Gruppenrichtlinien
Vorwort:
Gruppenrichtlinien sind Einschränkungen/Konfigurationen am Sytem für
Benutzer und/oder System, welcher der Aministrator vornehmen
kann. In der Praxis können diese entweder lokal oder für eine Domäne
erstellt werden.
Gruppenrichtlinien ermöglichen eine Zielgenaue und effektive Verwaltungsstruktur.
In einem Windows Netzwerk ist es unerlässlich sich
nicht mit Gruppenrichtlinien zu beschäftigen. Sie können nahezu jede
Einstellung die es gibt, sei es von Programmen oder Systemeinstellungen
für alle Personen oder Rechnen Ihres Unternehmens voreinstellung und/oder
sperren.
Lokale GPs
Lokale Richtlinien wirken für lokale Benutzer inkl. des lokalen Administrators.
Man kann sich
also auch selbst aussperren wenn man nicht aufpasst. Es gibt grundsätzlich
in den Gruppenrichtlinien
2 Mögliche Bereiche. Benutzer- und Computerkonfiguration. Benutzerkonfigurationen
werden beim
Anmelden eines Benutzers aktiv, Computerbezogene sind immer aktiv und meistens
auch restriktiver.
Lokale GPs können durch ausführen von Start->ausführen->gpedit.msc
editiert werden.
Domänen GPs
Wenn man eine Domäne hat, sollte man die Gruppenrichtlinien auf Domänenbasis
erstellen.
Diese Art von Gruppenrichtlinien werden dann angewandt wenn sich ein Benutzer
in der Domäne anmeldet.
Die Domänen Gruppenrichtlinien überschreiben bei jedem Anmelden eines
Benutzers die lokalen
Gruppenrichtlinien sofern vorhanden. Dies ist äußerst vorteilhaft,
denn der Domänen-Administrator
kann damit ohne Ausnahme seine Sicherheitseinstellungen erzwingen.
Domänen GPs können auf dem Domänenroot oder auf einzelnen Containern
angewandt werden.
Es empfiehlt sich im Domänenroot nur die wichtigsten Richtlinien zu setzen
wie z.B.
Vorgabeproxy oder Ähnliches. Alles weitere sollte in den betreffenden OUs
(Organisation Unit zu deutsch
Kontainer) erstellt werden. Es können so beispielsweise für die OU
User andere GPs eingesetzt werden
als für die OU Administratoren.
Erstellen von Domänen GPs:
Hierzu wählen Sie den Punkt Active Directory Benutzer und Computer im Startmenü.
Abb.1 ADS Umgebung
Im Kontextmenü der jeweiligen OU wählen sie "Eigenschaften"
aus und wählen das Registerblatt
Gruppenrichtlinie. In diesem Register können Sie dann durch klicken auf
"neu" eine neue
Gruppenrichtlinie erstellen bzw. unter "alle" eine vorhandene Gruppenrichtlinie
hinzufügen.
Um die GP zu bearbeiten doppelklicken Sie auf die jeweilige GP.
Kontrollieren Sie auf jeden Fall, ob die jeweilige Benutzergruppe auch das Recht
erhalten hat,
die Gruppenrichtlinie zu übernehmen. Dies sehen Sie in folgender Abbildung.
Abb.2 Sicherheitseinstellungen für aktuelle Gruppenrichtlinie
Das in Abb.1 zu erkennende ADS könnte jedoch noch viel besser strukturiert
werden, indem
man in der OU Schlulnetz zB. noch eine OU User, OU Lehrer und eine OU Schulnetz
Administratoren anlegen würde. So könnten auch hier die GPs viel gezielter
eingesetzt werden.
Denken Sie sich grundsätzlich bei einer Umgebung mit ADS eine durchdachte
Struktur aus.
Dies kann in den meisten Fällen die Verwaltung eines solchen stark vereinfachen.
Hier einige Vorschläge für Praxisbezogene Richtlinien:
Desktopeinstellungen anpassen
Entfernen des Schalters "Netzlaufwerk
verbinden". Jedoch mit dem CMD Interpreter kann ein
netzlaufwerk weiterhin verbunden werden.
Windows Update Verknüpfung entfernen und
"Dokumente" aus dem Startmenü entfernen.
Anzeige deaktivieren, damit Anzeigeeinstellungen
nicht mehr geänder werden können
Damit das servergespeicherte Profil bei jedem
Abmelden des Benutzers sauber gelöscht wird
ist diese Einstellung unbedingt erforderlich. Sobald servergespeicherte Profile
gesetzt werden
ist meine Empfehlung diesen Schalter zu setzen.
Es gibt über 1000 Gruppenrichtlinien und in Windows XP sogar noch mehr.
Für die meisten Verwaltungsaufgaben dürften diese Anzahl mehr als
ausreichen.
Es gibt u.a. ebenfalls noch Sicherheitseinstellungen, welche ebenfalls von großer
Bedeutung sind.
Diese finden Sie jeweils unter "Windows Einstellungen" Sicherheitseinstellungen.
Eine wichtige davon wäre diese:
Das löschen der Auslagerungsdatei beim
Herunterfahren:
Dies waren einige der unzähligen Gruppenrichtlinien.
Übrigens, es gibt seit neuem das GPMC (Group Policy Managment Console)
Tool, mit
welchem man die Effektiv-Richtlinien anzeigen und sogar abspeichern kann.
Das GPMC, ursprünglich für Windows 2003 Server entwickelt funktioniert
auch für Windows
2000 Server Domänen. Allerdings muss das Tool auf einem XP Client installiert
werden
damit es funktioniert.
Erstellt von: Haßlinger Stefan
Im: März 2003
Kontakt: stefan@hasslinger.com