(0) exportieren Drucken
Alle erweitern

Bereitstellungsüberlegungen für Gruppenrichtlinien

Letzte Aktualisierung: Januar 2005

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

?

Bereitstellungsüberlegungen für Gruppenrichtlinien

In diesem Thema werden Bereitstellungsfragen im Zusammenhang mit dem Verwalten von Gruppenrichtlinien in Unternehmensumgebungen beschrieben. Dazu gehören Interoperabilitätsfragen wie das Behandeln einer Mischung aus Versionen des Clientbetriebssystems, einer Mischung aus Domänenversionen sowie in Windows Server 2003 enthaltene neue Funktionen.

Um ein Element anzuzeigen, klicken Sie auf den entsprechenden Link:

Anwenden von Gruppenrichtlinien auf verschiedenen Clientbetriebssystemen

Gruppenrichtlinien können für Clientcomputer unter einem der folgenden oder höheren Betriebssystemen angewendet werden:

  • Beliebige Version von Windows 2000.

  • Beliebige Version von Windows XP Professional.

  • Beliebige Version von Windows Server 2003.

Außer für lokale Gruppenrichtlinienobjekte (Local Group Policy Objects, LGPOs) ist für Gruppenrichtlinien Active Directory erforderlich. Damit die Computerkonfigurationseinstellungen gelten, muss sich das Computerkonto in einer Active Directory-Domäne befinden. Damit die Benutzerkonfigurationseinstellungen gelten, muss sich das Benutzerkonto in einer Active Directory-Domäne befinden.

Gruppenrichtlinien werden nicht auf Computer unter einem der folgenden Betriebssysteme angewendet:

  • Windows 95

  • Windows 98

  • Windows Millennium Edition

  • Windows NT

Verwenden administrativer Vorlagendateien in gemischten Umgebungen

Mit administrativen Vorlagen (oder ADM-Dateien) können Administratoren Registrierungseinstellungen mithilfe von Gruppenrichtlinien steuern. Windows enthält einen vordefinierten Satz administrativer Vorlagendateien, die als Textdateien (mit der Erweiterung .adm) implementiert werden und die Registrierungseinstellungen definieren, die in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) konfiguriert werden können. Diese ADM-Dateien werden standardmäßig an zwei Speicherorten gespeichert: in Gruppenrichtlinienobjekten und auf dem lokalen Computer im Ordner %windir%\inf.

Wenn neue Versionen von Windows veröffentlicht werden, werden neue Richtlinieneinstellungen hinzugefügt. Jede nachfolgende Version von Windows unterstützt nicht nur diese neuen Einstellungen, sondern außerdem alle in früheren Versionen verfügbaren Registrierungsrichtlinieneinstellungen. Beispielsweise unterstützt die Windows Server 2003-Produktfamilie alle Registrierungsrichtlinieneinstellungen, die in Windows 2000 und Windows XP zur Verfügung stehen.

Es ist wichtig, zu verstehen, dass es sich bei den ADM-Dateien nicht um die tatsächlichen Einstellungen handelt, die auf Clientbetriebssystemen bereitgestellt werden. Die ADM-Datei ist einfach eine Vorlagendatei, die den Anzeigenamen für die Einstellung sowie eine Erklärung bereitstellt. Diese Vorlagendatei wird zum Auffüllen der Benutzeroberfläche verwendet. Die auf Clients bereitgestellten Einstellungen befinden sich in der Datei Registry.pol im Gruppenrichtlinienobjekt. Unter Windows XP und Windows Server 2003 enthält jede Registrierungseinstellung das Tag "Supported on". Es gibt an, welche Betriebssystemversionen die Richtlinieneinstellung unterstützen. Wenn eine Einstellung angegeben ist und auf einem Clientbetriebssystem bereitgestellt wird, das diese Einstellung nicht unterstützt, werden die Einstellungen ignoriert.

Alle aufeinander folgenden Iterationen von ADM-Dateien enthalten Einstellungen aus früheren Versionen, sodass kein Schaden entsteht, wenn eine neue Einstellung versehentlich auf einen Computer unter einem früheren Betriebssystem ohne Unterstützung für diese Einstellung angewendet wird. Es wird empfohlen, Gruppenrichtlinienobjekte immer über einen Computer zu erstellen und zu bearbeiten, auf dem die aktuellen ADM-Dateien zur Verfügung stehen. Die Behandlung von ADM-Dateien in der Gruppenrichtlinienkonsole und im Gruppenrichtlinienobjekt-Editor verläuft unterschiedlich.

Behandeln von ADM-Dateien im Gruppenrichtlinienobjekt-Editor

  • Der Gruppenrichtlinienobjekt-Editor verwendet ADM-Dateien, um verfügbare Richtlinieneinstellungen im Abschnitt Administrative Vorlagen eines Gruppenrichtlinienobjekts anzuzeigen.

  • Er versucht standardmäßig, ADM-Dateien aus dem Gruppenrichtlinienobjekt zu lesen (über den Ordner Sysvol auf dem Domänencontroller). Alternativ kann die ADM-Datei vom lokalen Arbeitsstationscomputer gelesen werden. Dieses Verhalten kann durch eine Richtlinieneinstellung gesteuert werden.

  • Wenn die auf dem lokalen Computer gefundene Version der ADM-Datei neuer ist (basierend auf dem Zeitstempel der Datei), wird standardmäßig die lokale Version in Sysvol kopiert und zum Anzeigen der Einstellungen verwendet. Dieses Verhalten kann durch eine Richtlinieneinstellung gesteuert werden.

  • Wenn das Gruppenrichtlinienobjekt Registrierungseinstellungen enthält, für die keine entsprechende ADM-Datei vorhanden ist, werden diese Einstellungen nicht im Gruppenrichtlinienobjekt-Editor angezeigt. Die Richtlinieneinstellungen sind aber dennoch aktiv und werden auf Benutzer oder Computer angewendet, die Ziel des Gruppenrichtlinienobjekts sind.

Behandeln von ADM-Dateien in der Gruppenrichtlinienkonsole

  • Die Gruppenrichtlinienkonsole verwendet zum Anzeigen der Anzeigenamen von Richtlinieneinstellungen beim Generieren von HTML-Berichten für Gruppenrichtlinienobjekte, die Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse ADM-Dateien.

  • Standardmäßig verwendet die Gruppenrichtlinienkonsole unabhängig vom Zeitstempel die lokale ADM-Datei. Wenn die Datei nicht gefunden wird, sucht die Gruppenrichtlinienkonsole im Ordner des Gruppenrichtlinienobjekts in Sysvol.

  • Der Benutzer kann einen alternativen Pfad zum Suchen der ADM-Dateien angeben. Dieser hat dann Vorrang vor den vorherigen Pfaden.

  • Die Gruppenrichtlinienkonsole kopiert die ADM-Datei nie in Sysvol.

Verwalten einer Mischung aus Windows 2000- und Windows Server 2003-Domänen

Die Gruppenrichtlinienkonsole legt Funktionen offen, die im zugrunde liegenden Betriebssystem zur Verfügung stehen. Da seit Windows 2000 neue Funktionen zu den Gruppenrichtlinien hinzugefügt wurden, stehen bestimmte Funktionen abhängig vom auf den Domänencontrollern bereitgestellten Betriebssystem nur in der Gruppenrichtlinienkonsole zur Verfügung. Diese Abhängigkeiten werden in diesem Abschnitt beschrieben. Im Allgemeinen bestimmen drei Schlüsselfragen, ob eine Funktion in der Gruppenrichtlinienkonsole zur Verfügung steht.

  • Unterstützt die Gesamtstruktur das Windows Server 2003-Schema für Active Directory? Bestimmte Funktionen stehen nur nach dem Aktualisieren des Schemas zur Verfügung. Dieser erste Schritt muss ausgeführt werden, bevor ein Windows Server 2003-Domänencontroller in einer vorhandenen Windows 2000-Gesamtstruktur bereitgestellt werden kann. Das Schema ist eine gesamtstrukturweite Konfiguration, die durch Ausführen von ADPrep /ForestPrep aktualisiert wird. ADPrep ist ein auf der Windows Server 2003-CD enthaltenes Dienstprogramm. Das Windows Server 2003-Schema kann sich in einer Gesamtstruktur mit allen Windows 2000-Domänencontrollern befinden.

  • Enthält die Gesamtstruktur unter Windows Server 2003 mindestens einen Domänencontroller? Die Gruppenrichtlinienmodellierung muss auf einem Domänencontroller unter Windows Server 2003 ausgeführt werden.

  • Enthält eine Domäne die Windows Server 2003-Domänenkonfiguration? Diese wird implementiert, wenn ADPrep /DomainPrep in dieser Domäne ausgeführt wird. Dieser erste Schritt muss ausgeführt werden, bevor ein Windows Server 2003-Domänencontroller in einer vorhandenen Windows 2000-Domäne bereitgestellt werden kann.

Es besteht aus der Perspektive der Gruppenrichtlinien keine Abhängigkeit vom Modus einer Domäne (einheitlich oder gemischt).

Delegierung von Gruppenrichtlinienergebnisse und Gruppenrichtlinienmodellierung

Zum Delegieren von Gruppenrichtlinienmodellierung oder Gruppenrichtlinienergebnisse muss das Active Directory-Schema in der Gesamtstruktur dem Windows Server 2003-Schema entsprechen. Sie können Gruppenrichtlinienergebnisse auch ohne dieses Schema verwenden, jedoch können nur Benutzer mit lokalen Administratorrechten für den Zielcomputer remote auf Gruppenrichtlinien-Ergebnisdaten zugreifen. Wenn daher die Gesamtstruktur nicht das Windows Server 2003-Schema aufweist, werden diese Berechtigungen auf den Delegierungsseiten in der Gruppenrichtlinienkonsole für Organisationseinheiten nicht angezeigt.

Gruppenrichtlinienmodellierung

Gruppenrichtlinienmodellierung ist eine Simulation, die von einem Dienst ausgeführt wird, der nur auf einem Domänencontroller unter Windows Server 2003 oder höher ausgeführt werden kann. Solange die Gesamtstruktur mindestens einen Domänencontroller unter Windows Server 2003 enthält, können Sie Gruppenrichtlinienmodellierung verwenden. Der Knoten Gruppenrichtlinienmodellierung wird in der Gruppenrichtlinienkonsole auf der Benutzeroberfläche nur angezeigt, wenn das Windows Server 2003-Schema vorhanden ist.

WMI-Filter

WMI-Filter stehen nur in Domänen mit der Windows Server 2003-Konfiguration zur Verfügung. Obwohl auf keinem der Domänencontroller Windows Server 2003 ausgeführt werden muss, müssen Sie ADPrep /DomainPrep in dieser Domäne ausgeführt haben. WMI-Filter werden nur von Clients unter Windows XP, Windows Server 2003 oder höher ausgewertet. WMI-Filter, die mit einem Gruppenrichtlinienobjekt verbunden sind, werden von Windows 2000-Clients ignoriert, und das Gruppenrichtlinienobjekt wird unter Windows 2000 immer angewendet. Weitere Informationen finden Sie unter WMI-Filterung mithilfe der Gruppenrichtlinienkonsole.

Wenn ADPrep /DomainPrep in einer bestimmten Domäne nicht ausgeführt wurde, ist der Knoten WMI-Filter nicht vorhanden, und auf der Registerkarte für den Bereich für das Gruppenrichtlinienobjekt ist kein Abschnitt WMI-Filter vorhanden.

Aktualisieren von Windows 2000-Domänen auf Windows Server 2003-Domänen und Interaktion mit Gruppenrichtlinienmodellierung

Gruppenrichtlinienmodellierung ist eine neue Funktion von Windows Server 2003, mit der der Richtlinienergebnissatz für eine bestimmte Konfiguration simuliert wird. Die Simulation wird von einem Dienst ausgeführt, der auf Windows Server 2003-Domänencontrollern ausgeführt wird. Zum Ausführen der Simulation in domänenübergreifenden Szenarien muss der Dienst über Lesezugriff auf alle Gruppenrichtlinienobjekte in der Gesamtstruktur verfügen.

In einer Windows Server 2003-Domäne (unabhängig davon, ob sie von Windows 2000 aktualisiert oder neu installiert wurde) wird der Gruppe Unternehmensdomänencontroller automatisch Lesezugriff auf alle neu erstellten Gruppenrichtlinienobjekte gewährt. Dadurch ist sichergestellt, dass der Dienst alle Gruppenrichtlinienobjekte in der Gesamtstruktur lesen kann.

Wenn die Domäne jedoch von Windows 2000 aktualisiert wurde, verfügen die vor der Aktualisierung erstellten Gruppenrichtlinienobjekte nicht über Lesezugriff auf die Gruppe Unternehmensdomänencontroller. Wenn Sie auf ein Gruppenrichtlinienobjekt klicken, erkennt die Gruppenrichtlinienkonsole diese Situation und benachrichtigt den Benutzer, dass Unternehmensdomänencontroller nicht über Lesezugriff auf alle Gruppenrichtlinienobjekte in dieser Domäne verfügen. Um dieses Problem zu lösen, können Sie eines der mit der Gruppenrichtlinienkonsole bereitgestellten Beispielskripts, GrantPermissionOnAllGPOs.wsf, verwenden. Mit diesem Skript können die Berechtigungen für alle Gruppenrichtlinienobjekte in der Domäne aktualisiert werden. So verwenden Sie das Skript:

  • Stellen Sie sicher, dass die Person, die das Skript ausführt, Domänen-Admin ist oder über Berechtigungen zum Ändern der Sicherheit für alle Gruppenrichtlinienobjekte in der Domäne verfügt.

  • Öffnen Sie die Eingabeaufforderung, und navigieren Sie zum Ordner %programfiles%\gpmc\scripts, indem Sie Folgendes eingeben:

    CD /D %programfiles%\gpmc\scripts
    
  • Geben Sie Folgendes ein:

    Cscript GrantPermissionOnAllGPOs.wsf "Enterprise Domain Controllers" /Permission:Read /Domain:value
    

Der Wert des Domänenparameters entspricht dem DNS-Namen der Domäne.

Verwenden von Gruppenrichtlinienfunktionen über Gesamtstrukturen hinweg

Die Windows Server 2003-Produktfamilie stellt die Gesamtstrukturvertrauensstellung als neue Funktion für die Authentifizierung und das Autorisieren des Zugriffs auf Ressourcen von separaten Gesamtstrukturen in Netzwerken bereit. Wenn Vertrauensstellungen zwischen Gesamtstrukturen hergestellt wurden, können Sie die Gruppenrichtlinien unternehmensweit über Active Directory verwalten. Dies erhöht die Flexibilität besonders in großen Organisationen. Weitere Informationen zu Gesamtstrukturvertrauensstellungen finden Sie unter Gesamtstrukturen in der Gruppenrichtlinienkonsole.

In diesem Abschnitt wird das Gruppenrichtlinienverhalten in einer Umgebung mit aktivierter Gesamtstrukturvertrauensstellung beschrieben:

  • Ein Gruppenrichtlinienobjekt kann nicht mit einer Domäne in einer anderen Gesamtstruktur verknüpft werden.

  • Die Gesamtstrukturvertrauensstellung ermöglicht, dass sich ein Benutzer in der Gesamtstruktur B an einem Computer in der Gesamtstruktur A anmeldet. In diesem Fall wird beim Starten des Computers wie üblich eine Richtlinie für die Computerkonfiguration aus der Gesamtstruktur A verarbeitet. Wenn sich ein Benutzer aus Gesamtstruktur B anmeldet, bestimmt der Wert der Richtlinieneinstellung Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen, von wo er seine Richtlinieneinstellungen empfängt.

    • Wenn diese Einstellung Nicht konfiguriert entspricht, werden keine benutzerbasierten Richtlinieneinstellungen aus der Gesamtstruktur des Benutzers angewendet. Stattdessen wird die Gruppenrichtlinien-Loopbackverarbeitung mithilfe der für den Computer festgelegten Gruppenrichtlinienobjekte angewendet. Die Benutzer empfangen anstatt des servergespeicherten Profils ein lokales Profil.

    • Wenn diese Einstellung Aktiviert entspricht, ist das Verhalten identisch mit dem unter Windows 2000 Server, d. h. es werden Benutzerrichtlinien aus der Gesamtstruktur des Benutzers angewendet, und es wird ein servergespeichertes Benutzerprofil aus der vertrauenswürdigen Gesamtstruktur zugelassen.

    • Wenn die Einstellung auf Deaktiviert festgelegt ist, ist das Verhalten gleich wie bei Nicht konfiguriert.

    Diese Einstellung steht unter Windows Server 2003 unter: Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien\Allow Cross-Forest User Policy and Roaming Profiles zur Verfügung.

  • Gruppenrichtlinieneinstellungen können für Benutzer und Computer in derselben Gesamtstruktur bereitgestellt werden, wobei diese Einstellungen auf Server in anderen vertrauenswürdigen Gesamtstrukturen verweisen. So können sich z. B. die Freigaben, die Softwareverteilungspunkte, umgeleitete Ordner, Anmeldeskripts und servergespeicherte Benutzerprofile hosten, in einer anderen vertrauenswürdigen Gesamtstruktur befinden.

  • Für Gruppenrichtlinienmodellierung müssen sich der Benutzer und der Computer in derselben Gesamtstruktur befinden. Wenn Sie die Anmeldung eines Benutzers aus Gesamtstruktur A bei einem Computer in Gesamtstruktur B simulieren möchten, müssen Sie zwei separate Gruppenrichtlinien-Modellierungssimulationen ausführen: eine für die Benutzerkonfiguration und die andere für die Computerkonfiguration.

  • Die gesamtstrukturübergreifende Delegierung wird beim Verwalten von Gruppenrichtlinien unterstützt. Beispielsweise können Sie an eine Person in Gesamtstruktur B die Fähigkeit zum Ausführen von Gruppenrichtlinien-Modellierungssimulationen für Objekte in Gesamtstruktur A delegieren.

Gruppenrichtlinien für Standorte

Gruppenrichtlinienobjekte, die mit Active Directory-Standortobjekten verknüpft sind, wirken sich auf alle Computer am Standort aus. Aus diesem Grund werden Gruppenrichtlinienobjekte, die mit einem Standort verknüpft sind, auf alle Computer an diesem Standort angewandt, unabhängig davon, in welcher Domäne (in der Gesamtstruktur) sich der Computer befindet.

Das heißt, dass Computer in mehreren Domänen innerhalb einer Gesamtstruktur potenziell dasselbe Gruppenrichtlinienobjekt empfangen können, wenn Sie standortverknüpfte Gruppenrichtlinienobjekte verwenden. Es bedeutet außerdem, dass ein bestimmter Clientcomputer Gruppenrichtlinienobjekte aus mehreren Domänen in der Gesamtstruktur empfangen kann. Das Gruppenrichtlinienobjekt ist nur in einer einzigen Domäne als gespeicherte Entität vorhanden und muss aus dieser Domäne gelesen werden, wenn die betroffenen Clients ihre standortverknüpften Gruppenrichtlinien lesen.

Wenn mehrere Domänen innerhalb eines WAN (Wide Area Network) eingerichtet sind, sollten Sie diesen Punkt schon bei der Standortkonfiguration berücksichtigen. Ansonsten greifen die Computer in einer anderen Domäne über eine WAN-Verbindung auf ein standortverknüpftes Gruppenrichtlinienobjekt zu. Dies führt zu einer Erhöhung der Verarbeitungszeit für die Gruppenrichtlinien.

Es wird im Allgemeinen empfohlen, Gruppenrichtlinienobjekte anstatt mit Standorten mit Domänen und Organisationseinheiten zu verknüpfen.

Verwenden von Gruppenrichtlinien und der verstärkten Sicherheitskonfiguration für Internet Explorer

Windows Server 2003 enthält eine neue Standardsicherheitskonfiguration für Internet Explorer, die als verstärkte Sicherheitskonfiguration für Internet Explorer bezeichnet wird. Die verstärkte Sicherheitskonfiguration wirkt sich auf die Sicherheitszonen und Datenschutzeinstellungen innerhalb der Einstellungen eines Gruppenrichtlinienobjekts für die Internet Explorer-Wartung aus. Für die Sicherheitszonen und Datenschutzeinstellungen kann die verstärkte Sicherheitskonfiguration aktiviert sein.

  • Wenn Sie Einstellungen für Sicherheitszonen und Datenschutzeinstellungen in einem Gruppenrichtlinienobjekt von einem Computer mit aktivierter verstärkter Sicherheitskonfiguration bearbeiten, enthält das Gruppenrichtlinienobjekt Einstellungen mit aktivierter verstärkter Sicherheitskonfiguration. Wenn Sie den HTML-Bericht für dieses Gruppenrichtlinienobjekt anzeigen, wird an die Kopfzeile Sicherheitszonen und Datenschutz der Text (Verstärkte Sicherheitskonfiguration aktiviert) angefügt.

  • Wenn Sie Einstellungen für Sicherheitszonen und Datenschutzeinstellungen in einem Gruppenrichtlinienobjekt von einem Computer mit nicht aktivierter verstärkter Sicherheitskonfiguration bearbeiten, enthält das Gruppenrichtlinienobjekt Einstellungen mit deaktivierter verstärkter Sicherheitskonfiguration. Die verstärkte Sicherheitskonfiguration ist auf Computern unter Windows 2000 oder Windows XP oder auf Computern unter Windows Server 2003 mit explizit deaktivierter verstärkter Sicherheitskonfiguration nicht aktiviert.

Über Gruppenrichtlinien bereitgestellte Einstellungen für die verstärkte Sicherheitskonfiguration werden nur auf Computern verarbeitet und angewendet, auf denen die verstärkte Sicherheitskonfiguration aktiviert ist. Einstellungen für die verstärkte Sicherheitskonfiguration werden ignoriert auf Computern ohne aktivierte verstärkte Sicherheitskonfiguration (alle Computer unter Windows 2000 und Windows XP sowie Computer unter Windows Server 2003 mit explizit deaktivierter verstärkter Sicherheitskonfiguration). Umgekehrt gilt: Ein Gruppenrichtlinienobjekt, das Einstellungen für die deaktivierte verstärkte Sicherheitskonfiguration enthält, wird nur auf Computern verarbeitet und angewendet, auf denen die verstärkte Sicherheitskonfiguration nicht aktiviert ist.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft