellung mehr erzeugen darf.
Richtlinien |
Standardmäßig erstellt Windows Installer bei jeder Installation einer Anwendung automatisch einen Systemwiederherstellungsprüfpunkt. Dadurch können Benutzer ihren Computer in dem Zustand wiederherstellen, den er vor der Installation der Anwendung aufwies. Durch die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren kann nur noch ein Administrator über Start – Programme – Zubehör – Systemprogramme – Systemwiederherstellung einen neuen Prüfpunkt erstellen. Jeder andere Anwender erhält bei dem Versuch folgende Fehlermeldung.
Richtlinien |
Beachten Sie bitte, dass es zwei weitere Richtlinien in der Kategorie Computerkonfiguration – Administrative Vorlagen – System – Systemwiederherstellung gibt:
Systemwiederherstellung deaktivieren und Konfiguration deaktivieren.
Die Richtlinie Systemwiederherstellung deaktivieren legt fest, ob die Systemwiederherstellung ein- oder ausgeschaltet ist. Standardmäßig ist die Systemwiederherstellung eingeschaltet. Wenn der Administrator auf einem Windows XP-Computer über die Systemsteuerung das Icon System startet und die Registerkarte Systemwiederherstellung anwählt, stellt er fest, dass per Standardeinstellung der Maximalwert für Systemwiederherstellungsprüfpunkte 12 % der Systempartition beträgt.
Richtlinien |
In der Registrierdatenbank finden Sie unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore den Schlüssel DiskPercent. Bei aktivierter Systemwiederherstellung hat er den Wert 12, bei deaktivierter Systemwiederherstellung den Wert c. Hier finden Sie auch den Schlüssel DisableSR, der bei Deaktivierung von 0 auf 1 umgestellt wird. Wird eine der Richtlinien Systemwiederherstellung deaktivieren oder Konfiguration deaktivieren eingestellt, so finden Sie nach dem nächsten Start des Windows XP-Computers unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore die Schlüssel DisableRestore und DisableConfig mit entsprechenden Werten.
Die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren erzeugt unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer den Schlüssel LimitSystemRestoreCheckpointing.
Durch die Aktivierung der Richtlinie Systemwiederherstellung deaktivieren wird auch für den Administrator unter Systemsteuerung – System die Registerkarte Systemwiederherstellung komplett ausgeblendet.
Richtlinien |
Die Beschreibung der zweiten Richtlinie Konfiguration deaktivieren ist ein wenig verwirrend:
Die Systemwiederherstellung ermöglicht es dem Benutzer bei Vorliegen eines Problems den Computer auf einen vorherigen Zustand zurückzusetzen, ohne persönliche Dateien zu verlieren. Das Verhalten dieser Einstellung ist abhängig von der Einstellung von „Systemwiederherstellung deaktivieren“.
Wenn Sie diese Einstellung aktivieren, verschwindet die Möglichkeit, die Systemwiederherstellung auf der Konfigurationsschnittstelle zu konfigurieren. Wenn die Einstellung „Konfigurationseinstellung deaktivieren“ deaktiviert ist, ist die Konfigurationsschnittstelle noch sichtbar, es werden jedoch alle Standardwerte der Systemwiederherstellungskonfiguration erzwungen. Wenn Sie sie nicht konfigurieren, bleibt die Konfigurationsschnittstelle für die Systemwiederherstellung, der Benutzer kann die Systemwiederherstellung konfigurieren.
Alles verstanden? Gemeint ist folgendes: Wenn die Richtlinie Systemwiederherstellung deaktivieren „nicht konfiguriert“ ist und die Richtlinie Konfiguration deaktivieren deaktiviert ist, kann der Administrator die Registerkarte Systemwiederherstellung zwar über Systemsteuerung – System aufrufen, sieht darin, dass die Systemwiederherstellung über eine Gruppenrichtlinie deaktiviert wurde, er kann diese Einstellung aber nicht verändern. Ein einfacher Benutzer sieht auch weiterhin nicht die Registerkarte „Systemwiederherstellung„.
Richtlinien |
Da Sie in Ihrer Organisation nur durchgetestete und mit Ihrer Umgebung kompatible Anwendungen einsetzen werden und der einfache Anwender keine weiteren Anwendungen oder Hardwaretreiber installieren darf, können Sie wahrscheinlich auf das Windows XP Feature Systemwiederherstellung verzichten, auf jeden Fall aber unterbinden, dass der Standardanwender neue Systemwiederherstellungspunkte erstellen darf. Die Systemwiederherstellungspunkte speichern auf der lokalen Festplatte den Zustand des Systems vor der Installation einer neuen Anwendung, dadurch geht Speicherplatz verloren. Da Sie noch einige Standardanwendungen wie Microsoft Office, den Adobe Reader und vielleicht noch eine kaufmännische Anwendung mitsichert. Bevor Sie ein Abbild ziehen, können Sie zumindest für diese vorher durchgetesteten Anwendungen die Erstellung von Systemwiederherstellungspunkten deaktivieren.
Richtlinien |
Falls die Richtlinie Automatische Updates konfigurieren deaktiviert ist, müssen alle verfügbaren Updates vom Administrator auf der Windows Update-Website manuell herunter geladen, getestet und zur Installation freigegeben werden. Dazu kann später auch ein Server mit den SUS-Diensten (SUS = Software Update Service) installiert werden. Die Clients versuchen also nicht, selbständig und ohne Ihre Kontrolle Updates zu installieren.
Richtlinien |
Über die Aktivierung der Richtlinien Windows-Installationsdateipfad angeben und Windows Service Pack-Installationspfad angeben können Sie erreichen, dass die Quelldateien von nachzuinstallierende Komponenten im Verzeichnis Install\WindowsXP des Servers gesucht werden, statt vom CD-ROM-Laufwerk bzw. aus der Freigabe RemoteInstall eines Servers, von dem ursprünglich mittels RIS der Client aufgesetzt wurde. Im Kapitel »Das Anmeldeskript« lesen Sie, dass es sinnvoll ist, für alle Anwender im Anmeldeskript das Laufwerk U:\ oder ein anderes fest für diesen Zweck definiertes Laufwerk über den Befehl net use u: \\Servername\Install mit dem Software-Archiv des Servers am jeweiligen Standort zu verbinden. Wenn Sie diese beiden Richtlinien aktivieren und als Pfad jeweils U:\WindowsXP eintragen, können Komponenten von Windows XP jederzeit nachinstalliert werden, vorausgesetzt, der angemeldete Anwender hat die Berechtigungen zur Installation von Komponenten.
In der Kategorie Computerkonfiguration – Administrative Vorlagen – System – Benutzerprofile sollten Sie auf jeden Fall die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen aktivieren.
Richtlinien |
Der Hintergrund ist folgender: Wenn Sie auf dem Server ein Verzeichnis mit dem Namen Profiles anlegen und unter demselben Namen freigeben, so können Sie für bestimmte Anwender so genannte servergespeicherte Benutzerprofile (Roaming Profiles) anlegen. Wenn Sie anschließend für die Kennung Testuser in der Registerkarte Profil als Profilpfad \\s1profiles\%Username% eintragen, wird bei der nächsten Anmeldung des Anwenders Testuser automatisch unterhalb der Freigabe Profiles ein Verzeichnis mit der Anmeldekennung des sich anmeldenden Anwenders erzeugt und das Profil der Kennung von C:\Dokumente und Einstellungen\Testuser dorthin kopiert. Jedoch erhält nur das System und der Anwender Testuser selbst Vollzugriff auf das generierte Profilverzeichnis \\s1\profiles\Testuser, der Administrator kann es nicht einmal einsehen. Durch die Aktivierung der Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen erhält auch der Administrator Vollzugriff auf neu erstelle Profilverzeichnisse des Servers. Ohne dieses Recht ist aber der Administrator z.B. nicht berechtigt, dieses Serververzeichnis zu löschen, wenn die Kennung Testuser nicht mehr benötigt wird und damit auch das servergespeicherte Benutzerprofil gelöscht werden soll.
Durch die Aktivierung der Richtlinie Benutzer bei Fehlschlag des servergespeicherten Profils abmelden können Sie verhindern, dass ein Benutzer sich mit der unter C:\Dokumente und Einstellungen vorhandenen lokalen Kopie des servergespeicherten Profils auch dann lokal anmelden kann, wenn kein Anmeldeserver antwortet bzw. der Server mit dem servergespeicherten Profil nicht antwortet.
Diese Richtlinie sollten Sie nicht für Laptops aktivieren, denn Laptop-Besitzer sollen sich ja gerade auch dann anmelden können, wenn ihr Laptop nicht mit dem Netzwerk verbunden ist! Für anderen Clients ist es durchaus sinnvoll, diese Richtlinie zu aktivieren. Denn wenn das servergespeicherte Profil nicht zur Verfügung steht, stehen oftmals auch andere wichtige Verzeichnisse wie das Gruppenablageverzeichnis, das Basisverzeichnis des Anwenders, die Netzwerkdrucker oder der Exchange Server nicht zur Verfügung, zumindest dann, wenn sich diese Verzeichnisse und Dienste auf dem Server befinden, zu dem der Client keine Verbindung aufbauen kann. Kann der Benutzer sich trotzdem mit einem lokalen temporären Profil anmelden, so findet er anschließend nicht seine durchkonfigurierte Arbeitsumgebung vor. Er beginnt zu arbeiten, kann anschließend seine neuen Dokumente nicht an gewohnter Stelle speichern oder drucken. Entweder schickt er Ihnen eine E-Mail und oder bittet Sie telefonisch um Hilfe. Nur werden Sie gerade jetzt fürchterlich in Stress sein, weil wahrscheinlich ein Serverausfall all diese Probleme verursachte.
Das Aktivieren der Richtlinie Willkommenseite für Erste Schritte bei der Anmeldung nicht anzeigen blendet die Willkommenseite aus, die bei jeder ersten Benutzeranmeldung auf Windows 2000 Professional und Windows XP Professional angezeigt wird.
Richtlinien |
Durch das Aktivieren der Richtlinie Immer klassische Anmeldung verwenden wird der Benutzer gezwungen, sich mit dem klassischen Anmeldefenster am Computer anzumelden. Dieses Anmeldefenster hat das alte Design von Windows 2000 Professional. Bei einem Windows XP-Comuter, der nicht an eine Domäne angebunden ist, werden im Anmeldefenster standardmäßig die lokal eingerichteten Benutzerkennungen angezeigt. Über Systemsteuerung – Benutzerkonten – Art der Benutzeranmeldung ändern können Sie aber auch unter Windows XP die Option Willkommenseite verwenden deaktivieren und das klassische Anmeldefenster erzwingen, das die Eingabe eines Kontonamens erfordert. Bei Windows XP-Clients, die Mitglieder einer Domäne sind, wird immer das klassische Anmeldefenster angezeigt.
Richtlinien |
Die Aktivierung der Richtlinie Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten wird in der Erklärung der Richtlinie wie folgt beschrieben und sollte deshalb aktiviert werden:
Legt fest, ob Windows XP beim Start des Computers und bei der Benutzeranmeldung auf das Netzwerk wartet. Standardmäßig wartet Windows XP beim Start und bei der Benutzeranmeldung nicht, bis das Netzwerk vollständig konfiguriert ist. Vorhandene Benutzer werden angemeldet, indem zwischengespeicherte Zugangsberechtigungen verwendet werden, was zu kürzeren Anmeldezeiten führt. Wenn das Netzwerk verfügbar wird, werden im Hintergrund Gruppenrichtlinien angewendet.
Man beachte, dass dies eine Aktualisierung im Hintergrund ist, Erweiterungen wie Softwareinstallation und Ordnerumleitung zwei Anmeldungen benötigen, damit die Änderungen wirksam werden. Um sicher arbeiten zu können, erfordern diese Erweiterungen, dass keine Benutzer angemeldet sind. Daher müssen sie im Vordergrund bearbeitet werden, bevor Benutzer den Computer aktiv verwenden. Zusätzlich dazu kann es sein, dass für Änderungen am Benutzerobjekt, wie z.B. Hinzufügen eines Pfades eines servergespeicherten Profils, eines Basisverzeichnisses oder eines Benutzerobjekt-Anmeldeskripts das Erkennen von bis zu zwei Anmeldungen erforderlich ist….
Hinweis: Wenn Sie die Anwendung der Ordnerumleitung, Softwareinstallation oder der Einstellungen von servergespeicherten Profilen in nur einem Anmeldevorgang garantieren wollen, aktivieren Sie diese Einstellung, um sicherzustellen, dass Windows darauf wartet, dass das Netzwerk zur Verfügung steht, bevor die Richtlinien angewendet werden.
Richtlinien |
Richtlinien |
Über die Aktivierung der Richtlinie Remoteunterstützung anbieten können Sie einzelne Mitarbeiter oder eine Gruppe von Mitarbeitern angeben, die die Steuerung eines anderen Computers übernehmen darf, um vom eigenen Arbeitsplatz aus einem Mitarbeiter Hilfe anzubieten (Fernwartung). Dazu muss dann auch die Richtlinie Angeforderte Remoteunterstützung aktiviert werden. In der Richtlinie Remoteunterstützung anbieten müssen Sie außerdem einzelne Helpdesk-Benutzer oder besser eine Sicherheitsgruppe wie z.B. Helpdesk-Mitarbeiter und die Gruppe Domänen-Admins als berechtigte Helfer einsetzen. Beachten Sie dabei das zu verwendende Format:
Wenn die Richtlinien Fehlerbenachrichtigung anzeigen und Fehler melden deaktiviert sind, werden Meldungen über Programmfehler nicht an Microsoft gesendet. Wenn derartige Programmfehler wiederholt auftreten, wird es Ihr Job sein, diese zu beheben. Hoffen Sie nicht, dass Microsoft-Mitarbeiter Ihnen diese Arbeit abnehmen. Sie können die Richtlinie also deaktivieren.
Richtlinien |
Durch die verschiedenen Richtlinien unter Offlinedateien können Sie verhindern, dass sensible Unternehmensdaten durch die Offline-Synchronisation auf lokale Festplatten geraten. Wenn in Ihrem Unternehmen alle Daten nur auf den Servern liegen sollen und es keine Mitarbeiter gibt, die mit Laptops arbeiten und Dokumente auch offline zuhause oder beim Kunden im Zugriff haben sollen, so können Sie über diese Richtlinien bereits in der Computerkonfiguration verhindern, dass Daten zwischen dem Server und dem Client synchronisiert werden oder der Anwender an den Einstellungen der Offline-Synchronisation manipulieren kann. Überlegenswert ist es, in einer speziellen OU alle Laptops und Tablet-PCs zusammen zu fassen und dort über geeignete Richtlinien die Nutzung von Offline-Dateien wieder zuzulassen.
Sie können jedoch dieselben Einstellungen auch unter Benutzerkonfiguration vornehmen. Wenn es also eine Benutzer-Sicherheitsgruppe gibt, die offline mit Firmendaten arbeiten müssen, so sollten Sie diese Einstellungen nicht unter Computerkonfiguration vornehmen, sondern spezielle Offline-Gruppenrichtlinien für bestimmte Anwendergruppen erstellen und die Richtlinien in der Benutzerkonfiguration vornehmen.
Richtlinien |
Ein wichtiger Hinweis: Einstellungen in der Kategorie Computerkonfiguration überschreiben in der Regel gleichnamige Einstellungen in der Kategorie Benutzerkonfiguration!
Das Thema »mobile Anwender« gewinnt immer mehr an Bedeutung und ist nicht nur technisch komplex. Wenn Sie darüber hinaus Windows Terminal einsetzen, potenziert sich die Komplexität. Dieses Thema und die damit verbundenen Probleme (Sicherheit der Daten, Synchronisation der Daten mit dem Server usw.) müssen Sie deshalb separat behandeln. Erstellen Sie zuerst eine funktionierende Konfiguration für einen Arbeitsplatzcomputer, der ständig online ist. Haben Sie diese Konfiguration im Griff, so können Sie in einer speziellen Testumgebung Schritt für Schritt herausfinden, was Sie an den Skripten, den Installationsroutinen und den Gruppenrichtlinien modifizieren und verfeinern müssen, um auch spezielle Arbeitsplätze wie Laptops, Tablet-PC oder Terminalserver-Clients in den Griff zu bekommen.
Wo werden die Einstellungen im Bereich »Computerkonfiguration« auf dem Domänencontroller gespeichert?
Sie haben nun über das Snap-In Active Directory- Benutzer und – Computer Änderungen an einer Gruppenrichtlinie im Bereich Computerkonfiguration vorgenommen, und diese Änderungen werden in der Registrierdatenbank jedes Clients vorgenommen, der sich in der OU Computer befindet. Wo auf dem Server werden aber diese Änderungen abgespeichert? Im Verzeichnis %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies\{Eindeutiger Name der Gruppenrichtlinie}\Machine finden Sie jetzt eine Datei namens Registry.pol. Wenn Sie die Datei Registry.pol mit einem Hex-Editor öffnen, können Sie lesen, in welchen Pfaden der Registry Änderungen vorgenommen werden: Unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies und unter HKEY_LOCAL_MACHINE\Software\Policies. Da die gesamte Gruppenrichtlinie unterhalb von %SYSTEMROOT%\SYSVOL gespeichert wird und da das gesamte Verzeichnis %SYSTEMROOT%\SYSVOL zwischen allen Domänencontrollern der Domäne repliziert wird, muss ein Client-Computer, der in einem anderen Standort steht, nicht bei jedem Start die Gruppenrichtlinie über die langsame WAN-Verbindung von dem Server auslesen, auf dem die Gruppenrichtlinie erstellt wird. Der Client in einer Filiale meldet sich an einem Domänencontroller in der Filiale an und liest die auf diesen Domänencontroller replizierte Gruppenrichtlinie aus. Das verringert die Netzlast und führt zu einer besseren Verfügbarkeit des gesamten Netzwerks, wenn irgendwo in der Organisation einmal ein Domänencontroller ausfällt oder gewartet werden muss und somit nicht verfügbar ist.
Festlegen der Gruppenrichtlinien für den Standard-Benutzer
Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Benutzer ein. Die Sub-OU Benutzer befindet sich unterhalb der OU Company. Wählen Sie die Eigenschaften der OU, dort die Registerkarte Gruppenrichtlinien und dann die Schaltfläche Neu. Als Name für die neue Gruppenrichtlinie wählen Sie XP-Standardbenutzer, weil diese Richtlinie für den Standardanwender gelten soll. Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Konfigurationseinstellungen des Computers deaktivieren. Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_CURRENT_USER der Registrierdatenbank angewendet wird, führt die Deaktivierung der computerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.
Klicken Sie auf OK, dann auf Bearbeiten. Klicken Sie unter Benutzerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und wählen Sie Vorlagedateien hinzufügen/entfernen. Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows Server 2000/2003-Vorlagen conf, inetres und system. Danach fügen Sie die Vorlagen XPinetres.adm, XPsystem.adm und XP-wmplayer hinzu.
Nachfolgend werden alle Änderungen im Bereich Benutzerkonfiguration dieser Gruppenrichtlinie aufgeführt, die für unsere Testumgebung sinnvoll erscheinen. In einer komplexen Produktionsumgebung werden Sie jedoch weitere Gruppenrichtlinien aktivieren und die Möglichkeiten, die der Standardbenutzer hat, um sich seine Arbeitsumgebung einzustellen, mehr oder weniger einschränken.
Die Gruppenrichtlinien im Bereich Benutzerkonfiguration sind sehr umfangreich. Sie können die Arbeitsoberfläche eines Anwenders über Gruppenrichtlinien so stark einschränken, dass der Desktop und das Startmenü starr vorgeschrieben sind und nicht durch den Anwender verändert werden können, dass der Anwender nur ganz bestimmte Anwendungen (namentlich in einer Positivliste genannte ausführbare Dateien) starten kann und keinen Zugriff auf bestimmte lokale Laufwerke, Verzeichnisse oder die Registrierdatenbank erhält. Sie können jedoch auch die Anwender in Gruppen kategorisieren und bestimmten Powerusern mehr Manipulationsrechte zubilligen, indem Sie mehrere Gruppenrichtlinien definieren und durch eine geschickte Rechtevergabe steuern, welche Anwendergruppe von welcher Gruppenrichtlinie betroffen ist.
In unserem Testszenario wird später eine zweite Gruppenrichtlinie für fortgeschrittene Anwender wie Abteilungsleiter, Mitarbeiter der Benutzerbetreuung oder Mitarbeiter der IT-Entwicklungsabteilung eingerichtet und gezeigt, wie man mit nur zwei Gruppenrichtlinien ein überschaubares Richtlinienkonzept für alle Mitarbeiter erstellt, das auch nach einigen Monaten nicht mehr nur von dem Systemverwalter, der es erdacht hat, verstanden wird, sondern auch von seinen Kollegen.
Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
Um die Auswirkungen der Änderungen der Gruppenrichtlinie im Bereich Benutzerkonfiguration für einen Standardbenutzer zu sehen, melden Sie sich am Windows XP-Computer unter der Kennung Testuser an. Standardmäßig werden Benutzerrichtlinien alle 90 Minuten im Hintergrund mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten aktualisiert, und natürlich bei der Anmeldung des Benutzers. Da Sie sich aber sicherlich nicht ständig unter der Kennung Testuser ab- und wieder anmelden möchten oder 90 Minuten warten wollen, um die Auswirkung einer geänderten Richtlinie auf den Client testen zu können, können Sie das Aktualisierungsintervall von 90 auf 0 Minuten sowie das zufällige Verzögerungsintervall von 30 auf 0 Minuten heruntersetzen. Dies hat jedoch wahrscheinlich zur Folge, dass der Bildschirm jede Minute bei der Übernahme der Gruppenrichtlinie kurz flackert. Vergessen Sie also nicht, diese Werte später im Produktionsbetrieb wieder auf geeignete Werte (z.B. die Standardwerte) zurückzusetzen.
Richtlinien |
Richtlinien |
Richtlinien für Microsoft Internet Explorer
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet-Explorer Wartung – Benutzeroberfläche können Sie mit der Richtlinie Browsertitel den Fenstertitel des Microsoft Internet Explorers ändern. Wenn Sie hier z.B. den Organisationsnamen Company einsetzen, erscheint als Titelleiste Microsoft Internet Explorer bereitgestellt von Company.
Unter Benutzerkonfiguration –Windows-Einstellungen – Internet-Explorer Wartung – Verbindung können Sie mit der Richtlinie Proxyeinstellungen den zu verwendenden Proxy-Server angeben, z.B. einen ISA-Server.
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet-Explorer Wartung – URLs können Sie mit der Richtlinie Favoriten und Links wichtige Favoriten und Links für alle Anwender vorkonfigurieren. Wenn Sie die Option Vorhandene Favoriten und Links löschen markieren, werden nicht mehr die vom Microsoft Internet Browser voreingestellten Favoriten MSN und Radiostationsübersicht sowie die Links Kostenlose Hotmail, Links anpassen, Windows und Windows Media angezeigt.
Richtlinien |
Unter Benutzerkonfiguration – Windows-Einstellungen – Internet Explorer-Wartung – URLs können Sie mit der Richtlinie Wichtige URLs die Startseite und den Suchdienst für alle Anwender vorgeben. Diese Seiten müssen mit dem Ausdruck http:// beginnen.
Richtlinien |
Die Möglichkeiten, die Sie mit den Richtlinien unter Benutzerkonfiguration – Windows-Einstellungen – Skripts (Anmelden/Abmelden) und unter Benutzerkonfiguration – Windows-Einstellungen – Ordnerumleitung haben, sind vielfältig und äußerst wichtig. Sie werden an anderer Stelle in dieser Artikelserie detailliert beschrieben.
Durch die Aktivierung der Richtlinien Assistenten für Internetzugang deaktivieren, Änderungen der Verbindungseinstellungen deaktivieren und Änderungen der Proxyeinstellungen deaktivieren können Sie sicherstellen, dass die von Ihnen vorgenommenen Voreinstellungen bezüglich des standardisierten Zugangs zum Internet durch den Anwender nicht manipuliert werden können. Wenn Sie z.B. einen ISA-Server einsetzten und für alle Anwender voreingestellt haben, dass der Zugang zum Internet über diesen ISA-Server, der gleichzeitig als Proxy-Server fungiert, erfolgen soll, können Sie mit dieser Richtlinie sicherstellen, dass Anwender nicht unbemerkt ein Modem oder eine IDSN-Karte anschließen und den ISA-Server umgehen.
Richtlinien |
Richtlinien für Windows Explorer
Unter Administrative Vorlagen – Windows Explorer erscheint zumindest die Aktivierung folgender Richtlinien sinnvoll:
- Klassische Shell aktivieren
Diese Einstellung ermöglicht das Entfernen der Funktionen Active Desktop und Webansicht. - Blendet den Menüeintrag »Verwalten« im Windows Explorer-Kontextmenü aus
Nur der Administrator, nicht aber der Standardanwender soll den lokalen Computer verwalten können. - Diese angegebenen Datenträger im Fenster »Arbeitsplatz« ausblenden
Sie können bestimmte Laufwerke wie die lokalen Laufwerke A: und B: ausblenden. Wenn in Ihrer Organisation bei den Anwendern in der Regel nur Computer ohne Disketten- oder CD-Laufwerke aufgestellt werden, müssen Sie diese Richtlinie nicht konfigurieren. - Registerkarte »Hardware« entfernen
Nur der Administrator, nicht jedoch der Standardanwender soll die Hardware manipulieren können. - Registerkarte »DFS« entfernen
Der Standardanwender soll keine Änderungen an DFS-Einstellungen vornehmen können. - CD-Brennfunktionen entfernen
Sie möchten verhindern, dass ein Anwender interne Daten auf eine CD brennt.
Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
Durch die Aktivierung der Richtlinie Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken wird die Verwendung aller Snap-Ins für den Standardanwender verhindert. In einer großen Organisation werden Sie später bestimmte Mitarbeiter mit eingeschränkten Administrationsaufgaben betrauen. Vielleicht wird es Mitarbeiter geben, die nur neue Benutzerkennungen anlegen dürfen oder nur Kennwörter zurücksetzen dürfen. Für diese Mitarbeiter können Sie dann MMC-Konsolen im Autor-Modus erstellen und einschränken.
Über die Richtlinien unter Administrative Vorlagen – Microsoft Management Console – Eingeschränkte/Zugelassene Snap-Ins können sie genau steuern, auf welche Snap-Ins diese Mitarbeiter zugreifen dürfen. Es wird dann sinnvoll sein, diese Mitarbeiter in einer Sicherheitsgruppe wie z.B. »Helpdesk« zusammenzufassen, in einer speziellen Gruppenrichtlinie die Einstellungen für die Richtlinie Eingeschränkte/Zugelassene Snap-Ins festzulegen und über die Rechte zu definieren, dass diese Gruppenrichtlinie nur von der definierten Sicherheitsgruppe verarbeitet wird.
Richtlinien |
Aktivieren Sie die Richtlinien Ausführung von Windows Messenger nicht zulassen und Windows Messenger nicht automatisch starten unter Benutzerkonfiguration – Administrative Vorlagen – Windows Messenger, um die Verwendung des Windows Messengers zu unterbinden.
Richtlinien |
Richtlinien für Windows Updates
Aktivieren Sie die Richtlinien Zugriff auf alle Windows Update-Funktionen entfernen, wenn alle Funktionen von Windows Update entfernt werden sollen. Dies umfasst auch die Blockierung des Zugangs zur Windows Update-Website unter http://www.update.microsoft.com/windowsupdate/v6/default.aspx über Windows Update im Startmenü und im Menü Extras des Internet Explorer. Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert. Der Endanwender wird weder über wichtige Aktualisierungen unterrichtet, noch werden Updates automatisch herunter geladen und installiert. Durch diese Einstellung wird auch verhindert, dass der Geräte-Manager automatisch Treiberaktualisierungen von der Windows Update-Website installiert. Auf der Buch-DVD finden Sie Anleitungen zur Installation eines SUS-Servers (SUS = Software Update Service) und andere Anleitungen, um in Ihrer Umgebung sorgfältig durchgetestete Windows Updates gezielt zu verteilen.
Richtlinien |
Wenn die Richtlinie Codec-Download verhindern unter Benutzerkonfiguration – Administrative Vorlagen – Windows Media Player aktiviert ist, werden Codecs nicht automatisch übertragen, und das Kontrollkästchen Codecs automatisch downloaden in der Registerkarte Player im Dialogfeld Optionen ist nicht verfügbar.
Richtlinien |
Richtlinien für Startmenüs, Taskleiste und Desktops
Über die Richtlinien des Startmenüs und der Taskleiste und über die Richtlinien des Desktop können Sie das Aussehen der Arbeitsoberfläche des Betriebssystems Windows XP für den Standardanwender sehr stark einschränken. Die Frage, wie stark diese Funktionen für den Standardanwender eingeschränkt werden sollen und wie die Arbeitsoberfläche eines Standardarbeitsplatzes in einem Unternehmen aussehen soll, wird jeder Administrator unterschiedlich einschätzen. Die Überlegungen des Autors zu diesem Thema sind folgende:
Microsoft bietet sowohl den Unternehmen als auch Privatpersonen dasselbe Betriebssystem an, wenn auch in zwei verschiedenen Versionen: Windows XP Professional bzw. Windows XP Home Edition. Dabei steht Microsoft in Konkurrenz zu anderen Betriebssystemen wie Linux und muss den Kunden, speziell den Privatkunden ständig neue Features und eine optisch attraktive Oberfläche bieten. Was für den Privatkunden verspielt, bunt und schön ist, ist jedoch für ein Unternehmen oft wenig interessant und verursacht erhöhte Supportkosten. Viele der Funktionen und speziell der Effekte des Betriebssystems belasten unnötig die Performance der Hardware. Im Unternehmen stehen in der Regel keine Multimediaanwendungen im Vordergrund, sondern eine kaufmännische Anwendung, CAD sowie Textverarbeitung, Tabellenkalkulation und E-Mail. Das Betriebssystem selbst ist in erster Linie Mittel zum Zweck.
Letzteres gilt z.B. für das Startmenü. In einem Unternehmen ist es wichtig, dass der Anwender schnell und unkompliziert die häufig benutzten Anwendungen starten kann und diese mit möglichst hoher Performance laufen. Während das Startmenü von Windows 2000 Professional ein schlankes Aussehen hatte, erscheint das neue Design des Startmenüs von Windows XP eher verspielt und unübersichtlich.
Richtlinien |
Sie können jedoch das Klassische Startmenü von Windows 2000 auch unter Windows XP aktivieren, z.B. durch die Richtlinie Klassisches Startmenü erzwingen unter Administrative Vorlagen – Startmenü und Startleiste.
Wenn Sie nach der Installation der Standardanwendungen die vom Standardanwender jeden Tag benötigten Sinnbilder wie MS Outlook, Word, das kaufmännische Programm und den Dateimanager Windows-Explorer im Startmenü dann direkt über der Start-Schaltfläche anordnen, sind diese Anwendungen für den Anwender sofort auffindbar, und das Startmenü wirkt aufgeräumt und übersichtlich.
Richtlinien |
Ein anderer Grund spricht ebenfalls für das klassische Startmenü: Wenn Sie möchten, dass das Icon einer häufig benutzten Anwendung wie z.B. das Icon des Taschenrechners nicht tief verschachtelt unter Start – Programme – Zubehör, sondern direkt über der Start-Schaltfläche erscheint, so kopieren oder verschieben Sie die Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Z ubehör\Rechner.lnk einfach nach C:\Dokumente und Einstellungen\All Users\Startmenü. Haben Sie aber nicht das klassische Startmenü eingestellt, so hat diese Kopieraktion keine Auswirkung! Nur im klassischen Startmenü erscheint sofort das Symbol Rechner direkt über der Start-Schaltfläche.
Wenn Sie später von zentraler Stelle aus, z.B. über ein Anmeldeskript, Änderungen an den Startmenüs aller Clients vornehmen wollen, so wissen Sie bei Verwendung des klassischen Startmenüs, dass Sie im Verzeichnis C:\Dokumente und Einstellungen\Startmenü bzw. in Unterverzeichnissen dieses Verzeichnisses lediglich Verknüpfungsdateien hinzufügen oder löschen müssen. Derartige Operationen sind folglich durch einfache COPY- und DEL-Befehle im Anmeldeskript zu bewältigen. Wie Sie derartige Manipulationen mit den nötigen lokalen Administratorrechten erreichen, wissen Sie, wenn Sie im Kapitel »Das Anmeldeskript« das Unterkapitel „SU (Switch Users) nutzen, um mit beliebigen Rechten zu operieren“ (im Buch) durchgearbeitet haben. Ich schlage Ihnen daher vor, sowohl für das Startmenü als auch für den Desktop die klassische Darstellung einzustellen.
Ein wichtiger Hinweis: Bedenken Sie jedoch eins, bevor Sie über Richtlinien das Startmenü, den Desktop und besonders die sichtbaren Icons der Systemsteuerung zu stark einschränken! Wenn ein Benutzer später Probleme mit dem Betriebssystem hat und den Helpdesk anruft, so wird sich ein Helpdesk-Mitarbeiter auf den Computer des Anwenders remote aufschalten wollen, um das geschilderte Problem zu sehen und die Ursache zu erforschen. Dem Helpdesk-Mitarbeiter stehen in einer Remote-Sitzung aber auch nur die Möglichkeiten zur Verfügung, die dem Standardanwender durch Gruppenrichtlinien nicht verweigert werden. Wenn Sie z.B. alle Sinnbilder der Systemsteuerung über eine Gruppenrichtlinie ausgeblendet haben und der Mitarbeiter den Helpdesk-Mitarbeiter bittet, die Maus von Rechtshänder auf Linkshänder umzustellen, so kann auch der Helpdesk-Mitarbeiter diese Umstellung nicht vornehmen, weil er wie der Mitarbeiter selbst keinen Zugriff auf die Mauseinstellungen hat.
Wenn ein Mitarbeiter sich beim Helpdesk beklagt, dass sein Bildschirm flimmert, so kann der Helpdesk-Mitarbeiter die Einstellungen der Grafikkarte und des Monitors nicht remote überprüfen, wenn eine Richtlinie so eingestellt wurde, dass das Icon Anzeige beim Standardanwender ausgeblendet ist. Stellen Sie also die Gruppenrichtlinien nicht derart restriktiv ein, dass Sie den Helpdesk-Mitarbeitern die Fernwartung und Fehlersuche unmöglich machen!
Außerdem kann sich ein Anwender zu Recht bevormundet fühlen, wenn Sie die Möglichkeiten des Anwenders über Gruppenrichtlinien zu stark reglementieren. Die Behauptung, der Anwender sei bezüglich der IT unerfahren und überfordert, und es bestehe die Gefahr, dass er sich den Computer verstelle, gilt heute nicht mehr! Jeder Anwender hat in der Regel einen Computer zuhause und hat bereits auf der Schule und später in der Berufsausbildung regelmäßig intensiv mit dem Computer gearbeitet. IT-mündige Anwender sollten auch als solche behandelt werden. Eins ist allerdings wahr, wie mir die Praxis Tag für Tag zeigt: In die IT-Fortbildung der Benutzer wird immer weniger Zeit und Energie gesteckt. Das ist allerdings nicht ein Versäumnis der Benutzer, sondern der IT-Abteilung! Zu einer musterhaft durchgeplanten Einführung von Active Directory gehört deshalb immer ein Konzept für die Anwenderschulung. Und zu einer dauerhaft kostenminimierten IT-Struktur gehört eine permanente Schulung der Anwender.
Folgende Richtlinien sollten im Startmenü und in der Taskleiste aktiviert werden, um den Supportaufwand in Grenzen zu halten:
- Netzverbindungen aus dem Startmenü entfernen
- Menüeintrag Ausführen aus dem Startmenü entfernen
- Symbol für Netzwerkumgebung aus dem Startmenü entfernen
- Option Abmelden dem Startmenü hinzufügen
- Drag & Drop-Kontexmenüs aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Persönlich angepasste Menüs deaktivieren
- Beim Zuordnen von Shellshortcuts nicht die suchbasierte Methode verwenden
- Beim Zuordnen von Shellshortcuts nicht die verfolgungsbasierte Methode verwenden
- Taskleiste fixieren
- Klassisches Startmenü erzwingen
- Keine benutzerdefinierten Symbolleisten in der Taskleiste anzeigen
Sobald die gewünschten Standardanwendungen installiert sind und das Aussehen des Startmenüs vom Administrator auf dem Mustercomputer definiert ist, besteht keine Notwendigkeit, dass ein Standardanwender dieses Menü später verändert. Auch Manipulationen an der Taskleiste durch den Anwender erhöhen kaum die Produktivität des Standardanwenders, sie erhöhen jedoch den Supportaufwand.
Unter »Desktop« sollten Sie folgende Richtlinien aktiviert werden:
- Desktopsymbol Netzwerkumgebung ausblenden
- Pfadänderung für den Ordner Meine Dateien nicht zulassen
- Hinzufügen, Verschieben und Schließen der Symbolleisten deaktivieren
- Anpassen der Desktopsymbolleisten nicht zulassen
- Desktopbereinigungs-Assisten entfernen.
Richtlinien |
Außerdem sollten Sie den Active Desktop deaktivieren, wenn Sie keine Gründe kennen, die diese Funktionalität für den Standardanwender notwendig machen.
Richtlinien |
Welche Sinnbilder der Systemsteuerung benötigt der Anwender?
Bei der Konfiguration der Richtlinien für die Systemsteuerung sind folgende Überlegungen wichtig: Wie oben bereits erwähnt müssen die Helpdesk-Mitarbeiter in der Lage sein, über die Fernwartung im Rechtekontext des Anwenders Fehler zu suchen und dabei zumindest die Einstellungen vorzunehmen, die notwendig sind, damit der Anwender komfortabel arbeiten kann.
Auch der Standardanwender muss Zugriff auf die Symbole der Systemsteuerung haben, mit denen er den Computerarbeitsplatz ergonomisch, d.h. bedienerfreundlich einstellen kann.
Ein Mitarbeiter mit schlechter Sehschärfe sollte die Auflösung der Grafikkarte von 1024 x 768 auf 800 x 600 umstellen können. Ein Mitarbeiter, der einen großen Bildschirm hat (19 Zoll oder 21 Zoll) und viel mit grafischen Anwendungen arbeitet, sollte sich eine höhere Auflösung einstellen können. Also sollte das Symbol Anzeige nicht komplett ausgeblendet werden, sondern bei Bedarf nur einzelne Optionen oder Registerkarten der Anzeige.
Wenn ein Benutzer sich selbst Netzdrucker einstellen muss, speziell wenn er den Arbeitsplatz manchmal ändert (Springer) und dann auf andere Netzdrucker zugreifen muss, sollte er auf das Symbol Drucker und Faxgeräte zugreifen können. Scanner und Kameras werden dagegen in der Regel lokal am Computer angeschlossen und können von einem Mitarbeiter des Helpdesk mit Administratorrechten konfiguriert werden. Der Standardanwender benötigt folglich keinen Zugriff auf das Symbol Scanner und Kameras.
Ein behinderter Mitarbeiter sollte auf das Icon Eingabehilfe zugreifen können.
Linkshänder müssen in der Lage sein, die Maus von Rechtsbedienung auf Linksbedienung umzustellen. Ebenso sollte der Anwender die Geschwindigkeit der Maus und die Doppelklickgeschwindigkeit für sich optimal einstellen dürfen. Folglich darf das Symbol Maus nicht ausgeblendet werden.
Wenn Ihre Mitarbeiter mit anderen Sprachversionen als der deutschen Sprachversion arbeiten müssen oder Briefe z.B. mit anderen Währungssymbolen als dem Eurosymbol oder anderen Zahl- und Datumsformaten als den in Europa gängigen Formaten arbeiten müssen, darf das Symbol Regions- und Sprachoptionen nicht ausgeblendet sein.
Auch die Verzögerung und Wiederholrate der Zeichenwiederholung muss sich der Anwender über das Icon Tastatur selbst einstellen können.
Es erscheint deshalb sinnvoll, für den Standardanwender bis auf weiteres nur folgende Symbole der Systemsteuerung für den Standardanwender über eine Richtlinie auszublenden:
- Benutzerkonten
- Datum und Uhrzeit
- Energieoptionen
- Gamecontroller
- Geplante Tasks
- Hardware
- Internetoptionen
- Netzwerkverbindungen
- Ordneroptionen
- Scanner und Kameras
- Schriftarten
- Software
- Sounds- und Audiogeräte
- Sprachein-/ausgabe
- System
- Telefon- und Modemoptionen
- Verwaltung
Diese Auswahl ist nur als ein Vorschlag zu werten. In Ihrer Produktivumgebung werden Sie wahrscheinlich zu anderen Ergebnissen kommen, und die optimale Auswahl stellt sich erst mit der Zeit heraus. Gruppenrichtlinien bieten Ihnen aber die Möglichkeit, derartige Einstellungen für alle oder eine Vielzahl von Benutzern zentral mit minimalem Aufwand jederzeit zu ändern.
Diese Einstellungen nehmen Sie über die Richtlinie Angegebene Systemsteuerungssymbole ausblenden unter Benutzerkonfiguration – Administrative Vorlagen – Systemsteuerung vor. Damit die verbleibenden Symbole der Systemsteuerung nicht – in meinen Augen umständlich – nach Kategorien geordnet angezeigt werden, schlage ich außerdem vor, die Richtlinie Klassischen Stil der Systemsteuerung erzwingen zu aktivieren.
Richtlinien |
Richtlinien |
Im Bereich Benutzerkonfiguration – Administrative Einstellungen – Freigegebene Ordner sollten Sie die Richtlinien Veröffentlichung freigegebener Ordner zulassen und Veröffentlichung von DFS-Stämmen zulassen deaktivieren. Wenn aus Datenschutzgründen und Datensicherungsgründen alle Dokumente auf den Servern und nicht auf lokalen Festplatten der Computer liegen sollten, gibt es keine Notwendigkeit, dass ein Anwender ein Verzeichnis auf der lokalen Festplatte veröffentlicht. Was ein DFS-Stamm ist und wie man ihn einrichtet, weiß ein Anwender in der Regel nicht.
Richtlinien |
Richtlinien für Offlinedateien
Im Bereich Benutzerkonfiguration – Administrative Vorgaben – Netzwerk – Offlinedateien sollten Sie folgende Richtlinien aktivieren, um zu unterbinden, dass Dokumente in Bezug auf Datenschutz und Datensicherheit auf die lokale Festplatte gelangen:
- Benutzerkonfiguration von Offlinedateien nicht zulassen
- »Offline verfügbar machen« entfernen
- Verwendung von Offlinedateiordnern verhindern
- Umgeleitete Ordner nicht automatisch offline verfügbar machen
Laptop-Benutzer und Offline-Synchronisierung
Für Laptop-Benutzer, die berechtigt sind, Daten vom Server auf den Laptop zu überspielen und außerhalb des Betriebsgeländes zu verwenden, können Sie eine spezielle Richtlinie erstellen. Die Richtlinie unter Netzwerk – Offlinedateien finden Sie aber auch in der Computerkonfiguration. Es bietet sich alternativ an, unterhalb der Organisationseinheit Computer eine Organisationseinheit Laptops oder besser mobile Clients einzurichten, denn inzwischen gibt es neben Laptops und Portables auch noch Tablet-PC. Wer weiß, was es morgen alles an mobilen Geräten gibt. Für die OU Computer können Sie dann eine Gruppenrichtlinie einrichten, in der die Verwendung von Offlineordnern verhindert wird. In der OU mobile Clients könnten Sie eine weitere Gruppenrichtlinie einrichten, in der die Benutzung von Offlineordnern wieder erlaubt wird. Nebenbei zur vielleicht verwirrenden Wahl meiner OU-Namen: Der Plural von »Computer« ist in der deutschen Sprache »Computer«, in der englischen jedoch »Computers«. Alternativ können Sie den OU-Namen Computer z.B. durch Clients ersetzen.
Der nachfolgende Hinweis gehört zwar eigentlich nicht in das Thema »Gruppenrichtlinien«, ist aber dennoch wichtig für Sie, wenn Sie Laptop-Benutzer betreuen: Offlinedateien werden nicht im lokalen Profilpfad Dokumente und Einstellungen\%Benutzername% gespeichert, sondern im versteckten Verzeichnis %SYSTEMROOT%\CSC, auf das nur die Gruppe Administratoren Zugriff hat. Mit dem Tool CACHEMOV aus dem Windows Server Resource Kit kann dieses Verzeichnis für Offlinedateien übrigens in ein anderes Verzeichnis oder eine andere Partition verschoben werden. Diese Verschiebung kann notwendig werden, wenn Benutzer große Datenmengen offline-synchronisieren und die Systempartition zu wenig Speicherplatz hat. Jedoch muss für diesen Vorgang die Gruppe Administratoren in die amerikanische Bezeichnung Administrators umbenannt werden, da das Tool aufgrund eines Bugs lokalisierte Namen der Gruppe Administratoren nicht akzeptiert. Lesen Sie dazu die Knowledge Base-Artikel »216581 –How to Change the Location of Client Side Cache in Windows 2000« und »303256 – Cachemov Does Not Work on Localized Versions of Windows 2000«, die auch auf Windows XP zutreffen.
Im Bereich Benutzerkonfiguration – Administrative Vorlagen – Netzwerk – Netzwerkverbindungen müssen Sie die Richtlinien nicht mehr konfigurieren, da aufgrund der Richtlinien-Einstellungen unter Systemsteuerung der Standardanwender auf das Icon Netzwerk- und DFÜ-Verbindungen keinen Zugriff mehr hat. Das Symbol wurde in der betreffenden Richtlinie ausgeblendet.
Im Bereich Benutzerkonfiguration – Administrative Vorlagen – System sollten folgende Richtlinien aktiviert werden:
- Willkommenseite für »Erste Schritte« bei der Anmeldung nicht anzeigen
- Zugriff auf Eingabeaufforderung verhindern
Richtlinien |
Positiv- oder Negativlisten für ausführbare Dateien
Interessant sind an dieser Stelle auch die Richtlinien Nur zugelassene Windows-Anwendungen ausführen, Angegebene Windows-Anwendungen nicht ausführen sowie Zugriffe auf Programme zur Bearbeitung der Registrierung verhindern. Mit der zuletzt genannten Richtlinie wird aber nur der Start der Windows XP-internen Programme Regedit.exe und Regedt32.exe unterbunden. Es gibt jedoch viele andere Tools im Internet, die den Zugriff auf die Registrierdatenbank ermöglichen. Im Kapitel »Das Anmeldeskript« wird zu dieser Problematik ausführlich Stellung genommen.
Prinzipiell ist es möglich, über die Richtlinie Nur zugelassene Windows-Anwendungen ausführen eine Positiv-Liste aller exe-Dateien anzugeben, die durch den Anwender gestartet werden dürfen. Es reicht aber z.B. nicht aus, die Dateien winword.exe, excel.exe, outlook.exe, msaccess.exe und powerpnt.exe anzugeben, da die Office Hauptkomponenten weitere Unterkomponenten starten. Sie müssten also über eine Office-Installation einen Befehl wie dir *.exe /s /b > c:\exe.txt laufen lassen, um alle in der Positiv-Liste aufzulistenden exe-Dateien anzugeben. Sie dürfen dann jedoch nicht vergessen, auch das Anmeldeskript, alle Unterroutinen des Anmeldeskripts (cmd-, bat- und vbs-Dateien), sowie alle Tools in die Positivliste aufzunehmen, die im Anmeldeskript des Standardanwenders genutzt werden. Mit einer Negativliste können Sie umgekehrt über die Richtlinie Angegebene Windows-Anwendungen nicht ausführen eine Liste von ausführbaren Dateien (exe-, com-, cmd-, bat-, vbs-Dateien) erzeugen, deren Ausführung unterbunden werden soll.
Sicherlich können Sie das Netzwerk dadurch sicherer machen, doch ist dieses sehr aufwendig, und die Positivliste als auch eine Negativliste müssen wahrscheinlich oft erweitert werden, da z.B. auch Peripheriegeräte wie Scanner, Drucker oder digitale Kameras bei der Installation ausführbare exe- oder com-Dateien dem System hinzugefügt werden.
Bei der Verwendung von Anmeldeskripten sollten Sie die Richtlinien Anmeldeskripts gleichzeitig ausführen und Anmeldeskripts sichtbar ausführen aktivieren, damit der Anwender zum einen über Echo-Zeilen sieht, dass die Anmeldung sich verzögert, weil ein Skript abläuft. Aber auch für den Administrator selbst bzw. einen Helpdesk-Mitarbeiter ist es wichtig, beim Ablauf des Anmeldeskripts eventuell auftretende Fehlermeldungen sehen zu können.
Richtlinien |
Damit sind alle für eine erste Testumgebung relevanten Gruppenrichtlinien abgehandelt, die Microsoft mit dem Betriebssystem Windows XP zur Verfügung stellt, mit Ausnahme derjenigen, die durch das Windows XP SP2 hinzukommen. Nicht alle gewünschten Optionen lassen sich mit diesen Richtlinien zentral über das Active Directory einstellen. An späterer Stelle wird gezeigt, wie Sie einige interessante Einstellungen über eine selbst erstellte Gruppenrichtlinie definieren können. Andere Einstellungen können über das Anmeldeskript bewerkstelligt werden. Durch die Installation von Microsoft Office kommt noch einmal eine große Anzahl von weiteren Gruppenrichtlinien hinzu.
Speicherort der Benutzerkonfiguration-Richtlinien
Wo im System sind eigentlich die im Bereich der Benutzerkonfiguration erstellten Richtlinien auf dem Server gespeichert worden?
Auf dem Domänencontroller finden Sie ein Verzeichnis %SystemRoot%\SYSVOL\sysvol\Test firma.de\Policies\{Eindeutiger Name der Gruppenrichtlinie}\User mit der Datei Registry.pol und den Unterverzeichnissen Applications, Dokuments & Settings, MICROSOFT und Scripts.
Richtlinien |
Wenn Sie die Datei Registry.pol mit einem Hexeditor öffnen, sehen Sie in der rechten Spalte die Registry-Einträge, die durch die Richtlinien in der Benutzerkonfiguration der Gruppenrichtlinie vorgenommen werden. In folgenden Pfaden der Registrierdatenbank werden Veränderungen vorgenommen:
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Wenn zwei Gruppenrichtlinien sich streiten…
Nachfolgend wird gezeigt, wie Sie mit einer zweiten Gruppenrichtlinie die für den Standardanwender erzeugten Beschränkungen wieder lockern können. An diesem Beispiel soll außerdem vorgeführt werden, wie Sie mit Berechtigungen auf Gruppenrichtlinien steuern können, auf welche Objekte (einzelne Benutzer, Sicherheitsgruppen von Benutzern, einzelne Computer, Sicherheitsgruppen von Computern) eine Richtlinie angewendet werden kann, in welcher Reihenfolge mehrere Gruppenrichtlinien abgearbeitet werden und welche Richtlinie den Vorrang erhält, wenn mehrere Richtlinien auf ein Objekt angewendet werden und sich widersprechen.
In den vorangegangenen Ausführungen wurde beschrieben, wie mittels einer Richtlinie XP-Standardbenutzer die Benutzeroberfläche von Windows XP für einen Standardbenutzer voreingestellt und damit verhindert werden kann, dass der Standardbenutzer durch Manipulationen das Betriebssystem selbst negativ verändert oder seine Arbeitsumgebung durch mangelnde Kenntnisse in einen Zustand versetzt, der zu erhöhtem Aufwand für die Anwenderbetreuung führt. Dieser Standardanwender soll nur eine begrenzte Anzahl ausgewählter Anwendungen starten können und arbeitet in der Regel nicht mit Multimedia-Anwendungen. Er hat in der Regel einen Computer ohne Diskettenlaufwerk, ohne CD-Laufwerk oder CD-Brenner und ohne Multimedia-Equipment.
Daneben gibt es aber so genannte Poweruser wie IT-Entwickler, die Mitarbeiter des Helpdesk, die neue Anwendungen durchtesten müssen, Abteilungsleiter oder Außendienstler, die mit mehr und komplexeren Peripheriegeräten (Anschluss für Organizer, Scanner, digitaler Kamera usw.) oder einem mobilen Computer ausgestattet sind und auf weitere Anwendungen zugreifen müssen.
Spätestens, nachdem Sie die von Microsoft Office XP/2003 zur Verfügung gestellten Gruppenrichtliniendateien eingesehen haben, wird Ihnen jedoch schnell bewusst werden, dass das Netzwerk sehr schnell undurchsichtig wird, wenn Sie für alle möglichen Sonderfälle eigene Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien einführen. Schnell gerät das Geflecht aus ineinander geschachtelten Gruppenrichtlinien außer Kontrolle, und die Suche danach, welche Gruppenrichtlinie nun welche andere Gruppenrichtlinie überschreibt, wird zum Fluch. Bei der Fehlersuche werden dann irgendwo Gruppenrichtlinien deaktiviert. Wenn der Fehler danach nicht beseitigt ist, wird an anderer Stelle etwas verändert, ohne zu notieren, was bei der Fehlersuche alles in welcher Reihenfolge angefasst wurde. Auch eine bei der Erstinstallation sauber erstellte Dokumentation der installierten Richtlinien wird so über die Zeit hinweg zur Makulatur, und ein neuer IT-Mitarbeiter findet später ein unüberschaubares und fehlerhaftes System vor.
Die KISS-Methode: Keep It Simple And Smart
Um dieser Undurchsichtigkeit vorzubeugen, hilft nur die KISS-Methode: Keep It Simple And Smart. Erstellen Sie möglichst wenig Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien. Vermeiden Sie, jeden Sonderfall über eine neue Gruppenrichtlinie abbilden zu wollen. Gehen Sie das Risiko ein, dass ein Anwender tatsächlich einmal aufgrund zu vieler Rechte einen Computer oder seine Benutzereinstellungen »ruiniert«. Wenn Sie eine Methode haben, mit der ein fehlerhafter Computer in kurzer Zeit wieder neu eingerichtet werden kann, und wenn Sie sicherstellen, dass dabei keine Anwenderdaten verloren gehen, da diese Daten alle auf dem Server liegen, ist das nicht tragisch. Für Poweruser können Sie eine Sicherheitsgruppe und eine zweite Gruppenrichtlinie einrichten, die nur durch diese Sicherheitsgruppe ausgelesen wird. In dieser Gruppenrichtlinie deaktivieren Sie nun einfach die Einschränkungen, die für den Standardanwender gelten sollen, aber nicht für den Poweruser.
Richten Sie in der Organisationseinheit Benutzer einen neuen Benutzer Paul Poweruser ein. Richten Sie in der Organisationseinheit Benutzerguppen eine Sicherheitsgruppe Hauptbenutzer ein und nehmen Sie den neuen Anwender Paul Poweruser in diese Sicherheitsgruppe auf. Sie können auch die Gruppe Helpdesk oder eine Gruppe IT-Entwickler erstellen und in die Gruppe Hauptbenutzer aufnehmen.
Nun erstellen Sie für die Sub-OU Benutzer eine weitere Gruppenrichtlinie mit dem Namen XP-Hauptbenutzer, öffnen danach die Eigenschaften dieser neuen Richtlinie und aktivieren wie bei der Richtlinie XP-Standardbenutzer die Option Konfigurationseinstellungen des Computers deaktivieren. Denn auch in dieser Gruppenrichtlinie werden nur Richtlinien in der Kategorie Benutzerkonfiguration geändert, und die Abarbeitung der Richtlinie wird beschleunigt, wenn nur die Benutzerkonfiguration ausgelesen werden muss.
Öffnen Sie nun unter den Eigenschaften der Gruppenrichtlinie XP-Hauptbenutzer die Registerkarte Sicherheitseinstellungen. Sie sehen als erstes in den Standardeinstellungen, dass es eine Gruppe Authentifizierte Benutzer gibt, die die Rechte Lesen und Gruppenrichtlinie übernehmen besitzt. Zur Gruppe der Authentifizierten Benutzer gehören aber nicht nur alle Domänen-Benutzer, sondern darüber hinaus alle Computer, die zur Domäne gehören. Die Bezeichnung Authentifizierte Benutzer ist hier ein wenig irreführend. Denken Sie daran, dass man eine Gruppenrichtlinie nicht nur für eine Sicherheitsgruppe aktivieren kann, die nur Benutzer als Mitglieder hat. Sie können auch eine Sicherheitsgruppe erstellen, die z.B. nur Laptops aufnimmt, erstellen, und für diese Sicherheitsgruppe eine Gruppenrichtlinie erstellen. Sie können aber auch eine gemischte Sicherheitsgruppe erstellen, bestehend aus bestimmten Computern und bestimmten Benutzern der Domäne. In welchen Situationen so etwas sinnvoll wäre, überlasse ich Ihrer Fantasie.
Richtlinien |
Sehen Sie sich einmal die Standardrechte der Gruppen Domänen-Admins und der Gruppe Organisations-Admins an. Mitglieder dieser beiden Gruppen dürfen laut Standardeinstellung die Gruppenrichtlinie verändern, haben aber nicht das Recht Gruppenrichtlinie übernehmen. Das ist gut so, denn sonst würden Einschränkungen, die man über eine Gruppenrichtlinie macht, sofort auch für die Administratoren wirksam, und schnell hätte ein Administrator durch eine Aktivierung einer Richtlinie alle Administratoren eingeschränkt und vielleicht sich selbst die Rechte entzogen, um die Aktivierung der Richtlinie wieder rückgängig zu machen.
Ein wichtiger Hinweis: Bei Richtlinien, die auch für Domänen-Administratoren wirken sollen, muss also der Gruppe Domänen-Admins explizit das Recht Gruppenrichtlinie übernehmen gegeben werden.
Unserer neu erstellte Richtlinie XP-Hauptbenutzer soll jedoch nicht für alle Domänenbenutzer wirken und schon gar nicht für Computer, sondern nur für die Sicherheitsgruppe Hauptbenutzer. Löschen Sie also die Gruppe Authentifizierte Benutzer und fügen Sie die soeben erstellte Sicherheitsgruppe Hauptbenutzer über die Schaltfläche Hinzufügen hinzu. Erteilen Sie der Gruppe Hauptbenutzer die Rechte Lesen und Gruppenrichtlinie übernehmen. Um es gleich vorweg zu sagen: Sie müssen die Reihenfolge der zwei Richtlinien anschließend mit den Schaltflächen Nach unten oder Nach oben so vertauschen, dass die Sicherheitsgruppe XP-Hauptbenutzer über der Gruppe XP-Standardbenutzer steht.
Richtlinien |
Richtlinien |
Wenn mehrere Gruppenrichtlinien untereinander stehen, werden die Gruppenrichtlinien in der Reihenfolge von unten nach oben abgearbeitet. Enthalten zwei Gruppenrichtlinien, die nacheinander abgearbeitet werden, Einstellungen, die sich widersprechen, so gewinnt die zuletzt abgearbeitete Richtlinie. Genau dieses wollen wir erreichen: In der Gruppenrichtlinie XP-Hauptbenutzer sollen für eine kleine Gruppe von Anwendern bestimmte (nicht alle!) Einschränkungen wieder deaktiviert werden, welche für alle Anwender in der Gruppenrichtlinie XP-Standardbenutzer getroffen wurden.
In der Gruppenrichtlinie XP-Standardbenutzer hatten wir unter vielen anderen Einschränkungen eingestellt, dass ein Standardbenutzer den Befehl Start – Ausführen nicht durchführen darf, dass er den Befehl Start – Programme – Zubehör – Eingabeaufforderung nicht starten darf und dass in der Systemsteuerung nur eine Auswahl von Icons angezeigt werden sollen. Diese Einschränkungen sollen nun exemplarisch für die Gruppe Hauptbenutzer wieder aufgehoben werden.
Melden Sie sich unter der Kennung Poweruser zuerst am Windows XP-Client an und überprüfen Sie, dass diese Einschränkungen tatsächlich auf die Kennung wirken, bevor wir sie aufheben. Klicken Sie nun die Gruppenrichtlinie XP-Hauptbenutzer mit der Maus an und wählen Sie die Schalfläche Bearbeiten. Nehmen Sie die nachfolgenden Änderungen vor:
Aktivieren Sie zuerst die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Benutzer und setzen Sie das Aktualisierungsintervall als auch die zufällige Verzögerung der Aktualisierung auf 0 Minuten, damit Sie die Auswirkungen der Änderungen, die Sie am Server an der Gruppenrichtlinie XP-Hauptbenutzer vornehmen, ohne Verzögerung auf dem Windows XP-Client sehen können. Das Heruntersetzen des Aktualisierungsintervalls ist, wie bereits erwähnt wurde, nur für das Testen von Gruppenrichtlinien hilfreich. Vergessen Sie später im Produktivbetrieb nicht, das Aktualisierungsintervall wieder herunter zu setzen! Alternativ können Sie den Befehl gpupdate /force auf dem Client absetzen, um geänderte Gruppenrichtlinien sofort zu übernehmen.
Deaktivieren Sie die Richtlinie Menüeintrag »Ausführen« aus dem Startmenü entfernen.
Richtlinien |
Der Anwender Poweruser sieht nun im Startmenü wieder den Befehl Ausführen. Deaktivieren Sie die Richtlinie Befehlszeilenaufforderung deaktivieren.
Richtlinien |
Der Anwender Poweruser erhält nun beim Aufruf der Eingabeaufforderung unter Start – Programme – Zubehör nicht mehr die Meldung Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Um die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen der Gruppenrichtlinie XP-Standardbenutzer durch die Gruppenrichtlinie XP-Hauptbenutzer außer Kraft zu setzen und wieder alle Symbole der Systemsteuerung anzuzeigen, reicht es jedoch nicht aus, in der Gruppenrichtlinie XP-Hauptbenutzer die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen zu deaktivieren. Testen Sie es und melden Sie sich als Poweruser am XP-Computer an. Es werden weiterhin nur die Symbole in der Systemsteuerung angezeigt, die in der Richtlinie Nur angegebene Systemsteuerungssymbole der Gruppenrichlinie XP-Standardbenutzer hinzugefügt wurden. Hier hilft folgender Trick: Aktivieren Sie die Richtlinie Angegebene Systemsteuerungssymbole ausblenden. Sie können nun in einem weiteren Fenster die Symbole angeben, die ausgeblendet werden. Wenn Sie aber in dieser Liste nur einen Eintrag wie XXX machen und damit ein nicht existierendes Symbol eintragen, so erscheinen beim Anwender Poweruser wieder alle Symbole in der Systemsteuerung.
Richtlinien |
Ich hoffe, Sie haben aufgrund dieser drei Beispiele für das Zurücksetzen von aktivierten Richtlinien für eine bestimmte Gruppe von Mitarbeitern das Prinzip der Idee verstanden: Sie erstellen eine Richtlinie für den Standardbenutzer und schränken die Möglichkeiten des Standardbenutzers so stark ein, dass die Fehlerquellen durch ungewollte Manipulationen bei der Großzahl der Anwender liquidiert werden und damit der Supportaufwand minimiert wird.
Diejenigen Mitarbeiter, für die diese starke Reduzierung der Manipulationsmöglichkeiten auf das für die tägliche Arbeit unbedingt Benötigte nicht akzeptabel ist, fassen Sie in einer Sicherheitsgruppe wie Hauptanwender zusammen. Sie erstellen eine weitere Gruppenrichtlinie, z.B. mit dem Namen XP-Hauptanwender, die nur für Mitglieder der Gruppe Hauptanwender angewendet wird. In dieser Richtlinie deaktivieren Sie diejenigen durch die Richtlinie XP-Standardanwender ausgelösten Einschränkungen, welche Sie den Powerusern nicht zumuten wollen.
Achten Sie darauf, dass die beiden Richtlinien in der richtigen Reihenfolge untereinander stehen: Untereinanderstehende Richtlinien werden nacheinander von unten nach oben und nicht von oben nach unten abgearbeitet!
Dieses Modell von zwei Anwendertypen und zwei zugehörigen Gruppenrichtlinien ist sehr vereinfacht. Wenn Ihr Unternehmen komplex ist, werden Sie sagen, dass sich Ihre Anwender nicht nur in die Typen Standardanwender und Poweruser untergliedern lassen, sondern, dass es einfache Standardanwender gibt, Abteilungsleiter mit weitergehenden Ansprüchen, die Mitarbeiter der IT-Entwicklungsabteilung, die wiederum andere Berechtigungen benötigen als die Abteilungsleiter, und die Mitarbeiter des Helpdesk. Schnell sind Sie bei vier oder mehr Gruppenrichtlinien, deren Zusammenspiel dann entsprechend komplizierter wird.
Nach dem vorgestellten Prinzip lassen sich auch mehr als zwei Typen von Anwendern abbilden. Dennoch: Halten Sie sich, wann immer es möglich ist, an das KISS-Prinzip: Keep It Simple And Smart. Vermeiden Sie unnötige Komplexitäten! Active Directory ist im Zusammenspiel von Windows Server mit Windows XP Professional, Microsoft Office und Exchange Server kompliziert genug. Machen Sie Ihr Active Directory-Modell nicht komplizierter, als es erforderlich ist.
Das Tool gpresult.exe zeigt übrigens die Gruppenrichtlinieneinstellungen eine Computers oder Benutzers und den Ergebnissatz aller wirksamen Gruppenrichtlinien an. Im neuen Gruppenrichtlinienverwaltungswerkzeug GPMC.MSI können Sie sich den auf einen bestimmten Computer und den dort angemeldeten Benutzer wirkenden Gruppenrichtlinienergebnissatz komfortabel anzeigen lassen.
Richtlinien |
Neuerungen durch Service Pack 2 für Windows XP
Mit dem Service Pack 2 hat Microsoft die Zahl der vorhandenen Einstellungen in den Gruppenrichtlinien nochmals erweitert. Die meisten drehen sich um die neuen Features wie Firewall, Einstellungen des Internet Explorer usw. Insgesamt sind es über 600 Administrative Vorlagen. Genug zum stöbern nach allen erdenklichen Einstellungen. So kann man z.B. den neuen Sicherheitscenter innerhalb der Domäne deaktivieren oder die Windows Firewall innerhalb der Domäne zähmen.
Microsoft bietet in dem Artikel „Managing Windows XP Service Pack 2 Features Using Group Policy„, der online und als Word-DOC verfügbar ist, alle Informationen, wie sich ein Windows XP mit SP2 über Gruppenrichtlinien anpassen lässt. Security Templates, Secedit per CMD oder Eigenbau INF Vorlage finden sie auf Gruppenrichtlinien.de.
Fehlermeldung „String zu lang“
Mit dem Service Pack 2 für Windows XP wurden in den ADM-Vorlagen auch Strings verwendet, die länger als 255 Zeichen sind. Auf Windows 2000 und Windows 2003 Servern kommt es daher beim Öffnen der Gruppenrichtlinien zu einer Fehlermeldung „String ist zu lang…“ Einen entsprechenden Patch stellt Microsoft unter dem KB-Eintrag 842933 bereit.
Diese Artikelserie ist ein Ausschnitt aus dem „Integrationshandbuch Microsoft-Netzwerk“ von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Galileo Computing. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt. |
Ulrich Schlüter