Erstellen einer Gruppenrichtlinie

16.01.2013 | Autor: Mark Heitbrink

Dieser Artikel beschäftigt sich mit den ersten Schritten bis zur ersten eigenen Gruppenrichtlinie.  Was in dieser Richtlinie dann konfiguriert ist. ist erst mal Nebensache, ich werde den Weg dahin beschreiben und ein aus meiner Sicht sehr funktionelles "Best Practice Scenario" entwerfen. Die ist keine Anleitung, die da lautet "Wie installiere ich ein AD", das haben andere schon zu genüge getan.

Ich gehe davon aus, das Gruppenrichtlinien erst zu einem Zeitpunkt als Thema aufkommen, nachdem die zentrale Verwaltung schon aufgebaut ist. Deswegen spreche ich die Voraussetzung nur an.


1. Grundlagen, Bedingungen, Beispielkonfiguration

  • eure Domäne ist eingerichtet, in meinem Beispiel: gallier.ads
  • euer Domänen Controller ist bei den Clients als erster DNS eingetragen, in meinem Fall die 192.168.222.10
  • die Client Computer sind zum AD hinzugefügt

2. Euer Active Directory sollte minimal strukturiert sein. Das heisst eure Computer und Benutzer sind in selbsterstellten Organisationeinheiten hinterlegt und nicht in den Microsoft Std. Containern "Users" und "Computers"

Wenn nicht: Erstellt euch eine OU "Meine Computer" und eine OU "Meine Benutzer", verschiebt alle Computer nach "Meine Computer" und alle Benutzer nach "Meine Benutzer"

3. Zur Bearbeitung der Gruppenrichtlinien verwenden wir die Gruppenrichtlinienverwaltungskonsole, kurz: GPMC. Verwendet am Besten euren DC und verbindet euch per RDP dahin.

4. Ihr habt euer AD "logisch" aufgeteilt, wie gerade unter 2.) angegeben.
Wir öffnen die GPMC
- Start -> Programme -> Verwaltung -> Gruppenrichtlinienverwaltung
oder:
- Start -> ausführen -> gpmc.msc

5. Wenn ihr nun eine Neue Richtlinie erstellen wollt müsst ihr euch über einige Dinge klar werden:

5.1. Man unterscheidet bei den Richtlinien zwischen Verknüpfungen (Links) wie im Dateisystem und den Gruppenrichtlinienobjekten (GPOs)

GPOs sind einmalig und das ist das eigentliche Objekt das man erstellt und editiert.

Das Objekt findet ihr im Ordner "Gruppenrichtlinienobjekte" wieder. An einer OU (Organisational Unit/Organisationseinheit)  sind immer nur Verknüpfungen vorhanden.

Das sieht man ganz gut am Icon der "Default Domain Policy" direkt unterhalb von "gallier.ads", das Icon hat wie ein Desktop Link eine Pfeil.

GPOs können an mehrere OUs verknüpft werden. Aber bedenkt: Wenn man eine verknüpfte Richtlinie bearbeitet, dann editiert man das Objekt, auf das der Link verweist. Was zur Konsequenz hat, daß die Änderung an jeder anderen Verknüpfung ebenfalls aktiv ist.

Erstellt man eine Richtlinie direkt im Ordner "Gruppenrichtlinienobjekte" dann kann man erstmal konfigurieren was man will. Es wird nichts passieren, solange die GPO nicht verknüpft ist, ist sie nicht aktiv. Sie existiert. Das ist alles. Da sie nirgends verknüpft ist, hat sie keine Verwaltungsbereich (Scope/Wirkungsbereich).

Erstellt man eine Richtlinie über das Kontextmenü der OU, dann hat man die Möglichkeit ein Objekt zu erstellen und direkt hier zu verknüpfen, oder ein vorhandenes zu verwenden.

5.2. Für wen soll die Richtlinie gelten?

  1. Für Benutzer? -> Dann muss man die Richtlinie mit der OU "Meine Benutzer" verlinken, denn dort liegen eure "Ziele" (Target).
  2. Für Computer? -> siehe oben :-)

    Wenn ich Einstellungen für einen Benutzer vornehmen möchte, aber die Richtlinie an die OU "Meine Computer" verknüpfe, dann muss ich mich nicht wundern, das es nicht geht. Ich habe kein passendes Ziel ausgewählt. Als Option zur Lösung bleibt dann: Entweder den Benutzer nach "Meine Computer" verschieben, oder die GPO "richtig" verknüpfen.

6. Beispiel:
Stellen wir uns vor ihr wollt den Bildschirmschoner für eure Benutzer auf 10 Minuten mit Kennwortschutz konfigurieren. Es existiert noch keine Richtlinie, die man erweitern kann. Der schnellste Weg führt über das Kontextmenü auf der OU "Meine Benutzer"

6.1. Wir wählen: "Gruppenrichtlinienobjekt hier erstellen und verknüpfen".
das "hier erstellen" ist eine ungünstige Übersetzung. ERSTELLT wird es im Ordner Gruppenrichtlinienobjekte.

Man sollte seinen GPOs "sprechende" Namen geben, damit man es hinterher leichter hat, zu erkennen, was darin konfiguriert ist.
"GPO1", "Test01" und ähnlich sorgen für mehr Ärger als man braucht.

Name der GPO: B_Bildschirmschoner_10_Minuten_mit_Kennwortschutz

6.2. Wird der folgende Dialog bestätigt, wird zum einen ein Gruppenrichtlinienobjekt erstellt und zum anderen wird es direkt mit der OU verknüpft, an der OU verlinkt

Man erkennt es wieder an dem Icon mit Pfeil. Klickt man die Verknüpfung an, erscheint ein Warnhinweis den man ausblenden kann, wenn die Checkbox aktiviert wird.

Dieser Hinweis bezieht sich auf die unter 5.1 angesprochene Problematik, daß man beim Bearbeiten alle anderen Verknüpfungen dieses Objekts ebenfalls beeinflusst.

6.3. Über das Kontextmenü kann die Richtlinie nun bearbeitet werden und der GPEditor öffnet sich.
Wir navigieren nach:
Benutzerkonfiguration
- - Administrative Vorlagen
- - - Systemsteuerung
- - - - Anzeige

Hier können wir nun die Richtlinien (Policies) innerhalb der Gruppenrichtlinie per Doppelklick editieren, in unserem Fall:

  • Bildschirmschoner = aktiviert
  • Kennwortschutz für den Bildschirmschoner verwenden
  • Bildschirmschoner Zeitlimit
    600 Sekunden für 10 Minuten, 900 ist der vordefinierte Wert, wenn die Richtlinie aktiviert wird

6.4. Die Einstellungen werden SOFORT geschrieben, das bedeutet auch, daß man bei einer vorhandenen Richtlinie sofort die Änderungen "Online" gestellt hat.

Es benötigt kein "Speichern" oder "Speichern unter" mehr. Der Editor kann einfach geschlossen werden.

6.5. Sobald sich nun ein Benutzer aus der OU "Meine Benutzer" erneut anmeldet, wird diese Einstellung übergeben und er kann sie nicht mehr ändern. Die einzige Wahl die ihm bleibt ist "welchen" Bildschirmschoner er haben möchte, aber er wird einen haben. Die Optionen ansich "ausgegraut".

6.6. Fertig.
Nehmt euch Zeit und schnuppert mal überall durch, so nach und nach werden euch die zu Anfang vielfältigen Möglichkeiten garnicht mehr so immens vorkommen.

Das Ganze ist doch recht logisch aufgebaut. Die Kategorieren innerhalb der Administrativen Vorlagen sprechen für sich.

Oft ist es eher eine Frage von: Ist das eine Einstellung für den Computer oder für den Benuzter?

Darauf kann keine allgemein gültige Antwort gefunden werden, aber überlegt euch kurz: Was passiert, wenn man dieses oder jenes mal selber per Hand in der Oberfläche ändert, wie gerade den Bildschirmschoner. Gilt das dann für "alle" am Computer oder nur für mich? In dem Moment habt ihr euch die Frage idR beantwortet.