Gruppenrichtlinie (Übersicht) (2007 Office System)
Letzte Aktualisierung: März 2007
Betrifft: Office Resource Kit
Letztes Änderungsdatum des Themas: 2015-03-09
Gruppenrichtlinien sind eine Infrastruktur, mit deren Hilfe Administratoren bestimmte Computerkonfigurationen für Benutzer und Computer implementieren können. Richtlinieneinstellungen können auch auf Mitgliedsserver und Domänencontroller innerhalb des Geltungsbereichs einer Active Directory-Gesamtstruktur angewendet werden. Administratoren verwenden Gruppenrichtlinien zum einmaligen Definieren von Konfigurationen, deren Status anschließend vom Betriebssystem erzwungen wird.
Gruppenrichtlinieneinstellungen sind in Gruppenrichtlinienobjekten enthalten, die mit ausgewählten Active Directory-Verzeichnisdienstcontainern verknüpft sind: Standorten, Domänen oder Organisationseinheiten. Die Einstellungen in Gruppenrichtlinienobjekten werden von den betroffenen Zielen anhand der Active Directory-Hierarchie ausgewertet.
Die Gruppenrichtlinieninfrastruktur besteht aus einem Gruppenrichtlinienmodul und mehreren einzelnen Erweiterungen. Diese Erweiterungen dienen zum Konfigurieren von Gruppenrichtlinieneinstellungen, entweder durch Ändern der Registrierung über die Erweiterung Administrative Vorlagen oder durch Festlegen von Gruppenrichtlinieneinstellungen für Sicherheitseinstellungen, Softwareinstallation, Ordnerumleitung, Internet Explorer-Wartung, WLAN-Einstellungen und andere Bereiche.
Jede Gruppenrichtlinienerweiterung umfasst zwei Erweiterungen:
Eine serverseitige Erweiterung des MMC-Snap-Ins (Microsoft Management Console) Gruppenrichtlinienobjekt-Editor zum Definieren und Festlegen der Richtlinieneinstellungen, die auf Clientcomputer angewendet werden
Eine clientseitige Erweiterung, die vom Gruppenrichtlinienmodul zum Anwenden von Richtlinieneinstellungen aufgerufen wird
2007 Microsoft Office System-Systemrichtlinieneinstellungen sind in administrativen Vorlagendateien (ADM-Dateien) enthalten. Weitere Informationen finden Sie im Abschnitt Erweiterung für administrative Vorlagen.
Die folgenden Abschnitte enthalten eine Übersicht der Gruppenrichtlinienkonzepte. Ausführliche Informationen finden Sie auf der Microsoft TechNet-Website unter Gruppenrichtlinienauflistung (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x407).
In diesem Thema
Lokale und Active Directory-basierte Gruppenrichtlinien
Gruppenrichtlinienverarbeitung
Gruppenrichtlinienanwendung
Adressieren der Anwendung von Gruppenrichtlinienobjekten
Erweiterung für administrative Vorlagen
Benutzervoreinstellungen und echte Richtlinien
Gruppenrichtlinien-Verwaltungstools
Office-Anpassungstool und Gruppenrichtlinien
Lokale und Active Directory-basierte Gruppenrichtlinien
Jeder Computer verfügt über ein lokales Gruppenrichtlinienobjekt, das immer verarbeitet wird, unabhängig davon, ob der Computer Teil einer Domäne ist oder ob es sich um einen eigenständigen Computer handelt. Das lokale Gruppenrichtlinienobjekt kann nicht durch domänenbasierte Gruppenrichtlinienobjekte blockiert werden. Allerdings haben Einstellungen in Domänen-Gruppenrichtlinienobjekten immer Vorrang, da sie nach dem lokalen Gruppenrichtlinienobjekt verarbeitet werden.
Sie können lokale Gruppenrichtlinienobjekte zwar auf einzelnen Computern konfigurieren, alle Vorteile von Gruppenrichtlinien erzielen Sie aber in einem Windows 2000- oder Windows Server 2003-Netzwerk mit Active Directory.
Administratoren können Gruppenrichtlinieneinstellungen je nach Bedarf für die gesamte Organisation implementieren oder sie auf einen Teil eingrenzen. Dazu verknüpfen Administratoren Gruppenrichtlinienobjekte mit Standorten, Domänen und Organisationseinheiten. Gruppenrichtlinienobjekt-Verknüpfungen wirken sich wie folgt auf Benutzer und Computer aus:
Mit einem Standort verknüpfte Gruppenrichtlinienobjekte gelten für alle Benutzer und Computer an dem Standort.
Mit einer Domäne verknüpfte Gruppenrichtlinienobjekte gelten direkt für alle Benutzer und Computer in der Domäne und durch Vererbung für alle Benutzer und Computer in untergeordneten Organisationseinheiten. Gruppenrichtlinien werden nicht zwischen Domänen vererbt.
Mit einer Organisationseinheit verknüpfte Gruppenrichtlinienobjekte gelten direkt für alle Benutzer und Computer in der Organisationseinheit und durch Vererbung für alle Benutzer und Computer in untergeordneten Organisationseinheiten.
Wenn ein Gruppenrichtlinienobjekt erstellt wird, wird es in der Domäne gespeichert. Wenn das Gruppenrichtlinienobjekt mit einem Active Directory-Container, z. B. einer Organisationseinheit, verknüpft wird, ist die Verknüpfung eine Komponente des Active Directory-Containers. Die Verknüpfung ist keine Komponente des Gruppenrichtlinienobjekts.
Administratoren benötigen zum Erstellen eines Gruppenrichtlinienobjekts entsprechende Berechtigungen. Standardmäßig können nur Domänenadministratoren, Organisationsadministratoren und Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer Gruppenrichtlinienobjekte erstellen. Sie benötigen die Berechtigung zum Bearbeiten für das Gruppenrichtlinienobjekt, das Sie bearbeiten möchten.
Ausführliche Informationen zur Gruppenrichtlinieninfrastruktur finden Sie auf der Microsoft TechNet-Website unter Gruppenrichtlinienauflistung (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x407).
In den Betriebssystemen Windows Vista und Windows Server® 2008 wurden neue Funktionalitäten zum Verwalten von lokalen Gruppenrichtlinienobjekten eingeführt, die es Administratoren eigenständiger Computer ermöglichen, mehrere Gruppenrichtlinienobjekte auf Benutzer von eigenständigen Computern anzuwenden.
Mehrere lokale Gruppenrichtlinienobjekte: Änderungen in Windows Vista und Windows Server 2008
Windows Vista und Windows Server 2008 bieten Unterstützung für die Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte auf eigenständigen Computern. Diese Funktion ist nützlich zum Verwalten von Umgebungen, bei denen einzelne Computer gemeinsam verwendet werden, z. B. in Bibliotheken oder Computerübungsräumen. Sie können mehrere lokale Gruppenrichtlinienobjekte lokalen Benutzern oder integrierten Gruppen zuweisen.
In einer Arbeitsgruppenumgebung verwaltet jeder Computer seine Richtlinieneinstellungen selbst. Dieses Feature betrifft domänenbasierte Gruppenrichtlinien, es kann aber durch eine Gruppenrichtlinieneinstellung deaktiviert werden.
Administratoren können mehrere lokale Gruppenrichtlinienobjekte für folgende Aufgaben verwenden:
Anwenden unterschiedlicher Ebenen von lokalen Gruppenrichtlinien auf lokale Benutzer auf einem eigenständigen Computer. Diese Funktion eignet sich ideal für gemeinsam genutzte Computerumgebungen, in denen keine domänenbasierte Verwaltung verfügbar ist.
Verwalten von Gruppenrichtlinien basierend auf Gruppen von Administratoren und Nichtadministratoren. Wenn Administratoren beispielsweise Computer in einem Computerübungsraum einrichten möchten, um eine sichere Umgebung zu konfigurieren, können sie in stark verwaltete Richtlinieneinstellungen für Benutzergruppen und gering verwaltete Richtlinieneinstellungen für integrierte Administratorkonten erstellen. Damit wird vermieden, dass lokale Administratoren vor der Ausführung von Verwaltungsaufgaben Gruppenrichtlinieneinstellungen explizit deaktivieren oder entfernen müssen, die sie beim Verwalten der Arbeitsstation behindern. Windows Vista-Administratoren können lokale Gruppenrichtlinieneinstellungen auch deaktivieren, ohne domänenbasierte Gruppenrichtlinien explizit zu aktivieren.
Domänenadministratoren können die Verarbeitung von lokalen Gruppenrichtlinienobjekten auf Clients unter Windows Vista deaktivieren, indem sie die Richtlinieneinstellung Verarbeitung lokaler Gruppenrichtlinienobjekte deaktivieren in einem Domänen-Gruppenrichtlinienobjekt aktivieren. Diese Einstellung befindet sich unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.
Windows Vista bietet drei Ebenen von lokalen Gruppenrichtlinienobjekten: lokale Gruppenrichtlinien, Gruppenrichtlinien für Administratoren und Nichtadministratoren und benutzerspezifische lokale Gruppenrichtlinien. Diese Ebenen von lokalen Gruppenrichtlinienobjekten werden in der folgenden Reihenfolge verarbeitet:
Lokale Gruppenrichtlinien
Gruppenrichtlinien für Administratoren und Nichtadministratoren
Benutzerspezifische lokale Gruppenrichtlinien
Ausführliche Informationen zur Verwendung des Features für mehrere lokale Gruppenrichtlinienobjekte in Windows Vista finden Sie unter Schritt-für-Schritt-Anweisungen zur Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte (in englischer Sprache) auf der Microsoft TechNet-Website.
Gruppenrichtlinienverarbeitung
Das lokale Gruppenrichtlinienobjekt wird zuerst verarbeitet, und die Organisationseinheit, zu der der Computer oder Benutzer gehört (als direktes Mitglied), wird zuletzt verarbeitet. Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:
Lokales Gruppenrichtlinienobjekt. Jeder Computer verfügt über ein Gruppenrichtlinienobjekt, das lokal gespeichert wird. Dieses Gruppenrichtlinienobjekt wird sowohl für Computer- als auch für Benutzergruppenrichtlinien verarbeitet.
Standort. Gruppenrichtlinienobjekte, die mit dem Standort verknüpft werden, zu dem der Computer gehört, werden als Nächstes verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat damit die höchste Priorität. Weitere Informationen zur Gruppenrichtlinien-Verwaltungskonsole finden Sie im Abschnitt Gruppenrichtlinien-Verwaltungstools.
Domäne. Mehrere mit der Domäne verknüpfte Gruppenrichtlinienobjekte werden in der Reihenfolge verarbeitet, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat damit die höchste Priorität.
Organisationseinheiten. Die mit der höchsten Organisationseinheit in der Active Directory-Hierarchie verknüpften Gruppenrichtlinienobjekte werden zuerst verarbeitet, als Nächstes werden Gruppenrichtlinienobjekte verarbeitet, die mit der untergeordneten Organisationseinheit verknüpft sind, usw. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder Computer enthält, werden zuletzt verarbeitet.
Für die Verarbeitungsreihenfolge müssen die folgenden Bedingungen erfüllt sein:
WMI-Filterung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) oder Sicherheitsfilterung wird auf Gruppenrichtlinienobjekte angewendet.
Domänenbasierte Gruppenrichtlinienobjekte können mithilfe der Option Erzwingen erzwungen werden (gilt nicht für lokale Gruppenrichtlinienobjekte), sodass die Richtlinieneinstellungen nicht überschrieben werden können. Da ein erzwungenes Gruppenrichtlinienobjekt zuletzt verarbeitet wird, können keine anderen Einstellungen die Einstellungen in diesem Gruppenrichtlinienobjekt überschreiben. Wenn mehrere erzwungene Gruppenrichtlinienobjekte vorhanden sind, kann die gleiche Einstellung in den einzelnen Gruppenrichtlinienobjekten auf einen anderen Wert eingestellt sein. In diesem Fall wird das Gruppenrichtlinienobjekt mit den endgültigen Einstellungen anhand der Verknüpfungsreihenfolge bestimmt.
Für jede Domäne oder Organisationseinheit kann die Vererbung von Gruppenrichtlinien selektiv auf Vererbung deaktivieren festgelegt werden. Da jedoch erzwungene Gruppenrichtlinienobjekte immer angewendet werden und nicht blockiert werden können, wird durch Deaktivieren der Vererbung nicht verhindert, dass Richtlinieneinstellungen aus erzwungenen Gruppenrichtlinienobjekten angewendet werden.
Richtlinienvererbung
Die Richtlinieneinstellungen, die für einen Benutzer und Computer in Kraft sind, sind das Ergebnis der Kombination von Gruppenrichtlinienobjekten, die auf einen Standort, eine Domäne oder eine Organisationseinheit angewendet werden. Wenn mehrere Gruppenrichtlinienobjekte auf Benutzer und Computer in diesen Active Directory-Containern angewendet werden, werden die Einstellungen in den Gruppenrichtlinienobjekten aggregiert. Standardmäßig werden Einstellungen, die in Gruppenrichtlinienobjekten bereitgestellt werden, die mit Containern auf höherer Ebene (übergeordneten Containern) in Active Directory verknüpft sind, an untergeordnete Container vererbt und mit Einstellungen kombiniert, die in mit den untergeordneten Containern verknüpften Gruppenrichtlinienobjekten bereitgestellt werden. Wenn mehrere Gruppenrichtlinienobjekte versuchen, eine Richtlinieneinstellung mit widersprüchlichen Werten festzulegen, wird die Einstellung durch das Gruppenrichtlinienobjekt mit der höchsten Priorität festgelegt. Gruppenrichtlinienobjekte, die später verarbeitet werden, haben Vorrang vor Gruppenrichtlinienobjekten, die früher verarbeitet werden.
Gruppenrichtlinienanwendung
Gruppenrichtlinien für Computer werden beim Starten des Computers angewendet. Gruppenrichtlinien für Benutzer werden bei der Benutzeranmeldung angewendet. Neben der anfänglichen Verarbeitung von Gruppenrichtlinien beim Starten und bei der Anmeldung werden Gruppenrichtlinien nachfolgend in regelmäßigen Abständen im Hintergrund angewendet. Während einer Hintergrundaktualisierung werden die Richtlinieneinstellungen durch eine clientseitige Erweiterung nur dann erneut angewendet, wenn auf dem Server in einem der Gruppenrichtlinienobjekte oder in einer der Listen von Gruppenrichtlinienobjekten eine Änderung aufgetreten ist.
Für Softwareinstallation und Ordnerumleitung erfolgt die Gruppenrichtlinienverarbeitung nur während des Computerstarts oder der Benutzeranmeldung.
Synchrone und asynchrone Verarbeitung
Synchrone Prozesse können als eine Reihe von Prozessen beschrieben werden, bei denen jeweils ein Prozess abgeschlossen sein muss, bevor der nächste beginnt. Asynchrone Prozesse können in verschiedenen Threads gleichzeitig ausgeführt werden, da ihr Ergebnis von anderen Prozessen unabhängig ist. Administratoren können mithilfe einer Richtlinieneinstellung für jedes Gruppenrichtlinienobjekt das Standardverarbeitungsverhalten ändern, sodass die Verarbeitung asynchron statt synchron erfolgt.
Bei der synchronen Verarbeitung gilt ein Zeitlimit von 60 Minuten, bis die Verarbeitung aller Gruppenrichtlinien auf dem Clientcomputer abgeschlossen sein muss. Clientseitige Erweiterungen, deren Verarbeitung nach 60 Minuten noch nicht beendet ist, erhalten ein Signal zum Beenden. In diesem Fall werden die zugeordneten Richtlinieneinstellungen möglicherweise nicht vollständig angewendet.
Feature zur schnellen Anmeldungsoptimierung
Das Feature zur schnellen Anmeldungsoptimierung ist standardmäßig sowohl für Domänen- und als auch für Arbeitsgruppenmitglieder festgelegt. Mit diesem Feature werden Richtlinien beim Starten des Computers und bei der Benutzeranmeldung asynchron angewendet. Diese Anwendung von Richtlinien ist vergleichbar mit einer Hintergrundaktualisierung. Damit können die Dauer bis zur Anzeige des Anmeldedialogfelds und die Dauer, bis der Desktop für den Benutzer verfügbar ist, reduziert werden.
.gif "Note") Hinweis: |
|---|
| Bei der ersten Anmeldung von Benutzern mit einem servergespeicherten Profil, einem Basisverzeichnis und einem im Benutzerobjekt angegebenen Anmeldeskript ist die Anmeldungsoptimierung nicht aktiviert, und Richtlinien werden synchron verarbeitet. Für Ordnerumleitung und Gruppenrichtlinien-Softwareinstallation müssen Richtlinien synchron angewendet werden. Unter diesen Bedingungen kann der Computerstart zwar asynchron erfolgen, allerdings ist bei der Anmeldung keine Optimierung bemerkbar, da die Anmeldung synchron erfolgt. Clientcomputer unter Windows XP Professional, Windows XP 64-Bit Edition (Itanium) und Betriebssystemen der Windows Server 2003-Produktfamilie unterstützen die schnelle Anmeldungsoptimierung in jeder Domänenumgebung. Für Server erfolgt die Start- und Anmeldungsverarbeitung immer so, als wäre diese Richtlinieneinstellung aktiviert. |
Administratoren können das Feature zur schnellen Anmeldungsoptimierung mithilfe der Richtlinieneinstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten deaktivieren. Diese befindet sich im Gruppenrichtlinienobjekt-Editor im Knoten Computerkonfiguration\Administrative Vorlagen\System\Anmelden. Wenn diese Richtlinieneinstellung aktiviert ist, werden Anmeldungen auf die gleiche Weise ausgeführt wie bei Windows 2000-Clients. Das bedeutet, dass unter Windows XP gewartet wird, bis das Netzwerk vollständig initialisiert ist, bevor Benutzer angemeldet werden. Gruppenrichtlinien werden synchron im Vordergrund angewendet.
Verarbeitung bei langsamen Verbindungen
Einige Gruppenrichtlinienerweiterungen werden nicht verarbeitet, wenn die Verbindungsgeschwindigkeit angegebene Schwellenwerte unterschreitet. In den Gruppenrichtlinien werden Übertragungsraten von weniger als 500 Kilobits pro Sekunde (KBit/s) standardmäßig als langsame Verbindungen behandelt.
Die Standardeinstellungen für die Verarbeitung von Gruppenrichtlinien über langsame Verbindungen lauten wie folgt.
| Einstellung | Standard |
|---|---|
Sicherheitseinstellungen |
An (kann nicht deaktiviert werden) |
IP-Sicherheit |
An |
EFS |
An |
Softwarebeschränkungsrichtlinien |
An |
Drahtlos |
An |
Administrative Vorlagen |
An (kann nicht deaktiviert werden) |
Softwareinstallation |
Aus |
Skripts |
Aus |
Ordnerumleitung |
Aus |
IE-Wartung |
An |
Administratoren können mithilfe einer Richtlinieneinstellung die Standardeinstellungen außer Kraft setzen. Verwenden Sie zum Angeben von Einstellungen für Gruppenrichtlinien zur Erkennung von langsamen Verbindungen für Computer die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen. Diese befindet sich im Gruppenrichtlinienobjekt-Editor im Knoten Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.
Verwenden Sie zum Festlegen dieser Option für Benutzer die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen in Benutzerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.
Weitere Informationen zur Verwaltung von Gruppenrichtlinien über langsame Verbindungen finden Sie unter Angeben von Gruppenrichtlinien zur Erkennung langsamer Verbindungen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x407) auf der Microsoft TechNet-Website.
Gruppenrichtlinien-Aktualisierungsintervall
Standardmäßig werden Gruppenrichtlinien alle 90 Minuten mit einer zufälligen Verzögerung von bis zu 30 Minuten verarbeitet, das maximale Gesamtaktualisierungsintervall beträgt also 120 Minuten.
Sicherheitseinstellungen werden, nachdem Sie die Einstellungen für Sicherheitsrichtlinien bearbeitet haben, auf den Computern in der Organisationseinheit aktualisiert, mit der das Gruppenrichtlinienobjekt verknüpft ist:
Beim Neustart eines Computers
Alle 90 Minuten auf einer Arbeitsstation oder einem Server und alle 5 Minuten auf einem Domänencontroller
Standardmäßig werden Sicherheitsrichtlinieneinstellungen, die durch Gruppenrichtlinien bereitgestellt werden, zudem alle 16 Stunden (960 Minuten) angewendet, selbst wenn ein Gruppenrichtlinienobjekt nicht geändert wurde.
Auslösen einer Gruppenrichtlinienaktualisierung
Änderungen am Gruppenrichtlinienobjekt müssen zuerst auf den entsprechenden Domänencontroller repliziert werden. Daher sind Änderungen an Gruppenrichtlinieneinstellungen möglicherweise nicht sofort auf den Benutzercomputern verfügbar. In einigen Szenarien, z. B. beim Anwenden von Sicherheitsrichtlinieneinstellungen, ist es möglicherweise erforderlich, Richtlinieneinstellungen sofort anzuwenden.
Administratoren können eine Richtlinienaktualisierung manuell von einem lokalen Computer auslösen, ohne die automatische Hintergrundaktualisierung abzuwarten. Dazu können Administratoren an der Befehlszeile gpupdate eingeben, um die Benutzer- oder Computerrichtlinieneinstellungen zu aktualisieren. Die Gruppenrichtlinien-Verwaltungskonsole kann nicht zum Auslösen einer Richtlinienaktualisierung verwendet werden.
Mit dem Befehl gpupdate wird eine Hintergrundaktualisierung der Richtlinie auf dem lokalen Computer ausgelöst, auf dem der Befehl ausgeführt wird. Der Befehl gpupdate wird in Umgebungen mit Windows Server 2003 und Windows XP verwendet.
Die Anwendung von Gruppenrichtlinien kann nicht bei Bedarf vom Server an die Clients übertragen werden.
Weitere Informationen zur Verwendung von gpupdate finden Sie auf der Microsoft TechNet-Website unter Aktualisieren von Gruppenrichtlinieneinstellungen mit "GPUpdate.exe" (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x407).
Adressieren der Anwendung von Gruppenrichtlinienobjekten
Die primäre Methode zur Angabe der Benutzer und Computer, die Einstellungen von einem Gruppenrichtlinienobjekt empfangen, ist die Verknüpfung des Gruppenrichtlinienobjekts mit Standorten, Domänen und Organisationseinheiten.
Sie können die Standardreihenfolge ändern, in der Gruppenrichtlinienobjekte verarbeitet werden, indem Sie die Verknüpfungsreihenfolge ändern, die Richtlinienvererbung blockieren, eine Gruppenrichtlinienobjekt-Verknüpfung erzwingen (früher als Kein Vorrang bekannt) und eine Gruppenrichtlinienobjekt-Verknüpfung deaktivieren.
Administratoren können Sicherheitsfilterung und WMI-Filterung verwenden, um die Benutzer- und Computergruppen zu ändern, auf die ein Gruppenrichtlinienobjekt angewendet werden soll.
Außerdem können Administratoren das Loopbackverarbeitungsfeature nutzen, um sicherzustellen, dass auf jeden Benutzer, der sich an einem bestimmten Computer anmeldet, die gleiche Gruppe von Richtlinieneinstellungen angewendet wird.
Ändern der Verarbeitungsreihenfolge für Gruppenrichtlinienobjekte
Administratoren können die Verarbeitungsreihenfolge für Gruppenrichtlinienobjekte mit einer der folgenden Methoden ändern:
Ändern der Verknüpfungsreihenfolge. Die Verknüpfungsreihenfolge der Gruppenrichtlinienobjekte für einen Standort, eine Domäne oder Organisationseinheit steuert, wann Verknüpfungen angewendet werden. Administratoren können den Rang einer Verknüpfung ändern, indem sie die Verknüpfungsreihenfolge ändern und die einzelnen Verknüpfungen in der Liste nach oben oder unten an die entsprechende Position verschieben. Die Verknüpfung mit dem höheren Rang (1 ist der höchste Rang) hat die höhere Priorität für einen Standort, eine Domäne oder Organisationseinheit.
Blockieren der Vererbung. Durch das Blockieren der Vererbung für eine Domäne oder Organisationseinheit wird verhindert, dass mit höheren Standorten, Domänen oder Organisationseinheiten verknüpfte Gruppenrichtlinienobjekte automatisch vom Active Directory-Container der untergeordneten Ebene geerbt werden. Standardmäßig erben Container der untergeordneten Ebene alle Gruppenrichtlinienobjekte vom übergeordneten Element. Allerdings ist es manchmal sinnvoll, die Vererbung zu blockieren.
Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung. Administratoren können angeben, dass die Einstellungen in einer Gruppenrichtlinienobjekt-Verknüpfung Vorrang vor den Einstellungen untergeordneter Objekte haben, indem sie die Verknüpfung auf Erzwungen festlegen. Erzwungene Gruppenrichtlinienobjekt-Verknüpfungen können nicht vom übergeordneten Container blockiert werden. Wenn Gruppenrichtlinienobjekte widersprüchliche Einstellungen enthalten und nicht von einem übergeordneten Container erzwungen werden, werden die Einstellungen der Gruppenrichtlinienobjekt-Verknüpfungen im übergeordneten Container der höheren Ebene durch Einstellungen in Gruppenrichtlinienobjekten überschrieben, die mit untergeordneten Organisationseinheiten verknüpft sind. Durch das Erzwingen behält die übergeordnete Gruppenrichtlinienobjekt-Verknüpfung immer den Vorrang. Standardmäßig werden Gruppenrichtlinienobjekt-Verknüpfungen nicht erzwungen.
Deaktivieren einer Gruppenrichtlinienobjekt-Verknüpfung. Standardmäßig ist die Verarbeitung für alle Gruppenrichtlinienobjekt-Verknüpfungen aktiviert. Sie können das Anwenden eines Gruppenrichtlinienobjekts für einen Standort, eine Domäne oder Organisationseinheit vollständig blockieren, indem Sie die Gruppenrichtlinienobjekt-Verknüpfung für den betreffenden Standort bzw. die Domäne oder Organisationseinheit deaktivieren. Das Gruppenrichtlinienobjekt selbst wird dadurch nicht deaktiviert. Wenn das Gruppenrichtlinienobjekt mit anderen Standorten, Domänen oder Organisationseinheiten verknüpft wird, wird das Gruppenrichtlinienobjekt von diesen weiterhin verarbeitet, wenn die entsprechenden Verknüpfungen aktiviert sind.
Sicherheitsfilterung
Diese Methode wird verwendet, um anzugeben, dass nur bestimmte Sicherheitsprinzipale in einem Container, mit dem das Gruppenrichtlinienobjekt verknüpft ist, das Gruppenrichtlinienobjekt anwenden. Administratoren können mithilfe der Sicherheitsfilterung den Geltungsbereich eines Gruppenrichtlinienobjekts so eingrenzen, dass das Gruppenrichtlinienobjekt nur auf eine einzelne Gruppe, einen einzelnen Benutzer oder Computer angewendet wird. Die Sicherheitsfilterung kann nicht selektiv für verschiedene Einstellungen innerhalb eines Gruppenrichtlinienobjekts verwendet werden.
Das Gruppenrichtlinienobjekt wird nur dann auf einen Benutzer oder Computer angewendet, wenn der betreffende Benutzer oder Computer über die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für das Gruppenrichtlinienobjekt verfügt, entweder explizit oder effektiv durch Gruppenmitgliedschaft. Standardmäßig sind für alle Gruppenrichtlinienobjekte die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für die Gruppe Authentifizierte Benutzer, die Benutzer und Computer umfasst, auf Zugelassen festgelegt. Auf diese Weise erhalten alle authentifizierten Benutzer die Einstellungen eines neuen Gruppenrichtlinienobjekts, wenn das Gruppenrichtlinienobjekt auf eine Organisationseinheit, Domäne oder einen Standort angewendet wird.
Standardmäßig haben Domänenadministratoren, Organisationsadministratoren und das lokale System Vollzugriff, auch ohne den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen. Administratoren sind ebenfalls Mitglieder der Gruppe Authentifizierte Benutzer. Das bedeutet, dass Administratoren standardmäßig die Einstellungen im Gruppenrichtlinienobjekt erhalten. Diese Berechtigungen können geändert werden, um den Geltungsbereich auf bestimmte Benutzer, Gruppen oder Computer innerhalb der Organisationseinheit, Domäne oder des Standorts einzuschränken.
In der Gruppenrichtlinien-Verwaltungskonsole werden diese Berechtigungen als einzelne Einheit verwaltet. Die Sicherheitsfilterung für das Gruppenrichtlinienobjekt wird auf der Registerkarte Bereich angezeigt. In der Gruppenrichtlinien-Verwaltungskonsole können Gruppen, Benutzer und Computer als Sicherheitsfilter für jedes Gruppenrichtlinienobjekt hinzugefügt oder entfernt werden. Informationen zur Gruppenrichtlinien-Verwaltungskonsole finden Sie im Abschnitt Gruppenrichtlinien-Verwaltungstools.
WMI-Filterung
Die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) ist die Microsoft-Implementierung der Brancheninitiative Web-Based Enterprise Management, die Verwaltungsinfrastrukturstandards definiert und eine Möglichkeit bietet, Informationen aus verschiedenen Hardware- und Softwareverwaltungssystemen zu kombinieren. WMI macht Hardwarekonfigurationsdaten zu CPU, Arbeitsspeicher, Speicherplatz und Hersteller sowie Softwarekonfigurationsdaten zu Registrierung, Treibern, Dateisystem, Active Directory, Windows Installer-Dienst, Netzwerkkonfiguration und Anwendungsdaten verfügbar. Daten über einen Zielcomputer können für Verwaltungszwecke genutzt werden, z. B. zur WMI-Filterung von Gruppenrichtlinienobjekten.
Mithilfe der WMI-Filterung wird das Anwenden eines Gruppenrichtlinienobjekts durch Anfügen einer WQL-Abfrage (WMI Query Language, WMI-Abfragesprache) an ein Gruppenrichtlinienobjekt gefiltert. Die Abfragen können für WMI-Abfragen nach mehreren Elementen verwendet werden. Wenn eine Abfrage für alle abgefragten Elemente True zurückgibt, wird das Gruppenrichtlinienobjekt auf den Zielbenutzer oder -computer angewendet.
Ein Gruppenrichtlinienobjekt wird mit einem WMI-Filter verknüpft und auf einen Zielcomputer angewendet. Der Filter wird dann auf dem Zielcomputer ausgewertet. Wenn der WMI-Filter zu False ausgewertet wird, wird das Gruppenrichtlinienobjekt nicht angewendet (außer wenn auf dem Clientcomputer Windows 2000 ausgeführt wird; in diesem Fall wird der Filter ignoriert und das Gruppenrichtlinienobjekt immer angewendet). Wenn der WMI-Filter zu True ausgewertet wird, wird das Gruppenrichtlinienobjekt angewendet.
Der WMI-Filter wird im Verzeichnis als separates Objekt getrennt vom Gruppenrichtlinienobjekt verwaltet. Ein WMI-Filter muss mit einem Gruppenrichtlinienobjekt verknüpft sein, damit er angewendet wird, und ein WMI-Filter und das mit ihm verknüpfte Gruppenrichtlinienobjekt müssen sich in derselben Domäne befinden. WMI-Filter werden nur in Domänen gespeichert. Jedem Gruppenrichtlinienobjekt kann nur ein WMI-Filter zugeordnet sein. Ein WMI-Filter kann mit mehreren Gruppenrichtlinienobjekten verknüpft werden.
Loopbackverarbeitung
Die Loopbackverarbeitung ist eine erweiterte Gruppenrichtlinieneinstellung, die auf Computern in bestimmten straff verwalteten Umgebungen nützlich ist, z. B. Servern, Kiosken, Laboren, Kursräumen und Empfangsbereichen. Durch Festlegen der Loopbackverarbeitung werden die Richtlinieneinstellungen unter Benutzerkonfiguration in Gruppenrichtlinien, die auf den Computer angewendet werden, auf jeden Benutzer angewendet, der sich an dem betreffenden Computer anmeldet, und zwar anstelle von (im Modus Ersetzen) oder zusätzlich zu (im Modus Zusammenführen) den Benutzereinstellungen unter Benutzerkonfiguration. Administratoren können mithilfe dieses Features sicherstellen, dass einheitliche Richtlinieneinstellungen auf alle Benutzer angewendet werden, die sich an einem bestimmten Computer anmelden, ohne Rücksicht auf deren Position in Active Directory.
Zum Festlegen der Loopbackverarbeitung können Administratoren die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie verwenden. Diese befindet sich im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.
Zur Verwendung der Loopbackverarbeitung müssen sowohl das Benutzerkonto als auch das Computerkonto sich in einer Windows 2000-Domäne oder höher befinden. Loopback kann nicht für Computer verwendet werden, die Mitglied einer Arbeitsgruppe sind.
Weitere Informationen zum Adressieren der Anwendung von Gruppenrichtlinienobjekten finden Sie auf der Microsoft TechNet-Website unter Steuern des Bereichs von Gruppenrichtlinienobjekten mithilfe der Gruppenrichtlinien-Verwaltungskonsole (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x407).
Erweiterung für administrative Vorlagen
Die Gruppenrichtlinienerweiterung für administrative Vorlagen besteht aus einem serverseitigen MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen und einer clientseitigen Erweiterung zum Festlegen von Registrierungsschlüsseln auf Zielcomputern. Richtlinien mit administrativen Vorlagen werden auch als registrierungsbasierte Richtlinien oder Registrierungsrichtlinien bezeichnet.
Die 2007 Microsoft Office System-Richtlinieneinstellungen befinden sich in administrativen Vorlagendateien, die unter Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Office-Anpassungstool Version 2.0 (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x407) im Microsoft Download Center heruntergeladen werden können.
Administrative Vorlagendateien
Administrative Vorlagendateien (ADM-Dateien) sind Unicode-Dateien, die aus einer Hierarchie von Kategorien und Unterkategorien bestehen, in denen die Darstellung von Optionen im Gruppenrichtlinienobjekt-Editor und in der Gruppenrichtlinien-Verwaltungskonsole definiert ist. Außerdem geben sie die Registrierungspfade an, in denen bei der Auswahl einer Option Änderungen vorgenommen werden sollten, Optionen oder Einschränkungen (in Werten) für die Auswahl und in einigen Fällen auch einen Standardwert, der beim Aktivieren einer Auswahl verwendet wird.
Die Funktionalität von ADM-Dateien ist beschränkt. ADM-Dateien aktivieren eine Benutzeroberfläche zum Konfigurieren von Richtlinieneinstellungen. ADM-Dateien selbst enthalten keine Richtlinieneinstellungen. Die Richtlinieneinstellungen befinden sich in Dateien namens registry.pol im Ordner Sysvol auf Domänencontrollern.
Das serverseitige Snap-In für administrative Vorlagen stellt den Knoten Administrative Vorlagen bereit, der im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration und unter Benutzerkonfiguration angezeigt wird. Die Einstellungen unter Computerkonfiguration ändern Registrierungseinstellungen für den Computer. Die Einstellungen unter Benutzerkonfiguration ändern Registrierungseinstellungen für Benutzer. Zwar benötigen einige Richtlinieneinstellungen einfache Benutzeroberflächenelemente wie Textfelder zur Eingabe von Werten, die meisten Richtlinieneinstellungen enthalten aber nur die folgenden Optionen:
Aktiviert: Die Richtlinie wird erzwungen. Einige Richtlinieneinstellungen bieten zusätzliche Optionen, die das Verhalten beim Aktivieren der Richtlinie definieren.
Deaktiviert: Für die meisten Richtlinieneinstellungen wird mit dieser Einstellung das entgegengesetzte Verhalten zum Status Aktiviert erzwungen. Wenn beispielsweise mit Aktiviert der Featurestatus als Aus erzwungen wird, wird der Featurestatus mit Deaktiviert als Ein erzwungen.
Nicht konfiguriert: Die Richtlinie wird nicht erzwungen. Nicht konfiguriert ist der Standardwert für die meisten Einstellungen.
Administrative Vorlagendateien für 2007 Office System
Die folgenden administrativen Vorlagendateien stehen für 2007 Office System zur Verfügung:
office12.adm: Gemeinsam genutzte Office-Komponenten
access12.adm: Microsoft Office Access 2007
cpao12.adm: Kalenderdruck-Assistent für Microsoft Office Outlook 2007
excel12.adm: Microsoft Office Excel 2007
groove12.adm: Microsoft Office Groove 2007
ic12.adm: Microsoft Office InterConnect 2007
inf12.adm: Microsoft Office InfoPath 2007
onent12.adm: Microsoft Office OneNote 2007
outlk12.adm: Microsoft Office Outlook 2007
ppt12.adm: Microsoft Office PowerPoint 2007
proj12.adm: Microsoft Office Project 2007
pub12.adm: Microsoft Office Publisher 2007
spd12.adm: Microsoft Office SharePoint Designer 2007
visio12.adm: Microsoft Office Visio 2007
word12.adm: Microsoft Office Word 2007
Administratoren können mithilfe der 2007 Office System-Richtlinieneinstellungen die folgenden Aufgaben ausführen:
Verwalten von Sicherheitseinstellungen für die 2007 Office System-Anwendungen
Verhindern von Internetverbindungen in den 2007 Office System-Anwendungen
Ausblenden oder Deaktivieren von 2007 Office System-Benutzeroberflächeneinstellungen, die Benutzer verwirren könnten oder für deren Tätigkeit unnötig sind
Erstellen von streng verwalteten oder weniger strengen Standardkonfigurationen von Benutzercomputern
Festlegen von Standardoptionen für das Speichern von Dateien für die 2007 Office System-Anwendungen zur Vorbereitung der Migration von früheren Office-Versionen
Beispielsweise können Administratoren mithilfe von Gruppenrichtlinien die meisten Einstellungen deaktivieren, aktivieren oder konfigurieren, die die Office-Benutzeroberfläche steuern, z. B.:
Menübefehle
Tastenkombinationen
Einstellungen in Optionsdialogfeldern
Die große Anzahl von Gruppenrichtlinieneinstellungen für 2007 Office System bietet ein hohes Maß an Flexibilität. Administratoren können stark eingeschränkte oder nur in geringem Umfang verwaltete Konfigurationen erstellen, je nach den spezifischen Geschäfts- und Sicherheitsanforderungen ihrer Organisation.
Sie können die administrativen Vorlagendateien für 2007 Office System unter Administrative Vorlagendateien (ADM, ADMX, ADML) für 2007 Office System und Office-Anpassungstool Version 2.0 im Microsoft Download Center herunterladen.
Außerdem können Sie die Administrative Vorlage (ADM) Version 2.0 für den Open XML-Formatkonverter von 2007 Microsoft Office System im Microsoft Download Center herunterladen. Administratoren können mithilfe dieser Vorlage das Standardverhalten der Open XML-Formatkonverter für Microsoft Office Word, Excel und PowerPoint 2007 ändern.
Administratoren können administrative Vorlagendateien für Microsoft Office 2003 und Microsoft Office XP ändern und Standardoptionen für das Speichern von Dateien festlegen, damit auch die Open XML-Dateiformate von 2007 Office System-Programme berücksichtigt werden. Weitere Informationen finden Sie im Knowledge Base-Artikel 932127, Modifizieren einer bestehenden Office-Richtliniendatei (ADM-Datei) für Office 2003 und Office XP, sodass das "Speichern unter"-Standarddateiformat die neuen OpenXML-Dateiformate von Office 2007-Programmen beinhaltet auf der Microsoft Knowledge Base-Website.
Weitere Informationen zu administrativen Vorlagen finden Sie unter Technische Referenz zur Erweiterung für administrative Vorlagen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x407).
In Windows Vista und Windows Server 2008 wird ein neues XML-basiertes Format für administrative Vorlagendateien eingeführt. Weitere Informationen dazu finden Sie im folgenden Abschnitt.
Administrative Vorlagendateien: Änderungen in Windows Vista und Windows Server 2008
Administrative Vorlagendateien, die erstmals in Windows NT 4.0 veröffentlicht wurden, verwendeten bisher ein spezielles Dateiformat (ADM-Dateien). In Windows Vista und Betriebssystemen der Windows Server 2008-Produktfamilie werden diese Dateien durch ADMX-Dateien ersetzt, die ein XML-Dateiformat zur Anzeige registrierungsbasierter Richtlinieneinstellungen verwenden. Diese neuen administrativen Vorlagendateien erleichtern die Verwaltung registrierungsbasierter Richtlinieneinstellungen in Windows Vista und Windows Server 2008. Die Richtlinieneinstellungen in den ADM- und ADMX-Dateien für 2007 Office System sind identisch.
Die neuen ADMX- und ADML-Dateien ersetzen ältere ADM-Dateien und sind in sprachneutrale (ADMX) und sprachspezifische (ADML) Ressourcendateien unterteilt. Diese neuen Dateitypen ermöglichen in Gruppenrichtlinientools das Anpassen der Benutzeroberfläche an die konfigurierte Sprache des Administrators.
Im Gruppenrichtlinienobjekt-Editor und in der Gruppenrichtlinien-Verwaltungskonsole werden ältere ADM-Dateien weiterhin erkannt, die möglicherweise in der aktuellen Umgebung noch vorhanden sind. Benutzerdefinierte ADM-Dateien (oder ADM-Dateien, die nicht standardmäßig im Betriebssystem enthalten sind) in einem Gruppenrichtlinienobjekt werden vom Gruppenrichtlinienobjekt-Editor und von der Gruppenrichtlinien-Verwaltungskonsole verwendet. Ältere ADM-Dateien, die standardmäßig im Betriebssystem enthalten waren, z. B. System.adm und Inetres.adm, werden von den Tools nicht erkannt.
Administratoren können Gruppenrichtlinieneinstellungen für Windows Vista und frühere Betriebssysteme von einer Arbeitsstation unter Windows Vista verwalten. ADMX-Dateien werden nur vom Betriebssystem Windows Vista unterstützt. Das Kopieren von ADMX-Dateien in ältere Betriebssysteme hat keine Auswirkungen.
| Hinweis: |
|---|
| Administratoren können mithilfe des Tools ADMX Migrator ADM-Dateien in das ADMX Format konvertieren. ADMX Migrator stellt einen ADMX-Editor mit einer grafischen Benutzeroberfläche zum Erstellen und Bearbeiten von administrativen Vorlagen zur Verfügung. Weitere Informationen finden Sie unter ADMX Migrator (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x407). |
ADMX- und ADML-Dateispeicher in Windows Vista
Der zentrale Speicher ist ein Ordner, der im Ordner SYSVOL des Active Directory-Domänencontrollers erstellt wird. Dieser Ordner bietet einen einzelnen, zentralen Speicherort für ADMX- und ADML-Dateien für die Domäne. Administratoren können einen zentralen Speicher auf einem Domänencontroller unter Windows Server 2003 R2, Windows Server 2003 SP1 oder Windows 2000 Server erstellen. Zum Erstellen des zentralen Speichers ist Windows Server 2008 nicht erforderlich.
Weitere Informationen zum Verwalten von ADMX-Dateien in Vista finden Sie unter Schritt-für-Schritt-Anweisungen zur Verwaltung von ADMX-Dateien für Gruppenrichtlinien, Anforderungen für das Bearbeiten von Gruppenrichtlinienobjekten mithilfe von ADMX-Dateien (in englischer Sprache) und Szenario 2: Bearbeiten von domänenbasierten Gruppenrichtlinienobjekten mithilfe von ADMX-Dateien (in englischer Sprache) auf der Microsoft TechNet-Website.
Benutzervoreinstellungen und echte Richtlinien
Gruppenrichtlinieneinstellungen, die von Administratoren vollständig verwalten werden können, werden als echte Richtlinien bezeichnet. Einstellungen, die von Benutzern konfiguriert werden oder die den Standardstatus des Betriebssystems zum Zeitpunkt der Installation widerspiegeln, werden als Voreinstellungen bezeichnet. Sowohl echte Richtlinien und als auch Voreinstellungen enthalten Informationen, mit denen die Registrierung auf Benutzercomputern geändert wird. Es gibt wichtige Unterschiede zwischen echten Richtlinien und Voreinstellungen. Echte Richtlinieneinstellungen haben Vorrang vor Voreinstellungen.
Registrierungswerte für echte Richtlinien werden unter den genehmigten Registrierungsschlüsseln für Gruppenrichtlinien gespeichert. Benutzer können diese Einstellungen nicht ändern oder deaktivieren:
Für Computerrichtlinieneinstellungen:
HKEY_LOCAL_MACHINE\Software\Policies (bevorzugter Speicherort)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Für Benutzerrichtlinieneinstellungen:
HKEY_CURRENT_USER\Software\Policies (bevorzugter Speicherort)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Voreinstellungen werden durch Benutzer oder vom Betriebssystem zum Zeitpunkt der Installation festgelegt. Die Registrierungswerte, in denen Voreinstellungen gespeichert werden, befinden sich außerhalb der genehmigten Gruppenrichtlinienschlüssel in der vorherigen Tabelle. Benutzer können ihre Voreinstellungen ändern.
Administratoren können eine ADM-Datei erstellen, durch die Registrierungswerte außerhalb der genehmigten Gruppenrichtlinien-Registrierungsstrukturen festgelegt werden. In diesem Fall stellt diese Methode lediglich sicher, dass ein Registrierungsschlüssel oder -wert in einer bestimmten Weise festgelegt wird. Bei diesem Ansatz konfiguriert der Administrator Voreinstellungen anstelle von echten Richtlinieneinstellungen und markiert die Registrierung mit diesen Einstellungen. Das bedeutet, dass die Einstellungen dauerhaft in der Registrierung gespeichert werden, selbst wenn die Voreinstellung deaktiviert oder gelöscht wird.
Wenn Sie Voreinstellungen mithilfe eines Gruppenrichtlinienobjekts auf diese Weise konfigurieren, gelten für die erstellten Gruppenrichtlinienobjekte keine Einschränkungen durch Zugriffssteuerungslisten. Daher können Benutzer diese Werte möglicherweise in der Registrierung ändern. Wenn das Gruppenrichtlinienobjekt den Bereich verlässt (wenn die Verknüpfung des Gruppenrichtlinienobjekts aufgehoben oder das Gruppenrichtlinienobjekt deaktiviert bzw. gelöscht wird), werden diese Werte nicht aus der Registrierung entfernt.
Im Gegensatz dazu gelten für echte Registrierungsrichtlinieneinstellungen Einschränkungen durch Zugriffssteuerungslisten, die verhindern, dass die Einstellungen von Benutzern geändert werden. Die Richtlinienwerte werden entfernt, wenn das Gruppenrichtlinienobjekt, durch das die Werte festgelegt werden, den Bereich verlässt. Aus diesem Grund gelten echte Richtlinien als vollständig verwaltbare Richtlinieneinstellungen. Standardmäßig werden im Gruppenrichtlinienobjekt-Editor nur vollständig verwaltbare Richtlinieneinstellungen angezeigt.
Zum Anzeigen von Voreinstellungen im Gruppenrichtlinienobjekt-Editor klicken Sie nacheinander auf die Knoten Administrative Vorlagen, Ansicht und Filterung, und deaktivieren Sie dann das Kontrollkästchen Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen.
Echte Richtlinieneinstellungen haben Vorrang vor Voreinstellungen. Sie überschreiben oder ändern aber nicht die Registrierungsschlüssel, die von den Voreinstellungen verwendet werden. Wenn eine Richtlinieneinstellung bereitgestellt wird, die Konflikte mit einer Voreinstellung verursacht, hat die Richtlinieneinstellung Vorrang gegenüber der Voreinstellung. Wenn sowohl eine Richtlinie als auch eine Voreinstellung vorhanden sind, wird die Voreinstellung erfolgreich wiederhergestellt, falls die Richtlinie entfernt oder deaktiviert wird. Voreinstellungen werden dauerhaft in der Registrierung gespeichert, bis sie durch eine gegensätzliche Richtlinieneinstellung oder durch Bearbeiten der Registrierung umgekehrt werden.
In der folgenden Tabelle werden die Auswirkungen von Richtlinieneinstellungen und Voreinstellungen zusammengefasst.
| Gruppenrichtlinien vorhanden | Voreinstellung vorhanden | Resultierendes Verhalten |
|---|---|---|
Nein |
Nein |
Standard |
Nein |
Ja |
Das Verhalten wird durch die Voreinstellung konfiguriert. |
Ja |
Nein |
Das Verhalten wird durch die Richtlinieneinstellung konfiguriert. |
Ja |
Ja |
Das Verhalten wird durch die Richtlinieneinstellung konfiguriert. Die Voreinstellung wird ignoriert. |
Für 2007 Office System werden alle benutzerspezifischen Richtlinieneinstellungen im Unterschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0 gespeichert. Computerspezifische Richtlinien werden im Unterschlüssel HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0 gespeichert. Standardmäßig sind beide Richtlinienunterschlüssel gesperrt, damit sie nicht von Benutzern geändert werden können.
Gruppenrichtlinien-Verwaltungstools
Administratoren verwenden die folgenden Tools zum Verwalten von Gruppenrichtlinien: die MMC-Snap-Ins (Microsoft Management Console) Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) und Gruppenrichtlinienobjekt-Editor. In der Gruppenrichtlinien-Verwaltungskonsole verwalten Administratoren die meisten Verwaltungsaufgaben für Gruppenrichtlinien. Der Gruppenrichtlinienobjekt-Editor wird zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten verwendet.
Gruppenrichtlinien-Verwaltungskonsole
Die Gruppenrichtlinien-Verwaltungskonsole erleichtert die Verwaltung von Gruppenrichtlinien, da sie ein zentrales Tool zur Verwaltung der wichtigsten Aspekte von Gruppenrichtlinien bereitstellt, z. B. die Bereichsdefinition, das Delegieren und Filtern sowie das Bearbeiten der Vererbung von Gruppenrichtlinienobjekten. Die Gruppenrichtlinien-Verwaltungskonsole kann auch zum Sichern (Exportieren), Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten verwendet werden. Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole vorhersagen, welche Auswirkungen Gruppenrichtlinienobjekte auf das Netzwerk haben werden, und ermitteln, wie Einstellungen für einen Computer oder Benutzer durch Gruppenrichtlinienobjekte geändert wurden. Die Gruppenrichtlinien-Verwaltungskonsole ist das bevorzugte Tool für die meisten Gruppenrichtlinienaufgaben in einer Domänenumgebung.
Die Gruppenrichtlinien-Verwaltungskonsole bietet eine Ansicht der Gruppenrichtlinienobjekte, Standorte, Domänen und Organisationseinheiten im gesamten Unternehmen und kann zum Verwalten von Windows Server 2003- oder Windows 2000-Domänen verwendet werden. Administratoren führen mithilfe der Gruppenrichtlinien-Verwaltungskonsole sämtliche Verwaltungsaufgaben für Gruppenrichtlinien aus, bis auf das Konfigurieren einzelner Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Dies geschieht mit dem Gruppenrichtlinienobjekt-Editor. Der Gruppenrichtlinienobjekt-Editor wird von der Gruppenrichtlinien-Verwaltungskonsole aufgerufen, und Sie können dieses Tool über die Gruppenrichtlinien-Verwaltungskonsole verwenden.
Administratoren erstellen in der Gruppenrichtlinien-Verwaltungskonsole ein Gruppenrichtlinienobjekt ohne Anfangseinstellungen. Ein Administrator kann ein Gruppenrichtlinienobjekt auch gleich beim Erstellen mit einem Active Directory-Container verknüpfen. Zum Konfigurieren einzelner Einstellungen innerhalb eines Gruppenrichtlinienobjekts bearbeitet der Administrator das Gruppenrichtlinienobjekt innerhalb der Gruppenrichtlinien-Verwaltungskonsole. Der Gruppenrichtlinienobjekt-Editor wird mit dem geladenen Gruppenrichtlinienobjekt angezeigt.
Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole Gruppenrichtlinienobjekte mit Standorten, Domänen oder Organisationseinheiten in Active Directory verknüpfen. Administratoren müssen Gruppenrichtlinienobjekte verknüpfen, um Einstellungen auf Benutzer und Computer in Active Directory-Containern anzuwenden.
Die Gruppenrichtlinien-Verwaltungskonsole enthält die folgenden Features für Richtlinienergebnissätze, die von Windows bereitgestellt werden:
Gruppenrichtlinienmodellierung. Simuliert, welche Richtlinieneinstellungen unter den vom Administrator festgelegten Umständen angewendet werden. Administratoren können mithilfe der Gruppenrichtlinienmodellierung die Richtlinienergebnissatz-Daten simulieren, die für eine vorhandene Konfiguration angewendet werden würden, oder sie können die Auswirkungen von simulierten hypothetischen Änderungen an der Verzeichnisumgebung analysieren. Für die Gruppenrichtlinienmodellierung muss auf mindestens einem Domänencontroller Windows Server 2003 ausgeführt werden, da diese Simulation von einem Dienst auf einem Domänencontroller unter Windows Server 2003 ausgeführt wird. Weitere Informationen finden Sie unter Gruppenrichtlinienmodellierung (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x407) auf der Microsoft TechNet-Website.
Gruppenrichtlinienergebnisse. Repräsentieren die tatsächlichen Richtliniendaten, die auf einen Computer und Benutzer angewendet werden. Die Daten werden durch Abfragen des Zielcomputers und Abrufen der Richtlinienergebnissatz-Daten bezogen, die auf den betreffenden Computer angewendet wurden. Die Fähigkeit zur Ermittlung der Gruppenrichtlinienergebnisse wird vom Clientbetriebssystem bereitgestellt und erfordert Windows XP, Windows Server 2003 oder höhere Betriebssystemversionen. Weitere Informationen finden Sie unter Gruppenrichtlinienergebnisse – Verwalten von Gruppenrichtlinien mithilfe der Gruppenrichtlinien-Verwaltungskonsole (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x407) auf der Microsoft TechNet-Website.
Die Gruppenrichtlinien-Verwaltungskonsole wurde ursprünglich als separate Downloadkomponente für Microsoft Windows Server 2003 und Windows XP bereitgestellt. Sie können die Gruppenrichtlinien-Verwaltungskonsole unter Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x407) im Microsoft Download Center herunterladen.
In Windows Vista und Windows Server 2008 ist die Gruppenrichtlinien-Verwaltungskonsole direkt in das Betriebssystem integriert. Sie ist zusammen mit dem Gruppenrichtlinienobjekt-Editor das Standardtool zum Ausführen von Gruppenrichtlinienaufgaben.
Weitere Informationen zur Gruppenrichtlinien-Verwaltungskonsole finden Sie unter Schritt-für-Schritt-Anweisungen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x407) auf der Microsoft TechNet-Website.
Gruppenrichtlinienobjekt-Editor
Der Gruppenrichtlinienobjekt-Editor ist ein MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Der Gruppenrichtlinienobjekt-Editor befindet sich in gpedit.dll und wird mit Windows 2000, Windows XP, Windows Server 2003 und Windows Vista sowie den Betriebssystemen der Windows Server 2008-Produktfamilie installiert.
Auf Computern unter Windows 2000, Windows XP mit installierten Windows Server 2003-Verwaltungsprogrammen und Windows Server 2003 können Sie den Gruppenrichtlinienobjekt-Editor über die Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste aufrufen.
Zum Konfigurieren von Gruppenrichtlinieneinstellungen für einen lokalen Computer, der nicht Mitglied einer Domäne ist, verwenden Sie den Gruppenrichtlinienobjekt-Editor, um ein lokales Gruppenrichtlinienobjekt (oder mehrere Gruppenrichtlinienobjekte auf Computern unter Windows Vista oder Windows Server 2008) zu verwalten. Zum Konfigurieren von Gruppenrichtlinieneinstellungen in einer Domänenumgebung ist die Gruppenrichtlinien-Verwaltungskonsole, die den Gruppenrichtlinienobjekt-Editor aufruft, das bevorzugte Tool für Gruppenrichtlinien-Verwaltungsaufgaben.
Der Gruppenrichtlinienobjekt-Editor bietet Administratoren eine hierarchische Baumstruktur zum Konfigurieren von Gruppenrichtlinieneinstellungen in Gruppenrichtlinienobjekten. Diese Gruppenrichtlinienobjekte können dann mit Standorten, Domänen und Organisationseinheiten, die Computer- oder Benutzerobjekte enthalten, verknüpft werden.
Der Gruppenrichtlinienobjekt-Editor besteht aus zwei Hauptknoten: Benutzerkonfiguration mit Einstellungen, die bei der Anmeldung und bei der regelmäßigen Hintergrundaktualisierung auf Benutzer angewendet werden, und Computerkonfiguration mit Einstellungen, die beim Starten und bei der regelmäßigen Hintergrundaktualisierung auf Computer angewendet werden. Die Hauptknoten sind weiter in Ordner unterteilt, die die verschiedenen Typen von Richtlinieneinstellungen enthalten, die festgelegt werden können. Zu diesen Ordnern gehören:
Softwareeinstellungen mit Einstellungen für die Softwareinstallation
Windows-Einstellungen mit Sicherheitseinstellungen und Skriptrichtlinieneinstellungen
Administrative Vorlagen mit registrierungsbasierten Richtlinieneinstellungen
Weitere Informationen zum Gruppenrichtlinienobjekt-Editor finden Sie auf der Microsoft TechNet-Website unter Gruppenrichtlinie (vor GPMC) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x407).
Office-Anpassungstool und Gruppenrichtlinien
Administratoren können zwei Tools zum Anpassen von Benutzerkonfigurationen für 2007 Office System-Anwendungen verwenden: das Office-Anpassungstool (OAT) und Gruppenrichtlinien. Zwar dienen beide Tools zum Konfigurieren von Benutzereinstellungen, es gibt aber wichtige Unterschiede.
Das Office-Anpassungstool wird zum Erstellen einer Setupanpassungsdatei (MSP-Datei) verwendet. Administratoren können mithilfe des OAT Features anpassen und Benutzereinstellungen konfigurieren. Benutzer können die meisten Einstellungen nach der Installation ändern. Dies ist darauf zurückzuführen, dass mit dem OAT Einstellungen in öffentlich zugänglichen Teilen der Registrierung konfiguriert werden, z. B. unter HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Dieses Tool wird in der Regel in Unternehmen verwendet, die Desktopkonfigurationen nicht zentral verwalten. Weitere Informationen finden Sie unter Office-Anpassungstool im 2007 Office System.
Gruppenrichtlinien werden verwendet, um die 2007 Office System-Richtlinieneinstellungen in administrativen Vorlagen zu konfigurieren. Diese Richtlinieneinstellungen werden vom Betriebssystem erzwungen. In einer Active Directory-Umgebung können Administratoren Richtlinieneinstellungen auf Gruppen von Benutzern und Computern in einem Standort, einer Domäne oder Organisationseinheit anwenden, mit denen ein Gruppenrichtlinienobjekt verknüpft ist. Echte Richtlinieneinstellungen werden in die genehmigten Registrierungsschlüssel für Richtlinien geschrieben. Für diese Einstellungen gelten Einschränkungen durch Zugriffssteuerungslisten, die verhindern, dass sie von Nichtadministratoren geändert werden. Administratoren können mithilfe von Gruppenrichtlinien streng verwaltete Desktopkonfigurationen erstellen. Sie können auch weniger strenge Konfigurationen erstellen, um den Unternehmens- und Sicherheitsanforderungen ihrer Organisation gerecht zu werden.
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Herunterladbare Bücher für das 2007 Office Resource Kit.
Siehe auch
Konzepte
Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien in 2007 Office System
Deaktivieren von Benutzeroberflächenelementen und Tastenkombinationen
Planen der Sicherheit in 2007 Office System
Planen der Konfiguration von Sicherheitseinstellungen in Outlook 2007
Festlegen von Standardoptionen für das Speichern von Dateien mithilfe von Gruppenrichtlinien