Erste Schritte zum Erstellen einer Gruppenrichtlinie


Dieser Artikel beschäftigt sich mit den ersten Schritten bis zur ersten eigenen Gruppenrichtlinie.  Was in dieser Richtlinie dann konfiguriert ist. ist erst mal Nebensache, ich werde den Weg dahin beschreiben und ein aus meiner Sicht sehr funktionelles "Best Practice Scenario" entwerfen. Die ist keine Anleitung, die da lautet "Wie installiere ich ein AD", das haben andere schon zu genüge getan.
Ich gehe davon aus, das Gruppenrichtlinien erst zu einem Zeitpunkt als Thema aufkommen, nachdem die zentrale Verwaltung schon aufgebaut ist. Deswegen spreche ich die Voraussetzung nur an.

1. Grundlagen, Bedingungen, Beispielkonfiguration
   - eure Domäne ist eingerichtet, in meinem Beispiel: deepspace.nine
   - euer Domänen Controller ist bei den Clients als erster DNS eingetragen, in meinem Fall die 192.168.111.5
   - die Client Computer sind zum AD hinzugefügt
   
   
2. Euer Active Directory sollte minimal strukturiert sein. Das heisst eure Computer und Benutzer sind in selbsterstellten Organisationeinheiten hinterlegt und nicht in den Microsoft Std. Containern "Users" und "Computers"
   
   Wenn nicht:
   Erstellt euch eine OU "MeineComputer" und eine OU "MeineBenutzer", verschiebt alle Computer nach "MeineComputer" und alle Benutzer nach "MeineBenutzer"
   
   
3. Zur Bearbeitung der Gruppenrichtlinien verwenden wir die Gruppenrichtlinienverwaltungskonsole, kurz: GPMC.
   Es gibt aus meiner Sicht keine Alternative dazu. Punkt.
   
   Installationshinweise zur GPMC:
   1. Wer einen SBS 2003 hat, bei dem ist die GPMC schon installiert, fertig
   2.  Wer einen Windows 2000 DC hat, der muss die GPMC auf einer XP Workstation oder einem 2003 Member Server installieren
   3. Die GPMC benötigt das .NET Framework 1.1, jedenfalls glaubt der Installer das. Er kommt aber auch mit .NET 2.0 zurecht was auf vielen Systemen schon vorhanden ist, im Gegensatz zum 1.1.
      Wer das 1.1 nicht installieren möchte kann das MSI z.B. mit ORCA editieren:
      1. einfach aus der "Action"-Tabelle" das "BlockOnNoNetFramework" entfernen
         Es ist nur eine Abfrage im Installer, der ist leider nicht aktualisiert worden.
   4. Wer mit Vista arbeitet muss nichts installieren, die GPMC ist schon dabei
      http://www.gruppenrichtlinien.de/Vista/Vista_GPMC_runas_Administrator.htm
      Achtung, ab Vista SP1 ist sie wieder weg ...
   5. Download Link zur GPMC mit SP1 und ORCA
      http://www.gruppenrichtlinien.de/tools/liste_unsortiert.htm
      
      
4. Ihr habt euer AD "logisch" aufgeteilt, wie gerade unter 2.) angegeben.
   Wir öffnen die GPMC
   - Start -> Programme -> Verwaltung -> Gruppenrichtlinienverwaltung
   oder:
   - Start -> ausführen -> gpmc.msc
   
   und es stellt sich ungefähr wie folgt dar:
   
   
   
5. Wenn ihr nun eine Neue Richtlinie erstellen wollt müsst ihr euch über einige Dinge klar werden:
   
   1. Man unterscheidet bei den Richtlinien zwischen Verknüpfungen (Links) wie im Dateisystem und den Gruppenrichtlinienobjekten (GPOs)
      GPOs sind einmalig und das ist das eigentliche Objekt das man erstellt und editiert.
      
      Das Objekt findet ihr im Ordner "Gruppenrichtlinienobjekte" wieder. An einer OU (Organisational Unit/Organisationseinheit)  sind immer nur Verknüpfungen vorhanden.
      Das sieht man ganz gut am Icon der "Default Domain Policy" direkt unterhalb von "deepspace.nine", das Icon hat wie ein Desktop Link eine Pfeil.
      
      GPOs können an mehrere OUs verknüpft werden. Aber bedenkt: Wenn man eine verknüpfte Richtlinie bearbeitet, dann editiert man das Objekt, auf das der Link verweist. Was zur Konsequenz hat, daß die Änderung an jeder anderen Verknüpfung ebenfalls aktiv ist.
      
      Erstellt man eine Richtlinie direkt im Ordner "Gruppenrichtlinienobjekte" dann kann man erstmal konfigurieren was man will. Es wird nichts passieren, solange die GPO nicht verknüpft ist, ist sie nicht aktiv. Sie existiert. Das ist alles. Da sie nirgends verknüpft ist, hat sie keine Verwaltungsbereich (Scope/Wirkungsbereich).
      
      Erstellt man eine Richtlinie über das Kontextmenü der OU, dann hat man die Möglichkeit ein Objekt zu erstellen und direkt hier zu verknüpfen, oder ein vorhandenes zu verwenden.
      
      
      
   2. Für wen soll die Richtlinie gelten?
      1. Für Benutzer? -> Dann muss man die Richtlinie mit der OU "Meine Benutzer" verlinken, denn dort liegen eure "Ziele" (Target).
      2. Für Computer? -> siehe oben :-)
         
         Wenn ich Einstellungen für einen Benutzer vornehmen möchte, aber die Richtlinie an die OU "Meine Computer" verknüpfe, dann muss ich mich nicht wundern, das es nicht geht. Ich habe kein passendes Ziel ausgewählt. Als Option zur Lösung bleibt dann: Entweder den Benutzer nach "Meine Computer" verschieben, oder die GPO "richtig" verknüpfen.
         
6. Beispiel:
   Stellen wir uns vor ihr wollt den Bildschirmschoner für eure Benutzer auf 10 Minuten mit Kennwortschutz konfigurieren.
   Es existiert noch keine Richtlinie, die man erweitern kann. Der schnellste Weg führt über das Kontextmenü auf der OU "Meine Benutzer"
   
   1. Wir wählen: "Gruppenrichtlinienobjekt hier erstellen und verknüpfen".
      das "hier erstellen" ist eine ungünstige Übersetzung. ERSTELLT wird es im Ordner Gruppenrichtlinienobjekte.
      
      Man sollte seinen GPOs "sprechende" Namen geben, damit man es hinterher leichter hat, zu erkennen, was darin konfiguriert ist.
      "GPO1", "Test01" und ähnlich sorgen für mehr Ärger als man braucht.
      
      
      
      
   2. Wird der obige Dialog bestätigt, wird zum einen ein Gruppenrichtlinienobjekt erstellt und zum anderen direkt mit der OU verknüpft.
      Auf dem Bild erkennt man den Link (Icon mit Pfeil) an der OU und das Objekt unterhalb der Gruppenrichtlinienobjekte.
      Klickt man die Verknüpfung an, erscheint ein Warnhinweis den man ausblenden kann, wenn die Checkbox aktiviert wird.
      Dieser Hinweis bezieht sich auf die unter 5.1 angesprochene Problematik, daß man beim Bearbeiten alle anderen Verknüpfungen dieses Objekts ebenfalls beeinflusst.
      
      
      
      
   3. Über das Kontextmenü kann die Richtlinie nun bearbeitet werden und der GPEditor öffnet sich.
      Wir navigieren nach:
      Benutzerkonfiguration
      -- Administrative Vorlagen
      --- Systemsteuerung
      ---- Anzeige
      
      Hier können wir nun die Richtlinien (Policies) innerhalb der Gruppenrichtlinie per Doppelklick editieren, in unserem Fall:
      - Bildschirmschoner = aktiviert
      - Kennwortschutz für den Bildschirmschoner verwenden
      - Bildschirmschoner Zeitlimit
         600 Sekunden für 10 Minuten, 900 ist der vordefinierte Wert, wenn die Richtlinie aktiviert wird
      
      
      
      
   4. Die Einstellungen sind SOFORT aktiviert, das bedeutet auch, daß man bei einer vorhandenen Richtlinie sofort die Änderungen "Online" gestellt hat.
      Es benötigt kein "Speichern" oder "Speichern unter" mehr. Der Editor kann einfach geschlossen werden.
      
   5. Sobald sich nun ein Benutzer aus der OU "Meine Benutzer" erneut anmeldet, wird diese Einstellung übergeben und er kann sie nicht mehr ändern. Die einzige Wahl die ihm bleibt ist "welchen" Bildschirmschoner er haben möchte, aber er wird einen haben. Die Optionen sich "ausgegraut".
      
      
      
      
   6. Fertig.
      Nehmt euch Zeit und schnupper mal überall durch, so nach und nach werden ich die zu Anfang vielfältigen Möglichkeiten garnicht mehr so immens vorkommen.
      Das Ganze ist doch recht logisch aufgebaut. Die Kategorieren innerhalb der Administrativen Vorlagen sprechen für sich.
      
      Oft ist es eher eine Frage von: Ist das eine Einstellung für den Computer oder für den Benuzter?
      Darauf kann keine allgemein gültige Antwort gefunden werden, aber überlegt euch kurz: Was passiert, wenn man dieses oder jenes mal selber per Hand in der Oberfläche ändert, wie gerade den Bildschirmschoner. Gilt das dann für "alle" am Computer oder nur für mich? In dem Moment habt ihr euch die Frage idR beantwortet.

(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright