Workshop - Gruppenrichtlinien

19.09.2023 | Autor: Mark Heitbrink

Dauer: 3 Tage
Kosten: 2.090,00 EUR netto pro Teilnehmer
Mindestteilnehmerzahl: 2 Personen  
Anmeldung:  Formular Anmeldung Schulungen

Der Workshop vermittelt die Technik die die Gruppenrichtlinien bieten und zeigt die Strukturen auf, die sich im AD Design aufgrund der Gruppenrichtlinien ergeben. Er erklärt das Werkzeug zur Konfiguration mit dem zugrundeliegenden Mechanismus. Er gibt Antworten auf die Fragen: Was sollte konfiguriert werden? Wo gewinne ich Performance? Welches Werkzeug für welche Konfiguration? 
Grundlagenwissen Active Directory sollte gegeben sein, ebenfalls OS Installation und Basics von Regedit bis Batch/Powershell.


Kernpunkte:

  • Basiswissen: Erklärung des Werkzeugs und der Gruppenrichtlinien Infrastruktur. 
  • Was ändert sich durch den Semi Anual Channel, schnellen Buildwechsel für die Gruppenrichtlinien? Welche ToDos kommen auf den Administrator zu?
  • Was ist sicher? Was sollte konfiguriert werde?  Die Microsoft Security Baseline oder das BSI als Ausgangspunkt?
  • Sicherheit im Netzwerk beginnt am schwächsten Glied der Kette: Dem Anwender und seinem Client.
  • Hardening Möglichkeiten für OS, Browser, Office, die Microsoft Defender Produktgruppe und weitere Komponenten.
  • Silencing für genannte Bereiche. Weniger Telemetriedaten liefern, Kommunikation mit Datenkraken vermindern.
  • Grundsatzdiskussion: Was ist Gruppenrichtlinie und was ist Deployment? 


Kurzfassung:
Der Workshop vermittelt die Technik die uns die Gruppenrichtlinien bieten. Wir betrachten die Regeln, die sich im AD aufgrund der verschiedenen AD Layouts (OU Strukturen, Sites, Domänen) für die Gruppenrichtlinien ergeben. Er erklärt das Werkzeug zur Konfiguration mit dem zugrunde liegenden Mechanismus. Es geht um die Aufklärung und die Handhabung in der täglichen Administration. Vor allem aber gilt das Augenmerk dem Ablauf des Übernahmeprocesses und der damit zusammenhängenden Strukturen, die sich aus der Kombination Clientseitige Erweiterung (CSE) und Hirarchien/Vererbungen ergeben. Wir betrachten die möglichen Filter und Manipulationensmöglichkeiten einer Richtlinie. Fehlerdiagnose, ~Suche und ~Behebung gehören ebenfalls zum Inhalt, sowie der ständige Bezug zur Praxis anhand der Fallbeispiele und Demonstrationen. Performance Gedanken und Best Practise Hinweise sind erst verständlich, wenn die Struktur bekannt ist.

Inhalte: 

Voraussetzungen und Grundlagen für die funktionelle Anwendung von Gruppenrichtlinien:
Shorttrack AD Basics: DNS, SRV Records, AD Strukturen, Organisational Units, Common Name etc.   


Client Side Extensions:  
Grundsätzliche Fragen: Was ist mit Gruppenrichtlinien möglich? Was nicht? Was kann gesteuert werden? Welche CSEs sind bei welcher Aktion beteiligt? Wie verhalten sich die CSEs bei einer erkannten langsamen Verbindung, oder im Hintergrund? Welche DLLs stehen hinter ihnen? Wie werden sie kontrolliert, gesteuert und in welcher Reihenfolge werden sie aufgerufen?  

Speicherpfade im Active Directory und im Sysvol: 
Welche Einstellung finden wir an welcher Stelle wieder? Wie können sie manipuliert, editiert und gelesen/bearbeitet werden? Die Klärung rund um das Thema "Was" steht "Wo".  

Vererbung und Hirarchie
Der Verwaltungsbereich einer Gruppenrichtlinie, die Definition des Ziels, die Reihenfolge von GPOs und die Manipulationsmöglichkeiten.

Der Trick beim Terminal/Remote Desktop Server:
Loopbackverarbeitungsmodus. Immer wenn Richtlinien für Benutzer aufgrund des Computers an dem man sich anmeldet benötigt werden. Notebooks, Präsentationsgeräte oder Schulungsräume.

Arbeiten mit der GPMC:
Genereller Überblick über das Werkzeug. Aktualisierung von Vorlagen, Standorte einblenden. Wie werden Filter (DSACLs und WMI) definiert und die Reihenfolge manipuliert? 

Grundlagen Gruppenrichtlinien: 
Systemrichtlinien (Preferences) vs. AD Gruppenrichtlinien (Policies). Speicherpfade in der lokalen Registry Arbeiten mit eigenen ADM Templates, Möglichkeiten und Grenzen des ADM Templates, Auffinden von relevanten Registry Key´s mit Hilfe von Registry-Monitor Software. Verfügbare Powershell CMDLets für Gruppenrichtlinien

Sicherer Umgang mit Richtlinien: 
Implementation eines Workflows. Offline Bearbeitung von Richtlinien, Vergleich und Übernahme bereitgestellter Sicherheitsvorlagen. Problematik in Multilanguage Umgebungen. Zentrale Vergabe Lokaler Berechtigungen. Vermeidung der Verwendung von Lokalen Administratoren, bewusst und unbewusst.  Integration von Sicherheitsoptionen, wie die Manipulation des Default User Mappings.
 
GPP - Group Policy Preferences:
Eingeführt mit Windows Server 2008 aber immer noch ein Rätsel. Die Abkehr von Skripten. Neuerungen und Besonderheiten beim Einsatz der GPPs. 

Administrativen Vorlagen: 
Suche und Filterfunktionen. Gründe die für die Verwendung eines Central Stores für die Administrativen Vorlagen sprechen.   

Perfomance Gedanken und Troubleshooting:
Ablaufdiagramm, Fehlersuche, Werkzeuge und Diagnose