(0) exportieren Drucken
Alle erweitern
1 von 2 fanden dies hilfreich - Dieses Thema bewerten.

Übersicht über Gruppenrichtlinien für Office 2010

Veröffentlicht: 2012/05/16

Mithilfe von Gruppenrichtlinien können Administratoren Konfigurationen oder Richtlinieneinstellungen auf Benutzer und Computer in einer Active Directory-Verzeichnisdienstumgebung anwenden. Administratoren, die Gruppenrichtlinien zum Verwalten von Microsoft Office 2010-Anwendungen verwenden möchten, finden in diesem Artikel eine kurze Übersicht über Gruppenrichtlinienkonzepte. Antworten auf häufig gestellte Fragen zu Gruppenrichtlinien und Office 2010 finden Sie unter FAQ: Gruppenrichtlinien (Office 2010).

Inhalt dieses Artikels:

Lokale und Active Directory-basierte Gruppenrichtlinien

Gruppenrichtlinien sind eine Infrastruktur, mit der eine oder mehr gewünschte Konfigurationen oder Richtlinieneinstellungen auf eine Gruppe von Zielbenutzern und -computern in einer Active Directory-Verzeichnisdienstumgebung angewendet werden können. Die Gruppenrichtlinieninfrastruktur besteht aus einem Gruppenrichtlinienmodul und mehreren einzelnen Erweiterungen. Diese Erweiterungen dienen zum Konfigurieren von Gruppenrichtlinieneinstellungen, entweder durch Ändern der Registrierung über die Erweiterung Administrative Vorlagen oder durch Festlegen von Gruppenrichtlinieneinstellungen für Sicherheitseinstellungen, Softwareinstallation, Ordnerumleitung, Internet Explorer-Wartung, WLAN-Einstellungen und andere Bereiche.

Jede Installation von Gruppenrichtlinien umfasst zwei Erweiterungen:

  • Eine serverseitige Erweiterung des MMC-Snap-Ins (Microsoft Management Console) Gruppenrichtlinienobjekt-Editor zum Definieren und Festlegen der Richtlinieneinstellungen, die auf Clientcomputer angewendet werden

  • Eine clientseitige Erweiterung, die vom Gruppenrichtlinienmodul zum Anwenden von Richtlinieneinstellungen aufgerufen wird

Gruppenrichtlinieneinstellungen sind in Gruppenrichtlinienobjekten enthalten, die mit ausgewählten Active Directory-Containern verknüpft sind, z. B. Standorten, Domänen oder Organisationseinheiten. Wenn ein Gruppenrichtlinienobjekt erstellt wird, wird es in der Domäne gespeichert. Wenn das Gruppenrichtlinienobjekt mit einem Active Directory-Container, z. B. einer Organisationseinheit, verknüpft wird, ist die Verknüpfung eine Komponente des Active Directory-Containers. Die Verknüpfung ist keine Komponente des Gruppenrichtlinienobjekts. Die Einstellungen in Gruppenrichtlinienobjekten werden von den betroffenen Zielen anhand der Active Directory-Hierarchie ausgewertet. Sie können beispielsweise ein Gruppenrichtlinienobjekt mit dem Namen Office 2010-Einstellungen erstellen, das nur Konfigurationen für Office 2010-Anwendungen enthält. Dieses Gruppenrichtlinienobjekt können Sie dann auf einen bestimmten Standort anwenden, sodass die Benutzer dieses Standorts die Office 2010-Konfigurationen erhalten, die Sie im Gruppenrichtlinienobjekt Office 2010-Einstellungen angegeben haben.

Jeder Computer verfügt über ein lokales Gruppenrichtlinienobjekt, das immer verarbeitet wird, unabhängig davon, ob der Computer Mitglied einer Domäne ist oder ob es sich um einen eigenständigen Computer handelt. Das lokale Gruppenrichtlinienobjekt kann nicht durch domänenbasierte Gruppenrichtlinienobjekte blockiert werden. Allerdings haben Einstellungen in Domänen-Gruppenrichtlinienobjekten immer Vorrang, da sie nach dem lokalen Gruppenrichtlinienobjekt verarbeitet werden.

Cc179176.note(de-de,office.14).gifHinweis:

Windows Vista, Windows Server 2008 und Windows 7 unterstützen die Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte auf eigenständigen Computern. Weitere Informationen finden Sie unter Schrittweise Anleitung zum Verwalten mehrerer lokaler Gruppenrichtlinienobjekte (http://go.microsoft.com/fwlink/?linkid=182215&clcid=0x407).

Sie können lokale Gruppenrichtlinienobjekte zwar auf einzelnen Computern konfigurieren, alle Vorteile von Gruppenrichtlinien erzielen Sie aber in einem Windows Server 2003- oder Windows Server 2008-Netzwerk mit Active Directory.

Gruppenrichtlinienverarbeitung

Gruppenrichtlinien für Computer werden beim Starten des Computers angewendet. Gruppenrichtlinien für Benutzer werden bei der Benutzeranmeldung angewendet. Neben der anfänglichen Verarbeitung von Gruppenrichtlinien beim Starten und bei der Anmeldung werden Gruppenrichtlinien nachfolgend in regelmäßigen Abständen im Hintergrund angewendet. Während einer Hintergrundaktualisierung werden die Richtlinieneinstellungen durch eine clientseitige Erweiterung nur dann erneut angewendet, wenn auf dem Server in einem der Gruppenrichtlinienobjekte oder in einer der Listen von Gruppenrichtlinienobjekten eine Änderung aufgetreten ist. Für Softwareinstallation und Ordnerumleitung erfolgt die Gruppenrichtlinienverarbeitung nur während des Computerstarts oder der Benutzeranmeldung.

Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:

  • Lokales Gruppenrichtlinienobjekt: Jeder Computer verfügt über ein Gruppenrichtlinienobjekt, das lokal gespeichert wird. Dieses Gruppenrichtlinienobjekt wird sowohl für Computer- als auch für Benutzergruppenrichtlinien verarbeitet.

  • Standort: Gruppenrichtlinienobjekte, die mit dem Standort verknüpft sind, zu dem der Computer gehört, werden als Nächstes verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat damit die höchste Priorität. Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole finden Sie im Abschnitt Gruppenrichtlinien-Verwaltungstools weiter unten in diesem Artikel.

  • Domäne: Mehrere mit der Domäne verknüpfte Gruppenrichtlinienobjekte werden in der Reihenfolge verarbeitet, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat damit die höchste Priorität.

  • Organisationseinheiten: Die mit der höchsten Organisationseinheit in der Active Directory-Hierarchie verknüpften Gruppenrichtlinienobjekte werden zuerst verarbeitet, als Nächstes werden Gruppenrichtlinienobjekte verarbeitet, die mit der untergeordneten Organisationseinheit verknüpft sind, usw. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder Computer enthält, werden zuletzt verarbeitet.

Für die Verarbeitungsreihenfolge müssen die folgenden Bedingungen erfüllt sein:

  • WMI-Filterung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) oder Sicherheitsfilterung wird auf Gruppenrichtlinienobjekte angewendet.

  • Domänenbasierte Gruppenrichtlinienobjekte (nicht lokale Gruppenrichtlinienobjekte) können mithilfe der Option Erzwingen erzwungen werden, sodass die Richtlinieneinstellungen nicht überschrieben werden können. Da ein erzwungenes Gruppenrichtlinienobjekt zuletzt verarbeitet wird, können keine anderen Einstellungen die Einstellungen in diesem Gruppenrichtlinienobjekt überschreiben. Wenn mehrere erzwungene Gruppenrichtlinienobjekte vorhanden sind, kann die gleiche Einstellung in den einzelnen Gruppenrichtlinienobjekten auf einen anderen Wert festgelegt sein. In diesem Fall wird das Gruppenrichtlinienobjekt mit den endgültigen Einstellungen anhand der Verknüpfungsreihenfolge bestimmt.

  • Für jede Domäne oder Organisationseinheit (OU) kann die Vererbung von Gruppenrichtlinien selektiv auf Vererbung deaktivieren festgelegt werden. Da jedoch erzwungene Gruppenrichtlinienobjekte immer angewendet werden und nicht blockiert werden können, wird durch Deaktivieren der Vererbung nicht verhindert, dass Richtlinieneinstellungen aus erzwungenen Gruppenrichtlinienobjekten angewendet werden.

Richtlinienvererbung

Die Richtlinieneinstellungen, die für einen Benutzer und Computer in Kraft sind, sind das Ergebnis der Kombination von Gruppenrichtlinienobjekten, die auf einen Standort, eine Domäne oder eine Organisationseinheit angewendet werden. Wenn mehrere Gruppenrichtlinienobjekte auf Benutzer und Computer in diesen Active Directory-Containern angewendet werden, werden die Einstellungen in den Gruppenrichtlinienobjekten aggregiert. Standardmäßig werden Einstellungen, die in Gruppenrichtlinienobjekten bereitgestellt werden, die mit Containern auf höherer Ebene (übergeordneten Containern) in Active Directory verknüpft sind, an untergeordnete Container vererbt und mit Einstellungen kombiniert, die in mit den untergeordneten Containern verknüpften Gruppenrichtlinienobjekten bereitgestellt werden. Wenn mehrere Gruppenrichtlinienobjekte versuchen, eine Richtlinieneinstellung mit widersprüchlichen Werten festzulegen, wird die Einstellung durch das Gruppenrichtlinienobjekt mit der höchsten Priorität festgelegt. Gruppenrichtlinienobjekte, die später verarbeitet werden, haben Vorrang vor Gruppenrichtlinienobjekten, die früher verarbeitet werden.

Synchrone und asynchrone Verarbeitung

Synchrone Prozesse können als eine Reihe von Prozessen beschrieben werden, bei denen jeweils ein Prozess abgeschlossen sein muss, bevor der nächste beginnt. Asynchrone Prozesse können in verschiedenen Threads gleichzeitig ausgeführt werden, da ihr Ergebnis von anderen Prozessen unabhängig ist. Administratoren können mithilfe einer Richtlinieneinstellung für jedes Gruppenrichtlinienobjekt das Standardverarbeitungsverhalten ändern, sodass die Verarbeitung asynchron statt synchron erfolgt.

Bei der synchronen Verarbeitung gilt ein Zeitlimit von 60 Minuten, bis die Verarbeitung aller Gruppenrichtlinien auf dem Clientcomputer abgeschlossen sein muss. Clientseitige Erweiterungen, deren Verarbeitung nach 60 Minuten noch nicht beendet ist, erhalten ein Signal zum Beenden. In diesem Fall werden die zugeordneten Richtlinieneinstellungen möglicherweise nicht vollständig angewendet.

Feature zur schnellen Anmeldungsoptimierung

Das Feature zur schnellen Anmeldungsoptimierung ist standardmäßig sowohl für Domänen- und als auch für Arbeitsgruppenmitglieder festgelegt. Mit diesem Feature werden Richtlinien beim Starten des Computers und bei der Benutzeranmeldung asynchron angewendet. Diese Anwendung von Richtlinien ist vergleichbar mit einer Hintergrundaktualisierung. Damit können die Dauer bis zur Anzeige des Anmeldedialogfelds und die Dauer, bis der Desktop für den Benutzer verfügbar ist, reduziert werden.

Administratoren können das Feature zur schnellen Anmeldungsoptimierung mithilfe der Richtlinieneinstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten deaktivieren. Diese befindet sich im Gruppenrichtlinienobjekt-Editor im Knoten Computerkonfiguration\Administrative Vorlagen\System\Anmelden.

Verarbeitung bei langsamen Verbindungen

Einige Gruppenrichtlinienerweiterungen werden nicht verarbeitet, wenn die Verbindungsgeschwindigkeit angegebene Schwellenwerte unterschreitet. In den Gruppenrichtlinien werden Übertragungsraten von weniger als 500 Kilobits pro Sekunde (KBit/s) standardmäßig als langsame Verbindungen behandelt.

Gruppenrichtlinien-Aktualisierungsintervall

Standardmäßig werden Gruppenrichtlinien alle 90 Minuten mit einer zufälligen Verzögerung von bis zu 30 Minuten verarbeitet, das maximale Gesamtaktualisierungsintervall beträgt also 120 Minuten.

Sicherheitseinstellungen werden, nachdem Sie die Einstellungen für Sicherheitsrichtlinien bearbeitet haben, auf den Computern in der Organisationseinheit aktualisiert, mit der das Gruppenrichtlinienobjekt verknüpft ist:

  • Beim Neustart eines Computers

  • Alle 90 Minuten auf einer Arbeitsstation oder einem Server und alle 5 Minuten auf einem Domänencontroller

  • Standardmäßig werden Sicherheitsrichtlinieneinstellungen, die durch Gruppenrichtlinien bereitgestellt werden, zudem alle 16 Stunden (960 Minuten) angewendet, selbst wenn ein Gruppenrichtlinienobjekt nicht geändert wurde.

Auslösen einer Gruppenrichtlinienaktualisierung

Änderungen am Gruppenrichtlinienobjekt müssen zuerst auf den entsprechenden Domänencontroller repliziert werden. Daher sind Änderungen an Gruppenrichtlinieneinstellungen möglicherweise nicht sofort auf den Benutzercomputern verfügbar. In einigen Szenarien, z. B. beim Anwenden von Sicherheitsrichtlinieneinstellungen, ist es möglicherweise erforderlich, Richtlinieneinstellungen sofort anzuwenden.

Administratoren können eine Richtlinienaktualisierung manuell von einem lokalen Computer auslösen, ohne die automatische Hintergrundaktualisierung abzuwarten. Dazu können Administratoren an der Befehlszeile gpupdate eingeben, um die Benutzer- oder Computerrichtlinieneinstellungen zu aktualisieren. Die Gruppenrichtlinien-Verwaltungskonsole kann nicht zum Auslösen einer Richtlinienaktualisierung verwendet werden.

Mit dem Befehl gpupdate wird eine Hintergrundaktualisierung der Richtlinie auf dem lokalen Computer ausgelöst, auf dem der Befehl ausgeführt wird. Der Befehl gpupdate wird in Umgebungen mit Windows Server 2003 und Windows XP verwendet.

Die Anwendung von Gruppenrichtlinien kann nicht bei Bedarf vom Server an die Clients übertragen werden.

Ändern der Verarbeitung von Gruppenrichtlinienobjekten durch Gruppenrichtlinien

Die primäre Methode zur Angabe der Benutzer und Computer, die Einstellungen von einem Gruppenrichtlinienobjekt empfangen, ist die Verknüpfung des Gruppenrichtlinienobjekts mit Standorten, Domänen und Organisationseinheiten.

Sie können die Standardreihenfolge ändern, in der Gruppenrichtlinienobjekte verarbeitet werden, indem Sie eine der folgenden Methoden verwenden:

  • Ändern der Verknüpfungsreihenfolge.

  • Blockieren der Vererbung.

  • Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung.

  • Deaktivieren einer Gruppenrichtlinienobjekt-Verknüpfung.

  • Verwenden der Sicherheitsfilterung.

  • Verwenden der WMI (Windows-Verwaltungsinstrumentation)-Filterung.

  • Verwenden der Loopbackverarbeitung.

Diese Methoden werden in den folgenden Unterabschnitten erläutert.

Ändern der Verknüpfungsreihenfolge

Die Verknüpfungsreihenfolge der Gruppenrichtlinienobjekte für einen Standort, eine Domäne oder Organisationseinheit steuert, wann Verknüpfungen angewendet werden. Administratoren können den Rang einer Verknüpfung ändern, indem sie die Verknüpfungsreihenfolge ändern, d. h. die einzelnen Verknüpfungen in der Liste nach oben oder unten an die entsprechende Position verschieben. Die Verknüpfung mit dem höheren Rang (1 ist der höchste Rang) hat die höhere Priorität für einen Standort, eine Domäne oder Organisationseinheit.

Blockieren der Vererbung

Durch das Blockieren der Vererbung für eine Domäne oder Organisationseinheit wird verhindert, dass mit höheren Standorten, Domänen oder Organisationseinheiten verknüpfte Gruppenrichtlinienobjekte automatisch vom Active Directory-Container der untergeordneten Ebene geerbt werden.

Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung

Sie können angeben, dass die Einstellungen in einer Gruppenrichtlinienobjekt-Verknüpfung Vorrang vor den Einstellungen untergeordneter Objekte haben, indem Sie die Verknüpfung auf Erzwungen festlegen. Erzwungene Gruppenrichtlinienobjekt-Verknüpfungen können nicht vom übergeordneten Container blockiert werden. Wenn Gruppenrichtlinienobjekte widersprüchliche Einstellungen enthalten und nicht von einem übergeordneten Container erzwungen werden, werden die Einstellungen der Gruppenrichtlinienobjekt-Verknüpfungen im übergeordneten Container der höheren Ebene durch Einstellungen in Gruppenrichtlinienobjekten überschrieben, die mit untergeordneten Organisationseinheiten verknüpft sind. Durch das Erzwingen behält die übergeordnete Gruppenrichtlinienobjekt-Verknüpfung immer den Vorrang. Standardmäßig werden Gruppenrichtlinienobjekt-Verknüpfungen nicht erzwungen.

Deaktivieren einer Gruppenrichtlinienobjekt-Verknüpfung

Sie können das Anwenden eines Gruppenrichtlinienobjekts durch Benutzer für einen Standort, eine Domäne oder Organisationseinheit vollständig blockieren, indem Sie die Gruppenrichtlinienobjekt-Verknüpfung für den betreffenden Standort bzw. die Domäne oder Organisationseinheit deaktivieren. Das Gruppenrichtlinienobjekt selbst wird dadurch nicht deaktiviert. Wenn das Gruppenrichtlinienobjekt mit anderen Standorten, Domänen oder Organisationseinheiten verknüpft wird, wird das Gruppenrichtlinienobjekt von diesen weiterhin verarbeitet, wenn die entsprechenden Verknüpfungen aktiviert sind.

Verwenden der Sicherheitsfilterung

Die Sicherheitsfilterung wird verwendet, um anzugeben, dass nur bestimmte Sicherheitsprinzipale in einem Container, mit dem das Gruppenrichtlinienobjekt verknüpft ist, das Gruppenrichtlinienobjekt anwenden. Administratoren können mithilfe der Sicherheitsfilterung den Gültigkeitsbereich eines Gruppenrichtlinienobjekts so eingrenzen, dass das Gruppenrichtlinienobjekt nur auf eine einzelne Gruppe, einen einzelnen Benutzer oder Computer angewendet wird. Die Sicherheitsfilterung kann nicht selektiv für verschiedene Einstellungen innerhalb eines Gruppenrichtlinienobjekts verwendet werden.

Das Gruppenrichtlinienobjekt wird nur dann auf einen Benutzer oder Computer angewendet, wenn der betreffende Benutzer oder Computer über die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für das Gruppenrichtlinienobjekt verfügt, entweder explizit oder effektiv durch Gruppenmitgliedschaft. Standardmäßig sind für alle Gruppenrichtlinienobjekte die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für die Gruppe Authentifizierte Benutzer, die Benutzer und Computer umfasst, auf Zugelassen festgelegt. Auf diese Weise erhalten alle authentifizierten Benutzer die Einstellungen eines neuen Gruppenrichtlinienobjekts, wenn das Gruppenrichtlinienobjekt auf eine Organisationseinheit, Domäne oder einen Standort angewendet wird.

Standardmäßig haben Domänenadministratoren, Organisationsadministratoren und das lokale System Vollzugriff, auch ohne den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen. Administratoren sind ebenfalls Mitglieder der Gruppe Authentifizierte Benutzer. Das bedeutet, dass Administratoren standardmäßig die Einstellungen im Gruppenrichtlinienobjekt erhalten. Diese Berechtigungen können geändert werden, um den Geltungsbereich auf bestimmte Benutzer, Gruppen oder Computer innerhalb der Organisationseinheit, Domäne oder des Standorts einzuschränken.

In der Gruppenrichtlinien-Verwaltungskonsole werden diese Berechtigungen als einzelne Einheit verwaltet. Die Sicherheitsfilterung für das Gruppenrichtlinienobjekt wird auf der Registerkarte Bereich angezeigt. In der Gruppenrichtlinien-Verwaltungskonsole können Gruppen, Benutzer und Computer als Sicherheitsfilter für jedes Gruppenrichtlinienobjekt hinzugefügt oder entfernt werden.

Verwenden der WMI (Windows-Verwaltungsinstrumentation)-Filterung.

Mithilfe der WMI-Filterung wird das Anwenden eines Gruppenrichtlinienobjekts durch Anfügen einer WQL-Abfrage (WMI Query Language, WMI-Abfragesprache) an ein Gruppenrichtlinienobjekt gefiltert. Die Abfragen können für WMI-Abfragen nach mehreren Elementen verwendet werden. Wenn eine Abfrage für alle abgefragten Elemente True zurückgibt, wird das Gruppenrichtlinienobjekt auf den Zielbenutzer oder -computer angewendet.

Ein Gruppenrichtlinienobjekt wird mit einem WMI-Filter verknüpft und auf einen Zielcomputer angewendet. Der Filter wird dann auf dem Zielcomputer ausgewertet. Wenn der WMI-Filter mit False ausgewertet wird, wird das Gruppenrichtlinienobjekt nicht angewendet (außer wenn auf dem Clientcomputer Windows 2000 ausgeführt wird; in diesem Fall wird der Filter ignoriert und das Gruppenrichtlinienobjekt immer angewendet). Wenn der WMI-Filter mit True ausgewertet wird, wird das Gruppenrichtlinienobjekt angewendet.

Der WMI-Filter wird im Verzeichnis als separates Objekt getrennt vom Gruppenrichtlinienobjekt verwaltet. Ein WMI-Filter muss mit einem Gruppenrichtlinienobjekt verknüpft sein, damit er angewendet wird, und ein WMI-Filter und das mit ihm verknüpfte Gruppenrichtlinienobjekt müssen sich in derselben Domäne befinden. WMI-Filter werden nur in Domänen gespeichert. Jedem Gruppenrichtlinienobjekt kann nur ein WMI-Filter zugeordnet sein. Ein WMI-Filter kann mit mehreren Gruppenrichtlinienobjekten verknüpft werden.

Cc179176.note(de-de,office.14).gifHinweis:

Die WMI ist die Microsoft-Implementierung der Brancheninitiative Web-Based Enterprise Management, die Verwaltungsinfrastrukturstandards definiert und eine Möglichkeit bietet, Informationen aus verschiedenen Hardware- und Softwareverwaltungssystemen zu kombinieren. WMI macht Hardwarekonfigurationsdaten zu CPU, Arbeitsspeicher, Speicherplatz und Hersteller sowie Softwarekonfigurationsdaten zu Registrierung, Treibern, Dateisystem, Active Directory, Windows Installer-Dienst, Netzwerkkonfiguration und Anwendungsdaten verfügbar. Daten über einen Zielcomputer können für Verwaltungszwecke genutzt werden, z. B. zur WMI-Filterung von Gruppenrichtlinienobjekten.

Verwenden der Loopbackverarbeitung

Sie können diese Funktion verwenden, um sicherzustellen, dass auf jeden Benutzer, der sich an einem bestimmten Computer anmeldet, die gleiche Gruppe von Richtlinieneinstellungen angewendet wird, unabhängig von der Position des Benutzers in Active Directory.

Die Loopbackverarbeitung ist eine erweiterte Gruppenrichtlinieneinstellung, die auf Computern in bestimmten straff verwalteten Umgebungen nützlich ist, z. B. Servern, Kiosken, Laboren, Kursräumen und Empfangsbereichen. Durch Festlegen der Loopbackverarbeitung werden die Richtlinieneinstellungen unter Benutzerkonfiguration in Gruppenrichtlinienobjekten, die auf den Computer angewendet werden, auf jeden Benutzer angewendet, der sich an dem betreffenden Computer anmeldet, und zwar anstelle von (im Modus Ersetzen) oder zusätzlich zu (im Modus Zusammenführen) den Benutzereinstellungen unter Benutzerkonfiguration.

Um die Loopbackverarbeitung festzulegen, können Sie die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie verwenden. Diese Einstellung befindet sich im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.

Zur Verwendung der Loopbackverarbeitung müssen sowohl das Benutzerkonto als auch das Computerkonto sich in einer Domäne mit Windows 2003 oder einer höheren Windows-Version befinden. Die Loopbackverarbeitung kann nicht für Computer verwendet werden, die Mitglied einer Arbeitsgruppe sind.

Administrative Vorlagen

Die Gruppenrichtlinienerweiterung für administrative Vorlagen besteht aus einem serverseitigen MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen und einer clientseitigen Erweiterung zum Festlegen von Registrierungsschlüsseln auf Zielcomputern. Richtlinien mit administrativen Vorlagen werden auch als registrierungsbasierte Richtlinien oder Registrierungsrichtlinien bezeichnet.

Administrative Vorlagendateien

Administrative Vorlagendateien sind Unicode-Dateien, die aus einer Hierarchie von Kategorien und Unterkategorien bestehen, in denen die Darstellung von Optionen im Gruppenrichtlinienobjekt-Editor und in der Gruppenrichtlinien-Verwaltungskonsole definiert ist. Sie geben außerdem die Registrierungsorte an, die von Richtlinieneinstellungskonfigurationen betroffen sind. Dazu gehören die standardmäßigen (nicht konfigurierten), aktivierten oder deaktivierten Werte der Richtlinieneinstellungen. Die Vorlagen sind in drei Dateiversionen verfügbar: .adm, .admx und .adml. Die ADM-Dateien können für Computer verwendet werden, auf denen ein beliebiges Windows-Betriebssystem ausgeführt wird. Die ADMX- und ADML-Dateien können für Computer verwendet werden, auf denen mindestens Windows Vista oder Windows Server 2008 ausgeführt wird. Die ADML-Dateien sind die sprachspezifischen Versionen der ADMX-Dateien.

Die Funktionalität der administrativen Vorlagendateien ist beschränkt. ADM-, ADMX- oder ADML-Dateien aktivieren eine Benutzeroberfläche zum Konfigurieren von Richtlinieneinstellungen. Administrative Vorlagendateien selbst enthalten keine Richtlinieneinstellungen. Die Richtlinieneinstellungen befinden sich in Dateien namens Registry.pol im Ordner Sysvol auf Domänencontrollern.

Das serverseitige Snap-In für administrative Vorlagen stellt den Knoten Administrative Vorlagen bereit, der im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration und unter Benutzerkonfiguration angezeigt wird. Die Einstellungen unter Computerkonfiguration ändern Registrierungseinstellungen für den Computer. Die Einstellungen unter Benutzerkonfiguration ändern Registrierungseinstellungen für Benutzer. Zwar benötigen einige Richtlinieneinstellungen einfache Benutzeroberflächenelemente wie Textfelder zur Eingabe von Werten, die meisten Richtlinieneinstellungen enthalten aber nur die folgenden Optionen:

  • Aktiviert: Die Richtlinie wird erzwungen. Einige Richtlinieneinstellungen bieten zusätzliche Optionen, die das Verhalten beim Aktivieren der Richtlinie definieren.

  • Deaktiviert: Für die meisten Richtlinieneinstellungen wird mit dieser Einstellung das entgegengesetzte Verhalten zum Status Aktiviert erzwungen. Wenn beispielsweise mit Aktiviert der Featurestatus als Aus erzwungen wird, wird der Featurestatus mit Deaktiviert als Ein erzwungen.

  • Nicht konfiguriert: Die Richtlinie wird nicht erzwungen. Dies ist der Standardstatus für die meisten Einstellungen.

Die administrativen Vorlagendateien werden an Speicherorten auf dem lokalen Computer gespeichert, wie in der folgenden Tabelle gezeigt.

Dateityp Ordner

.adm

%systemroot%\Inf

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<sprachspezifischer Ordner, z. B. en-us>

Sie können ADMX- und ADML-Dateien auch an einem zentralen Speicherort in den Ordnern auf dem Domänencontroller speichern, wie in der folgenden Tabelle gezeigt.

Dateityp Ordner

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<sprachspezifischer Ordner, z. B. en-us>

Weitere Informationen zum Speichern und Verwenden der Vorlagen in einem zentralen Speicherort finden Sie unter "Gruppenrichtlinien und SYSVOL" im Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien (http://go.microsoft.com/fwlink/?linkid=182208&clcid=0x407).

Administrative Vorlagendateien für Office 2010

Administrative Vorlagendateien für Office 2010 sind als separater Download verfügbar und ermöglichen Folgendes:

  • Steuern von Einstiegspunkten ins Internet aus Office 2010-Anwendungen

  • Verwalten von Sicherheit in den Office 2010-Anwendungen

  • Ausblenden von Einstellungen und Optionen, die Benutzer nicht für ihre Aufgaben benötigen und die ablenken oder unnötige Anrufe beim Support verursachen könnten

  • Erstellen einer stark verwalteten Standardkonfiguration auf den Benutzercomputern

Die administrativen Vorlagen für Office 2010 können Sie unter Administrative Vorlagendateien für Office 2010 (ADM, ADMX/ADML) und das Office-Anpassungstool (http://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) herunterladen.

Die administrativen Vorlagen für Office 2010 werden in der folgenden Tabelle gezeigt.

Anwendung Administrative Vorlagendateien

Microsoft Access 2010

access14.admx, access14.adml, access14.adm

Microsoft Excel 2010

excel14.admx, excel14.adml, excel14.adm

Microsoft InfoPath 2010

inf14.admx, inf14.adml, inf14.adm

Microsoft Office 2010

office14.admx, office14.adml, office14.adm

Microsoft OneNote 2010

onent14.admx, onent14.adml, onent14.adm

Microsoft Outlook 2010

outlk14.admx, outlk14.adml, outlk14.adm

Microsoft PowerPoint 2010

ppt14.admx, ppt14.adml, ppt14.adm

Microsoft Project 2010

proj14.admx, proj14.adml, proj14.adm

Microsoft Publisher 2010

pub14.admx, pub14.adml, pub14.adm

Microsoft SharePoint Designer 2010

spd14.admx, spd14.adml, spd14.adm

Microsoft SharePoint Workspace 2010

spw14.admx, spw14.adml, spw14.adm

Microsoft Visio 2010

visio14.admx, visio14.adml, visio14.adm

Microsoft Word 2010

word14.admx, word14.adml, word14.adm

Echte Richtlinien und Benutzervoreinstellungen

Gruppenrichtlinieneinstellungen, die von Administratoren vollständig verwalten werden können, werden als echte Richtlinien bezeichnet. Einstellungen, die von Benutzern konfiguriert werden (aber die den Standardstatus des Betriebssystems zum Zeitpunkt der Installation widerspiegeln), werden als Voreinstellungen bezeichnet. Sowohl echte Richtlinien als auch Voreinstellungen enthalten Informationen, mit denen die Registrierung auf Benutzercomputern geändert wird.

Echte Richtlinien

Registrierungswerte für echte Richtlinien werden unter den genehmigten Registrierungsschlüsseln für Gruppenrichtlinien gespeichert. Benutzer können diese Einstellungen nicht ändern oder deaktivieren.

Für Computerrichtlinieneinstellungen:

  • HKEY_LOCAL_MACHINE\Software\Policies (bevorzugter Speicherort)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Für Benutzerrichtlinieneinstellungen:

  • HKEY_CURRENT_USER\Software\Policies (bevorzugter Speicherort)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Für Office 2010 werden echte Richtlinien in folgenden Registrierungsorten gespeichert.

Für Computerrichtlinieneinstellungen:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0

Für Benutzerrichtlinieneinstellungen:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0

Voreinstellungen

Voreinstellungen werden durch Benutzer oder vom Betriebssystem zum Zeitpunkt der Installation festgelegt. Die Registrierungswerte, in denen Voreinstellungen gespeichert werden, befinden sich außerhalb der genehmigten Gruppenrichtlinienschlüssel. Benutzer können ihre Voreinstellungen ändern.

Wenn Sie Voreinstellungen mithilfe eines Gruppenrichtlinienobjekts konfigurieren, gelten für die erstellten Gruppenrichtlinienobjekte keine Einschränkungen durch Zugriffssteuerungslisten. Daher können Benutzer diese Werte möglicherweise in der Registrierung ändern. Wenn das Gruppenrichtlinienobjekt den Gültigkeitsbereich verlässt (wenn die Verknüpfung des Gruppenrichtlinienobjekts aufgehoben oder das Gruppenrichtlinienobjekt deaktiviert bzw. gelöscht wird), werden diese Werte nicht aus der Registrierung entfernt.

Zum Anzeigen von Voreinstellungen im Gruppenrichtlinienobjekt-Editor klicken Sie nacheinander auf die Knoten Administrative Vorlagen, Ansicht und Filterung, und deaktivieren Sie dann das Kontrollkästchen Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen.

Gruppenrichtlinien-Verwaltungstools

Mithilfe der folgenden Tools werden Gruppenrichtlinien von Administratoren verwaltet:

  • Gruppenrichtlinien-Verwaltungskonsole. Wird zur Verwaltung der meisten Verwaltungsaufgaben für Gruppenrichtlinien verwendet.

  • Gruppenrichtlinienobjekt-Editor. Wird zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten verwendet.

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) erleichtert die Verwaltung von Gruppenrichtlinien, da sie ein zentrales Tool zur Verwaltung der wichtigsten Aspekte von Gruppenrichtlinien bereitstellt, z. B. die Bereichsdefinition, das Delegieren und Filtern sowie das Bearbeiten der Vererbung von Gruppenrichtlinienobjekten. Die Gruppenrichtlinien-Verwaltungskonsole kann auch zum Sichern (Exportieren), Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten verwendet werden. Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole vorhersagen, welche Auswirkungen Gruppenrichtlinienobjekte auf das Netzwerk haben werden, und ermitteln, wie Einstellungen für einen Computer oder Benutzer durch Gruppenrichtlinienobjekte geändert wurden. Die Gruppenrichtlinien-Verwaltungskonsole ist das bevorzugte Tool für die meisten Gruppenrichtlinienaufgaben in einer Domänenumgebung.

Die Gruppenrichtlinien-Verwaltungskonsole bietet eine Ansicht der Gruppenrichtlinienobjekte, Standorte, Domänen und Organisationseinheiten im gesamten Unternehmen und kann zum Verwalten von Windows Server 2003- oder Windows 2000-Domänen verwendet werden. Administratoren führen mithilfe der Gruppenrichtlinien-Verwaltungskonsole sämtliche Verwaltungsaufgaben für Gruppenrichtlinien aus, bis auf das Konfigurieren einzelner Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Dies geschieht mit dem Gruppenrichtlinienobjekt-Editor, der in der Gruppenrichtlinien-Verwaltungskonsole geöffnet wird.

Administratoren erstellen in der Gruppenrichtlinien-Verwaltungskonsole ein Gruppenrichtlinienobjekt ohne Anfangseinstellungen. Ein Administrator kann ein Gruppenrichtlinienobjekt auch gleich beim Erstellen mit einem Active Directory-Container verknüpfen. Zum Konfigurieren einzelner Einstellungen innerhalb eines Gruppenrichtlinienobjekts bearbeitet der Administrator das Gruppenrichtlinienobjekt innerhalb der Gruppenrichtlinien-Verwaltungskonsole. Der Gruppenrichtlinienobjekt-Editor wird mit dem geladenen Gruppenrichtlinienobjekt angezeigt.

Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole Gruppenrichtlinienobjekte mit Standorten, Domänen oder Organisationseinheiten in Active Directory verknüpfen. Administratoren müssen Gruppenrichtlinienobjekte verknüpfen, um Einstellungen auf Benutzer und Computer in Active Directory-Containern anzuwenden.

Die Gruppenrichtlinien-Verwaltungskonsole enthält die folgenden Features für Richtlinienergebnissätze, die von Windows bereitgestellt werden:

  • Gruppenrichtlinienmodellierung: Simuliert, welche Richtlinieneinstellungen unter den vom Administrator festgelegten Umständen angewendet werden. Administratoren können mithilfe der Gruppenrichtlinienmodellierung die Richtlinienergebnissatz-Daten simulieren, die für eine vorhandene Konfiguration angewendet werden würden, oder sie können die Auswirkungen von simulierten hypothetischen Änderungen an der Verzeichnisumgebung analysieren.

  •  Gruppenrichtlinienergebnisse: Stellen die tatsächlichen Richtliniendaten dar, die auf einen Computer und Benutzer angewendet werden. Die Daten werden durch Abfragen des Zielcomputers und Abrufen der Richtlinienergebnissatz-Daten bezogen, die auf den betreffenden Computer angewendet wurden. Die Fähigkeit zur Ermittlung der Gruppenrichtlinienergebnisse wird vom Clientbetriebssystem bereitgestellt und erfordert Windows XP, Windows Server 2003 oder höhere Betriebssystemversionen.

Gruppenrichtlinienobjekt-Editor

Der Gruppenrichtlinienobjekt-Editor ist ein MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Der Gruppenrichtlinienobjekt-Editor befindet sich in gpedit.dll und wird mit den Betriebssystemen Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 sowie Windows 7 installiert.

Zum Konfigurieren von Gruppenrichtlinieneinstellungen für einen lokalen Computer, der nicht Mitglied einer Domäne ist, verwenden Sie den Gruppenrichtlinienobjekt-Editor, um ein lokales Gruppenrichtlinienobjekt (oder mehrere Gruppenrichtlinienobjekte auf Computern unter Windows Vista, Windows 7 oder Windows Server 2008) zu verwalten. Zum Konfigurieren von Gruppenrichtlinieneinstellungen in einer Domänenumgebung ist die Gruppenrichtlinien-Verwaltungskonsole, die den Gruppenrichtlinienobjekt-Editor aufruft, das bevorzugte Tool für Gruppenrichtlinien-Verwaltungsaufgaben.

Der Gruppenrichtlinienobjekt-Editor bietet Administratoren eine hierarchische Baumstruktur zum Konfigurieren von Gruppenrichtlinieneinstellungen in Gruppenrichtlinienobjekten und besteht aus den folgenden zwei Hauptknoten:

  • Benutzerkonfiguration: Enthält Einstellungen, die auf Benutzer angewendet werden, wenn diese sich anmelden, sowie bei der regelmäßigen Hintergrundaktualisierung.

  • Computerkonfiguration: Enthält Einstellungen, die beim Starten und bei der regelmäßigen Hintergrundaktualisierung auf Computer angewendet werden.

Diese zwei Hauptknoten sind weiter in Ordner unterteilt, die die verschiedenen Typen von Richtlinieneinstellungen enthalten, die festgelegt werden können. Zu diesen Ordnern gehören:

  •  Softwareeinstellungen: Enthält Einstellungen für die Softwareinstallation.

  • Windows-Einstellungen: Enthält Sicherheitseinstellungen und Skriptrichtlinieneinstellungen.

  • Administrative Vorlagen: Enthält registrierungsbasierte Richtlinieneinstellungen.

Systemanforderungen für die Gruppenrichtlinien-Verwaltungskonsole und den Gruppenrichtlinienobjekt-Editor

Der Gruppenrichtlinienobjekt-Editor ist Teil der Gruppenrichtlinien-Verwaltungskonsole und wird aufgerufen, wenn Sie ein Gruppenrichtlinienobjekt bearbeiten. Sie können die Gruppenrichtlinien-Verwaltungskonsole unter Windows XP, Windows Server 2003, Windows Vista, Windows 7 und Windows Server 2008 ausführen. Die Anforderungen variieren je nach Windows-Betriebssystem wie folgt:

  • Die Gruppenrichtlinien-Verwaltungskonsole ist Teil des Betriebssystems Windows Vista. Wenn Sie jedoch Service Pack 1 oder Service Pack 2 für Windows Vista installiert haben, wird die Gruppenrichtlinien-Verwaltungskonsole entfernt. Um diese erneut zu installieren, installieren Sie die Remoteserver-Verwaltungstools für Windows 7 (http://go.microsoft.com/fwlink/?linkid=89361&clcid=0x407).

  • Die Gruppenrichtlinien-Verwaltungskonsole ist in Windows Server 2008 und höher enthalten. Dieses Feature wird jedoch nicht mit dem Betriebssystem installiert. Installieren Sie die Gruppenrichtlinien-Verwaltungskonsole mit dem Server-Manager. Weitere Informationen zum Installieren der Gruppenrichtlinien-Verwaltungskonsole finden Sie unter Installieren der Gruppenrichtlinien-Verwaltungskonsole (http://go.microsoft.com/fwlink/?linkid=187926&clcid=0x407).

  • Für die Installation der Gruppenrichtlinien-Verwaltungskonsole unter Windows 7 installieren Sie die Remoteserver-Verwaltungstools für Windows 7 (http://go.microsoft.com/fwlink/?linkid=180743&clcid=0x407).

  • Für die Installation der Gruppenrichtlinien-Verwaltungskonsole unter Windows XP oder Windows Server 2003 installieren Sie die Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 (http://go.microsoft.com/fwlink/?linkid=88316&clcid=0x407).

Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole und des Gruppenrichtlinienobjekt-Editors finden Sie unter Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien in Office 2010.

Office-Anpassungstool und Gruppenrichtlinien

Administratoren können zum Anpassen von Benutzerkonfigurationen für Office 2010-Anwendungen das Office-Anpassungstool (OAT) oder Gruppenrichtlinien verwenden:

  • Office-Anpassungstool: Wird zum Erstellen einer Setupanpassungsdatei (MSP-Datei) verwendet. Administratoren können mithilfe des OAT Features anpassen und Benutzereinstellungen konfigurieren. Benutzer können die meisten Einstellungen nach der Installation ändern. Dies ist darauf zurückzuführen, dass mit dem OAT Einstellungen in öffentlich zugänglichen Teilen der Registrierung konfiguriert werden, z. B. unter HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Dieses Tool wird in der Regel in Unternehmen verwendet, die Desktopkonfigurationen nicht zentral verwalten. Weitere Informationen finden Sie unter Office-Anpassungstool in Office 2010.

  • Gruppenrichtlinien: Werden verwendet, um die Office 2010-Richtlinieneinstellungen in administrativen Vorlagen zu konfigurieren. Diese Richtlinieneinstellungen werden vom Betriebssystem erzwungen. In einer Active Directory-Umgebung können Administratoren Richtlinieneinstellungen auf Gruppen von Benutzern und Computern in einem Standort, einer Domäne oder Organisationseinheit anwenden, mit denen ein Gruppenrichtlinienobjekt verknüpft ist. Echte Richtlinieneinstellungen werden in die genehmigten Registrierungsschlüssel für Richtlinien geschrieben. Für diese Einstellungen gelten Einschränkungen durch Zugriffssteuerungslisten, die verhindern, dass sie von Nichtadministratoren geändert werden. Administratoren können mithilfe von Gruppenrichtlinien streng verwaltete Desktopkonfigurationen erstellen. Sie können auch weniger strenge Konfigurationen erstellen, um den Unternehmens- und Sicherheitsanforderungen ihrer Organisation gerecht zu werden. Weitere Informationen über das Office-Anpassungstool finden Sie unter Office-Anpassungstool in Office 2010.

Änderungsverlauf

Datum Beschreibung

2012/05/16

Erstveröffentlichung

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.