Gruppenrichtlinien

Tools und Neuerungen im Windows Server 2003

In der Vergangenheit wurden Kunden oft dazu verführt, Gruppenrichtlinien einfach auf Domänenebene anzuwenden. Das macht aber in vielen Fällen so keinen Sinn. Microsoft empfiehlt, eine logische hierarchische Struktur auf der Basis von Organisationseinheiten zu erstellen, um dann neu angelegte Benutzer- und Computerobjekte darin abzuspeichern. Hierauf sollen Gruppenrichtlinien angewendet werden. Dies verhindert, dass neu angelegte Benutzer- und Computerobjekte in den Standardcontainern im Root der Domäne bleiben. Denn diese Container sind nicht dazu bestimmt, Gruppenrichtlinien zu verwenden, und Clientcomputer können von diesen Containern auch keine Gruppenrichtlinien anwenden.
Windows Server 2003 beinhaltet Tools, die es ermöglichen, neue Benutzer- und Computerobjekte automatisch in festgelegte Organisationseinheiten zu verlegen. Hier können dann spezielle Gruppenrichtlinien angewandt werden.
Administratoren stehen im Ressourcekit zwei neue Tools zur Verfügung – ReDirUsr und ReDirComp – über die für die drei Aufrufe NetUserAdd(), NetGroupAdd() und NetJoinDomain() neue alternative Standartwerte festgelegt werden können. So können Administratoren die Standardspeicherstelle für neue Objekte auf entsprechende Organisationseinheiten richten und dann Gruppenrichtlinien auf diese neuen Organisationseinheiten anwenden.

 

Ergebnissätze

Ergebnissätze für Gruppenrichtlinien erlauben es Administratoren, festzulegen bzw. zu analysieren, welche Gruppenrichtlinien zu einem bestimmten Zeitpunkt auf ein bestimmtes Objekt angewandt werden. Mit Richtlinienergebnissätzen können Administratoren bestehende Gruppenrichtlinien für Computer kontrollieren. Gruppenrichtlinienergebnissätze wurden früher als Resultant Set of Policy – Protokollmodus – bezeichnet.

Planung

Die Modellierung von Gruppenrichtlinien ermöglicht es Administratoren, sich auf Wachstum oder Umstrukturierungen im Unternehmen vorzubereiten. Es erlaubt einem Administrator, unterschiedliche Gruppenrichtlinien in einem „Was-wäre-Wenn-Szenario“ durchzuspielen. Ist ein Administrator zu dem Ergebnis gekommen, dass eine Änderung notwendig oder nicht zu vermeiden ist, kann er in verschiedenen Tests durchspielen, welche Folgen die Änderungen auf Nutzer oder Gruppen hätten, wenn sie an eine andere Stelle verschoben würden. Diese Tests zeigen auch, welche Gruppenrichtlinien angewendet werden würden und welche Dateien automatisch geladen würden, wenn die Änderungen durchgeführt würden. Das Planen von Gruppenrichtlinien bietet den Administratoren den Vorteil, Änderungen an Gruppenrichtlinien im Vorfeld durchtesten zu können, bevor Sie auf das gesamte Netzwerk angewendet werden.

Neue Richtliniensätze

Windows Server 2003 wurde um mehr als 150 Richtlinien erweitert. Diese Richtlinien ermöglichen es, das Verhalten des Betriebssystems für einzelne Benutzer oder Gruppen von Benutzern zu kontrollieren oder anzupassen. Sie betreffen Funktionalitäten wie Fehlerberichte, Terminal-Server, Netzwerk- und Wählverbindungen, DNS, Netzwerkanmeldungen, Gruppenrichtlinien und Roaming Profiles.

Webansicht für administrative Vorlagen

Dieses Feature erweitert das Gruppenrichtlinienerweiterungs-Snap-In für administrative Vorlagen, sodass detaillierte Informationen über die verschiedenen verfügbaren Richtlinieneinstellungen angezeigt werden können. Wenn eine Richtlinieneinstellung ausgewählt wird, werden Informationen mit Details über das Verhalten der Einstellung sowie zusätzliche Informationen über die Verwendungsmöglichkeit der Einstellung in der Benutzeroberfläche für administrative Vorlagen in einer Webansicht angezeigt. Diese Informationen stehen auch auf der Registerkarte Erklärung der Eigenschaftenseite der einzelnen Einstellungen zur Verfügung.

Verwalten von DNS mit Gruppenrichtlinien

Administratoren können DNS-Clienteinstellungen (Domain Name System) auf Computern mit einem Betriebssystem der Windows Server 2003-Familie mit Gruppenrichtlinien konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von DNS-Clienteinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Einträge durch die Clients, das Verwenden des Ablaufs des primären DNS-Suffixes und das Füllen der DNS-Suffixsuchliste.

Verbesserung der Umleitung von "Eigenen Dateien"

Ein Administrator kann dieses Feature nutzen, um die Benutzer von dem gewohnten Umgang mit Homeverzeichnissen auf die Benutzung der „Eigenen Dateien“ umzustellen und um dabei zu der alten Struktur kompatibel zu bleiben.

Automatisierte Installation von Anwendungen bei der Anmeldung

Der Anwendungsbereitstellungs-Editor umfasst nun eine neue Option, welche es ermöglicht, Benutzern Anwendungen zuzuordnen, welche bei einer Anmeldung komplett und nicht nur im Bedarfsfall installiert werden. So können Administratoren sicherstellen, dass Benutzern die entsprechende Software automatisch auf ihre Computer installiert wird

 

Netzanmeldung

Anmelderichtlinien bieten die Möglichkeit, die Anmeldeeinstellungen auf Computern unter der Windows Server 2003-Familie mithilfe von Gruppenrichtlinien zu konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von Anmeldeeinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Domänencontrollerlocator-Einträge durch die Domänencontroller, der zeitliche Abstand zwischen der Aktualisierung dieser Einträge, das Aktivieren und Deaktivieren der automatischen Standorterkennung und viele andere gebräuchliche Anmeldeeinstellungen.

Verwalten von DNS mit Gruppenrichtlinien

Administratoren können DNS-Clienteinstellungen (Domain Name System) auf Computern mit einem Betriebssystem der Windows Server 2003-Familie mit Gruppenrichtlinien konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von DNS-Clienteinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Einträge durch die Clients, das Verwenden des Ablaufs des primären DNS-Suffixes und das Füllen der DNS-Suffixsuchliste.

Netzwerk und Wählverbindungen

Das Benutzerinterface für die Konfiguration von Windows Server 2003 -Netzwerkverbindungen kann nun für bestimmte Benutzer zugängig gemacht bzw. gesperrt werden.

Verteilte Ereignisrichtlinien

Die WMI-Ereignisstruktur wurde erweitert, um nun auch in einer verteilten Umgebung genutzt werden zu können. Diese Erweiterung besteht in Komponenten, die es z. B. ermöglichen, für WMI-Ereignisse Abonnements, Filter, Zusammenhänge, Zustände und den Transport zu konfigurieren. Ein ISV könnte so durch das Hinzufügen einer Benutzerschnittstelle und das Definieren einer Gruppenrichtlinie das Überwachen von Zuständen, Aufzeichnen von Ereignissen, Benachrichtigungen, Autorecovery oder Einblenden von Werbung ermöglichen.

Abschalten des Managers für die Anmeldeinformation

Der Anmeldeinformations-Manager vereinfacht unter Windows Server 2003 die Verwaltung der Anmeldeinformationen der Benutzer. Dieses Gruppenrichtlinienfeature bietet die Möglichkeit, den Anmeldeinformations-Manager deaktivieren zu können.

Support URL für Softwareinstallation

Dieses Feature bietet die Möglichkeit, einen Support-URL (Uniform Resource Locator) für das Paket zu bearbeiten und hinzuzufügen. Wenn die Anwendung auf den Zielcomputern in der Systemsteuerung unter Software angezeigt wird, kann der Benutzer den URL für die Supportinformationen auswählen, und wird zu einer Supportwebseite umgeleitet. Dieses Feature kann dabei helfen, die Anrufe an ein Helpdesk- oder Supportteam zu reduzieren.

Filtern von Richtlinien über WMI Filter

Windows Management Instrumentation (WMI) stellt eine Menge von Daten, wie z. B. Informationen über installierte Hard- oder Software, Einstellungen und Konfigurationen zur Verfügung. WMI bietet Zugriff auf Daten aus der Registry, von Treibern, vom Dateisystem, vom Active Directory, vom Simple Network Management Protocol (SNMP), vom Windows Installer-Dienst, aus der structured query language (SQL), aus dem Netzwerk und von Exchange Servern. WMI-Filter unter Windows Server 2003 erlauben es Ihnen, dynamisch zu entscheiden, ob ein bestimmtes Richtlinienobjekt auf der Basis einer Abfrage über WMI-Informationen angewendet werden soll. Diese Abfragen – auch als WMI-Filter bezeichnet – legen fest, welche Benutzer und Computer die Richtlinien-Einstellungen erhalten, die in einem Gruppenrichtlinienobjekt festgelegt sind, auf das dann der Filter angewandt wird. Damit sind Sie in der Lage, Gruppenrichtlinien dynamisch abhängig von der Konfiguration der lokalen Maschine anzuwenden.
So könnte eine Richtlinie z. B. den Benutzern einer bestimmten Organisationseinheit Office XP zuweisen. Ist der Administrator nun unsicher, ob alle – also auch die älteren Computer – über ausreichend Festplattenplatz für die Installation von Office XP verfügen, können WMI-Filter eingesetzt werden, um Office XP nur auf den Computern zu installieren, die über mehr als 400 Megabytes (MB) freien Festplattenspeicher verfügen.

TerminalServer

Ein Administrator kann Gruppenrichtlinien einsetzen, um Terminalserver-Einstellungen wie Umleitungen, Passwortzugriff oder den Bildschirmhintergrund zu steuern.


GPMC

Die Microsoft Group Policy Management Console (GPMC) ist eine Lösung, um Gruppenrichtlinien zu verwalten.

Das Tool besteht aus einem neuen Microsoft Management Console (MMC)-Snap-In und einer Reihe von programmierbaren Schnittstellen für das Verwalten von Gruppenrichtlinien.


GPMC wurde für folgende Einsätze konzipiert:

  • Vereinfachen der Verwaltung von Gruppenrichtlinien. Hierzu soll ein zentraler Platz für das Verwalten der grundlegenden Aspekte von Gruppenrichtlinien zur Verfügung gestellt werden. Sie können sich das GPMC wie einen großen Supermarkt vorstellen: alles, was man für die Verwaltung von Gruppenrichtlinien benötigt, aus einer Hand.
  • Ausgangspunkt für die Bereitstellung von Gruppenrichtlinien. Es werden folgende Möglichkeiten geboten:
    • Benutzerschnittstelle, die das Benutzen von Gruppenrichtlinien vereinfacht.
    • Backup/Restore von Gruppenrichtlinienobjekten (GPOs)
    • Import/Export sowie Einfügen/Kopieren von Gruppenrichtlinienobjekten und Windows Verwaltungsinstrumentations (WMI)-Filter.
    • Vereinfachte Verwaltung der mit den Gruppenrichtlinien zusammenhängenden Sicherheit.
    • HTML-Berichte für Gruppenrichtlinieneinstellungen.
    • HTML-Berichte für Ergebnisse von Gruppenrichtlinien und für die Ausarbeitung von Gruppenrichtlinien (früher als Resultant Set of Policy bezeichnet).
    • Skriptverarbeitung aller GPMC-Operationen, die innerhalb des Tools zur Verfügung gestellt werden – jedoch keine Skriptverarbeitung mit einer Gruppenrichtlinie.

Früher mussten Administratoren unterschiedliche Microsoft Tools einsetzen, um Gruppenrichtlinien verwalten zu können. GPMC führt nun die Funktionalitäten dieser Tools in einer Anwendung zusammen und ergänzt diese um die oben beschriebenen Möglichkeiten

 

Feature

Beschreibung

Umleiten von Benutzer- und Computer-Containern

In der Vergangenheit wurden Kunden oft dazu verführt, Gruppenrichtlinien einfach auf Domänenebene anzuwenden. Das macht aber in vielen Fällen so keinen Sinn. Microsoft empfiehlt, eine logische hierarchische Struktur auf der Basis von Organisationseinheiten zu erstellen, um dann neu angelegte Benutzer- und Computerobjekte darin abzuspeichern. Hierauf sollen Gruppenrichtlinien angewendet werden. Dies verhindert, dass neu angelegte Benutzer- und Computerobjekte in den Standardcontainern im Root der Domäne bleiben. Denn diese Container sind nicht dazu bestimmt, Gruppenrichtlinien zu verwenden, und Clientcomputer können von diesen Containern auch keine Gruppenrichtlinien anwenden.
Windows Server 2003 beinhaltet Tools, die es ermöglichen, neue Benutzer- und Computerobjekte automatisch in festgelegte Organisationseinheiten zu verlegen. Hier können dann spezielle Gruppenrichtlinien angewandt werden.
Administratoren stehen im Ressourcekit zwei neue Tools zur Verfügung – ReDirUsr und ReDirComp – über die für die drei Aufrufe NetUserAdd(), NetGroupAdd() und NetJoinDomain() neue alternative Standartwerte festgelegt werden können. So können Administratoren die Standardspeicherstelle für neue Objekte auf entsprechende Organisationseinheiten richten und dann Gruppenrichtlinien auf diese neuen Organisationseinheiten anwenden.

Ergebnissätze von Gruppenrichtlinien

Ergebnissätze für Gruppenrichtlinien erlauben es Administratoren, festzulegen bzw. zu analysieren, welche Gruppenrichtlinien zu einem bestimmten Zeitpunkt auf ein bestimmtes Objekt angewandt werden. Mit Richtlinienergebnissätzen können Administratoren bestehende Gruppenrichtlinien für Computer kontrollieren. Gruppenrichtlinienergebnissätze wurden früher als Resultant Set of Policy – Protokollmodus – bezeichnet.

Planen von Gruppenrichtlinien

Die Modellierung von Gruppenrichtlinien ermöglicht es Administratoren, sich auf Wachstum oder Umstrukturierungen im Unternehmen vorzubereiten. Es erlaubt einem Administrator, unterschiedliche Gruppenrichtlinien in einem „Was-wäre-Wenn-Szenario“ durchzuspielen. Ist ein Administrator zu dem Ergebnis gekommen, dass eine Änderung notwendig oder nicht zu vermeiden ist, kann er in verschiedenen Tests durchspielen, welche Folgen die Änderungen auf Nutzer oder Gruppen hätten, wenn sie an eine andere Stelle verschoben würden. Diese Tests zeigen auch, welche Gruppenrichtlinien angewendet werden würden und welche Dateien automatisch geladen würden, wenn die Änderungen durchgeführt würden. Das Planen von Gruppenrichtlinien bietet den Administratoren den Vorteil, Änderungen an Gruppenrichtlinien im Vorfeld durchtesten zu können, bevor Sie auf das gesamte Netzwerk angewendet werden.

Neue Richtliniensätze

Windows Server 2003 wurde um mehr als 150 Richtlinien erweitert. Diese Richtlinien ermöglichen es, das Verhalten des Betriebssystems für einzelne Benutzer oder Gruppen von Benutzern zu kontrollieren oder anzupassen. Sie betreffen Funktionalitäten wie Fehlerberichte, Terminal-Server, Netzwerk- und Wählverbindungen, DNS, Netzwerkanmeldungen, Gruppenrichtlinien und Roaming Profiles.

Webansicht für administrative Vorlagen

Dieses Feature erweitert das Gruppenrichtlinienerweiterungs-Snap-In für administrative Vorlagen, sodass detaillierte Informationen über die verschiedenen verfügbaren Richtlinieneinstellungen angezeigt werden können. Wenn eine Richtlinieneinstellung ausgewählt wird, werden Informationen mit Details über das Verhalten der Einstellung sowie zusätzliche Informationen über die Verwendungsmöglichkeit der Einstellung in der Benutzeroberfläche für administrative Vorlagen in einer Webansicht angezeigt. Diese Informationen stehen auch auf der Registerkarte Erklärung der Eigenschaftenseite der einzelnen Einstellungen zur Verfügung.

Verwalten von DNS mit Gruppenrichtlinien

Administratoren können DNS-Clienteinstellungen (Domain Name System) auf Computern mit einem Betriebssystem der Windows Server 2003-Familie mit Gruppenrichtlinien konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von DNS-Clienteinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Einträge durch die Clients, das Verwenden des Ablaufs des primären DNS-Suffixes und das Füllen der DNS-Suffixsuchliste.

Verbesserungen der Umleitung von „Eigenen Dateien“

Ein Administrator kann dieses Feature nutzen, um die Benutzer von dem gewohnten Umgang mit Homeverzeichnissen auf die Benutzung der „Eigenen Dateien“ umzustellen und um dabei zu der alten Struktur kompatibel zu bleiben.

Vollständige Installation von Anwendungen bei der Anmeldung

Der Anwendungsbereitstellungs-Editor umfasst nun eine neue Option, welche es ermöglicht, Benutzern Anwendungen zuzuordnen, welche bei einer Anmeldung komplett und nicht nur im Bedarfsfall installiert werden. So können Administratoren sicherstellen, dass Benutzern die entsprechende Software automatisch auf ihre Computer installiert wird.

Netzanmeldung

Anmelderichtlinien bieten die Möglichkeit, die Anmeldeeinstellungen auf Computern unter der Windows Server 2003-Familie mithilfe von Gruppenrichtlinien zu konfigurieren. Dies vereinfacht die erforderlichen Konfigurationsschritte für Domänenmitglieder beim Anpassen von Anmeldeeinstellungen, wie z. B. das Aktivieren und Deaktivieren der dynamischen Registrierung der DNS-Domänencontrollerlocator-Einträge durch die Domänencontroller, der zeitliche Abstand zwischen der Aktualisierung dieser Einträge, das Aktivieren und Deaktivieren der automatischen Standorterkennung und viele andere gebräuchliche Anmeldeeinstellungen.

Netzwerk- und Wählverbindungen

Das Benutzerinterface für die Konfiguration von Windows Server 2003 -Netzwerkverbindungen kann nun für bestimmte Benutzer zugängig gemacht bzw. gesperrt werden.

Verteilte Ereignis-Richtlinien

Die WMI-Ereignisstruktur wurde erweitert, um nun auch in einer verteilten Umgebung genutzt werden zu können. Diese Erweiterung besteht in Komponenten, die es z. B. ermöglichen, für WMI-Ereignisse Abonnements, Filter, Zusammenhänge, Zustände und den Transport zu konfigurieren. Ein ISV könnte so durch das Hinzufügen einer Benutzerschnittstelle und das Definieren einer Gruppenrichtlinie das Überwachen von Zuständen, Aufzeichnen von Ereignissen, Benachrichtigungen, Autorecovery oder Einblenden von Werbung ermöglichen.

Abschalten des Managers für die Anmeldeinformationen

Der Anmeldeinformations-Manager vereinfacht unter Windows Server 2003 die Verwaltung der Anmeldeinformationen der Benutzer. Dieses Gruppenrichtlinienfeature bietet die Möglichkeit, den Anmeldeinformations-Manager deaktivieren zu können.

Support-URL für Softwareinstallation

Dieses Feature bietet die Möglichkeit, einen Support-URL (Uniform Resource Locator) für das Paket zu bearbeiten und hinzuzufügen. Wenn die Anwendung auf den Zielcomputern in der Systemsteuerung unter Software angezeigt wird, kann der Benutzer den URL für die Supportinformationen auswählen, und wird zu einer Supportwebseite umgeleitet. Dieses Feature kann dabei helfen, die Anrufe an ein Helpdesk- oder Supportteam zu reduzieren.

Filtern von Richtlinien über WMI-Filter

Windows Management Instrumentation (WMI) stellt eine Menge von Daten, wie z. B. Informationen über installierte Hard- oder Software, Einstellungen und Konfigurationen zur Verfügung. WMI bietet Zugriff auf Daten aus der Registry, von Treibern, vom Dateisystem, vom Active Directory, vom Simple Network Management Protocol (SNMP), vom Windows Installer-Dienst, aus der structured query language (SQL), aus dem Netzwerk und von Exchange Servern. WMI-Filter unter Windows Server 2003 erlauben es Ihnen, dynamisch zu entscheiden, ob ein bestimmtes Richtlinienobjekt auf der Basis einer Abfrage über WMI-Informationen angewendet werden soll. Diese Abfragen – auch als WMI-Filter bezeichnet – legen fest, welche Benutzer und Computer die Richtlinien-Einstellungen erhalten, die in einem Gruppenrichtlinienobjekt festgelegt sind, auf das dann der Filter angewandt wird. Damit sind Sie in der Lage, Gruppenrichtlinien dynamisch abhängig von der Konfiguration der lokalen Maschine anzuwenden.
So könnte eine Richtlinie z. B. den Benutzern einer bestimmten Organisationseinheit Office XP zuweisen. Ist der Administrator nun unsicher, ob alle – also auch die älteren Computer – über ausreichend Festplattenplatz für die Installation von Office XP verfügen, können WMI-Filter eingesetzt werden, um Office XP nur auf den Computern zu installieren, die über mehr als 400 Megabytes (MB) freien Festplattenspeicher verfügen.

Terminalserver

Ein Administrator kann Gruppenrichtlinien einsetzen, um Terminalserver-Einstellungen wie Umleitungen, Passwortzugriff oder den Bildschirmhintergrund zu steuern.