Zu den wesentlichen Funktionen von IT-Administratoren gehört es Benutzer- und Computereinstellungen auf einem Server zu verwalten. Darunter fallen neben Desktop-Einstellungen auch die sicherheitsrelevante Absicherung von Internet Explorer, Office Programmen und Windows Explorer. Hierfür gibt es lokale Sicherheitsrichtlinien und Gruppenrichtlinien für Domains.
Die Richtlinien sorgen für zahlreiche automatisch vorgegebene Einstellungen auf einem Client oder Server. Administratoren fällt es so leichter beispielsweise das Verhalten des Internet Explorers festzulegen oder Regeln für Passwörter einzurichten. Die Regeln wirken auch unter Windows Server 2008 mit Codes, die die Registry nicht dauerhaft ändern. Die Informationen werden in Zeichenfolgen abgelegt und nachdem die Norm ihre Gültigkeit verloren hat, verschwindet diese aus den Codes.
Gruppenrichtlinien in Windows Server 2008R2 und Windows 7
Die meisten Richtlinien-Einstellungen, die unter Windows Server 2008 R2 angelegt wurden, werden von Arbeitsstationen mit Windows Vista akzeptiert. Allerdings gibt es einige Aufgaben der Gruppenrichtlinien, die nur auf Clients mit Windows 7 funktionieren. Hierzu gehören Branch Cache und Direct Access.
Beim Zusammenwirken von Windows Server 2008 R2 mit Windows 7 kommt die Direct Access Technologie zum Einsatz. Die Technologie sorgt dafür, dass Clients, die sich per Virtual Private Network (VPN) mit dem Netzwerk verbinden, automatisch die Richtlinien ausführen. Weitere Informationen hierzu finden Sie im TecChannel-Beitrag Windows 7: Die neuen Funktionen für Unternehmen. Der Artikel Windows Server 2008 R2: PowerShell 2.0, Hyper-V und VDI gibt Ihnen einen Überblick über die Neuheiten von Windows Server 2008 R2.
Richtlinien mit der PowerShell verwalten
Damit Sie die Gruppenrichtlinienverwaltung von Windows Server 2008 R2 auf einem Computer mit Windows 7 ausführen können, benötigen Sie die Remote-Server-Verwaltungs-Tools (RSAT), die Sie bei Microsoft herunterladen können. Über diese Tools lassen sich unter anderem die Richtlinien verwalten. Damit Richtlinien angewendet werden, benötigen Clients keine zusätzliche Software.
Die beiden neuen Microsoft-Betriebssysteme bieten auch die Möglichkeit, Gruppenrichtlinien über die Windows-PowerShell zu verwalten. Dazu steht das neue PowerShell-Modul grouppolicy zur Verfügung, das Sie mit dem Befehl import-module grouppolicy zum Beispiel in die Windows-PowerShell ISE importieren können. Die PowerShell 2.0 ist bei Windows Server 2008 R2 und Windows 7 automatisch installiert, die grafische Oberfläche (ISE) dazu müssen Sie aber über Features manuell nachinstallieren. Die neuen Gruppenrichtlinien ermöglichen auch Einstellungen, bei denen PowerShell-Skripte beim Starten/Herunterfahren/An- oder Abmelden immer vor normalen Skripten ablaufen.
Sie finden diese Einstellungen über Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Skripts. Neu sind auch die Starter-Gruppenrichtlinienobjekte, schreibgeschützte Vorlagen, die Sie beim Erstellen neuer Richtlinien nutzen können.
Gruppenrichtlinien-Preferences effizient einsetzen
Neu in der Bearbeitung der Richtlinien ist im Bereich der Richtlinienverwaltung der Menüpunkt Einstellungen (Preferences) unter den Richtlinieneinstellungen. Hierüber ermöglichen Sie Einstellungsvorschläge, die Anwender aber nicht zwingend übernehmen müssen. Demgegenüber sind Gruppenrichtlinien feste Vorgaben, die Anwender zwingend übernehmen müssen. Setzen Sie in den Gruppenrichtlinien Anpassungen um, können Anwender auf ihren Computern entweder gar keine Änderungen in diesem Bereich mehr vornehmen, da diese ausgegraut sind, oder die Einstellungen werden beim Neustart wieder durch die Richtlinien überschrieben.
Im Menüpunkt Einstellungen lassen sich hingegen Einstellungen vornehmen, die von den Client-Computern auch übernommen werden, genauso wie herkömmliche Richtlinien. Allerdings können Anwender diese Einstellungen auf ihre individuellen Bedürfnisse hin anpassen. Beachten Sie aber, dass Sie in Gruppenrichtlinien zwar Einstellungen vorgeben und diese wieder rückgängig machen können, aber diese Funktion über die Preferences nicht zur Verfügung steht. Nehmen Sie Einstellungen in den Preferences vor, bleiben diese auch dann auf den Rechnern erhalten, wenn Sie die Einstellungen in der Richtlinie wieder entfernen.
Einstellungen mit Optionen
Anwender können solche Einstellungen aber selbst lokal anpassen. Nehmen Sie im Menüpunkt Einstellungen (Preferences) im Gruppenrichtlinienverwaltungs-Editor Einstellungen vor, verwendet dieser Editor die gleiche grafische Oberfläche wie die entsprechende Einstellung auf dem Computer. Sie wählen die Einstellungen aus, klicken mit der rechten Maustaste in den Ergebnisbereich und wählen Neu. Anschließend können Sie Einstellungen vorgeben, die an die Computer übergeben werden.
Im Gegensatz zu herkömmlichen Gruppenrichtlinien können Anwender diese Einstellungen jedoch nachträglich lokal anpassen. Über die Einstellungen können Sie beispielsweise auch Neue Ordner oder Dateien im Dateisystem auf den Rechnern anlegen lassen. Darüber hinaus können Sie über die Registerkarte Gemeinsame Optionen einer solchen Preference mit Filtern genau auswählen, auf welcher Art von Rechnern die Richtlinie angewendet werden soll. Über diese Einstellungen können Sie beispielsweise auch Netzwerkfreigaben verbinden lassen.
Preferences erstellen
Die Übernahme dieser Einstellungen funktioniert neben Windows 7 auch bei Windows Vista und bei Windows XP. Die Einstellungen sind alle selbsterklärend. Um Preferences zu erstellen, gehen Sie folgendermaßen vor:
1. Starten Sie die Gruppenrichtlinienverwaltung.
2. Klicken Sie auf Gruppenrichtlinienobjekte mit der rechten Maustaste und wählen Sie Neu.
3. Erstellen Sie eine neue Gruppenrichtlinie, klicken Sie diese mit der rechten Maustaste an und wählen Sie Bearbeiten.
4. Klicken Sie unter Computerkonfiguration oder Benutzerkonfiguration auf Einstellungen.
5. Wählen Sie die Einstellung aus, die Sie auf den Rechnern vorgeben, auf die Sie die Richtlinie anwenden wollen.
6. Klicken Sie im rechten Bereich des Fensters, dann mit der rechten Maustaste und wählen Sie Neu.
7. Erstellen Sie die Einstellung und nehmen Sie Ihre Änderungen vor.
8. Wählen Sie auf der Registerkarte Gemeinsame Optionen über Zielgruppenadressierung die Filterung aus, auf deren Basis Sie die Durchführung der Richtlinie starten wollen.
Gruppenrichtlinien verwalten
Die Verwaltung von Gruppenrichtlinien erfolgt über das Verwaltungsprogramm Gruppenrichtlinienverwaltung. Sie können diese als Funktion über den Server-Manager als Feature hinzufügen, auf Domänencontrollern ist das Tool automatisch installiert. Mit dem Begriff Gruppenrichtlinien werden meistens die GPOs (Group Policy Object) bezeichnen. Ein GPO ist eine Gruppenrichtlinie, in der Sie Einstellungen vorgeben. Diese Einstellungen legen für Benutzer-PCs oder Benutzerkonten fest, wie sich die Systeme verhalten. Damit die Client-Computer diese Einstellungen auch anwenden, müssen Sie die GPO mit Organisationseinheiten oder einer ganzen Domäne verknüpfen. In diesem Fall spricht man von Gruppenrichtlinienverknüpfungen.
Ein GPO lässt sich nicht nur mit einer OU (Organisation Unit, Organisationseinheit) verknüpfen, sondern auch mit mehreren. Unter Windows XP und Windows Server 2003 gab es für unterschiedliche Sprachversionen von Windows verschiedene Versionen der Vorlagendateien (*.adm-Dateien). Da dies vor allem für internationale Unternehmen nicht sehr effizient ist, hat Microsoft das Design der Vorlagendateien angepasst. Windows Server 2008 R2 und auch schon Windows Server 2008 verwenden für Vorlagendateien sprachneutrale *.admx-Dateien. Diese bauen auf XML auf.
Diese *.admx-Dateien hinterlegen Sie nicht mehr für jede einzelne Gruppenrichtlinie, sondern zentral im Policy-Ordner. Dadurch sparen Sie deutlich Bandbreite, da Domänencontroller nur noch die Einstellungen in den Gruppenrichtlinien replizieren, nicht mehr alle *.adm-Dateien bei jeder Replikation. Im Verzeichnis der Gruppenrichtlinienvorlagen sehen Sie auch die installierten Sprachversionen von Windows Server 2008. In diesem Ordner liegen die Dateien in Form von *.adml-Dateien, da diese an die jeweilige Sprache angepasst sind. Für jede installierte Sprache auf einem Server gibt es einen entsprechenden Ordner.
Jeder dieser Ordner enthält die sprachspezifischen *.adml-Dateien, die auf die entsprechende sprachneutrale *.admx-Datei referenziert. Zur Migration bisheriger ADM-Vorlagen, aber auch für das Erstellen neuer Vorlagen gibt es jetzt ein Snap-In für die Managementkonsole, den ADMX Migrator. Das Tool kann bestehende *.adm-Dateien in *.admx umwandeln oder neue ADMX-Vorlagen erstellen; Sie finden es im Microsoft Download-Center.
Gruppenrichtlinien konfigurieren und anwenden
Nach dem Start verbindet sich die Konsole Gruppenrichtlinienverwaltung (GPMC) automatisch mit der Gesamtstruktur und der Domäne, in der sich der Rechner befindet, auf dem Sie die Software installiert haben. Wenn Sie über genügend Berechtigungen verfügen, können Sie mit einer zentralen GPMC die Gruppenrichtlinien mehrerer Domänen und sogar Gesamtstrukturen verwalten. Falls Sie weitere Domänen Ihrer Gesamtstruktur anzeigen lassen wollen, klicken Sie in der GPMC mit der rechten Maustaste auf den Knoten Domänen und wählen im Kontextmenü den Befehl Domänen anzeigen aus. Danach können Sie alle Domänen aktivieren, die in Ihrer Gesamtstruktur vorhanden sind.
Standardmäßig verbindet sich die GPMC automatisch mit dem PDC-Emulator der Domäne, da dieser für die Verwaltung der Gruppenrichtlinien zuständig ist. Wollen Sie jedoch einen anderen Domänencontroller auswählen, beispielsweise weil der Zugriff auf den PDC-Emulator zu langsam ist, wenn Sie in einer Niederlassung Gruppenrichtlinien verwalten. Dazu klicken Sie in der GPMC mit der rechten Maustaste auf die Domäne und wählen im Kontextmenü die Option Domänencontroller ändern. Um ein neues GPO zu erstellen, klicken Sie in der GPMC auf den Knoten Gruppenrichtlinienobjekte und wählen im Kontextmenü den Befehl Neu aus.
Der nächste Schritt besteht daher darin, die Gruppenrichtlinie zu bearbeiten und die Einstellungen vorzunehmen, die Sie an die Arbeitsstationen verteilen wollen. Klicken Sie im Menü Gruppenrichtlinienobjekte mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie im Kontextmenü die Option Bearbeiten aus. Damit öffnet sich der Gruppenrichtlinienverwaltungs-Editor, mit dessen Hilfe Sie die Einstellungen innerhalb des GPOs vornehmen, die automatisch verteilt werden sollen.
Der Gruppenrichtlinienverwaltungs-Editor besteht aus zwei Hälften. Auf der linken Seite können Sie auswählen, für welchen Bereich Sie Einstellungen vornehmen wollen. Die Einstellungen unter Computerkonfiguration wenden Computer beim Starten an. Die Einstellungen unter Benutzerkonfiguration werden auf die Profile der einzelnen Anwender angewendet, wenn sich diese anmelden. Damit die Einstellungen in der Gruppenrichtlinie angewendet werden, müssen Sie diese mit einer OU oder der ganzen Domäne verknüpfen. Klicken Sie dazu in der Gruppenrichtlinienverwaltung mit der rechten Maustaste entweder auf die OU, mit der Sie dieses GPO verknüpfen wollen, oder auf die Domäne. Wählen Sie aus dem Kontextmenü die Option Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.
Gruppenrichtlinien erzwingen und Priorität erhöhen
Wenn Sie eine Richtlinie erstellt und verknüpft haben, klicken Sie die Domäne in der Gruppenrichtlinienverwaltung an. Auf der rechten Seite sehen Sie alle Gruppenrichtlinien, die direkt mit der Domäne verknüpft sind. Markieren Sie eine Verknüpfung auf der rechten Seite der Gruppenrichtlinienverwaltung und klicken Sie auf die Pfeile, um die Reihenfolge der Anwendung der Richtlinien festzulegen. Durch die Vererbung von Gruppenrichtlinien besteht die Möglichkeit, dass die Einstellung einer Gruppenrichtlinie durch eine andere Gruppenrichtlinie, die in einer untergeordneten OU definiert ist, überschrieben wird.
Hierzu ein Beispiel: Wenn Sie eine Richtlinie konfigurieren, in der Sie die Komplexität der Kennwörter mitgeben, und diese mit der ganzen Domäne verknüpfen, ist diese Einstellung für alle Organisationseinheiten und die darin enthaltenen Benutzer aktiviert. Ist jetzt aber mit einer untergeordneten Organisationseinheit eine weitere Gruppenrichtlinie verknüpft, die in der Anwendungsreihenfolge nach der Richtlinie für die Domäne angewendet wird, besteht die Möglichkeit, dass die Einstellungen der vererbten Richtlinie der Domäne überschrieben werden. Für Benutzer innerhalb eines Containers gilt immer die zuletzt angewendete Richtlinie.
Wenn Domänenadministratoren sicherstellen wollen, dass bestimmte Gruppenrichtlinien nicht überschrieben werden können, besteht die Möglichkeit, die Einstellungen dieser Richtlinie zu erzwingen. Klicken Sie in diesem Fall auf der rechten Seite der Gruppenrichtlinienverwaltung auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte die Verknüpfung mit der rechten Maustaste an und wählen im daraufhin geöffneten Kontextmenü die Option Erzwungen aus. Dadurch stellen Sie sicher, dass diese Einstellungen für alle Benutzer der Domäne Gültigkeit haben. Wenn Sie anschließend in der GPMC eine untergeordnete OU aktivieren, sehen Sie auf der rechten Seite der Registerkarte Gruppenrichtlinienvererbung, dass die Richtlinie auch hier als erzwungen angezeigt wird. Im Anschluss daran können Sie die Gruppenrichtlinie auf einer Windows-Arbeitsstation mit gpupdate /force in der Befehlszeile übertragen oder aber die Arbeitsstation neu starten.
Vererbung für Gruppenrichtlinien deaktivieren
Für manche Gruppenrichtlinien ist es unter Umständen sinnvoll, die standardmäßige Vererbung zu deaktivieren. Wenn Sie zum Beispiel in allen OUs einer Domäne die Internet-Explorer-Einstellungen wie beschrieben weitergeben wollen, in einer OU aber nicht, dann können Sie in dieser OU die Verwendung der Richtlinie deaktivieren, auch wenn diese mit der ganzen Domäne verknüpft ist. Haben Sie zum Beispiel Mitarbeiter, die einen eigenen Proxyserver verwenden, zum Beispiel die Entwicklungsabteilung oder die IT-Abteilung, können Sie eine eigene Gruppenrichtlinie für diese OU erstellen und sie mit dieser OU verknüpfen. Die Vererbung der übergeordneten Richtlinie lässt sich für diese OU deaktivieren.
Wenn Sie die entsprechende OU in der Gruppenrichtlinienverwaltung anklicken, können Sie auf der rechten Seite der Konsole auf der Registerkarte Gruppenrichtlinienvererbung erkennen, welche Verknüpfungen von übergeordneten OUs auf diese OU übernommen - also vererbt - werden. Sie können allerdings nicht die Vererbung einzelner Gruppenrichtlinien deaktivieren, sondern nur die Vererbung als Ganze. Klicken Sie dazu in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf die OU, für die Sie die Vererbung deaktivieren wollen, und wählen Sie im Kontextmenü den Befehl Vererbung deaktivieren aus.
Nachdem Sie die Vererbung von Gruppenrichtlinien für eine OU deaktiviert haben, wird diese OU in der Gruppenrichtlinienverwaltung mit einem blauen Kreis und einem weißen Ausrufezeichen angezeigt. Erzwungene Gruppenrichtlinien lassen sich auch durch die Deaktivierung der Vererbung nicht deaktivieren. Vor allem beim Einsatz vieler Richtlinien sollten Sie bei Änderungen ein Backup der Richtlinie im Netzwerk ablegen. Mit der Gruppenrichtlinienverwaltung (GPMC) können Sie einzelne Gruppenrichtlinien sichern und wiederherstellen. Klicken Sie mit der rechten Maustaste auf eine Gruppenrichtlinie und wählen Sie im Kontextmenü den Befehl Sichern aus. Bei der Sicherung von Gruppenrichtlinien werden die Einstellungen in eine Datei exportiert. Mit diesem Kontextmenü können Sie alle Datensicherungen der Gruppenrichtlinien an zentraler Stelle verwalten. Beim Wiederherstellen einer Gruppenrichtlinie werden die Daten der exportierten Datei wieder in die produktive Richtlinie importiert.
Mit der Gruppenrichtlinienmodellierung aus der GPMC lassen sich die Auswirkungen von Gruppenrichtlinien simulieren. Der Vorteil dieser Funktion: Sie können die Einstellungen vor der eigentlichen Inbetriebnahme einer Gruppenrichtlinie ausführlich testen. Um eine Simulation für eine bestimmte Domäne oder OU zu simulieren, klicken Sie mit der rechten Maustaste auf den Knoten und wählen im Kontextmenü den Befehl Gruppenrichtlinienmodellierungs-Assistent aus. Auf die gleiche Weise lassen sich auch für den Knoten Gruppenrichtlinienergebnisse Abfragen generieren, die exakt aufzeigen, welche Operationen der einzelnen Gruppenrichtlinien angewendet werden und was diese verursachen. Diese Diagnose kann zum Beispiel auch für die Fehlersuche genutzt werden.
Anbindung von USB-Sticks steuern
Durch die Unterstützung von USB-Sticks in den Gruppenrichtlinien ist es nicht mehr notwendig, den gesamten USB-Port eines Computers zu sperren. Windows Server 2008 (R2) und Windows Vista / Windows 7 verwenden sogenannte Geräte-Identifikations-Strings und Geräte-Setup-Klassen, um die angeschlossene Hardware am Server zu identifizieren. Diese Einstellungen finden Sie in den Eigenschaften von Geräten im Gerätemanager.
Dadurch besteht die Möglichkeit, auf Basis der Geräte Einstellungen für diese selbst vorzunehmen, nicht mehr nur für den Port, an dem diese angeschlossen sind. USB-Sticks können Sie dadurch das Lesen erlauben und das Schreiben untersagen. Schließt ein Anwender einen USB-Stick an einen Computer an, identifiziert Windows dieses Gerät und installiert einen Treiber, um es anzusprechen. Die neuen Gruppenrichtlinien verwenden genau diese Technologie, um die angeschlossenen Geräte zu konfigurieren.
Fehlerbehebung und Tools für den Einsatz von Gruppenrichtlinien
Sie sollten bei der Einführung von Richtlinien immer eigene Gruppenrichtlinien anlegen und bereits vorhandene Standardrichtlinien nicht bearbeiten. Das hat den Vorteil, dass bei einem Problem auf jeden Fall der Weg frei bleibt, die eigenen Richtlinien zu deaktivieren. Wenn Gruppenrichtlinien nicht funktionieren, können die Ursachen sehr unterschiedlich sein. Sie sollten Schritt für Schritt untersuchen, wo das Problem liegen könnte. Legen Sie am besten für die unterschiedlichen Einstellungen verschiedene Gruppenrichtlinien an und verknüpfen Sie diese mit der entsprechenden OU oder der ganzen Domäne.
• Stellen Sie sicher, dass die Clients den DNS-Server verwenden, auf dem die SRV-Records des Active Directorys liegen.
• Überprüfen Sie mit nslookup in der Befehlszeile, ob auf den Clients der Domänencontroller aufgelöst werden kann.
• Überprüfen Sie die Ereignisanzeige auf Fehler.
• Ist der Benutzer/Computer in der richtigen OU, auf der die Richtlinie angewendet wird?
• Versuchen Sie die Richtlinie auf eine Sicherheitsgruppe anzuwenden? Das ist nämlich nicht ohne Weiteres möglich.
• Bei Windows XP/Vista/7 hat sich der Boot-Vorgang im Vergleich zu Windows 2000 geändert. Der Explorer wird vor dem Netzwerk geladen. Desktop-spezifische Einstellungen können daher noch nicht heruntergeladen werden. Lösung: Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Anmelden/Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten.
• Stimmt die Vererbung? In welcher Reihenfolge werden die Gruppenrichtlinien angewendet?
• Haben Sie an der standardmäßigen Vererbung der Richtlinie etwas verändert?
• Haben Sie irgendwo Erzwungen oder Vererbung deaktivieren aktiviert?
• Geben Sie auf dem PC in der Befehlszeile als angemeldeter Benutzer gpresult > gp.txt ein, um sich das Ergebnis der Richtlinie anzeigen zulassen.
Das Windows-Snap-In Richtlinienergebnissatz bietet eine grafische Oberfläche und wertet die angewendeten Richtlinien aus. Sie können sich den Richtlinienergebnissatz über Start/Ausführen/MMC/Datei/Snap-In hinzufügen/Richtlinienergebnissatz anzeigen lassen. (cvi/mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)