Gruppenrichtlinien
Wartung-Start übergeordnet Gruppenrichtlinien Login-Script

 

Gruppenrichtlinien

Unterpunkte:

Allgemeines
Einrichten der Gruppenrichtlinien
Standorte für Gruppenrichtlinien
Aufbau der Richtlinien
Beispiele für Richtlinien
für alle
beim Rechner
beim Benutzer
Weitere Möglichkeiten

Allgemeines

Der Vorteil der Gruppenrichtlinien ist, dass sie sich sehr differenziert für verschiedene Rechner und Benutzergruppen einstellen lassen. 
Die Gruppenrichtlinien werden bei einer OU eingerichtet. 
Sie gelten dann für alle Mitglieder ( Rechner oder Benutzer ) der OU und alle Unter-OU.
Bei jeder OU können mehrere Richtlinien eingerichtet werden, in denen jeweils nur Teile geregelt werden. Der Name der Richtlinie ist dann Programm. Jede Richtlinie ist für eine (oder zumindest wenige) Eigenschaft zuständig.  Wer erinnert sich schon nach ein paar Wochen, welche Einträge er genau gemacht hat. 
Im Gegensatz zu den Systemrichtlinien überlagern Sie die Richtlinien des lokalen Rechners/Benutzers. Die Registry-Einträge bleiben lokal unverändert. Sie gelten nur für die Sitzung.
Bei Systemrichtlinien unter NT4 hatten wir einmal einem Usern das Recht, seine Registry zu verändern, genommen.  Diese Recht zu entfernen war mühsam. Der User musste  Administratorrechte bekommen. Dann konnte er sich das Recht wieder geben (Regedt32!). Dann konnte er wieder normaler User werden. 

Einrichten der Gruppenrichtlinien:

"Active Directory - Benutzer und Computer" starten
Rechte Maustaste auf die gewünschte Organisationseinheit ->Eigenschaften->Gruppenrichtlinie
Wenn noch keine existieren oder neue erstellt werden sollen
-> Neu -> Sinnvollen Namen vergeben
Bearbeiten

Standorte für Gruppenrichtlinien

Die Gesamtstruktur. Dort gibt es bereits die Richtlinie "Default Domain Policy"
Für die OU Arbeitsstationen werden Gruppenrichtlinien eingerichtet.
Die Gruppenrichtlinien für Rechner werden alle bei OU Arbeitsstationen erstellt und gegebenenfalls deaktiviert. Auf diese Art und Weise sind alle Gruppenrichtlinien zentral gesammelt. Vor allem überstehen dadurch Gruppenrichtlinien auch Umorganisationen. Sie werden den Unter-OU hinzugefügt, wenn sie nur für einzelne OU gelten. 
Drucker für einzelne Räume
Laufwerke verbinden: Prog -> P: | Daten ->K:
...
Für die OU Benutzer werden Gruppenrichtlinien eingerichtet.
Die Gruppenrichtlinien werden alle Benutzer bei OU Benutzer erstellt und gegebenenfalls deaktiviert. Auf diese Art und Weise sind alle Gruppenrichtlinien zentral gesammelt. Vor allem überstehen dadurch Gruppenrichtlinien auch Umorganisationen. Sie werden den Unter-OU hinzugefügt, wenn sie nur für einzelne OU gelten. 
Programminstallationen je nach Standort / OU
...

Aufbau der Richtlinien:

Die Richtlinien zerfallen in zwei Gruppe, die Computerkonfiguration, die beim Rechnerstart durchgeführt wird, und die Benutzerkonfiguration, die beim Anmelden eines Benutzers durchgeführt wird. Siehe folgende Übersicht:

Computer-Konfiguration 
(beim Start des Rechners)
Benutzer-Konfiguration
(bei der Anmeldung des Benutzers)

Computerkonfigurationen werden wohl sinnvollerweise bei der OU Arbeitsstationen angesiedelt. Benutzerkonfiguration der OU Arbeitsstationen, wenn es für alle Benutzer der Rechner beim Anmelden  gelten soll wie z.B. Laufwerks- oder Druckerzuweisungen. Gilt es für einzelne Benutzer unabhängig vom Rechner, so gehören die Benutzerkonfiguration zur  OU Benutzer

Beispiele für Richtlinien

für alle

Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu.
Computerkonfiguration->Administrative Vorlagen->System->Anmeldung:
In Windows 2000 und neueren Betriebssystemen sind die Standarddateiberechtigungen für neu erstellte Profile für Benutzer auf "Vollzugriff bzw. "Schreiben und Lesen" und für Administratoren auf "Keinen Zugriff" festgelegt.
Durch Konfiguration dieser Richtlinie kann dieses Verhalten geändert werden.

Anmeldekonto - Kennwortalter einstellen/deaktivieren
Computerkonfiguration->Sicherheitseinstellungen->Kontorichtlinien->Kennwortrichtlinien->Kennwortalter
Hier stellt man ein, nach wie viel Tagen Benutzer ein neues Kennwort wählen müssen (oder deaktiviert diese Rcichtlinie)

Hier kann man auch einstellen, nach wie viel Fehlversuchen ein Konto gesperrt ist und für wie lange.

Computersprerre deaktivieren
Benutzervorlagen->Administrative Vorgaben->System->Anmeldung/Abmeldung->Computersperre nicht ermöglichen
Verhindert, dass Benutzer den Computer sperren. Wenn der Computer gesperrt ist, ist das Desktop ausgeblendet, und der Computer kann nicht verwendet werden. Nur der Benutzer, der den Computer gesperrt hat, oder ein Administrator kann die Sperrung des Computers aufheben.

Berechtigungen  für lokale Laufwerke und Dateien entziehen bzw. zuweisen.
Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Dateisystem:
Auf der Arbeitsstation hat jeder  normalerweise Vollzugriff. Das ist Unsinn! Hier kann man z.B. "Jeder" nur das Recht Lesen und Administratoren Vollzugriff zuweisen.
Für andere Ordner kann man zentral(!) Zusatzberechtigungen festlegen.

Kopieren bestimmter Verzeichnisse im Profil,z.B. temporärer Internetdateien verhindern
Benutzerkonfiguration->Windows-Einstellungen->Skripts->Anmelden:
Der Internetexplorer speichert normalerweise seine temporären Dateien im Profil des Benutzers. Bei An- und Abmeldung werden dann diese Dateien übers Netz transportiert. Das dauert. Hier kann man das unterbinden. 

Laufwerks-Verbindungen zur Prog- und Daten-Freigabe
Benutzerkonfiguration->Windows-Einstellungen->Skripts->Anmelden:
Das Script(Bat-Datei) sollte sinnvollerweise auf der höchsten Ebene, hier OTEST.lokal\scripts abgelegt werden. 
Vorteil: Die Batch-Datei steht allen anderen Rechnern in der Freigabe Netlogon zur Verfügung. Auch andere Rechner wie Win98/95-Rechner können sich dann - entsprechende Berechtigungen vorausgesetzt - mit den Freigaben unter den üblichen Bezeichnungen verbinden. 

beim Rechner

Profile auf den lokalen Rechnern löschen
Computerkonfigurationen-> Administrative Vorlagen -> System -> Benutzerprofile -> Zwischengespeicherte Kopien von servergespeicherten Profilen löschen

Anmeldenamen verbergen
Computerkonfiguration->Sicherheitseinstellungen->Lokale Richtlinien->Sicherheitsoptionen->Letzten Benutzernamen nicht im Anmeldedialog zeigen

Beim jeweiligen Computerraum wird der entsprechende Drucker installiert: Computerkonfigurationen->Windows-Einstellungen->Skripts->Starten
Druckerdriver übernehmen

Benutzerkonfiguration->Windows-Einstellungen->Skripts->Anmelden:
Drucker als Standarddrucker

Installation von MSI-Software-Paketen Computerkonfigurationen->Softwareeinstellungen->Softwareinstallation
MSI-Paket hinzufügen. 
z.B. das Paket ADMINPACK.MSI von der Server-CD im Verzeicnis I386. Damit können Berechtigte von jeder Arbeitsstation aus AD-Verwaltung betreiben.

Bei der Installation von MSI-Packeten ist die Reihenfolge wichtig. Beim Start überprüft W2K die Pakete auf Konsistenz und installiert eventuell neu. Bei falscher Reihenfolge gibt's dann Probleme.

Internetexplorer - Verbindungseinstellungen Benutzerkonfiguration->Windows-Einstellungen->Internet Explorer-Wartung
Hier kann man die Einstellungen für den Internetexplorer wie Proxy, Favoriten, Sicherheitszonen, usw. vornehmen. 
Alternative für einige Einstellungen: der DHCP-Server.

beim Benutzer

Im Prinzip können alle Benutzerkonfigurationen nicht nur pro Rechner sonder Benutzerabhängig erstellt werden.
Anzeige (Auflösung, Bildschirmeinstellungen) ändern entfernen 
Der Administrator sollte in einer OU sein, auf die diese Richtlinie NICHT angewendet wird!

Benutzerkonfiguration->Administartive Vorlagen->Systemsteuerung->Anzeige->Entfernt die Registerkarte "Einstellungen" aus dem Symbol "Anzeige" in der Systemsteuerung.
Diese Richtlinie verhindert, dass Benutzer mithilfe der Systemsteuerung Einstellungen auf dem Computer hinzufügen, konfigurieren oder verändern.
Benutzerkonfiguration->Windows-Einstellungen->Skripts->Anmelden:
Laufwerks-Verbindungen zur speziellen Freigaben
Analog zu Script(Bat-Datei)  

Weitere Möglichkeiten:

Ordnerumleitungen für
Eigene Dateien
Desktop
Startmenü
Administrative Vorlagen für alles Mögliche. Aufbau der Richtlinien.
 

 

OvTG-Systemwartung