Upload
others
View
26
Download
0
Embed Size (px)
Citation preview
holger VOGES martin DAUSCH
GRUPPEN-RICHTLINIENIN WINDOWS SERVER UND WINDOWS 10
Ein praktischer Leitfaden für die Windows-Verwaltung
4. A
uflag
e
VO
GES
DA
US
CH
GR
UP
PE
NR
ICH
TL
INIE
NIN
WIN
DO
WS
SE
RV
ER
U
ND
WIN
DO
WS
10
EXTRA: E-Book inside
Für Windows Server 2008 R2 bis Windows Server 2019
Voges/Dausch
Gruppenrichtlinien in Windows Server und Windows 10
Bleiben Sie auf dem Laufenden!
Unser Computerbuch-Newsletter informiert Sie monatlich über neue Bücher und Termine. Profitieren Sie auch von Gewinnspielen und exklusiven Leseproben. Gleich anmelden unter
www.hanser-fachbuch.de/newsletter
Hanser Update ist der IT-Blog des Hanser Verlags mit Beiträgen und Praxistipps von unseren Autoren rund um die Themen Online Marketing, Webent- wicklung, Programmierung, Softwareentwicklung sowie IT- und Projekt management. Lesen Sie mit und abonnieren Sie unsere News unter
www.hanser-fachbuch.de/update
Holger VogesMartin Dausch
Gruppenrichtlinien in Windows Server und Windows 10Ein praktischer Leitfaden für die Windows-Verwaltung
4., aktualisierte Auflage
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht.Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Waren be zeich nungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen und MarkenschutzGesetz gebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information der Deutschen Nationalbibliothek:Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) – auch nicht für Zwecke der Unterrichtsgestaltung – reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
© 2019 Carl Hanser Verlag München, www.hanserfachbuch.de Lektorat: Sylvia Hasselbach Copy editing: Sandra Gottmann, MünsterNienberge Herstellung: Irene Weilhart Umschlagdesign: Marc MüllerBremer, München, www.rebranding.de Umschlagrealisation: Stephan Rönigk Gesamtherstellung: Kösel, Krugzell Ausstattung patentrechtlich geschützt. Kösel FD 351, PatentNr. 0748702 Printed in Germany
PrintISBN: 9783446455498EBookISBN: 9783446456051
Inhalt
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII
Wissenswertes zu diesem Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XV
1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Was sind Gruppenrichtlinien? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Auf welche Objekte wirken Gruppenrichtlinien? . . . . . . . . . . . . . . . . . . . . . . 21.3 Wann werden Gruppenrichtlinien verarbeitet? . . . . . . . . . . . . . . . . . . . . . . . 21.4 Wie viele Gruppenrichtlinien sollte man verwenden? . . . . . . . . . . . . . . . . . 31.5 Worauf muss man beim Ändern von Einstellungen achten? . . . . . . . . . . . . 31.6 Was Sie brauchen, um die Aufgaben nachvollziehen zu können . . . . . . . . . 4
2 Die Gruppenrichtlinien verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 52.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Gruppenrichtlinienverwaltung auf einem Server installieren . . . . . . . . . . . 62.3 Gruppenrichtlinienverwaltung erkunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.4 Gruppenrichtlinienverknüpfungen und objekte . . . . . . . . . . . . . . . . . . . . . . 82.5 Gruppenrichtlinienobjekte im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.5.1 Register Bereich einer Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . 92.5.2 Register Details eines GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.5.3 Register Einstellungen eines GPO . . . . . . . . . . . . . . . . . . . . . . . . . . 112.5.4 Register Delegierung eines GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.5.5 Register Status eines GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.6 Standorte und Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.7 Weitere Elemente der Gruppen richtlinienverwaltung . . . . . . . . . . . . . . . . . . 142.8 Gruppenrichtlinie erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.9 Gruppenrichtlinie verknüpfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.10 Gruppenrichtlinie bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Verarbeitungsreihenfolge von Gruppenrichtlinien . . . . . . . . . . . 173.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.2 Grundlagen der Gruppenrichtlinien verarbeitung . . . . . . . . . . . . . . . . . . . . . 173.3 Verarbeitungsreihenfolge in der Gruppenrichtlinienverarbeitung . . . . . . . 18
VI Inhalt
3.4 Anpassungen der Verarbeitungs reihenfolge von GPOs . . . . . . . . . . . . . . . . . 203.4.1 Bereiche von GPOs deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.4.2 Verknüpfungen aktivieren/deaktivieren . . . . . . . . . . . . . . . . . . . . . 223.4.3 Vererbung deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.4.4 Erzwingen von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.5 Loopbackverarbeitungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.5.1 Loopbackverarbeitungsmodus einrichten . . . . . . . . . . . . . . . . . . . . 25
4 Gruppenrichtlinien filtern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.2 Filtern über Gruppenzugehörigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.1 Sicherheitsfilterung verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.2.2 Berechtigungen verweigern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3 WMIFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.3.1 Einführung in WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.3.2 WQL zum Filtern von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.3.3 WMIFilter erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384.3.4 WMIFilter anwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.3.5 WMIFilter entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.3.6 WMIFilter exportieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.3.7 WMIFilter importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.3.8 Beispiele von WMIAbfragen für WMIFilter . . . . . . . . . . . . . . . . . . 424.3.9 WMIFilter optimieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5 Gruppenrichtlinien-Infrastruktur planen . . . . . . . . . . . . . . . . . . . 455.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.2 ADDesign und GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2.1 OUs und Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.2.2 GPOs und Sicherheitsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3 Wie viele Einstellungen gehören in ein GPO? . . . . . . . . . . . . . . . . . . . . . . . . 525.4 Benennung von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535.5 Dokumentieren von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.6 Testen von GPOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585.7 Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
6 Softwareverteilung mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . 656.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656.2 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.2.1 Unterstützte Dateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666.2.2 Softwareverteilung an Benutzer oder Computer . . . . . . . . . . . . . . . 676.2.3 Zuweisen und Veröffentlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686.2.4 Kategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.3 Praktisches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.3.1 Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706.3.2 Gruppenrichtlinie für Zuweisung an Computer erstellen . . . . . . . . 71
Inhalt VII
6.3.3 Gruppenrichtlinie konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.3.4 Gruppenrichtlinienobjekt verknüpfen . . . . . . . . . . . . . . . . . . . . . . . 736.3.5 Verteilung testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736.3.6 Veröffentlichen für Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
6.4 Eigenschaften von Paketen bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746.4.1 Register Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746.4.2 Register Bereitstellung von Software . . . . . . . . . . . . . . . . . . . . . . 756.4.3 Register Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766.4.4 Register Kategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786.4.5 Register Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 786.4.6 Register Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.5 Probleme bei der Softwareverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796.6 Software verteilen mit Specops Deploy/App . . . . . . . . . . . . . . . . . . . . . . . . . 80
6.6.1 Verteilen der Client Side Extension . . . . . . . . . . . . . . . . . . . . . . . . . . 816.6.2 Erstellen eines SoftwareVerteilungspakets . . . . . . . . . . . . . . . . . . . 826.6.3 Überprüfen der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906.6.4 Ziele angeben mit Targetting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 926.6.5 Konfiguration von Specops Deploy/App . . . . . . . . . . . . . . . . . . . . . . 946.6.6 Specops und PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 946.6.7 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7 Sicherheitseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 977.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 977.2 Namensauflösungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987.3 Kontorichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
7.3.1 Kennwortrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1017.3.2 Kontosperrungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027.3.3 KerberosRichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1037.3.4 Empfohlene Einstellungen für Kontorichtlinien . . . . . . . . . . . . . . . 103
7.4 Lokale Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1047.4.1 Überwachungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1057.4.2 Zuweisen von Benutzerrechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067.4.3 Sicherheitsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
7.5 Ereignisprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1167.6 Eingeschränkte Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1187.7 Systemdienste, Registrierung und Dateisystem . . . . . . . . . . . . . . . . . . . . . . . 120
7.7.1 Systemdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1207.7.2 Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217.7.3 Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
7.8 Richtlinien im Bereich Netzwerk sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . 1237.8.1 Richtlinien für Kabelnetzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1237.8.2 Windows Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1257.8.3 NetzwerklistenManagerRichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . 1327.8.4 Drahtlosnetzwerkrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357.8.5 Richtlinien für öffentliche Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . 139
VIII Inhalt
7.8.6 Softwareeinschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1507.8.7 Netzwerkzugriffsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1557.8.8 Anwendungssteuerung mit AppLocker . . . . . . . . . . . . . . . . . . . . . . . 1557.8.9 IPSicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1717.8.10 Erweiterte Überwachungsrichtlinienkonfiguration . . . . . . . . . . . . . 171
7.9 Sicherheitsvorlagen und das Security Compliance Toolkit . . . . . . . . . . . . . . 1737.9.1 Sicherheitsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1747.9.2 Der Policy Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1777.9.3 Security Baselines anwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1817.9.4 Der Security Compliance Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 182
8 Administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1838.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1838.2 ADMX und ADML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1848.3 Zentraler Speicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1858.4 ADMVorlagen hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1888.5 Administrative Vorlagen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1898.6 Administrative Vorlagen – Computer konfiguration . . . . . . . . . . . . . . . . . . . . 192
8.6.1 Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1928.6.2 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1948.6.3 Startmenü und Taskleiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2008.6.4 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2008.6.5 Systemsteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2168.6.6 WindowsKomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
8.7 Administrative Vorlagen – Benutzer konfiguration . . . . . . . . . . . . . . . . . . . . 2398.7.1 Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2398.7.2 Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2418.7.3 Startmenü und Taskleiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2418.7.4 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2428.7.5 Systemsteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2468.7.6 WindowsKomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
8.8 Einstellungen finden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2538.8.1 Administrative Vorlagen filtern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2538.8.2 Group Policy Settings Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2578.8.3 getadmx.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
9 Erweitern von administrativen Vorlagen . . . . . . . . . . . . . . . . . . . 2619.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2619.2 ADMXDatei erweitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2629.3 ADMLDatei an erweiterte ADMXDatei anpassen . . . . . . . . . . . . . . . . . . . . . 2659.4 ADMDatei in ADMXDatei umwandeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2679.5 Eigene ADMXDateien erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Inhalt IX
10 Windows-Einstellungen: Benutzerkonfiguration . . . . . . . . . . . . . 27110.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27110.2 An und Abmeldeskripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27310.3 Softwareeinschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27310.4 Ordnerumleitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
10.4.1 Probleme, die Ordnerumleitungen lösen . . . . . . . . . . . . . . . . . . . . . 27510.4.2 Probleme, die die Ordnerumleitung schafft . . . . . . . . . . . . . . . . . . . 275
10.5 Richtlinienbasierter QoS (Quality of Service) . . . . . . . . . . . . . . . . . . . . . . . . . 283
11 Gruppenrichtlinien-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 28711.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28711.2 Gruppenrichtlinieneinstellungen konfigurieren . . . . . . . . . . . . . . . . . . . . . . 288
11.2.1 Das CRUDPrinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28811.2.2 Zielgruppenadressierung auf Elementebene . . . . . . . . . . . . . . . . . . 29111.2.3 Variablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
11.3 Die Einstellungen im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29811.3.1 WindowsEinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29911.3.2 Systemsteuerungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
11.4 Weitere Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32911.4.1 XMLDarstellung und Migration der Einstellungen . . . . . . . . . . . . 32911.4.2 Kopieren, Umbenennen und Deaktivieren . . . . . . . . . . . . . . . . . . . . 33011.4.3 Gemeinsame Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
11.5 Fehlersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
12 Gruppenrichtlinien in Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . 33912.1 Windows 10 ‒ Software as a Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
12.1.1 Windows Updates verteilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34112.1.2 Windows Update for Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34212.1.3 Übermittlungsoptimierung/Delivery Optimization . . . . . . . . . . . . . 34812.1.4 Bereitstellungsringe verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
12.2 Windows 10 und die Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35512.2.1 Windows Telemetrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35512.2.2 Funktionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36112.2.3 Weitere Datenschutzoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36312.2.4 Windows Defender Smartscreen konfigurieren . . . . . . . . . . . . . . . . 363
12.3 Der Microsoft Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36612.4 Oberfläche anpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
12.4.1 Startmenü und Taskleiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37112.4.2 Programmverknüpfungen anpassen . . . . . . . . . . . . . . . . . . . . . . . . . 376
12.5 Edge Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37912.6 Virtualisierungsbasierte Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
12.6.1 Windows Defender Credential Guard . . . . . . . . . . . . . . . . . . . . . . . . 38412.6.2 Windows Defender Application Control/Device Guard . . . . . . . . . . 38512.6.3 Application Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
12.7 Clientkonfiguration aus der Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
X Inhalt
13 Funktionsweise von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . 39513.1 Die Rolle der Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39513.2 Die Replikation des SYSVOLOrdners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40513.3 Gruppenrichtlinien auf Standorten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40713.4 Die Rolle des Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
13.4.1 Client Side Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40913.4.2 Verarbeitung der GPOs – synchron/asynchron . . . . . . . . . . . . . . . . 41213.4.3 Verarbeitung der GPOs – Vordergrund/Hintergrund . . . . . . . . . . . 41513.4.4 GruppenrichtlinienZwischenspeicherung . . . . . . . . . . . . . . . . . . . . 42113.4.5 WindowsSchnellstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42213.4.6 Slow Link Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42313.4.7 Loopbackverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
14 Verwalten von Gruppen richtlinien objekten . . . . . . . . . . . . . . . . . 42714.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42714.2 Gruppenrichtlinienobjekte (GPOs) sichern und wiederherstellen . . . . . . . . 427
14.2.1 GPO sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42814.2.2 Alle GPOs sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42914.2.3 GPO wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43014.2.4 Sicherungen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
14.3 Einstellungen importieren und migrieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 43214.3.1 Einstellungen importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43214.3.2 Einstellungen migrieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
14.4 StarterGruppenrichtlinienobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43614.5 Massenaktualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
15 Fehlersuche und Problembehebung . . . . . . . . . . . . . . . . . . . . . . . 44115.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44115.2 Gruppenrichtlinienergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
15.2.1 GruppenrichtlinienergebnisAssistent . . . . . . . . . . . . . . . . . . . . . . . 44315.2.2 Gruppenrichtlinienergebnis untersuchen . . . . . . . . . . . . . . . . . . . . 444
15.3 Gruppenrichtlinienmodellierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45115.3.1 GruppenrichtlinienmodellierungsAssistent . . . . . . . . . . . . . . . . . . 45115.3.2 Gruppenrichtlinienmodellierung auswerten . . . . . . . . . . . . . . . . . . 455
15.4 GPResult . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45715.5 GruppenrichtlinienEventlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45815.6 DebugLogging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46015.7 Performanceanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
16 Advanced Group Policy Management (AGPM) . . . . . . . . . . . . . . . 46516.1 Gruppenrichtlinien in Teams bearbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46516.2 Installation von AGPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
16.2.1 Vorbereitende Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46916.2.2 Installation des Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47016.2.3 Installation des Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47316.2.4 Clients konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Inhalt XI
16.3 AGPMEinrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47716.4 Der RichtlinienWorkflow (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48016.5 AGPMRollen und Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48116.6 Der RichtlinienWorkflow (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48816.7 Versionierung, Papierkorb, Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49816.8 Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50116.9 Exportieren, Importieren und Testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50316.10 Labeln, Differenzen anzeigen, Suchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50816.11 Das Archiv, Sichern des Archivs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51216.12 Logging und Best Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51516.13 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
17 Gruppenrichtlinien und PowerShell . . . . . . . . . . . . . . . . . . . . . . . 51717.1 Skripte mit Gruppenrichtlinien ausführen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
17.1.1 Das (korrekte) Konfigurieren von Anmeldeskripten . . . . . . . . . . . . 51917.1.2 Startreihenfolge und Startzeit von Skripten . . . . . . . . . . . . . . . . . . . 522
17.2 Windows PowerShell mit GPOs steuern und überwachen . . . . . . . . . . . . . . 52317.3 Gruppenrichtlinienobjekte mit PowerShell verwalten . . . . . . . . . . . . . . . . . 531
17.3.1 Dokumentieren, sichern, wiederherstellen . . . . . . . . . . . . . . . . . . . 53117.3.2 Health Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53817.3.3 Mit Kennwortrichtlinien und WMIFiltern arbeiten . . . . . . . . . . . . 55317.3.4 Ein neues Gruppenrichtlinienobjekt anlegen . . . . . . . . . . . . . . . . . 55617.3.5 Sonstige Cmdlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
17.4 Externe Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56117.5 PowerShell deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56417.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
18 Desired State Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56718.1 Was ist DSC? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56718.2 Ist DSC der Ersatz für Gruppen richtlinien? . . . . . . . . . . . . . . . . . . . . . . . . . . 56818.3 Grundlagen und Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57018.4 Erstellen einer Computerkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57218.5 Konfigurieren des LCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58118.6 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
Vorwort
Herzlichen willkommen zur vierten Auflage dieses Buches, jetzt mit dem Titel „Gruppenrichtlinien in Windows Server und Windows 10“.Für mich ist das die zweite Auflage dieses Buches, und auch dieses Mal hat mich die Überarbeitung viel Kraft und mehr Zeit gekostet, als ich im Vorfeld dafür eingeplant hatte. Neben einem komplett neuen Kapitel über Windows 10 habe ich vor allem fast jedes Kapitel meines Vorgängers einer Renovierung – oder sollte ich eher Komplettsanierung sagen? – unterzogen. Mit dieser Auflage sind fast alle Bilder durch aktuelle Screenshots ersetzt und die Themen „Sicherheitseinstellungen“ und „Administrative Vorlagen“ komplett neu geschrieben worden. Neben diversen Korrekturen sind auch einige interessante bisher unerwähnte Themen ausführlich besprochen worden wie „Windows Remote Assistance“ oder „Windows Hello“. Außerdem habe ich die beiden Kapitel zu administrativen Vorlagen zusammengefasst. Dadurch hat das Buch genauso viele Kapitel wie die Vorauflage, obwohl ein komplett neues hinzugekommen ist.Trotz der Tatsache, dass mit Erscheinen dieses Buches auch Windows Server 2019 veröffentlicht wurde, hat das aktuell kaum Auswirkungen auf die Gruppenrichtlinien. Tatsächlich hat Microsoft in letzter Zeit vor allem daran gearbeitet, dass Windows 10 sich auch durch Intune, Microsofts Internetbasierte Verwaltungslösung, besser steuern lässt. Serverseitig sind kaum noch neue Erweiterungen hinzugekommen, auch wenn natürlich jedes neue FeatureRelease die administrativen Vorlagen für Windows 10 erweitert. Eine zukünftige Auflage dieses Buches wird sich also vermutlich auf die neuen Features von Intune konzentrieren.Wenn Sie Fehler in diesem Buch finden, von denen es unter Garantie einige gibt, auch wenn ich mich bemüht habe, alles so gut wie möglich zu testen und doppelt zu kontrollieren, schicken Sie mir bitte eine Mail an [email protected]. Ich werde Korrekturen als Errata unter www.gruppenrichtlinien.training zur Verfügung stellen. Wenn Sie Bedarf an Schulungen zu Windows 10, Gruppenrichtlinien, PowerShell, Active Directory, Windows Server oder anderen ITThemen wie Linux oder Scrum haben, scheuen Sie sich nicht, bei uns anzufragen. Schulungen sind unsere Profession und Leidenschaft. Neben offenen Seminaren bieten wir auch Firmenschulungen an, die auf Ihre Bedürfnisse zugeschnitten sind. Unseren aktuellen Seminarkatalog finden Sie unter https://www.netzweise.de.
XIV Vorwort
An dieser Stelle möchte ich meiner Freundin danken, die sich (wieder) damit abgefunden hat, dass der Anfang unseres Sommerurlaubs durch die Überarbeitung des Buches geprägt war, auch wenn ich ihr versichert habe, dass das Buch dieses Mal bis zum Urlaub mit Sicherheit lange fertig ist. Ich danke Dir für Deine Geduld, mein Sonnenschein!Und nun viel Spaß beim Lesen.Holger Voges
Wissenswertes zu diesem Buch
Diese kurze Einleitung enthält wichtige Informationen zum Inhalt des Buches und weiterführende Quellen. Auch wenn Sie niemals Vorworte lesen, sollten Sie dieses Kapitel nicht überspringen – es ist kein Vorwort!
VersionenIn dieser komplett überarbeiteten und erweiterten Neuauflage werden auch die relevanten Neuerungen der Gruppenrichtlinien unter Windows 10 und Windows Server 2019 beschrieben. Diese sind durch das in der Randspalte dargestellte Symbol hervorgehoben.Relevante Neuerungen unter Windows Server 2016 sind durch das nebenstehende Symbol hervorgehoben. Diese wirken sich insbesondere auf Clients unter Windows 10 aus, deren Konfiguration ohne entsprechende Gruppenrichtlinien nur eingeschränkt gelingt.
InhaltDieses Buch ist in 18 Kapitel gegliedert. Die Kapitel bauen zum Teil aufeinander auf, müssen aber nicht unbedingt in der vorgegebenen Reihenfolge gelesen werden. Kapitel 1 gibt Ihnen einen Überblick darüber, was man unter Gruppenrichtlinien versteht. In Kapitel 2 finden Sie eine Beschreibung der wichtigsten Funktionen der GruppenrichtlinienVerwaltungskonsole (GPMC). Außerdem erfahren Sie, wie Sie Gruppenrichtlinienobjekte anlegen und verwalten können. Kapitel 3 behandelt die Verarbeitungsreihenfolge von Gruppenrichtlinienobjekten (GPOs). Das Verständnis der Verarbeitungsreihenfolge ist enorm wichtig, da alle GPOs von den gleichen Vorlagen abgeleitet sind und Einstellungen sich daher gegenseitig überschreiben können. In Kapitel 4 erfahren Sie, wie Sie die Anwendung von GPOs auf bestimmte Benutzer oder Computer einschränken können, indem Sie Filter verwenden. Kapitel 5 widmet sich der Planung von GPOs und den Aspekten, die man beim ADDesign beachten sollte, um Gruppenrichtlinien effizient anwenden zu können. In Kapitel 6 werden die Grundlagen der Softwareverteilung mit GruppenrichtlinienBordmitteln vermittelt. Da die Fähigkeiten von Windows hier sehr eingeschränkt sind, wird danach die Erweiterung von GPOs am Beispiel von „Specops Deploy/App“ gezeigt, einem Fremdherstellertool, das die Softwareverteilung stark erweitert bzw. ersetzt.
neu
neu in2016
XVI Wissenswertes zu diesem Buch
Kapitel 7 zeigt die Sicherheitseinstellungen, die Sie für Computer per Gruppenrichtlinien konfigurieren können. Das Kapitel geht nicht auf alle Details ein, verschafft Ihnen aber einen guten Überblick über die Möglichkeiten, Sicherheitseinstellungen zentral vorzunehmen. Kapitel 8 geht am Beispiel einzelner administrativer Vorlagen auf die Möglichkeiten ein, Computer und Benutzer zu konfigurieren. Es werden Einstellungen für Window 7, Windows 8(.1) und Windows 10 behandelt. In Kapitel 9 erfahren Sie, wie GruppenrichtlinienVorlagen funktionieren und wie Sie sie nutzen können, um GPOs für Ihre eigenen Zwecke zu erweitern. In Kapitel 10 werden Funktionen wie Ordnerumleitung gezeigt, die im Knoten „WindowsEinstellungen“ im BenutzerTeil der Gruppenrichtlinien zu finden sind. Mit Windows Vista haben die Gruppenrichtlinieneinstellungen in Windows Einzug ge halten. Gruppenrichtlinieneinstellungen können LoginSkripte fast vollständig ersetzen. In Kapitel 11 finden Sie eine ausführliche Beschreibung der Funktionsweise.Kapitel 12 befasst sich mit Windows 10, den einzelnen FeaturesReleases und neuen Funktionen, die mit Windows 10 zum ersten Mal eingeführt worden sind. Kapitel 13 ist ein Kapitel für Fortgeschrittene. Es zeigt, was bei der Verarbeitung von Gruppenrichtlinien auf Client und Server passiert. Wenn es Sie nicht interessiert, wie Windows Gruppenrichtlinien anwendet, können Sie dieses Kapitel überspringen.Kapitel 14, Verwalten von GPOs, geht auf die Verwaltungsaufgaben wie das Sichern und die Wiederherstellung von GPOs ein.Kapitel 15 zeigt Ihnen, wie Sie vorgehen können, wenn Ihre Gruppenrichtlinien sich nicht so verhalten, wie Sie das erwarten. Anhand von verschiedenen Werkzeugen wird gezeigt, wie Sie Fehler aufspüren und beheben können. Kapitel 16, Advanced Group Policy Management (AGPM), behandelt die Bearbeitung von Gruppenrichtlinien im Team. Sie benötigen dafür aber eine Zusatzsoftware, die bei Microsoft lizenziert werden muss. Kapitel 17 fasst alle Themenbereiche rund um das Skripting zusammen. Sie erfahren, wie Sie mit Gruppenrichtlinien Start und Anmeldeskripte ausführen können, wie Sie mithilfe von PowerShell viele Verwaltungsaufgaben automatisieren und auf welche Weise Sie mit AppLocker die Ausführung von PowerShell einschränken oder verhindern können. Zum Schluss soll Ihnen Kapitel 18 einen Ausblick darauf geben, wie Sie die Konfiguration von Computern mithilfe von Desired State Configuration (DSC) erweitern oder Gruppenrichtlinien sogar ersetzen können.
PowerShell-SkripteIn einigen Kapiteln dieses Buches werden verschiedene hilfreiche PowerShellSkripte beschrieben, welche die Verwaltung von Gruppenrichtlinien vereinfachen. Sie finden alle Codeschnipsel in erweiterter Form als PowerShellModul auf der Website zum Buch, www.gruppenrichtlinien.training. Um es zu installieren, entpacken Sie das Modul in einen der Pfade, die in der Umgebungsvariablen %PSModulePath% hinterlegt sind. Die Datei muss vorher entblockt werden (s. Bild 1). Alternativ können Sie es über die PowerShellGallery über den Befehl Install-Module -Name GroupPolicyHelper installieren. Das Modul wird
Wissenswertes zu diesem Buch XVII
ständig erweitert. Mehr Informationen zu PowerShellModulen finden Sie in Abschnitt 17.4 im Kasten „PowerShellModule“.
Bild 1 Aus dem Internet heruntergeladene Dateien müssen zugelassen werden.
LinkkürzungenIch habe versucht, Ihnen das Eingeben von Links so einfach wie möglich zu machen. Dafür finden Sie hinter allen komplizieren Links eine Kurzform, die den Bitly.comDienst nutzt. Der Kurzlink wird eingeführt über „oder kurz“ und startet mit https://bit.ly/.
VideosDa ein Bild mehr als 1000 Worte sagt und ein Video aus vielen Bildern besteht, habe ich einige der hier im Buch behandelten Themen auch als Video veröffentlicht. Dafür habe ich den YouTubeChannel „Gruppenrichtlinien in Windows Server“ eingerichtet. Sie finden ihn unter https://www.youtube.com/channel/UCmV-KA9FZaanVcIY72wIkbw oder kurz https://bit.ly/2uMpuY7.
AktualisierungenAdministrative Vorlagen sind im Buch in zwei Kapiteln besprochen, aber trotzdem ist es nicht möglich, alle durchzugehen. Daher habe ich mich dazu entschlossen, das auch für Windows 10 nicht zu tun, zumal mit Windows as a Service sowieso ständig mit neuen Gruppenrichtlinien zu rechnen ist. Stattdessen finden Sie unter https://www.netz-weise.de/weisheiten/doku.html eine Reihe von Dokumenten zur Verwaltung von Gruppenrichtlinien. Das Dokument „Administrative Vorlagen in Windows 10“ in der Kategorie „Gruppenricht
XVIII Wissenswertes zu diesem Buch
linien“ wird regelmäßig aktualisiert und enthält eine Beschreibung der wichtigsten administrativen Vorlagen unter Windows 10.Nutzen Sie auch meinen Blog als Informationsquelle. Unter https://www.Netz-Weise.de/ weisheiten/tipps.html schreibe ich regelmäßig über verschiedene ITThemen, die mich beschäftigen. Sie finden hier einige Informationen zum Thema Gruppenrichtlinien. Wenn Sie sich für HyperV, SQL Server, Windows oder PowerShell interessieren, ist vielleicht auch das eine oder andere für Sie dabei. Außerdem ist der Blog von Mark Heitbrink sehr empfehlenswert, der unter http://www.gruppenrichtlinien.de/ einen reichhaltigen Fundus an Informationen zur Verfügung stellt.
NomenklaturIm Umfeld von Gruppenrichtlinien gibt es eine Reihe von Fachbegriffen, die z. T. nicht ganz einfach zu unterscheiden sind. Das Ganze wird durch schlechte englische Übersetzungen nicht einfacher gemacht. Es folgt eine kleine Definition der wichtigsten Begriffe und Abkürzungen. Ich fürchte, dass auch in diesem Buch durch die Arbeit von zwei Autoren die Benennung trotz aller Anstrengungen nicht immer konsistent ist.
Begriff ErläuterungGruppenrichtlinie Eine einzelne Einstellung, die auf einen Computer oder
Benutzer angewendet werden kannGruppenrichtlinienobjekt (GPO) Gruppenrichtlinien werden in Gruppenrichtlinienobjekten
zusammengefasst. Ein GPO ist keine Gruppenrichtlinie! Die Definition wird aber trotzdem oft synonym verwendet.
Gruppenrichtlinien-Vorlage (GPT) Die Gruppenrichtlinien-Vorlage bezeichnet den Ordner im Dateisystem, in dem die meisten der Gruppenrichtlinien abgelegt sind.
Gruppenrichtlinien-Container (GPC) Das Objekt, das im AD angelegt wird, wenn man ein neues GPO erstellt, wird auch als Group Policy Container bezeich-net.
Gruppenrichtlinieneinstellungen Microsoft hat mit Windows Vista neue Einstellungsmöglich-keiten eingeführt, die im Englischen als „Group Policy Preferences“ bezeichnet werden. Im Deutschen wurde das zu „Gruppenrichtlinieneinstellungen“ übersetzt, was sehr missverständlich ist, weil es sich eben nicht um einen Oberbegriff für alle Einstellungen handelt (der Oberbegriff ist Gruppenrichtlinie), sondern um eine ganz spezielle Gruppe von Einstellungen.
Gruppenrichtlinien-Verwaltungs-konsole (GPMC)
Das Werkzeug zur Verwaltung von GPOs
Gruppenrichtlinien-Editor Das Werkzeug zum Bearbeiten eines GPO und zum Setzen von einzelnen Gruppenrichtlinien
Wissenswertes zu diesem Buch XIX
Windows 10Microsoft hat angekündigt, dass Windows 10 das letzte Windows ClientBetriebssystem sein wird, das sie veröffentlichen. Statt alle paar Jahre eine neue WindowsVersion herauszubringen, erhält man Windows as a Service, was nichts weiter bedeutet, als dass man im Zeitraum von sechs Monaten Upgrades erhält, die neue Funktionen nachrüsten. Unternehmen können das verhindern, indem sie die LTSCVersion von Windows 10 nutzen – der sogenannte Long Term Servicing Channel. Die LTSCVersion steht aber nur für Windows 10 Enterprise Edition zur Verfügung. Wenn Sie die Professional Version von Windows 10 einsetzen, müssen Sie damit rechnen, dass Sie in Zukunft nicht mehr alle Gruppenrichtlinien verwenden können. Microsoft hat sich dazu entschieden, nur die Enterprise Edition vollständig zu unterstützen. Eine Liste aller Gruppenrichtlinien, die seit der Version 1607 von Windows 10 nicht mehr unterstützt werden, finden Sie unter https://docs.microsoft.com/de-de/windows/client-management/group-policies-for-enterprise-and-education-editions oder kurz https://bit.ly/2CfO2yM.Um immer auf dem Laufenden zu bleiben, nutzen Sie bitte auch meinen Blog:
https://www.Netz-Weise.de
Einleitung
In diesem Kapitel werden folgende Fragen beantwortet:
� Was sind Gruppenrichtlinien? � Mit Gruppenrichtlinien arbeiten � Welche technische Ausstattung benötigen Sie, um die im Buch beschriebenen Aufgaben nachvollziehen zu können?
■ 1.1 Was sind Gruppenrichtlinien?
Gruppenrichtlinien sind Benutzer oder Computereinstellungen, die zentral konfiguriert und abgelegt sind und auf einen oder eine Gruppe von Computern oder Benutzern angewendet werden können. Gruppenrichtlinien werden in Sammlungen, sogenannten Group Policy Objects (GPO), zusammengefasst ‒ merken Sie sich diesen Begriff, es ist das meistverwendete Kürzel in diesem Buch. Viele dieser Einstellungen werden dabei in der Systemregistrierung vorgenommen, einige Einstellungen liegen aber auch außerhalb der Systemregistrierung in Form von Dateien oder im Active Directory vor. Mehr zur Funktionsweise erfahren Sie in Kapitel 13, „Funktionsweise von Gruppenrichtlinien“. Mit Gruppenrichtlinien kann man eine rudimentäre Form der Softwareverteilung durchführen, Sicherheitseinstellungen auf Computern zentral vorgeben und erzwingen, Dienste konfigurieren, Datei und RegistryEinstellungen setzen, An und Abmeldeskripte konfigurieren, die Oberfläche des Benutzers umkonfigurieren, Funktionen an oder abschalten sowie konfigurieren, Zertifikate verteilen und noch vieles mehr. Zusätzlich zu den Richtlinien wurden mit Server 2008 die Einstellungen eingeführt ‒ eine nicht besonders gelungene Übersetzung aus dem Englischen, wo diese Erweiterung Preferences heißt, was so viel wie Vorzüge oder Vorteile bedeutet. Einstellungen erlauben es,
1
2 1 Einleitung
klassische Anmeldeskriptaufgaben wie das Verbinden von Netzlaufwerken oder Druckern auszuführen oder Dateien auf den Zielrechner zu kopieren. Mehr hierzu erfahren Sie in Kapitel 11, „GruppenrichtlinienEinstellungen“.
■ 1.2 Auf welche Objekte wirken Gruppenrichtlinien?
Gruppenrichtlinien haben mit Gruppen nur wenig zu tun, auch wenn der Name dies suggeriert. Zwar kann man auch über Gruppenzugehörigkeiten steuern, ob eine Gruppenrichtlinie auf einen Benutzer oder Computer angewendet werden darf ‒ mehr hierzu in Kapitel 4, „Gruppenrichtlinien filtern“ ‒, aber Anwendung finden Gruppenrichtlinien nur auf Benutzer oder Computerkonten. Gruppenrichtlinien wirken niemals auf Gruppen, und das ist auch gut so, denn sonst würden Gruppenrichtlinien sich nicht mehr verwalten lassen.Welche Gruppenrichtlinien auf ein Benutzer oder Computerobjekt wirken, hängt einzig vom Speicherort des Kontos im AD ab. Gruppenrichtlinien werden im AD mit drei Typen von Objekten verknüpft, mit Standorten, der Domäne und Organisationseinheiten unterhalb des Domänenobjekts. Ein Konto, das sich „unterhalb“ einer Gruppenrichtlinie befindet, also in einer OU (Organisational Unit), die von einer Gruppenrichtlinie betroffen ist, wird auch durch die Gruppenrichtlinie konfiguriert. Gruppenrichtlinieneinstellungen sind dabei additiv. Liegt ein Konto also im Einflussbereich mehrerer Richtlinien, so werden die Einstellungen aller Richtlinien addiert angewendet.
■ 1.3 Wann werden Gruppenrichtlinien verarbeitet?
Gruppenrichtlinien werden bei der Anmeldung und dem Systemstart verarbeitet. Außerdem findet eine regelmäßige Hintergrundaktualisierung statt. Alle 90 Minuten mit einer zufälligen Abweichung von + 30 Minuten gleicht ein Computer seine Einstellungen mit denen der Domäne ab1. Bei Domänencontrollern liegt das Standardintervall bei fünf Minuten. Die zufälligen Abweichungen werden eingesetzt, damit nicht alle Computer gleichzeitig die Richtlinien abfragen und das Netzwerk und die Server überlasten.
1 Genau genommen passiert dies sogar noch häufiger, da der Computer die Einstellungen des Computers und die des Benutzers unabhängig voneinander konfiguriert.
1.5 Worauf muss man beim Ändern von Einstellungen achten? 3
PRAXISTIPP: Sie können diese Werte auch ändern – in einer Gruppenrichtlinie! Sehr kurze Aktualisierungsintervalle sind aber nicht zu empfehlen, da sie das System und das Netzwerk belasten. Zu seltene Hintergrundaktualisierungen können hingegen dazu führen, dass wichtige Änderungen nicht in einer akzeptablen Zeit übernommen werden. Daher sollten Sie in der Regel die Standardwerte beibehalten.
■ 1.4 Wie viele Gruppenrichtlinien sollte man verwenden?
Generell gilt, dass die Verarbeitung von Gruppenrichtlinien den Start und Anmeldevorgang erheblich verzögern kann. Wenn Sie die Einstellungen auf viele GPOs verteilen, kann dies zulasten der Performance gehen. Daher kann es, wenn Sie sehr viele Gruppenrichtlinien konfigurieren, durchaus sinnvoll sein, viele Einstellungen auf wenige GPOs zu verteilen. Außerdem kann man Gruppenrichtlinien in Bereichen deaktivieren, da Sie aus einem Computer und einem Benutzeranteil bestehen, die getrennt verarbeitet werden.Eine genauere Betrachtung der Auswirkungen auf die Anmeldeperformance und wie Sie diese prüfen können, finden Sie in Kapitel 15, „Fehlersuche und Problembehandlung“.Gruppenrichtlinien sind ein mächtiges Werkzeug, mit dem eine Fülle von Einstellungen und Anpassungen möglich ist. In der Praxis werden Sie jedoch nur die Anpassungen vornehmen wollen, die für Ihr Netzwerk wichtig sind. Bei deutlich über 3000 Richtlinien ohne zusätzliche Vorlagen verlieren sonst auch erfahrene Administratoren den Überblick.Die wichtigsten Bereiche der Gruppenrichtlinien lernen Sie in den folgenden Kapiteln kennen und sehen dabei viele Beispiele für den Einsatz in der Praxis.
■ 1.5 Worauf muss man beim Ändern von Einstellungen achten?
Gruppenrichtlinien wirken, sobald eine Einstellung übernommen wurde. Wenn Sie Einstellungen vorgenommen haben, in denen Sie z. B. der Systemgruppe „Jeder“ das Recht zum lokalen Anmelden verweigern, ist diese Einstellung ab dem Zeitpunkt aktiv, in dem Sie OK klicken. Sobald ein Client diese Einstellung zieht, ist sie auf dem Client wirksam. Aber auch durch versehentliche Fehlkonfigurationen kommt es immer wieder zu Problemen mit Richtlinien. Darum werden Sie in diesem Buch exemplarische Vorgehensweisen finden, die Ihnen einen sicheren Umgang mit den Gruppenrichtlinien vermitteln. Für häufige Probleme werden auch Lösungen bereitgestellt.
4 1 Einleitung
■ 1.6 Was Sie brauchen, um die Aufgaben nachvollziehen zu können
Die Verwaltung von Gruppenrichtlinien sollten Sie immer in einer abgesicherten Testumgebung ausprobieren, bevor Sie beginnen, damit in der Praxis zu arbeiten. Um die Beispiele dieses Buches nachvollziehen zu können, empfehle ich Ihnen mindestens eine virtuelle Maschine mit Windows Server 2016 und eine Reihe von Testclients mit Windows 7, Windows 8.1 und Windows 10 oder zumindest den Betriebssystemen zu installieren, die bei Ihnen im Unternehmen zum Einsatz kommen. Achten Sie darauf, dass Sie für Domänenumgebungen mindestens die ProfessionalVarianten des ClientBetriebssystems benötigen, für manche Funktionen auch die EnterpriseVariante.Die virtuellen Maschinen müssen über das Netzwerk miteinander kommunizieren können, Internetzugang wird hingegen keiner benötigt. Ab Windows 8 Professional bietet es sich an, HyperV einzusetzen, das als Bestandteil des Betriebssystems mitgeliefert wird. Auf Windows 7 empfiehlt sich das kostenlose Virtual Box.Richten Sie eine Domäne ein, und nehmen Sie Clients in die Domäne auf. Sie können nun eine Umgebung errichten, die in etwa dem Firmenumfeld, in dem Sie arbeiten, entspricht (typische OUStruktur, Standorte, Gruppen, Beispielbenutzer etc.), oder Sie warten damit, bis Sie in Kapitel 4 etwas über typische OUStrukturen für die Arbeit mit Gruppenrichtlinien erfahren haben.Wenn Sie keine eigene Testumgebung zur Verfügung haben, können Sie auch auf Windows Azure zurückgreifen oder sich eine Testumgebung erstellen. Für dieses Buch können Sie Beispielskripte von der Website www.gruppenrichtlinien.training herunterladen.
Die Gruppenrichtlinien-verwaltung
In diesem Kapitel werden folgende Themen behandelt:
� Die Gruppenrichtlinienverwaltung hinzufügen � Mit der Gruppenrichtlinienverwaltung arbeiten � Gruppenrichtlinienobjekte im Detail � Gruppenrichtlinienobjekte erstellen � Gruppenrichtlinienobjekte verknüpfen
■ 2.1 Einführung
Für die Verwaltung von GPOs stellt Microsoft seit Windows Server 2003 die Gruppenrichtlinienverwaltungskonsole (GPMC, Group Policy Management Console) zur Verfügung.Diese wird automatisch installiert, wenn Sie einen Server zum Domänencontroller machen. Da Sie eine Domäne niemals direkt vom Domänencontroller aus verwalten sollten, können Sie die GPMC auch auf einem anderen Server oder besser noch auf einem administrativen Client installieren.
2
6 2 Die Gruppenrichtlinien verwaltung
Bild 2.1 Die Gruppenrichtlinienverwaltungskonsole
■ 2.2 Gruppenrichtlinienverwaltung auf einem Server installieren
Die GPMC steht bei Windows Server als installierbares Feature zur Verfügung. Sie müssen sie nur über den ServerManager aktivieren.
Unter Windows Server 2012 (R2) und Windows Server 2016Öffnen Sie den ServerManager und klicken Sie unter Verwaltung auf Rollen und Features hinzufügen.
Bild 2.2 Features hinzufügen
2.2 Gruppenrichtlinienverwaltung auf einem Server installieren 7
Übernehmen Sie im Assistenten die Standardeinstellungen, und wählen Sie dann im Fenster Features die Checkbox Gruppenrichtlinienverwaltung.
Bild 2.3 Feature Gruppenrichtlinienverwaltung auswählen
Klicken Sie nun Weiter und zum Abschluss auf Installieren.Alternativ können Sie die GPMC auch über Windows PowerShell nachinstallieren, indem Sie in einer administrativen PowerShellKonsole den Befehl Install-WindowsFeature -Name GPMC aufrufen.
Auf einem Windows ClientAm empfehlenswertesten ist es, die Administration von einem Client aus auszuführen. Auf dem Client müssen die Administrationswerkzeuge allerdings noch nachinstalliert werden. Sie bekommen den kompletten Satz unter dem Namen „Remote Server Administration Tools“ inklusive des Servers Managers bei Microsoft zum Download. Suchen Sie dafür bei der Suchmaschine Ihres Vertrauens nach „Windows RSAT Tools“. Sie müssen lediglich beachten, dass die RSATTools nicht zwischen den ClientBetriebssystemen kompatibel sind. Wenn Sie die Tools also auf einem älteren Client (Windows 7) installieren, bekommen Sie auch eine alte Version der GPMC. Am besten verwenden Sie immer die aktuellste WindowsVersion. Die RSATTools kommen in Form eines Windows UpdatePakets. Die Installation kann mit einem Doppelklick gestartet werden und benötigt nur ein Akzeptieren der Lizenzbedingungen. Sie brauchen hinterher nichts mehr zu aktivieren, die Tools sind sofort gebrauchsfertig auf dem Client.
8 2 Die Gruppenrichtlinien verwaltung
■ 2.3 Gruppenrichtlinienverwaltung erkunden
Bild 2.4 Gruppenrichtlinienverwaltung erkunden
Im linken Bereich der GPMC finden Sie die Baumansicht der Gesamtstruktur mit allen Ihren Domänen und Standorten. Öffnen Sie den Knoten „Gruppenrichtlinienobjekte“ unterhalb der Domäne. Hier finden Sie die Gruppenrichtlinienobjekte (GPOs).
PRAXISTIPP: Am schnellsten starten Sie die GPMC über den AusführenBefehl. Drücken Sie hierzu gleichzeitig Windows+R. Im AusführenFenster, das sich nun öffnet, geben Sie gpmc.msc an und bestätigen mit Enter.
■ 2.4 Gruppenrichtlinienverknüpfungen und -objekte
Im Gegensatz zum Symbol des GPO „Default Domain Policy“ im Container Gruppenrichtlinienobjekte trägt das Symbol der „Default Domain Policy“ unterhalb des Domänennamens einen kleinen Pfeil – es handelt sich um eine Verknüpfung.
2.5 Gruppenrichtlinienobjekte im Detail 9
Bild 2.5 GPOs werden im AD erstellt und dann mit OUs verknüpft.
GPOs können auf der Domäne, den Organisationseinheiten und auf Standorten verknüpft werden, gespeichert werden sie aber stets im Container „Gruppenrichtlinienobjekte“.Sie können ein GPO auch mehrfach verknüpfen und z. B. eine Richtlinie für Benutzer mit den Organisationseinheiten OU=Benutzer,OU=Hannover,DC=Netz-Weise,DC=eu und OU=Benutzer,OU=Hamburg,DC=Netz-Weise,DC=eu verknüpfen.
■ 2.5 Gruppenrichtlinienobjekte im Detail
Erweitern Sie nun den Knoten „Gruppenrichtlinienobjekte“ und wählen Sie in der Konsolenstruktur die Default Domain Policy.
2.5.1 Register Bereich einer Gruppenrichtlinie
Bild 2.6 Register Bereich der Default Domain Policy