Übersicht über Gruppenrichtlinien für Office 2013

 

Gilt für: Office 2013, Office 365 ProPlus

Letztes Änderungsdatum des Themas: 2016-12-16

Zusammenfassung: Verwenden Sie Gruppenrichtlinien, um Einstellungen für Office 2013 anzuwenden und zu erzwingen.

Zielgruppe: IT-Experten

Mithilfe von Gruppenrichtlinien können Administratoren Konfigurationen oder Richtlinieneinstellungen auf Benutzer und Computer in einer Active Directory-Verzeichnisdienstumgebung anwenden. Administratoren, die Gruppenrichtlinien zum Verwalten von Office 2013-Anwendungen verwenden möchten, finden in diesem Artikel eine kurze Übersicht über Gruppenrichtlinienkonzepte. Weitere Informationen zu Gruppenrichtlinien finden Sie im Windows Server-Artikel Gruppenrichtlinie (Übersicht).

Inhalt dieses Artikels:

  • Lokale und Active Directory-basierte Gruppenrichtlinien

  • Gruppenrichtlinienverarbeitung

  • Ändern der Verarbeitung von Gruppenrichtlinienobjekten durch Gruppenrichtlinien

  • Administrative Vorlagen

  • Echte Richtlinien und Benutzervoreinstellungen

  • Gruppenrichtlinien-Verwaltungstools

  • Office-Anpassungstool und Gruppenrichtlinien

Lokale und Active Directory-basierte Gruppenrichtlinien

Gruppenrichtlinien sind eine Infrastruktur, mit der eine oder mehr gewünschte Konfigurationen oder Richtlinieneinstellungen auf eine Gruppe von Zielbenutzern und -computern in einer Active Directory-Verzeichnisdienstumgebung (AD DS-Umgebung) angewendet werden können.

Gruppenrichtlinieneinstellungen sind in Gruppenrichtlinienobjekten enthalten, die mit ausgewählten Active Directory-Containern verknüpft sind (beispielsweise Standorte, Domänen oder Organisationseinheiten). Wenn ein Gruppenrichtlinienobjekt erstellt wird, wird es in der Domäne gespeichert. Wenn das Gruppenrichtlinienobjekt mit einem Active Directory-Container (beispielsweise mit einer Organisationseinheit) verknüpft wird, ist die Verknüpfung eine Komponente des Active Directory-Containers. Die Verknüpfung ist keine Komponente des Gruppenrichtlinienobjekts. Die Einstellungen in Gruppenrichtlinienobjekten werden von den betroffenen Zielen anhand der Active Directory-Hierarchie ausgewertet. Sie können beispielsweise ein Gruppenrichtlinienobjekt mit dem Namen Office 2013-Einstellungen erstellen, das nur Konfigurationen für Office 2013-Anwendungen enthält. Dieses Gruppenrichtlinienobjekt können Sie dann auf einen bestimmten Standort anwenden, sodass die Benutzer an diesem Standort die Office 2013-Konfigurationen erhalten, die Sie im Gruppenrichtlinienobjekt Office 2013-Einstellungen angegeben haben.

Jeder Computer verfügt über ein lokales Gruppenrichtlinienobjekt, das immer verarbeitet wird – unabhängig davon, ob der Computer Mitglied einer Domäne ist oder ob es sich um einen eigenständigen Computer handelt. Das lokale Gruppenrichtlinienobjekt kann nicht durch domänenbasierte Gruppenrichtlinienobjekte blockiert werden. Allerdings haben Einstellungen in Domänen-Gruppenrichtlinienobjekten immer Vorrang, da sie nach dem lokalen Gruppenrichtlinienobjekt verarbeitet werden.

Tipp

Windows Vista, Windows 7 und Windows 8, Windows Server 2008 und Windows Server 2012 unterstützen die Verwaltung mehrerer lokaler Gruppenrichtlinienobjekte auf eigenständigen Computern. Weitere Informationen finden Sie unter Schrittweise Anleitung zum Verwalten mehrerer lokaler Gruppenrichtlinienobjekte (https://go.microsoft.com/fwlink/?Linkid=182215).

Zwar können lokale Gruppenrichtlinienobjekte auf einzelnen Computern konfiguriert werden, den größten Nutzen erhalten Sie jedoch in einem Windows Server 2003-, Windows Server 2008- oder Windows Server 2012-basierten Netzwerk mit Active Directory.

Gruppenrichtlinienverarbeitung

Gruppenrichtlinien für Computer werden beim Starten des Computers angewendet. Gruppenrichtlinien für Benutzer werden bei der Benutzeranmeldung angewendet. Zusätzlich zur Erstverarbeitung von Gruppenrichtlinien beim Start und bei der Anmeldung werden Gruppenrichtlinien später in regelmäßigen Abständen im Hintergrund angewendet. Während einer Hintergrundaktualisierung werden die Richtlinieneinstellungen durch eine clientseitige Erweiterung nur dann erneut angewendet, wenn auf dem Server in einem der Gruppenrichtlinienobjekte oder in einer der Listen von Gruppenrichtlinienobjekten eine Änderung aufgetreten ist. Für Softwareinstallation und Ordnerumleitung erfolgt die Gruppenrichtlinienverarbeitung nur während des Computerstarts oder der Benutzeranmeldung.

Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge verarbeitet:

  • Lokales Gruppenrichtlinienobjekt: Jeder Computer verfügt über ein Gruppenrichtlinienobjekt, das lokal gespeichert wird. Dieses Gruppenrichtlinienobjekt wird sowohl für Computer- als auch für Benutzergruppenrichtlinien verarbeitet.

  • Standort: Gruppenrichtlinienobjekte, die mit dem Standort verknüpft sind, zu dem der Computer gehört, werden als Nächstes verarbeitet. Die Verarbeitung erfolgt in der Reihenfolge, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für den Standort angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat damit die höchste Priorität. Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole finden Sie weiter unten in diesem Artikel im Abschnitt Gruppenrichtlinien-Verwaltungstools.

  • Domäne: Mehrere mit der Domäne verknüpfte Gruppenrichtlinienobjekte werden in der Reihenfolge verarbeitet, die vom Administrator in der Gruppenrichtlinien-Verwaltungskonsole auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte für die Domäne angegeben wurde. Das Gruppenrichtlinienobjekt mit der niedrigsten Verknüpfungsreihenfolge wird zuletzt verarbeitet und hat somit die höchste Priorität.

  • Organisationseinheiten: Zuerst werden die Gruppenrichtlinienobjekte verarbeitet, die mit der höchsten Organisationseinheit in der Active Directory-Hierarchie verknüpft sind. Danach folgen die Gruppenrichtlinienobjekte, die mit der untergeordneten Organisationseinheit verknüpft sind, usw. Gruppenrichtlinienobjekte, die mit der Organisationseinheit verknüpft sind, die den Benutzer oder Computer enthält, werden zuletzt verarbeitet.

Für die Verarbeitungsreihenfolge müssen die folgenden Bedingungen erfüllt sein:

  • WMI-Filterung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) oder Sicherheitsfilterung wird auf Gruppenrichtlinienobjekte angewendet.

  • Domänenbasierte Gruppenrichtlinienobjekte (nicht lokale Gruppenrichtlinienobjekte) können mithilfe der Option Erzwingen erzwungen werden, sodass die Richtlinieneinstellungen nicht überschrieben werden können. Da ein erzwungenes Gruppenrichtlinienobjekt zuletzt verarbeitet wird, können die Einstellungen in diesem Gruppenrichtlinienobjekt durch keine anderen Einstellungen überschrieben werden. Wenn mehrere erzwungene Gruppenrichtlinienobjekte vorhanden sind, kann die gleiche Einstellung in den einzelnen Gruppenrichtlinienobjekten auf einen anderen Wert festgelegt sein. In diesem Fall wird das Gruppenrichtlinienobjekt mit den endgültigen Einstellungen anhand der Verknüpfungsreihenfolge bestimmt.

  • Für jede Domäne oder Organisationseinheit (OU) kann die Vererbung von Gruppenrichtlinien selektiv auf Vererbung deaktivieren festgelegt werden. Da jedoch erzwungene Gruppenrichtlinienobjekte immer angewendet werden und nicht blockiert werden können, wird durch Deaktivieren der Vererbung nicht verhindert, dass Richtlinieneinstellungen aus erzwungenen Gruppenrichtlinienobjekten angewendet werden.

Richtlinienvererbung

Die Richtlinieneinstellungen, die für einen Benutzer und Computer in Kraft sind, sind das Ergebnis der Kombination von Gruppenrichtlinienobjekten, die auf einen Standort, eine Domäne oder eine Organisationseinheit angewendet wurden. Wenn mehrere Gruppenrichtlinienobjekte für Benutzer und Computer in diesen Active Directory-Containern gelten, werden die Einstellungen in den Gruppenrichtlinienobjekten aggregiert. Standardmäßig werden Einstellungen, die in Gruppenrichtlinienobjekten bereitgestellt werden, die mit übergeordneten Containern in Active Directory verknüpft sind, an untergeordnete Container vererbt und mit Einstellungen kombiniert, die in mit den untergeordneten Containern verknüpften Gruppenrichtlinienobjekten bereitgestellt werden. Wenn von mehreren Gruppenrichtlinienobjekten versucht wird, eine Richtlinieneinstellung mit widersprüchlichen Werten festzulegen, wird die Einstellung durch das Gruppenrichtlinienobjekt mit der höchsten Priorität festgelegt. Gruppenrichtlinienobjekte, die später verarbeitet werden, haben Vorrang vor Gruppenrichtlinienobjekten, die früher verarbeitet werden.

Synchrone und asynchrone Verarbeitung

Synchrone Prozesse können als eine Reihe von Prozessen beschrieben werden, bei denen jeweils ein Prozess abgeschlossen sein muss, bevor der nächste beginnt. Asynchrone Prozesse können in verschiedenen Threads gleichzeitig ausgeführt werden, da ihr Ergebnis von anderen Prozessen unabhängig ist. Administratoren können mithilfe einer Richtlinieneinstellung für jedes Gruppenrichtlinienobjekt das Standardverarbeitungsverhalten ändern, sodass die Verarbeitung asynchron statt synchron erfolgt.

Bei der synchronen Verarbeitung gilt ein Zeitlimit von 60 Minuten. Danach muss die Verarbeitung aller Gruppenrichtlinien auf dem Clientcomputer abgeschlossen sein. Clientseitige Erweiterungen, deren Verarbeitung nach 60 Minuten noch nicht beendet ist, erhalten ein Signal zum Beenden. In diesem Fall werden die zugeordneten Richtlinieneinstellungen möglicherweise nicht vollständig angewendet.

Feature zur schnellen Anmeldungsoptimierung

Das Feature zur schnellen Anmeldungsoptimierung ist standardmäßig sowohl für Domänen- und als auch für Arbeitsgruppenmitglieder festgelegt. Mit diesem Feature werden Richtlinien beim Starten des Computers und bei der Benutzeranmeldung asynchron angewendet. Diese Anwendung von Richtlinien ist vergleichbar mit einer Hintergrundaktualisierung. Damit können die Dauer bis zur Anzeige des Anmeldedialogfelds und die Dauer, bis der Desktop für den Benutzer verfügbar ist, reduziert werden.

Administratoren können das Feature zur schnellen Anmeldungsoptimierung mithilfe der Richtlinieneinstellung Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten deaktivieren. Diese befindet sich im Gruppenrichtlinienobjekt-Editor im Knoten Computerkonfiguration\Administrative Vorlagen\System\Anmelden.

Verarbeitung bei langsamen Verbindungen

Einige Gruppenrichtlinienerweiterungen werden nicht verarbeitet, wenn die Verbindungsgeschwindigkeit angegebene Schwellenwerte unterschreitet. In den Gruppenrichtlinien werden Übertragungsraten von weniger als 500 Kilobits pro Sekunde (KBit/s) standardmäßig als langsame Verbindungen behandelt.

Gruppenrichtlinien-Aktualisierungsintervall

Standardmäßig werden Gruppenrichtlinien alle 90 Minuten mit einer zufälligen Verzögerung von bis zu 30 Minuten verarbeitet. Das maximale Gesamtaktualisierungsintervall beträgt also 120 Minuten.

Nach Bearbeitung der Einstellungen für Sicherheitsrichtlinien werden die Richtlinieneinstellungen auf den Computern in der Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft ist, gemäß dem folgenden Zeitplan aktualisiert:

  • Beim Neustart eines Computers

  • Alle 90 Minuten auf einer Arbeitsstation oder einem Server und alle 5 Minuten auf einem Domänencontroller

Tipp

Standardmäßig werden außerdem Sicherheitsrichtlinieneinstellungen, die durch Gruppenrichtlinien bereitgestellt werden, alle 16 Stunden (960 Minuten) angewendet. Dies gilt auch, wenn ein Gruppenrichtlinienobjekt nicht geändert wurde.

Auslösen einer Gruppenrichtlinienaktualisierung

Änderungen am Gruppenrichtlinienobjekt müssen zuerst an den entsprechenden Domänencontroller repliziert werden. Daher sind Änderungen an Gruppenrichtlinieneinstellungen unter Umständen nicht sofort auf den Benutzercomputern verfügbar. In einigen Szenarien (beispielsweise beim Anwenden von Sicherheitsrichtlinieneinstellungen) müssen Richtlinieneinstellungen unter Umständen sofort angewendet werden.

Administratoren können eine Richtlinienaktualisierung manuell von einem lokalen Computer aus auslösen, ohne die automatische Hintergrundaktualisierung abzuwarten. Dazu können Administratoren an der Befehlszeile gpupdate eingeben, um die Benutzer- oder Computerrichtlinieneinstellungen zu aktualisieren. Die Gruppenrichtlinien-Verwaltungskonsole kann nicht zum Auslösen einer Richtlinienaktualisierung verwendet werden.

Mit dem Befehl gpupdate wird eine Hintergrundaktualisierung der Richtlinie auf dem lokalen Computer ausgelöst, auf dem der Befehl ausgeführt wird. Der Befehl gpupdate wird in Umgebungen mit Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 und Windows Server 2012 verwendet.

Die Anwendung von Gruppenrichtlinien kann nicht bei Bedarf vom Server an die Clients übertragen werden.

Ändern der Verarbeitung von Gruppenrichtlinienobjekten durch Gruppenrichtlinien

Die primäre Methode zur Angabe der Benutzer und Computer, die Einstellungen von einem Gruppenrichtlinienobjekt empfangen, ist die Verknüpfung des Gruppenrichtlinienobjekts mit Standorten, Domänen und Organisationseinheiten.

Sie können die Standardreihenfolge ändern, in der Gruppenrichtlinienobjekte verarbeitet werden, indem Sie eine der folgenden Methoden verwenden:

  • Ändern der Verknüpfungsreihenfolge.

  • Blockieren der Vererbung.

  • Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung.

  • Deaktivieren einer Gruppenrichtlinienobjekt-Verknüpfung.

  • Verwenden der Sicherheitsfilterung.

  • Verwenden der WMI (Windows-Verwaltungsinstrumentation)-Filterung.

  • Verwenden der Loopbackverarbeitung.

Ändern der Verknüpfungsreihenfolge

Die Verknüpfungsreihenfolge der Gruppenrichtlinienobjekte für einen Standort, eine Domäne oder Organisationseinheit steuert, wann Verknüpfungen angewendet werden. Administratoren können den Rang einer Verknüpfung ändern, indem sie die Verknüpfungsreihenfolge ändern, d. h. die einzelnen Verknüpfungen in der Liste nach oben oder unten an die entsprechende Position verschieben. Die Verknüpfung mit dem höheren Rang (1 ist der höchste Rang) hat die höhere Priorität für einen Standort, eine Domäne oder Organisationseinheit.

Blockieren der Vererbung

Durch Blockieren der Vererbung für eine Domäne oder Organisationseinheit wird verhindert, dass mit höheren Standorten, Domänen oder Organisationseinheiten verknüpfte Gruppenrichtlinienobjekte automatisch vom Active Directory-Container der untergeordneten Ebene geerbt werden.

Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung

Sie können angeben, dass die Einstellungen in einer Gruppenrichtlinienobjekt-Verknüpfung Vorrang vor den Einstellungen untergeordneter Objekte haben, indem Sie die Verknüpfung auf Erzwungen festlegen. Erzwungene Gruppenrichtlinienobjekt-Verknüpfungen können nicht vom übergeordneten Container blockiert werden. Wenn Gruppenrichtlinienobjekte widersprüchliche Einstellungen enthalten und nicht von einem übergeordneten Container erzwungen werden, werden die Einstellungen der Gruppenrichtlinienobjekt-Verknüpfungen im übergeordneten Container der höheren Ebene durch Einstellungen in Gruppenrichtlinienobjekten überschrieben, die mit untergeordneten Organisationseinheiten verknüpft sind. Durch die Erzwingung hat die übergeordnete Gruppenrichtlinienobjekt-Verknüpfung immer Vorrang. Standardmäßig werden Gruppenrichtlinienobjekt-Verknüpfungen nicht erzwungen.

Deaktivieren einer Gruppenrichtlinienobjekt-Verknüpfung

Sie können das Anwenden eines Gruppenrichtlinienobjekts durch Benutzer für einen Standort, eine Domäne oder Organisationseinheit vollständig blockieren, indem Sie die Gruppenrichtlinienobjekt-Verknüpfung für den betreffenden Standort bzw. die Domäne oder Organisationseinheit deaktivieren. Das Gruppenrichtlinienobjekt selbst wird dadurch nicht deaktiviert. Wenn das Gruppenrichtlinienobjekt mit anderen Standorten, Domänen oder Organisationseinheiten verknüpft wird, wird das Gruppenrichtlinienobjekt von diesen weiterhin verarbeitet, wenn die entsprechenden Verknüpfungen aktiviert sind.

Verwenden der Sicherheitsfilterung

Mithilfe der Sicherheitsfilterung können Sie den Gültigkeitsbereich eines Gruppenrichtlinienobjekts so eingrenzen, dass das Gruppenrichtlinienobjekt nur auf eine einzelne Gruppe, einen einzelnen Benutzer oder einen einzelnen Computer angewendet wird. Die Sicherheitsfilterung kann nicht selektiv für verschiedene Einstellungen innerhalb eines Gruppenrichtlinienobjekts verwendet werden.

Das Gruppenrichtlinienobjekt wird nur dann auf einen Benutzer oder Computer angewendet, wenn der betreffende Benutzer oder Computer über die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für das Gruppenrichtlinienobjekt verfügt, entweder explizit oder effektiv durch Gruppenmitgliedschaft. Standardmäßig sind für alle Gruppenrichtlinienobjekte die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für die Gruppe Authentifizierte Benutzer, die Benutzer und Computer umfasst, auf Zugelassen festgelegt. Auf diese Weise erhalten alle authentifizierten Benutzer die Einstellungen eines neuen Gruppenrichtlinienobjekts, wenn das Gruppenrichtlinienobjekt auf eine Organisationseinheit, Domäne oder einen Standort angewendet wird.

Standardmäßig haben Domänenadministratoren, Organisationsadministratoren und das lokale System Vollzugriff, auch ohne den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen. Administratoren sind ebenfalls Mitglieder der Gruppe Authentifizierte Benutzer. Das bedeutet, dass Administratoren standardmäßig die Einstellungen im Gruppenrichtlinienobjekt erhalten. Diese Berechtigungen können geändert werden, um den Geltungsbereich auf bestimmte Benutzer, Gruppen oder Computer innerhalb der Organisationseinheit, Domäne oder des Standorts einzuschränken.

In der Gruppenrichtlinien-Verwaltungskonsole werden diese Berechtigungen als einzelne Einheit verwaltet. Die Sicherheitsfilterung für das Gruppenrichtlinienobjekt wird auf der Registerkarte Bereich angezeigt. In der Gruppenrichtlinien-Verwaltungskonsole können Gruppen, Benutzer und Computer als Sicherheitsfilter für jedes Gruppenrichtlinienobjekt hinzugefügt oder entfernt werden.

Verwenden der WMI (Windows-Verwaltungsinstrumentation)-Filterung.

Mithilfe der WMI-Filterung wird das Anwenden eines Gruppenrichtlinienobjekts durch Anfügen einer WQL-Abfrage (WMI Query Language, WMI-Abfragesprache) an ein Gruppenrichtlinienobjekt gefiltert. Die Abfragen können für WMI-Abfragen nach mehreren Elementen verwendet werden. Wenn eine Abfrage für alle abgefragten Elemente True zurückgibt, wird das Gruppenrichtlinienobjekt auf den Zielbenutzer oder -computer angewendet.

Ein Gruppenrichtlinienobjekt wird mit einem WMI-Filter verknüpft und auf einen Zielcomputer angewendet. Der Filter wird dann auf dem Zielcomputer ausgewertet. Wenn der WMI-Filter mit False ausgewertet wird, wird das Gruppenrichtlinienobjekt nicht angewendet (außer wenn auf dem Clientcomputer Windows 2000 ausgeführt wird; in diesem Fall wird der Filter ignoriert und das Gruppenrichtlinienobjekt immer angewendet). Wenn der WMI-Filter mit True ausgewertet wird, wird das Gruppenrichtlinienobjekt angewendet.

Der WMI-Filter wird im Verzeichnis als separates Objekt getrennt vom Gruppenrichtlinienobjekt verwaltet. Ein WMI-Filter muss mit einem Gruppenrichtlinienobjekt verknüpft sein, damit er angewendet wird, und ein WMI-Filter und das mit ihm verknüpfte Gruppenrichtlinienobjekt müssen sich in derselben Domäne befinden. WMI-Filter werden nur in Domänen gespeichert. Jedem Gruppenrichtlinienobjekt kann nur ein WMI-Filter zugeordnet sein. Ein WMI-Filter kann mit mehreren Gruppenrichtlinienobjekten verknüpft werden.

Tipp

Die WMI ist die Microsoft-Implementierung der Brancheninitiative Web-Based Enterprise Management, die Verwaltungsinfrastrukturstandards definiert und eine Möglichkeit bietet, Informationen aus verschiedenen Hardware- und Softwareverwaltungssystemen zu kombinieren. WMI macht Hardwarekonfigurationsdaten zu CPU, Arbeitsspeicher, Speicherplatz und Hersteller sowie Softwarekonfigurationsdaten zu Registrierung, Treibern, Dateisystem, Active Directory, Windows Installer-Dienst, Netzwerkkonfiguration und Anwendungsdaten verfügbar. Daten über einen Zielcomputer können für Verwaltungszwecke genutzt werden, z. B. zur WMI-Filterung von Gruppenrichtlinienobjekten.

Verwenden der Loopbackverarbeitung

Mithilfe dieser Funktion können Sie sicherstellen, dass auf jeden Benutzer, der sich an einem bestimmten Computer anmeldet, die gleiche Gruppe von Richtlinieneinstellungen angewendet wird, und zwar unabhängig von der Position des Benutzers in Active Directory.

Die Loopbackverarbeitung ist eine erweiterte Gruppenrichtlinieneinstellung, die auf Computern in bestimmten straff verwalteten Umgebungen (wie Server, Kioske, Labore, Kursräume oder Empfangsbereiche) hilfreich ist. Durch Festlegen der Loopbackverarbeitung werden die Richtlinieneinstellungen unter Benutzerkonfiguration in Gruppenrichtlinienobjekten, die auf den Computer angewendet werden, auf jeden Benutzer angewendet, der sich an dem betreffenden Computer anmeldet, und zwar anstelle von (im Modus Ersetzen) bzw. zusätzlich zu (im Modus Zusammenführen) den Benutzereinstellungen unter Benutzerkonfiguration.

Um die Loopbackverarbeitung festzulegen, können Sie die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie verwenden. Diese Einstellung befindet sich im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.

Zur Verwendung der Loopbackverarbeitung muss sich sowohl das Benutzerkonto als auch das Computerkonto in einer Domäne mit Windows Server 2003, Windows Server 2008 oder Windows Server 2012 befinden. Die Loopbackverarbeitung kann nicht für Computer verwendet werden, die Mitglied einer Arbeitsgruppe sind.

Administrative Vorlagen

Die Gruppenrichtlinienerweiterung für administrative Vorlagen besteht aus einem serverseitigen MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen und einer clientseitigen Erweiterung zum Festlegen von Registrierungsschlüsseln auf Zielcomputern. Richtlinien mit administrativen Vorlagen werden auch als registrierungsbasierte Richtlinien oder Registrierungsrichtlinien bezeichnet.

Administrative Vorlagendateien

Administrative Vorlagendateien sind XML-Dateien, die aus einer Hierarchie von Kategorien und Unterkategorien bestehen und zum Definieren der Darstellung von Optionen im Gruppenrichtlinienobjekt-Editor und in der Gruppenrichtlinien-Verwaltungskonsole dienen. Sie geben außerdem die Registrierungsorte an, die von Richtlinieneinstellungskonfigurationen betroffen sind. Dazu gehören die Werte "Standard" (nicht konfiguriert), "Aktiviert" und "Deaktiviert" der Richtlinieneinstellungen. Die Vorlagen sind in zwei Dateiversionen verfügbar: als ADMX- und als ADML-Dateien. Die ADML-Dateien sind sprachspezifische Versionen der ADMX-Dateien. Die ADMX- und ADML-Dateien können auf Computern unter Windows Vista, Windows 7, Windows 8, Windows Server 2008 oder Windows Server 2012 verwendet werden.

Die Funktionen der administrativen Vorlagendateien ist beschränkt. ADMX- oder ADML-Dateien aktivieren eine Benutzeroberfläche zum Konfigurieren von Richtlinieneinstellungen. Administrative Vorlagendateien selbst enthalten keine Richtlinieneinstellungen. Die Richtlinieneinstellungen befinden sich auf Domänencontrollern in Dateien vom Typ "Registry.pol" im Ordner "Sysvol".

Das serverseitige Snap-In für administrative Vorlagen stellt den Knoten Administrative Vorlagen bereit, der im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration und unter Benutzerkonfiguration angezeigt wird. Die Einstellungen unter Computerkonfiguration dienen zum Ändern der Registrierungseinstellungen für den Computer. Die Einstellungen unter Benutzerkonfiguration dienen zum Ändern der Registrierungseinstellungen für Benutzer. Zwar sind für einige Richtlinieneinstellungen einfache Benutzeroberflächenelemente wie Textfelder zur Eingabe von Werten erforderlich, die meisten Richtlinieneinstellungen enthalten aber lediglich die folgenden Optionen:

  • Aktiviert: Die Richtlinie wird erzwungen. Einige Richtlinieneinstellungen bieten zusätzliche Optionen, die das Verhalten beim Aktivieren der Richtlinie definieren.

  • Deaktiviert: Für die meisten Richtlinieneinstellungen wird mit dieser Einstellung das entgegengesetzte Verhalten zum Status Aktiviert erzwungen. Wenn beispielsweise mit Aktiviert der Featurestatus als Aus erzwungen wird, wird der Featurestatus mit Deaktiviert als Ein erzwungen.

  • Nicht konfiguriert: Die Richtlinie wird nicht erzwungen. Dies ist der Standardstatus für die meisten Einstellungen.

Die administrativen Vorlagendateien werden an Speicherorten auf dem lokalen Computer gespeichert, wie in der folgenden Tabelle gezeigt.

Dateityp Ordner

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<sprachspezifischer Ordner, z. B. en-us>

Sie können ADMX- und ADML-Dateien auch an einem zentralen Speicherort in den Ordnern auf dem Domänencontroller speichern, wie in der folgenden Tabelle gezeigt.

Dateityp Ordner

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<sprachspezifischer Ordner, z. B. en-us>

Weitere Informationen zum Speichern und Verwenden der Vorlagen in einem zentralen Speicher finden Sie im Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien unter „Gruppenrichtlinien und SYSVOL“.

Administrative Vorlagendateien für Office 2013

Administrative Vorlagendateien für Office 2013 sind als separater Download verfügbar und ermöglichen Folgendes:

  • Steuern von Einstiegspunkten ins Internet aus Office 2013-Anwendungen

  • Verwalten von Sicherheit in den Office 2013-Anwendungen

  • Ausblenden von Einstellungen und Optionen, die Benutzer nicht für ihre Aufgaben benötigen und die ablenken oder unnötige Anrufe beim Support verursachen könnten

  • Erstellen einer stark verwalteten Standardkonfiguration auf den Benutzercomputern

Administrative Vorlagen für Office 2013 können unter Administrative Vorlagendateien für Gruppenrichtlinien (ADMX, ADML) und Dateien des Office-Anpassungstools (OCT) für Office 2013 heruntergeladen werden.

Die administrativen Vorlagen für Office 2013 werden in der folgenden Tabelle gezeigt.

Anwendung Administrative Vorlagendateien

Access 2013

access15.admx, access15.adml

Excel 2013

excel15.admx, excel15.adml

InfoPath 2013

inf15.admx, inf15.adml

Lync 2013

lync15.admx, lync15.adml

Office 2013

office15.admx, office15.adml

OneNote 2013

onent15.admx, onent15.adml

Outlook 2013

outlk15.admx, outlk15.adml

PowerPoint 2013

ppt15.admx, ppt15.adml

Project 2013

proj15.admx, proj15.adml

Publisher 2013

pub15.admx, pub15.adml

SharePoint Designer 2013

spd15.admx, spd15.adml

Visio 2013

visio15.admx, visio15.adml

Word 2013

word15.admx, word15.adml

Wichtig

Mit "Gruppenrichtlinie" können Sie die folgenden Office 2013-Versionen verwalten:

  • Office-Suites über Volumenlizenzierung. Beispiel: Office Standard 2013.

  • Einzelne Office-Programme, die im Einzelhandel oder über die Volumenlizenzierung verkauft werden.

Wenn Sie Office als Teil von Office 365 erwerben, hängt es von Ihrer Lizenz ab, ob Sie mit „Gruppenrichtlinie“ die Office-Programme verwalten können oder nicht. Die Dienstbeschreibung zu Office-Anwendungen listet auf, welche Office 365-Pläne die „Gruppenrichtlinie“ unterstützen.

Echte Richtlinien und Benutzervoreinstellungen

Gruppenrichtlinieneinstellungen, die von Administratoren vollständig verwaltet werden können, werden als echte Richtlinien bezeichnet. Einstellungen, die von Benutzern konfiguriert werden (aber ggf. dem Standardzustand des Betriebssystems zum Zeitpunkt der Installation entsprechen), werden als Voreinstellungen bezeichnet. Sowohl echte Richtlinien als auch Voreinstellungen enthalten Informationen, mit denen die Registrierung auf Benutzercomputern geändert wird.

Echte Richtlinien

Registrierungswerte für echte Richtlinien werden unter den genehmigten Registrierungsschlüsseln für Gruppenrichtlinien gespeichert. Benutzer können diese Einstellungen nicht ändern oder deaktivieren.

Für Computerrichtlinieneinstellungen:

  • HKEY_LOCAL_MACHINE\Software\Policies (bevorzugter Speicherort)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Für Benutzerrichtlinieneinstellungen:

  • HKEY_CURRENT_USER\Software\Policies (bevorzugter Speicherort)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Für Office 2013 werden echte Richtlinien in folgenden Registrierungsorten gespeichert.

Für Computerrichtlinieneinstellungen:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0

Für Benutzerrichtlinieneinstellungen:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\15.0

Voreinstellungen

Voreinstellungen werden durch Benutzer oder vom Betriebssystem zum Zeitpunkt der Installation festgelegt. Die Registrierungswerte, in denen Voreinstellungen gespeichert werden, befinden sich außerhalb der genehmigten Gruppenrichtlinienschlüssel. Benutzer können ihre Voreinstellungen ändern.

Wenn Sie Voreinstellungen mithilfe eines Gruppenrichtlinienobjekts konfigurieren, gelten für die erstellten Gruppenrichtlinienobjekte keine Einschränkungen durch Zugriffssteuerungslisten. Daher können Benutzer diese Werte in der Registrierung ändern. Verlässt das Gruppenrichtlinienobjekt den Gültigkeitsbereich (wenn die Verknüpfung des Gruppenrichtlinienobjekts aufgehoben oder das Gruppenrichtlinienobjekt deaktiviert bzw. gelöscht wird), werden diese Werte nicht aus der Registrierung entfernt.

Klicken Sie zum Anzeigen von Voreinstellungen im Gruppenrichtlinienobjekt-Editor nacheinander auf die Knoten Administrative Vorlagen, Ansicht und Filterung, und deaktivieren Sie anschließend das Kontrollkästchen Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen.

Gruppenrichtlinien-Verwaltungstools

Mithilfe der folgenden Tools werden Gruppenrichtlinien von Administratoren verwaltet:

  • Gruppenrichtlinien-Verwaltungskonsole: Dient zum Verwalten der meisten Verwaltungsaufgaben für Gruppenrichtlinien.

  • Gruppenrichtlinienobjekt-Editor: Dient zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten.

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) erleichtert die Verwaltung von Gruppenrichtlinien, da sie ein zentrales Tool zur Verwaltung der wichtigsten Aspekte von Gruppenrichtlinien bereitstellt, z. B. die Bereichsdefinition, das Delegieren und Filtern sowie das Bearbeiten der Vererbung von Gruppenrichtlinienobjekten. Die Gruppenrichtlinien-Verwaltungskonsole kann auch zum Sichern (Exportieren), Wiederherstellen, Importieren und Kopieren von Gruppenrichtlinienobjekten verwendet werden. Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole vorhersagen, welche Auswirkungen Gruppenrichtlinienobjekte auf das Netzwerk haben werden, und ermitteln, wie Einstellungen für einen Computer oder Benutzer durch Gruppenrichtlinienobjekte geändert wurden. Die Gruppenrichtlinien-Verwaltungskonsole ist das bevorzugte Tool für die meisten Gruppenrichtlinienaufgaben in einer Domänenumgebung.

Die Gruppenrichtlinien-Verwaltungskonsole enthält eine Ansicht der Gruppenrichtlinienobjekte, Standorte, Domänen und Organisationseinheiten im gesamten Unternehmen und kann zum Verwalten von Windows Server 2003-, Windows Server 2008- und Windows Server 2012-Domänen verwendet werden. Administratoren führen mithilfe der Gruppenrichtlinien-Verwaltungskonsole sämtliche Verwaltungsaufgaben für Gruppenrichtlinien aus. Hiervon ausgenommen ist lediglich das Konfigurieren einzelner Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Hierzu wird der Gruppenrichtlinienobjekt-Editor verwendet, der in der Gruppenrichtlinien-Verwaltungskonsole geöffnet wird.

Administratoren erstellen in der Gruppenrichtlinien-Verwaltungskonsole ein Gruppenrichtlinienobjekt ohne Anfangseinstellungen. Ein Administrator kann ein Gruppenrichtlinienobjekt auch gleich beim Erstellen mit einem Active Directory-Container verknüpfen. Zum Konfigurieren einzelner Einstellungen innerhalb eines Gruppenrichtlinienobjekts bearbeitet der Administrator das Gruppenrichtlinienobjekt innerhalb der Gruppenrichtlinien-Verwaltungskonsole. Der Gruppenrichtlinienobjekt-Editor wird mit dem geladenen Gruppenrichtlinienobjekt angezeigt.

Administratoren können mithilfe der Gruppenrichtlinien-Verwaltungskonsole Gruppenrichtlinienobjekte mit Standorten, Domänen oder Organisationseinheiten in Active Directory verknüpfen. Administratoren müssen Gruppenrichtlinienobjekte verknüpfen, um Einstellungen auf Benutzer und Computer in Active Directory-Containern anzuwenden.

Die Gruppenrichtlinien-Verwaltungskonsole enthält die folgenden Features für Richtlinienergebnissätze, die von Windows bereitgestellt werden:

  • Gruppenrichtlinienmodellierung: Simuliert die Richtlinieneinstellungen, die unter den vom Administrator festgelegten Umständen angewendet werden. Administratoren können mithilfe der Gruppenrichtlinienmodellierung die Richtlinienergebnissatz-Daten simulieren, die für eine vorhandene Konfiguration angewendet werden würden, oder sie können die Auswirkungen von simulierten hypothetischen Änderungen an der Verzeichnisumgebung analysieren.

  • ** Gruppenrichtlinienergebnisse:** Stellen die tatsächlichen Richtliniendaten dar, die auf einen Computer und Benutzer angewendet werden. Die Daten werden durch Abfragen des Zielcomputers und Abrufen der Richtlinienergebnissatz-Daten bezogen, die auf den betreffenden Computer angewendet wurden. Die Funktion zum Ermitteln der Gruppenrichtlinienergebnisse wird vom Clientbetriebssystem bereitgestellt und erfordert Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 oder Windows Server 2012.

Gruppenrichtlinienobjekt-Editor

Der Gruppenrichtlinienobjekt-Editor ist ein MMC-Snap-In zum Konfigurieren von Richtlinieneinstellungen in Gruppenrichtlinienobjekten. Der Gruppenrichtlinienobjekt-Editor befindet sich in "gpedit.dll" und wird zusammen mit den Betriebssystemen Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 und Windows Server 2012 installiert.

Verwenden Sie zum Konfigurieren von Gruppenrichtlinieneinstellungen für einen lokalen Computer, der nicht Mitglied einer Domäne ist, den Gruppenrichtlinienobjekt-Editor, um ein lokales Gruppenrichtlinienobjekt (oder mehrere Gruppenrichtlinienobjekte auf Computern unter Windows Vista, Windows 7, Windows 8, Windows Server 2008 oder Windows Server 2012) zu verwalten. Zum Konfigurieren von Gruppenrichtlinieneinstellungen in einer Domänenumgebung ist die Gruppenrichtlinien-Verwaltungskonsole, die den Gruppenrichtlinienobjekt-Editor aufruft, das bevorzugte Tool für Gruppenrichtlinien-Verwaltungsaufgaben.

Der Gruppenrichtlinienobjekt-Editor bietet Administratoren eine hierarchische Baumstruktur zum Konfigurieren von Gruppenrichtlinieneinstellungen in Gruppenrichtlinienobjekten und besteht aus den folgenden zwei Hauptknoten:

  • Benutzerkonfiguration: Enthält Einstellungen, die auf Benutzer angewendet werden, wenn diese sich anmelden, sowie bei der regelmäßigen Hintergrundaktualisierung.

  • Computerkonfiguration: Enthält Einstellungen, die beim Starten und bei der regelmäßigen Hintergrundaktualisierung auf Computer angewendet werden.

Diese beiden Hauptknoten sind in Ordner unterteilt, die die verschiedenen Typen von Richtlinieneinstellungen enthalten, die festgelegt werden können. Zu diesen Ordnern gehören folgende:

  • ** Softwareeinstellungen:** Enthält Einstellungen für die Softwareinstallation.

  • Windows-Einstellungen: Enthält Sicherheitseinstellungen und Skriptrichtlinieneinstellungen.

  • Administrative Vorlagen: Enthält registrierungsbasierte Richtlinieneinstellungen.

Systemanforderungen für die Gruppenrichtlinien-Verwaltungskonsole und den Gruppenrichtlinienobjekt-Editor

Der Gruppenrichtlinienobjekt-Editor ist Teil der Gruppenrichtlinien-Verwaltungskonsole und wird aufgerufen, wenn Sie ein Gruppenrichtlinienobjekt bearbeiten. Die Gruppenrichtlinien-Verwaltungskonsole kann unter Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 und Windows Server 2012 ausgeführt werden. Die Anforderungen variieren je nach Windows-Betriebssystem:

Weitere Informationen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole und des Gruppenrichtlinienobjekt-Editors finden Sie unter Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien in Office 2010.

Office-Anpassungstool und Gruppenrichtlinien

Administratoren können zum Anpassen von Benutzerkonfigurationen für Office 2013-Anwendungen das Office-Anpassungstool (OAT) oder Gruppenrichtlinien verwenden:

  • Office-Anpassungstool (OAT): Wird zum Erstellen einer Setupanpassungsdatei (MSP-Datei) verwendet. Administratoren können mithilfe des OAT Features anpassen und Benutzereinstellungen konfigurieren. Benutzer können die meisten Einstellungen nach der Installation ändern. Dies ist darauf zurückzuführen, dass mit dem OAT Einstellungen in öffentlich zugänglichen Teilen der Registrierung konfiguriert werden (beispielsweise unter HKEY_CURRENT_USER/Software/Microsoft/Office/15.0). Dieses Tool wird in der Regel in Unternehmen verwendet, die Desktopkonfigurationen nicht zentral verwalten. Weitere Informationen finden Sie unter Referenz für Office-Anpassungstool (OAT) in Office 2013.

  • Gruppenrichtlinien: Werden verwendet, um die Office 2013-Richtlinieneinstellungen in administrativen Vorlagen zu konfigurieren. Diese Richtlinieneinstellungen werden vom Betriebssystem erzwungen. In einer Active Directory-Umgebung können Administratoren Richtlinieneinstellungen auf Gruppen von Benutzern und Computern an einem Standort, in einer Domäne oder in einer Organisationseinheit anwenden, mit dem bzw. mit der ein Gruppenrichtlinienobjekt verknüpft ist. Echte Richtlinieneinstellungen werden in die genehmigten Registrierungsschlüssel für Richtlinien geschrieben. Für diese Einstellungen gelten Einschränkungen durch Zugriffssteuerungslisten, die verhindern, dass sie von Nichtadministratoren geändert werden. Administratoren können mithilfe von Gruppenrichtlinien streng verwaltete Desktopkonfigurationen erstellen. Sie können auch weniger strenge Konfigurationen erstellen, um den Unternehmens- und Sicherheitsanforderungen ihrer Organisation gerecht zu werden. Weitere Informationen zum Office-Anpassungstool finden Sie unter Referenz für Office-Anpassungstool (OAT) in Office 2013.

Siehe auch

Planen von Gruppenrichtlinien für Office 2013
Deaktivieren von Benutzeroberflächenelementen und Tastenkombinationen in Office 2013 mithilfe von Gruppenrichtlinien
Administrative Vorlagendateien für Gruppenrichtlinien (ADMX, ADML) und Dateien des Office-Anpassungstools (OCT) für Office 2013

Windows Server – Gruppenrichtlinien
Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien