Erste Fragen

 

 

F: Was sind eigentlich Gruppenrichtlinien?

A: Aufs Wesentliche reduziert sind es nicht anderes als Registry-Einträge

 

 

F: Wenn es nur um einfache Reg-Einträge geht, warum importiere ich die dann nicht einfach per „regedit /s [pfad]\meinereg.reg“ und spare mir eine Menge Arbeit?

A: Weil du spätestens in dem Moment an Berechtigungsproblemen scheiterst, wenn es sich um Registry Einträge unterhalb HKEY_Local_Machine handelt, da in diesem Bereich der normale User höchsten LESEN Berechtigungen hat und er keine Einträge editieren oder hinzufügen darf.

 

 

F: Wieso Berechtigungsprobleme? Bei uns sind alle lokale Administratoren …

A: O.K. du kannst hier aufhören zu lesen, du brauchst keine GruRiLi´s … <veg>

 

 

F: Was ist denn so besonderes dran, wenn die Reg-Einträge über die Gruppenrichtlinien erfolgen?

A: Der Vorteil ist, dass es zum einen zentral vorgegeben werden kann, der Anwender sich auch kaum dagegen wehren kann und vor allem, dass die Änderungen in der Registry als SYSTEM und somit mit den nötigen Berechtigungen durchgeführt werden. Ich brauche also keine lokalen Administrator oder Hauptbenutzerrechte für den Anwender.

 

 

F: Hört sich an sich ganz gut an, aber bei uns in einer kleinen Firma ist es halt so, dass hier nicht großartig mit Berechtigungen herumgehampelt wird, warum sollte ich die GruRiLis überhaupt benutzen?

A: Das Wort Richtlinien ist in dem Zusammenhang wohl etwas zu negativ behaftet. Die Gruppenrichtlinien sind nicht einzig und allein dazu da, um den Benutzer in seinen Rechten komplett einzuschränken und restriktiv zu wirken, sondern man muss die Richtlinien auch als Verwaltungsinstrumentarium sehen, mit denen Benutzer wunderbar konfiguriert werden können.

 

Ein Beispiel:  Ein neuer Benutzer wird angelegt. Jetzt muss man per Hand erst mal den kompletten Desktop konfigurieren, die Explorer-Ansicht wird konfiguriert, einige hausinterne Programme erfordern noch ein paar Einstellungen usw. usw. usw.

 

Diese Einstellungen betreffen an vielen Stellen die Registry, warum also nicht die GruRiLis benutzen um diese Vorkonfiguration für alle vorzunehmen?

 

 

F: Wie kann ich die Richtlinien einem einzelnen Benutzer oder einer ganzen Gruppe zuordnen? Ich vermisse diese Einstellung die ich von NT4 mit poledit kenne …

A: Das Wort Gruppenrichtlinien ist etwas irreführend, denn Gruppenrichtlinien wirken sich nicht auf „Gruppen“, sondern nur auf Container-Objekte aus und die beinhalten nur Benutzer und Computer.

Wenn du deine Vorstellung von einer Gruppe auf eine OU (Organisation Unit) portierst bist du schon da wo du hinwolltest. Deine „Gruppe“ ist eine hierarchische Ebene nach „oben“ gewandert. Sieh einfach den Vorteil: Jetzt ist auch möglich mit einer OU Computer zu „gruppieren“.

 

 

F: Ich will aber trotzdem, dass von der Richtlinie nur ein bestimmter User betroffen ist!

A: Kinder die was wollen … J  Dafür gibt es eine Lösung und jetzt kommen deine Sicherheitsgruppen wieder ins Spiel.

 

-          Erstelle eine neue Sicherheitsgruppe

-          Füge alle User die von der Richtlinien _nicht_ betroffen sein sollen dieser Gruppe als Mitglieder hinzu.

-          Du findest in den Eigenschaften der Richtlinie einen Reiter Sicherheitseinstellungen. Hier kannst du einer Gruppe, oder einem einzelnen User das Recht der Übernahme der Richtlinie entfernen (Haken herausnehmen). Alternativ könnte auch „verweigern“ gesetzt werden, allerdings sollte mit dieser Optione im Allgemeinen sparsam umgegangen werden (auch bei NTFS Dateiberechtigungen) da „verweigern“ ein höher gestelltes Recht darstellt und sich immer durchsetzt, was bei mehreren Gruppenzugehörigkeiten oder komplexeren Berechtigungsstrukturen zu Problemen führen kann, da es sich immer durchsetzt.

-          È Viola!

 

 

F: Ich bin fast überzeugt. Ich habe jetzt einige Dinge konfiguriert aber meine Richtlinien funktionieren nicht. Der Rechner übernimmt meine Einstellungen nicht.

A: Du warst zu schnell und hast die Voraussetzungen nicht gelesen.

 

Zu 95% (private NG Statistik) liegt es daran, dass der DNS SERVER nicht am Client eingetragen ist.

Korrigiere das und schau noch mal nach, ob der User/Computer auch wirklich in der OU steht, deren GPO du gerade bearbeitest.

 

F: Jetzt geht’s, aber mein Administrator ist auch von den Änderungen betroffen …

A: Der sicherste Weg das zu vermeiden ist:

 

-          Erstelle eine eigene OU, für alle Benutzer und Computer die du selber anlegst.

-          Finger weg von der Default Domain Policy, wenn man erst mal nur „testen“ möchte.

-          Erstelle eine neue Richtlinie für deine OU und wende die Richtlinie nur dort an

 

 

F: Wie kann ich die Einstellungen wieder in den Orginal-Zustand versetzten?

A: Wenn du dich an den Grundsatz „Finger weg von den beiden Default Richtlinien“ gehalten hast und mit eigenen Richtlinien gearbeitet hast, ist es einfach. Du brauchst nur die Richtlinie löschen und alles ist wie es war, oder Alternativ den User oder Computer in eine andere OU verschieben. Nach spätestens 90 Minuten (Dafault-Wert) sollten die Einstellungen zurückgesetzt werden.

 

 

F: Ich habe die Default Domain Policy und die Default Domain Controllers Policy verändert … L

A: Schau dir diese beiden Artikel mal an:

 

            „HOW TO: Reset User Rights in the Default Domain Group Policy“

            http://support.microsoft.com/?kbid=226243

 

            „HOW TO: Reset User Rights in the Default Domain Controllers Group Policy Object”

            http://support.microsoft.com/?kbid=267553

 

 

F: Wie kann ich erreichen, daß meine getroffenen Einstellungen sofort wirksam werden?

A: Entweder startest du den PC neu, bzw. meldest den Benutzer ab und wieder an, oder wenn es in der aktuell aktiven Sizung erfolgen soll, hilft dir die Kommandozeile.

            Unter Windows 2000 für den Benutzer:

            secedit /refreshpolicy user_policy /enforce

           

            Unter Windows 2000 für den Computer:

            secedit /refreshpolicy machine_policy /enforce

 

            Unter Windows XP für den Benutzer:

gpupdate /target:user /force /wait:0

 

Unter Windows XP für den Computer:

gpupdate /target:computer /force /wait:0

 

Die beiden Utilities secedit und gpupdate sollte man sich grundsätzlich mal anschauen und die interne Hilfe dazu bemühen, da sie noch einiges mehr bieten. Die Parameter /force, bzw. /enforce sorgen dafür, daß alle Einstellungen erneut angewendet werden, auch wenn der Counter der Richtlinie noch nicht erhöht wurde.

 

 

F: Nichts geht mehr. Keiner kann sich mehr anmelden, auch nicht der Administrator, was soll ich tun?

A: Hoffen dass diese Seite endlich fertig wird und auch auf diese Fragen eine Antwort liefert. Schau mal in der Newsgroup microsoft.public.de.german.win2000.gruppen_richtlinien vorbei.



(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright