System- und Gruppenrichtlinien

Gültig für: Windows NT | Windows 2000 | Windows XP | Server 2003 | Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10

---

Ab Windows 2000 können Sie mit Active Directory Gruppenrichtlinien benutzen. Es besteht zwar auch die Möglichkeit, unter 2000 mit den Systemrichtlinien zu arbeiten, aber der Einsatz von Gruppenrichtlinien ist fast nicht zu vermeiden und auch sinnvoll.

 

Was sind Richtlinien?

• Eine Richtliniendatei enthält die Informationen für den Client mit Einschränkungen für den Benutzer.
• Mit den Richtlinien können Sie die Clients zentral und einheitlich konfigurieren und haben die Möglichkeit, diese Einstellungen leicht zu verändern.
• Mit einer Richtliniendatei werden Werte ist der Registry gesetzt und verändert.
• Bei jeder Anmeldung an das Netzwerk werden diese Einstellungen der Richtliniendatei mit der aktuellen Computer/Anwendereinstellung verglichen und bei Unterschieden angepasst.
• Die Richtlinien werden aus den Informationen einer Richtlinienvorlage (ADM-Datei) erstellt.
• Diese Richtlinienvorlage ist bei den System-/Gruppenrichtlinien weitgehend identisch.

 

Informationen zum Aufbau finden Sie unter "Erstellen einer eigenen ADM-Datei" und mit der neuen Version des Registry System Wizard (RSW) können Sie auch selber ADM-Dateien erstellen.

 

Die Erstellung der Richtliniendatei erfolgt bei Windows NT mit dem Systemrichtlinien-Editor (Policy-Editor), der mit Hilfe der ADM-Dateien eine entsprechende Richtliniendatei erzeugt, unter Windows 2000 wird dazu die MMC mit dem Snap-In "Gruppenrichtlinie" verwendet.

 

Systemrichtlinien:

Die Systemrichtlinien wurden bei Windows NT eingesetzt und können wie oben schon geschrieben auch noch unter Windows 2000 weiter benutzt werden. Aus diesem Grunde gibt es auch in einem 2000-Netzwerk noch die Freigabe "Netlogon", wo die Datei NTCONFIG.POL (bzw. CONFIG.POL für Windows 9x/ME Clients) bereitgestellt werden kann. Dieses Freigabeverzeichnis finden Sie aber nicht wie bei Windows NT unter "%SYSTEMROOT%\System32\repl\import\scripts",

sondern das Verzeichnis liegt bei Windows 2000 jetzt unter

"%SYSTEMROOT%\Sysvol\kuppinger.com\scripts".

 

Bei der Anmeldung an das Netzwerk suchen die NT Clients automatisch nach der Datei NTCONFIG.POL(bzw. Windows 9x sucht nach CONFIG.POL). Windows 2000 sucht im Gegensatz dazu automatisch nach einer Gruppenrichtlinie - wenn Sie das ändern wollen, beachten Sie dazu den Tipp: "Windows 2000 Clients sollen auch in einer NT 4.x Domäne/Workgroup eine Policy-Datei laden". Aus diesem Grunde können die Systemrichtlinien erst abgeschafft werden, wenn keine Clients mehr im Netzwerk vorhanden sind, die auf Windows NT/9x aufsetzen. Deshalb müssen bei der Planung von 2000 Netzwerken beide Richtlinien berücksichtigt werden.

 

Gruppenrichtlinien

Wie oben schon beschrieben, werden auch die Gruppenrichtlinien im Prinzip mit Richtlinienvorlagen erstellt. Der große Unterschied ist aber, dass nur der Bereich Computer- und Benutzerverwaltung unter "Administrative Vorlagen" auf diese Vorlagendateien zurückgreift. Darum haben Sie auch nur hier die Möglichkeit, über das Menü "Vorlagen hinzufügen/entfernen" eigene Vorlagendateien einzubinden. Alle anderen Bereiche können vom Administrator praktisch nicht angepasst werden, da diese nur über das Ansprechen einer API erweitert werden können.

 

Durch diese Erweiterungen können mit Gruppenrichtlinien nicht nur (wie bei Systemrichtlinien) "Registry-Werte" verändert und gesetzt, sondern auch noch andere Werte verändert werden:

• Registry-Werte setzen und verändern
• Sicherheitseinstellungen und Zugriffsberechtigungen
• Softwareinstallation/deinstallation und Softwareupdates
• Skriptsteuerung: Anmelden/Abmelden usw.
• Mappings: Hiermit können jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung).

Die Verteilung/Zuweisung von Gruppenrichtlinien erfolgt nicht über die Freigabe "Netlogon", sondern über das Active Directory. Hier werden die Gruppenrichtlinien den entsprechenden Sites bzw. organisatorischen Einheiten zugewiesen und gelten für die dort vorhandenen Computer und Benutzer.

 

Die Gruppenrichtlinien sind in drei Teile aufgeteilt, die an unterschiedlichen Stellen abgelegt werden können:

 

Group Policy Container	Liegt im GPC (Group Policy Container) des Active Directory Ort: cn=Policies,cn=System,dc=domäne,dc=com
Group Policy Template	Liegt im GPT (Group Policy Template) im Ordner: SYSVOL Ort: <systemroot>\Sysvol\domain\Policies
Erweiterungen (IPsec-Richtlinien)	Kann frei festgelegt werden.

 

Die Einstellungen in einer Gruppenrichtlinie werden in so genannten GPOs (Group Policy Object) gespeichert.

 

Wird einem Container im ADS ein GPO zugewiesen, wird nur ein Link auf das GPO im Container gespeichert und nicht das GPO selber. GPOs können somit an mehreren Stellen gleichzeitig und sogar über Domänengrenzen hinweg benutzt werden. Dabei ist zu beachten, dass ein Domänenkontroller der Domäne im lokalen Standort das GPO besitzt, ansonsten wird über die Standortverbindung auf das GPO zugegriffen, was aus Zeitgründen meist nicht wünschenswert ist.

 

Standardmäßig gibt es je Domäne eine "Default Domain Policy", die für alle Computer und Benutzer in der Domäne gilt. Alle Einstellungen werden auf die unteren Objekte vererbt, weshalb man sich vor der Konfiguration der Einstellungen Gedanken über den Wirkungsbereich machen sollte (Unterbrechung der Vererbung, Zugriffsberechtigungen). Aus Sicherheitsgründen gibt es für Domänencontroller eine extra Richtlinie.

 

Lokale Gruppenrichtlinien:

Windows 2000 Clients, die in einem Netzwerk ohne Active Directory betrieben werden, arbeiten standardmäßig auch mit Gruppenrichtlinen, suchen diese aber lokal und können so leider auch nur lokal konfiguriert werden.

 

Diese lokalen Gruppenrichtlinien werden bei einer Anmeldung an einer Domäne von den dort gesetzten Richtlinien überschrieben. Die lokalen Gruppenrichtlinien können nicht über Gruppen zugeordnet werden, sondern gelten pauschal für alle Benutzer des lokalen Systems, die ein Leserecht auf diese Richtlinie haben.

 

In der lokalen Gruppenrichtlinien stehen die Einstellungen nicht zu Verfügung für:

• Softwareinstallation/deinstallation und Softwareupdates
• Mappings: Hiermit können jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung)

Die Gruppenrichtlinien werden im Verzeichnis "%SYSTEMROOT%\System32\GroupPolicy" abgelegt. Durch das Setzen von Dateizugriffberechtigungen können Accounts von der Benutzung dieser Richtlinien ausgeschlossen werden (sinnvoll für Administrative Accounts); leider können diese Accounts die Gruppenrichtlinien dann auch nicht mehr bearbeiten.

 

Die lokalen Gruppenrichtlinien können über "Verwaltung" -> "Lokale Sicherheitsrichtlinie" bearbeitet werden. Hier stehen aber nur die Sicherheitsrichtlinien zu Verfügung. Wenn Sie alle Einstellungen bearbeiten wollen, müssen Sie folgendermaßen vorgehen:

1. Die MMC starten
2. Datei -> "Snap-In hinzufügen/entfernen" auswählen und im Register "Eigenständig" -> "Hinzufügen" auswählen
3. Das Snap-In "Gruppenrichtlinie" auswählen -> "Hinzufügen"
4. "Lokaler Computer" -> "Fertigstellen"

 

Wenn Richtlinienvorlagen (ADM-Dateien) für System-/Gruppenrichtlinien gemeinsam genutzt werden sollen, muss vorher überprüft werden, ob die angesprochenen Registryeinträge auch in beiden Betriebssystemen noch vorhanden sind. Dies ist insbesondere bei Einstellungen zu prüfen, die das Betriebssystem betreffen.

Siehe auch "Erstellen einer eigenen ADM-Datei", "Windows 2000 Clients sollen auch in einer NT 4.x Domäne/Workgroup eine Policy-Datei laden", "Systemrichtlinien Editor" und "Gruppenrichtlinien und deren Verarbeitung".

---