(0) exportieren Drucken
Alle erweitern

Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien

Letzte Aktualisierung: Januar 2009

Betrifft: Windows Server 2008

Mithilfe der Gruppenrichtlinien in Windows Server 2008 können Sie Konfigurationen für Gruppen von Computern und Benutzern verwalten. Dazu zählen Optionen für registrierungsbasierende Richtlinieneinstellungen, Sicherheitseinstellungen, die Softwarebereitstellung, Skripts, die Ordnerumleitung und lokale Einstellungen. Bei den in Windows Server 2008 neu eingeführten lokalen Einstellungen für die Gruppenrichtlinien handelt es sich um über 20 Gruppenrichtlinienerweiterungen, mit denen noch mehr Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) konfiguriert werden können. Im Gegensatz zu Gruppenrichtlinieneinstellungen werden die lokalen Einstellungen nicht erzwungen. Die lokalen Einstellungen können nach der Erstbereitstellung geändert werden. Informationen zu den lokalen Einstellungen für die Gruppenrichtlinien finden Sie unter Übersicht über die lokalen Einstellungen für die Gruppenrichtlinien (möglicherweise in englischer Sprache).

Mithilfe von Gruppenrichtlinien können Sie die Gesamtbetriebskosten einer Organisation erheblich reduzieren. Verschiedene Faktoren, z. B. ein hohe Anzahl verfügbarer Richtlinieneinstellungen, die Interaktion zwischen mehreren Richtlinien sowie Vererbungsoptionen, können zu einem komplexen Gruppenrichtlinienentwurf beitragen. Wenn Sie beim Planen, Entwerfen, Testen und Bereitstellen einer auf den Geschäftsanforderungen der Organisation basierenden Lösung mit Bedacht vorgehen, können Sie genau die Standardfunktionen, die Sicherheit und die Kontrolle über die Verwaltung bereitstellen, die Ihre Organisation benötigt.

Übersicht über Gruppenrichtlinien

Gruppenrichtlinien unterstützen die auf Active Directory basierende Änderungs- und Konfigurationsverwaltung von Benutzer- und Computereinstellungen auf Computern, auf denen Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP ausgeführt wird. Sie können mit Gruppenrichtlinien nicht nur Konfigurationen für Gruppen von Benutzern und Computern definieren, sondern auch die Verwaltung von Servercomputern unterstützen, indem Sie zahlreiche serverspezifischen Betriebs- und Sicherheitseinstellungen konfigurieren.

Die von Ihnen erstellten Gruppenrichtlinieneinstellungen sind in einem GPO enthalten. Sie können ein GPO in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erstellen und bearbeiten. Wenn Sie die GPMC verwenden, um ein GPO mit ausgewählten Active Directory-Standorten, -Domänen und -Organisationseinheiten zu verknüpfen, wenden Sie die Richtlinieneinstellung in der GPO auf die Benutzer und Computers in den jeweiligen Active Directory-Objekten an. Eine Organisationseinheit ist der Active Directory-Container der untersten Ebene, dem Sie Gruppenrichtlinieneinstellungen zuweisen können.

Damit Sie fundierte Entscheidungen hinsichtlich des Gruppenrichtlinienentwurfs treffen können, müssen Sie die Geschäftsanforderungen Ihrer Organisation, die Vereinbarungen zum Servicelevel und die Anforderungen hinsichtlich Sicherheit, Netzwerk und IT genau kennen. Analysieren Sie die aktuelle Umgebung und die Anforderungen der Benutzer, definieren Sie die Unternehmensziele, die Sie mithilfe von Gruppenrichtlinien erfüllen möchten, und beachten Sie die Anweisungen zum Entwerfen einer Gruppenrichtlinieninfrastruktur, um ein Verfahren zu entwickeln, mit dem die Anforderungen Ihrer Organisation optimal unterstützt werden.

Prozess für das Implementieren einer Gruppenrichtlinienlösung

Der Prozess für das Implementieren einer Gruppenrichtlinienlösung umfasst das Planen, Entwerfen, Bereitstellen und Warten der Lösung.

Erstellen Sie beim Planen des Gruppenrichtlinienentwurfs auf jeden Fall die Organisationseinheitsstruktur, um die Verwaltbarkeit von Gruppenrichtlinien zu vereinfachen und die Vereinbarungen zum Servicelevel einzuhalten. Erstellen Sie praktische betriebliche Verfahren für die Arbeit mit GPOs. Machen Sie sich mit Interoperabilitätsproblemen bei Gruppenrichtlinien vertraut, und legen Sie fest, ob die Softwarebereitstellung über Gruppenrichtlinien erfolgen soll.

In der Entwurfsphase auszuführende Aufgaben:

  • Definieren Sie den Anwendungsbereich von Gruppenrichtlinien.

  • Geben Sie die Richtlinieneinstellungen an, die für alle Benutzer im Unternehmen gelten.

  • Klassifizieren Sie Benutzer und Computer basierend auf ihren Rollen und Standorten.

  • Planen Sie die Desktopkonfigurationen basierend auf den Anforderungen von Benutzern und Computern.

Mithilfe eines gut durchdachten Entwurfs können Sie eine erfolgreiche Bereitstellung von Gruppenrichtlinien sicherstellen.

Zu Beginn der Bereitstellungsphase erfolgt das Staging in einer Testumgebung. Dieser Vorgang umfasst folgende Schritte:

  • Erstellen von Standarddesktopkonfigurationen

  • Filtern des Anwendungsbereichs der Gruppenrichtlinien

  • Festlegen der Ausnahmen von der Standardvererbung von Gruppenrichtlinien

  • Delegieren der Verwaltung von Gruppenrichtlinien

  • Auswerten der geltenden Richtlinieneinstellungen mithilfe der Gruppenrichtlinienmodellierung

  • Auswerten der Ergebnisse mithilfe von Gruppenrichtlinienergebnissen

Staging ist ein wichtiger Vorgang. Testen Sie die Gruppenrichtlinienimplementierung sorgfältig in einer Testumgebung, bevor Sie sie in der Produktionsumgebung bereitstellen. Nach Beendigung der Staging- und der Testphase führen Sie die Migration des GPO zur Produktionsumgebung mithilfe der GPMC aus. Ziehen Sie eine iterative Implementierung von Gruppenrichtlinien in Betracht: Anstatt 100 neue Gruppenrichtlinieneinstellungen bereitzustellen, können Sie zunächst nur wenige Richtlinieneinstellungen in einer Stagingumgebung und dann in der Produktionsumgebung bereitstellen, um zu überprüfen, ob die Gruppenrichtlinieninfrastruktur gut funktioniert.

Treffen Sie schließlich die Vorbereitungen für die Gruppenrichtlinienverwaltung. Erstellen Sie dazu in der GPMC Prüfverfahren zum Arbeiten mit GPOs und zum Behandeln von Problemen mit GPOs.

noteHinweis
Mit der erweiterten Gruppenrichtlinienverwaltung von Microsoft (Advanced Group Policy Management, AGPM) werden der GPMC durch die Bereitstellung einer umfassenden Änderungssteuerung und einer verbesserten Verwaltung von GPOs Funktionen hinzugefügt. Weitere Informationen zu AGPM finden Sie auf der Microsoft Desktop Optimization Pack-Website (MDOP) (http://go.microsoft.com/fwlink/?LinkId=100757, möglicherweise in englischer Sprache).

Vor dem Entwurf der Gruppenrichtlinienlösung auszuführende Aufgaben

Bevor Sie die Gruppenrichtlinienimplementierung entwerfen, müssen Sie sich mit der aktuellen Organisationumgebung vertraut machen und Vorbereitungen in folgenden Bereichen treffen:

  • Active Directory: Stellen Sie sicher, dass der Entwurf der Active Directory-Organisationseinheiten für alle Domänen in der Gesamtstruktur die Anwendung von Gruppenrichtlinien unterstützt. Weitere Informationen finden Sie weiter unten in dieser Anleitung unter Entwerfen einer Organisationseinheitsstruktur, die Gruppenrichtlinien unterstützt.

  • Netzwerke: Überprüfen Sie, ob das Netzwerk die Anforderungen von Technologien für Änderungs- und Konfigurationsverwaltung erfüllt. Da in Gruppenrichtlinien beispielsweise vollqualifizierte Domänennamen verwendet werden, muss in der Gesamtstruktur DNS (Directory Name System) ausgeführt werden, damit Gruppenrichtlinien korrekt verarbeitet werden können.

  • Sicherheit: Rufen Sie eine Liste der aktuell in der Domäne verwendeten Sicherheitsgruppen ab. Arbeiten Sie eng mit den Sicherheitsadministratoren zusammen, wenn Sie die Zuständigkeit für die Verwaltung von Organisationseinheiten delegieren und Entwürfe erstellen, für die die Sicherheitsgruppenfilterung erforderlich ist. Weitere Informationen zum Filtern von GPOs finden Sie weiter unten in dieser Anleitung im Abschnitt Definieren des Anwendungsbereichs von Gruppenrichtlinien unter "Verwenden der Sicherheitsfilterung zum Anwenden von GPOs auf ausgewählte Gruppen".

  • IT-Anforderungen: Rufen Sie eine Liste der administrativen Besitzer und der administrativen Standards des Unternehmens für die Domänen und Organisationseinheiten in der Domäne ab. Auf diese Weise können Sie einen durchdachten Delegierungsplan entwickeln und sicherstellen, dass Gruppenrichtlinien korrekt vererbt werden.

noteHinweis
Gruppenrichtlinien sind vom Netzwerk, von der Sicherheit und von Active Directory abhängig, daher ist es unerlässlich, dass Sie sich Kenntnisse dieser Technologien aneignen. Es wird dringend empfohlen, dass Sie sich mit diesen Konzepten vor der Implementierung von Gruppenrichtlinien vertraut machen.

Verwaltungsanforderungen für Gruppenrichtlinien

Damit Gruppenrichtlinien genutzt werden können, muss in der Organisation Active Directory verwendet werden, und auf den Zieldesktop- und Servercomputern muss Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP ausgeführt werden.

Standardmäßig können nur Mitglieder der Gruppen Domänen-Admins oder Organisations-Admins GPOs erstellen und verknüpfen. Sie können diese Aufgabe jedoch an andere Benutzer delegieren. Weitere Informationen zu den Verwaltungsanforderungen für Gruppenrichtlinien finden weiter unten in dieser Anleitung Sie unter Delegieren der Verwaltung von Gruppenrichtlinien.

Die GPMC

Die GPMC ermöglicht eine einheitliche Verwaltung aller Aspekte von Gruppenrichtlinien in mehreren Gesamtstrukturen in einer Organisation. Sie können in der GPMC alle GPOs, WMI-Filter (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) und gruppenrichtlinienbezogenen Berechtigungen im Netzwerk verwalten. Stellen Sie sich die GPMC als primären Ort für den Zugriff auf Gruppenrichtlinien vor, einen Ort, an dem alle Tools für die Verwaltung von Gruppenrichtlinien auf der Oberfläche verfügbar sind.

Die GPMC besteht aus einer Gruppe von skriptfähigen Oberflächen für die Verwaltung von Gruppenrichtlinien und einer MMC-basierten Benutzeroberfläche. Die 32-Bit-Version und die 64-Bit-Version der GPMC werden unter Windows Server 2008 bereitgestellt.

Die GPMC bietet die folgenden Funktionen:

  • Importieren und Exportieren von GPOs.

  • Kopieren und Einfügen von GPOs.

  • Sichern und Wiederherstellen von GPOs.

  • Suchen nach vorhandenen GPOs.

  • Berichtsfunktionen.

  • Gruppenrichtlinienmodellierung. Damit können Sie Richtlinienergebnissatzdaten (Resultant Set of Policy, RsoP) zum Planen von Gruppenrichtlinienbereitstellungen vor der Implementierung in Produktionsumgebungen simulieren.

  • Gruppenrichtlinienergebnisse. Damit können Sie Richtlinienergebnissatzdaten abrufen, um die GPO-Interaktion anzuzeigen und Probleme bei der Gruppenrichtlinienbereitstellung zu behandeln.

  • Unterstützung für Migrationstabellen, um das Importieren und Kopieren von GPOs über Domänen- und Gesamtstrukturgrenzen hinweg zu vereinfachen. Bei einer Migrationstabelle handelt es sich um eine Datei, in der Verweise auf Benutzer, Gruppen, Computer und UNC-Pfade (Universal Naming Convention) im Quell-GPO neuen Werten im Zielobjekt zugeordnet werden.

  • Erstellen von HTML-Berichten über GPO-Einstellungen und Richtlinienergebnissatzdaten, die gespeichert und gedruckt werden können.

  • Skriptfähige Oberflächen, auf denen alle Vorgänge ausgeführt werden können, die in der GPMC verfügbar sind. Allerdings können Sie Skripts nicht verwenden, um einzelne Richtlinieneinstellungen in einer GPO zu bearbeiten.

noteHinweis
Windows Server 2008 enthält nicht die GPMC-Beispielskripts aus früheren Versionen der GPMC. Sie können die GPMC-Beispielskripts für Windows Server 2008 jedoch unter Beispielskripts der Gruppenrichtlinien-Verwaltungskonsole (möglicherweise in englischer Sprache) herunterladen. Weitere Informationen zum Verwenden der GPMC-Beispielskripts finden Sie weiter unten in dieser Anleitung unter Verwalten von Gruppenrichtlinien mithilfe von Skripts.

Durch die GPMC wird die Verwaltung der Gruppenrichtlinienbereitstellung erheblich vereinfacht. Zudem ermöglicht sie Ihnen durch die Bereitstellung einer verbesserten und vereinfachten Oberfläche für die Gruppenrichtlinienverwaltung die optimale Nutzung von Richtlinien.

Entwerfen einer Organisationseinheitsstruktur, die Gruppenrichtlinien unterstützt

In einer Active Directory-Umgebung können Sie Gruppenrichtlinieneinstellungen zuweisen, indem Sie GPOs mit Standorten, Domänen oder Organisationseinheiten verknüpfen. In der Regel werden die meisten GPOs auf Organisationseinheitsebene zugewiesen. Daher müssen Sie sicherstellen, dass die Organisationseinheitsstruktur die gruppenrichtlinienbasierte Clientverwaltungsstrategie unterstützt. Sie können auch einige Gruppenrichtlinieneinstellungen auf Domänenebene anwenden, insbesondere Kennwortrichtlinien. Nur wenige Richtlinieneinstellungen werden auf Standortebene angewendet. Eine gut durchdachte Organisationseinheitsstruktur, die die Verwaltungsstruktur der Organisation widergespiegelt und die GPO-Vererbung nutzt, vereinfacht die Anwendung von Gruppenrichtlinien. So müssen Sie in einer gut durchdachten Organisationseinheitsstruktur beispielsweise bestimmte GPOs nicht duplizieren, um sie auf verschiedene Bereiche der Organisation anzuwenden. Erstellen Sie nach Möglichkeit Organisationseinheiten, um die Verwaltungsautorität zu delegieren und die Gruppenrichtlinienimplementierung zu unterstützen.

Beim Organisationseinheitsentwurf muss das richtige Gleichgewicht zwischen den Anforderungen bezüglich der Delegierung von Administratorrechten unabhängig von den Gruppenrichtlinienanforderungen und der Erfordernis, den Anwendungsbereich von Gruppenrichtlinien zu definieren, gefunden werden. Bei den folgenden Empfehlungen für den Organisationseinheitsentwurf werden Aspekte der Delegierung und der Bereichsdefinition berücksichtigt:

  • Delegieren der Verwaltungsautorität: Sie können Organisationseinheiten in einer Domäne erstellen und die Verwaltungsfunktionalität für bestimmte Organisationseinheiten an bestimmte Benutzer oder Gruppen delegieren. Möglicherweise haben die Anforderungen bezüglich des Delegierens der Verwaltungsautorität Auswirkungen auf die Organisationseinheitsstruktur.

  • Anwenden von Gruppenrichtlinien: Richten Sie Ihr Augenmerk beim Entwerfen einer Organisationseinheitsstruktur in erster Linie auf die Objekte, die verwaltet werden sollen. Möglicherweise möchten Sie eine Struktur erstellen, in der die Organisationseinheiten nach Arbeitsstationen, Servern und Benutzern nahe der obersten Ebene organisiert sind. Je nach Verwaltungsmodell ist es möglicherweise sinnvoll, geografisch basierte Organisationseinheiten als den anderen Organisationseinheiten unter- oder übergeordnete Organisationseinheiten zu definieren und dann die Struktur für jeden Ort zu duplizieren, um eine standortübergreifende Replikation zu vermeiden. Fügen Sie diesen untergeordnete Organisationseinheiten nur hinzu, wenn die Anwendung der Gruppenrichtlinie dadurch klarer wird oder Sie die Verwaltung auf tiefer gelegene Ebenen delegieren müssen.

Durch die Verwendung einer Struktur, in der Organisationseinheiten homogene Objekte enthalten, z. B. entweder nur Benutzerobjekte oder nur Computerobjekte, können Sie ganz einfach die Abschnitte eines GPO deaktivieren, die für den betreffenden Objekttyp nicht gelten. Durch dieses in Abbildung 1 dargestellte Verfahren beim Organisationseinheitsentwurf wird die Komplexität verringert, und die Anwendung von Gruppenrichtlinien erfolgt schneller. Beachten Sie, dass mit höheren Ebenen der Organisationseinheitsstruktur verknüpfte GPOs standardmäßig vererbt werden, sodass es seltener erforderlich ist, GPOs zu duplizieren oder ein GPO mit mehreren Containern zu verknüpfen.

Die wichtigsten Aspekte beim Entwerfen der Active Directory-Struktur sind die Verwaltungsfreundlichkeit und eine einfache Delegierung.

451a6097-641f-4263-b7ae-063c952da0bb

Anwenden von Gruppenrichtlinien auf neue Benutzer- und Computerkonten

Neue Benutzer- und Computerkonten werden standardmäßig in den Containern CN=Benutzer und CN=Computer erstellt. Es ist nicht möglich, Gruppenrichtlinien direkt auf diese Container anzuwenden, jedoch erben sie mit der Domäne verknüpfte GPOs. Zum Anwenden von Gruppenrichtlinien auf die Standardcontainer Users und Computers müssen Sie die neuen Tools Redirusr.exe und Redircomp.exe verwenden.

Redirusr.exe (für Benutzerkonten) und Redircomp.exe (für Computerkonten) sind zwei im Lieferumfang von Windows Server 2008 enthaltene Tools. Mithilfe dieser Tools können Sie den Standardspeicherort ändern, an dem neue Benutzer- und Computerkonten erstellt werden, sodass Sie den Bereich von GPOs einfacher direkt auf neu erstellte Benutzer- und Computerobjekte festlegen können. Diese Tools befinden sich auf Servern mit der Active Directory-Diensterolle unter %windir%\system32.

Durch die erneute Ausführung von Redirusr.exe und Redircomp.exe für jede Domäne kann der Domänenadministrator die Organisationseinheiten angeben, in denen alle neuen Benutzer- und Computerkonten bei ihrer Erstellung platziert werden. Auf diese Weise können Administratoren diese nicht zugewiesenen Konten mithilfe von Gruppenrichtlinien verwalten, bevor sie der Organisationseinheit zugewiesen werden, in der sie endgültig platziert werden. Sie sollten in Erwägung ziehen, die für neue Benutzer- und Computerkonten verwendeten Organisationseinheiten mithilfe von Gruppenrichtlinien einzuschränken, um die Sicherheit dieser Konten zu erhöhen.

Weitere Informationen zum Umleiten von Benutzer- und Computercontainern finden Sie im Artikel 324949, "Umleiten der Container 'Users' und 'Computers' in Windows Server 2003-Domänen", in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=100759).

Überlegungen zu Standorten und zur Replikation

Beachten Sie beim Festlegen der geeigneten Richtlinieneinstellungen die physischen Aspekte von Active Directory, u. a. die geografischen Standorte, die physische Platzierung von Domänencontrollern und die Replikationsgeschwindigkeit.

GPOs werden auf jedem Domänencontroller sowohl in Active Directory als auch im Ordner SYSVOL gespeichert. Für diese Speicherorte werden unterschiedliche Replikationsmechanismen verwendet. Wenn Sie vermuten, dass ein GPO nicht zwischen Domänencontrollern repliziert worden ist, können Sie mit dem Resource Kit-Tool für Gruppenrichtlinienobjekte (Gpotool.exe) Probleme diagnostizieren.

Weitere Informationen zu Gpotool.exe finden Sie auf der Microsoft Hilfe- und Supportwebsite (http://go.microsoft.com/fwlink/?LinkId=109283, möglicherweise in englischer Sprache). Die Windows Server 2008 Resource Kit-Tools können Sie auf der Seite für die Windows Server 2008 Resource Kit-Tools im Microsoft Download Center herunterladen (http://go.microsoft.com/fwlink/?LinkId=4544, möglicherweise in englischer Sprache).

Die Domänencontrollerplatzierung stellt ein Problem dar, wenn langsame Verbindungen vorhanden sind, i. d. R. mit Clients an Remotestandorten. Wenn die Geschwindigkeit der Netzwerkverbindung zwischen einem Client und dem authentifizierenden Domänencontroller unter den Standardschwellenwert für langsame Verbindung von 500 Kilobits pro Sekunde fällt, werden standardmäßig nur die (registrierungsbasierenden) Einstellungen für administrative Vorlagen, die neue Richtlinienerweiterung für Drahtlosnetzwerke und Sicherheitseinstellungen angewendet. Alle anderen Gruppenrichtlinieneinstellungen werden nicht standardmäßig angewendet. Sie können dieses Verhalten jedoch mithilfe von Gruppenrichtlinien ändern.

Sie können den Schwellenwert für langsame Verbindung mithilfe der Gruppenrichtlinien zur Erkennung von langsamen Verbindungen für die Benutzer- und Computeraspekte eines GPO ändern. Bei Bedarf können Sie auch anpassen, welche Gruppenrichtlinienerweiterungen unter dem Schwellenwert für langsame Verbindung verarbeitet werden. Selbst dann ist es jedoch möglicherweise eher empfehlenswert, zur Erfüllung der Verwaltungsanforderungen einen lokalen Domänencontroller an einem Remotestandort zu platzieren.

Einhalten von Vereinbarungen zum Servicelevel

In einigen IT-Gruppen werden Vereinbarungen zum Servicelevel verwendet, um anzugeben, wie Dienste ausgeführt werden sollen. So könnte in einer Vereinbarung zum Servicelevel z. B. festgelegt werden, wie lange der Start des Computers und die Anmeldung maximal dauern dürfen, wie lange Benutzer den Computer nach der Anmeldung verwenden können usw. In Vereinbarungen zum Servicelevel werden häufig Standards für das Dienstreaktionsverhalten festgelegt. Beispielsweise kann in einer Vereinbarung zum Servicelevel definiert werden, wie viel Zeit einem Benutzer eingeräumt wird, um eine neue Softwareanwendung zu erhalten oder Zugriff auf ein zuvor deaktiviertes Feature zu erlangen. Das Dienstreaktionsverhalten kann durch Probleme wie die Standort- und Replikationstopologie, die Positionierung von Domänencontrollern sowie den Standort von Gruppenrichtlinienadministratoren beeinträchtigt werden.

Zur Verkürzung der für die Verarbeitung eines GPO erforderlichen Zeit können Sie eine der folgenden Strategien in Erwägung ziehen:

  • Wenn ein GPO nur Computer- oder Benutzerkonfigurationseinstellungen enthält, deaktivieren Sie den nicht zutreffenden Abschnitt der Richtlinieneinstellung. In diesem Fall überprüft der Zielcomputer die deaktivieren Abschnitte eines GPO nicht, wodurch sich die Verarbeitungszeit reduziert. Informationen zum Deaktivieren von Abschnitten eines GPO finden Sie weiter unten in dieser Anleitung unter Deaktivieren der Benutzer- oder Computerkonfigurationseinstellungen in einem GPO.

  • Kombinieren Sie nach Möglichkeit kleinere GPOs in einem konsolidierten GPO. Auf diese Weise wird die Anzahl der auf einen Benutzer oder Computer angewendeten GPOs reduziert. Wenn weniger GPOs auf einen Benutzer oder Computer angewendet werden, nehmen der Systemstart und die Anmeldung möglicherweise weniger Zeit in Anspruch, und die Problembehandlung für die Richtlinienstruktur wird vereinfacht.

  • Die an GPOs vorgenommenen Änderungen werden in Domänencontroller repliziert und führen zu neuen Downloads auf Client- oder Zielcomputers. Wenn Sie mit umfangreichen oder komplexen GPOs arbeiten, die häufig geändert werden müssen, sollten Sie die Erstellung eines neuen GPO, das nur die häufig aktualisierten Abschnitte enthält, in Erwägung ziehen. Testen Sie dieses Verfahren, um zu ermitteln, ob die Vorteile einer geringeren Netzwerkbelastung und einer verbesserten Verarbeitungszeit auf dem Zielcomputer den potenziell höheren Aufwand bei der Problembehandlung für eine komplexere GPO-Struktur überwiegen.

  • Sie sollten einen Änderungssteuerungsprozess für Gruppenrichtlinien implementieren und alle an GPOs vorgenommenen Änderungen protokollieren. Diese Vorgehensweise ist hilfreich für die Problembehandlung und das Lösen von Problemen mit GPOs. Außerdem halten Sie auf diese Weise Vereinbarungen zum Servicelevel ein, denen zufolge Protokolle geführt werden müssen. Zum Implementieren eines Änderungssteuerungsprozesses für GPOs sowie zum Verwalten von GPOs wird die Verwendung von AGPM empfohlen.

Definieren von Gruppenrichtlinienzielen

Wenn Sie die Bereitstellung von Gruppenrichtlinien planen, identifizieren Sie die spezifischen Geschäftsanforderungen, und ermitteln Sie, wie diese mithilfe von Gruppenrichtlinien erfüllt werden können. Anschließend können Sie die Richtlinieneinstellungen und Konfigurationsoptionen bestimmen, die Ihren Anforderungen am besten entsprechen.

Die Ziele für eine Gruppenrichtlinienimplementierung variieren je nach Standort, Aufgabenbereich und Computererfahrung der Benutzer sowie den Sicherheitsanforderungen des Unternehmens. In bestimmten Fällen ist es u. U. angebracht, bestimmte Funktionalität von den Computern der Benutzern zu entfernen, sodass diese keine Systemkonfigurationsdateien ändern können (wodurch die Computerleistung beeinträchtigt werden kann). Möglicherweise entfernen Sie auch Anwendungen, die die Benutzer zur Erledigung ihrer Aufgaben nicht benötigen. In anderen Fällen verwenden Sie Gruppenrichtlinien möglicherweise zum Konfigurieren von Betriebssystemoptionen, zum Angeben von Internet Explorer-Einstellungen oder zum Einrichten einer Sicherheitsrichtlinie.

Wenn Sie sich eingehend über die aktuelle Organisationumgebung und die Anforderungen informiert haben, können Sie einen Plan entwerfen, der den Anforderungen Ihrer Organisation optimal gerecht wird. Dabei ist es wichtig, Informationen zu den verschiedenen Benutzertypen, die nach ihren Tätigkeiten, wie z. B. übliche Büroanwendertätigkeiten oder reine Dateneingabe, unterschieden werden, sowie zu den vorhandenen und geplanten Computerkonfigurationen zu sammeln. Auf Grundlage dieser Informationen können Sie die Gruppenrichtlinienziele definieren.

Auswerten von bisher im Unternehmen verwendeten Verfahren

Beginnen Sie zum Ermitteln der geeigneten Gruppenrichtlinieneinstellungen mit dem Auswerten der aktuell in der Unternehmensumgebung verwendeten Verfahren. Beachten Sie dabei u. a. folgende Faktoren:

  • Benutzeranforderungen für verschiedene Benutzertypen

  • Aktuelle IT-Rollen, z. B. die verschiedenen auf Administratorgruppen aufgeteilten Verwaltungsaufgaben

  • Vorhandene Sicherheitsrichtlinien des Unternehmens

  • Sonstige Sicherheitsanforderungen für Server- und Clientcomputer

  • Softwareverteilungsmodell

  • Netzwerkkonfiguration

  • Speicherorte und -verfahren für Daten

  • Aktuelle Benutzer- und Computerverwaltung

Definieren der Gruppenrichtlinienziele

Als Nächstes legen Sie im Rahmen der Definition der Ziele für Gruppenrichtlinien Folgendes fest:

  • Den Zweck jedes GPO

  • Den Besitzer jedes GPO, d. h. die Person, die die Richtlinieneinstellung angefordert hat und für diese verantwortlich ist

  • Die Anzahl zu verwendender GPOs

  • Den geeigneten Container für die Verknüpfung jedes einzelnen GPO (Standort, Domäne oder Organisationseinheit)

  • Die Typen der in jedem einzelnen GPO enthaltenen Richtlinieneinstellungen sowie die geeigneten für Benutzer und Computer zu verwendenden Richtlinieneinstellungen

  • Fälle, in denen Ausnahmen in der Standardverarbeitungsreihenfolge für Gruppenrichtlinien festgelegt werden müssen

  • Fälle, in denen Filteroptionen für Gruppenrichtlinien festgelegt werden müssen

  • Die zu installierenden Softwareanwendungen und ihre Speicherorte

  • Die für die Ordnerumleitung zu verwendenden Netzwerkfreigaben

  • Den Speicherort von auszuführenden Anmelde-, Abmelde- und Startskripts sowie Skripts zum Herunterfahren des Computers

Planen der laufenden Verwaltung von Gruppenrichtlinien

Beim Entwerfen und Implementieren der Gruppenrichtlinienlösung ist es auch wichtig, die laufende Verwaltung der Gruppenrichtlinien zu planen. Durch die Festlegung von Verwaltungsverfahren zum Nachverfolgen und Verwalten von GPOs kann sichergestellt werden, dass alle Änderungen in einer vorgeschriebenen Weise implementiert werden.

Zur Vereinfachung und Steuerung der laufenden Verwaltung von Gruppenrichtlinien wird Folgendes empfohlen:

  • Stellen Sie Gruppenrichtlinien stets in einer Stagingumgebung bereit, indem Sie folgende Schritte ausführen:

    • Verwenden Sie die Gruppenrichtlinienmodellierung, um zu verstehen, wie ein neues GPO mit vorhandenen GPOs interagieren wird.

    • Stellen Sie neue GPOs in einer nach dem Muster der Produktionsumgebung angelegten Testumgebung bereit.

    • Stellen Sie anhand der Gruppenrichtlinienergebnisse fest, welche GPO-Einstellungen in der Testumgebung tatsächlich angewendet werden.

  • Erstellen Sie mithilfe der GPMC regelmäßig Sicherungen der GPOs.

  • Verwenden Sie die GPMC, um Gruppenrichtlinien in der gesamten Organisation zu verwalten.

  • Ändern Sie die Standarddomänenrichtlinie oder die Standarddomänencontrollerrichtlinie nur, wenn unbedingt notwendig. Erstellen Sie stattdessen ein neues GPO auf Domänenebene, und legen Sie fest, dass dieses die Standardrichtlinieneinstellungen außer Kraft setzen soll.

  • Definieren Sie eine aussagekräftige Namenskonvention für GPOs, die den Zweck jedes einzelnen GPO verdeutlicht.

  • Legen Sie für jedes GPO nur einen Administrator fest. Auf diese Weise wird verhindert, dass die Arbeit eines Administrators durch die eines anderen Administrators überschrieben wird.

Unter Windows Server 2008 können Sie mithilfe der GPMC die Berechtigung zum Bearbeiten und Verknüpfen von GPOs an verschiedene Gruppen von Administratoren delegieren. Ohne angemessene Steuerungsverfahren für GPOs können delegierte Administratoren GPO-Einstellungen duplizieren oder GPOs erstellen, die mit von einem anderen Administrator festgelegten Richtlinieneinstellungen im Konflikt stehen oder den Unternehmensstandards nicht entsprechen. Solche Konflikte können sich negativ auf die Desktopumgebung der Benutzer auswirken, mehr Anrufe beim Support erforderlich machen und die Problembehandlung für GPOs erschweren.

Identifizieren von Interoperabilitätsproblemen

Wenn Sie eine Gruppenrichtlinienimplementierung in einer gemischten Umgebung planen, müssen Sie mögliche Interoperabilitätsprobleme bedenken. Windows Server 2008 und Windows Vista enthalten zahlreiche neue Gruppenrichtlinieneinstellungen, die unter Windows Server 2003 oder Windows XP nicht verwendet werden. Allerdings sollten Sie auch dann, wenn auf den Client- und Servercomputern in der Organisation vorwiegend Windows Server 2003 oder Windows XP ausgeführt wird, die in Windows Server 2008 enthaltene GPMC verwenden, da diese die neuesten Richtlinieneinstellungen umfasst. Wenn Sie ein GPO mit neueren Richtlinieneinstellungen auf einem früheren Betriebssystem anwenden, das diese Richtlinieneinstellungen nicht unterstützt, kommt es nicht zu Problemen.

Zielcomputer unter Windows Server 2003 oder Windows XP Professional ignorieren Richtlinieneinstellungen, die nur unter Windows Server 2008 oder Windows Vista unterstützt werden, einfach. Welche Richtlinieneinstellungen für welche Betriebssysteme gelten, können Sie in der Beschreibung der einzelnen Richtlinieneinstellungen unter Unterstützt auf erkennen. Dort wird erläutert, welche Betriebssysteme die jeweilige Richtlinieneinstellung lesen können.

Festlegen, wann Gruppenrichtlinienänderungen angewendet werden

Änderungen an Gruppenrichtlinieneinstellungen sind möglicherweise nicht sofort auf den Desktops der Benutzer verfügbar, da Änderungen am GPO zuerst in den entsprechenden Domänencontroller repliziert werden müssen. Außerdem wird auf Clients für das Abrufen von Gruppenrichtlinien ein Aktualisierungszeitraum von 90 Minuten verwendet (mit einem Zufallsintervall von bis zu 30 Minuten). Aus diesem Grund kommt es selten vor, dass eine geänderte Gruppenrichtlinieneinstellung sofort angewendet wird. Komponenten eines GPO werden sowohl in Active Directory als auch im Ordner SYSVOL auf Domänencontrollern gespeichert. Die Replikation eines GPO in andere Domänencontroller erfolgt mithilfe zweier voneinander unabhängiger Mechanismen:

  • Die Replikation in Active Directory wird durch das integrierte Replikationssystem von Active Directory gesteuert. Standardmäßig dauert die Replikation zwischen Domänencontroller am selben Standort weniger als eine Minute. Wenn ein Netzwerk verwendet wird, das langsamer ist als ein LAN, nimmt der Prozess möglicherweise mehr Zeit in Anspruch.

  • Die Replikation des Ordners SYSVOL wird durch den Dateireplikationsdienst (File Replication Service, FRS) oder die DFS-Replikation (Distributed File System, Verteiltes Dateisystem) gesteuert. Innerhalb eines Standorts wird die FRS-Replikation alle 15 Minuten ausgeführt. Wenn sich die Domänencontroller an unterschiedlichen Standorten befinden, wird die Replikation in Intervallen ausgeführt, die auf Grundlage der Standorttopologie und des Zeitplans festgelegt werden. Das kleinste Intervall beträgt 15 Minuten.

noteHinweis
Wenn es von wesentlicher Bedeutung ist, dass eine Änderung sofort auf eine bestimmte Gruppe von Benutzern oder Computern an einem bestimmten Standort angewendet wird, können Sie eine Verbindung mit dem Domänencontroller herstellen, der sich am nächsten an diesen Objekten befindet, und dann die Konfigurationsänderung auf diesem Domänencontroller vornehmen, sodass die betreffenden Benutzer die aktualisierten Richtlinieneinstellungen zuerst erhalten.

Intervall für Richtlinienaktualisierung

Die primären Mechanismen für die Aktualisierung von Gruppenrichtlinien sind der Systemstart und die Anmeldung. Darüber hinaus werden Gruppenrichtlinien regelmäßig in anderen Intervallen aktualisiert. Von den Intervallen für die Richtlinienaktualisierung hängt es ab, wie schnell Änderungen an GPOs angewendet werden. Standardmäßig überprüfen Clients und Server unter Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP alle 90 Minuten, ob Änderungen an GPOs vorgenommen wurden. Dabei wird ein Zufallsintervall von bis zu 30 Minuten verwendet.

Domänencontroller unter Windows Server 2008 oder Windows Server 2003 überprüfen alle fünf Minuten, ob Computerrichtlinien geändert wurden. Diese Abfragehäufigkeit kann mithilfe einer der folgenden Richtlinieneinstellungen geändert werden: Gruppenrichtlinien-Aktualisierungsintervall für Computer, Gruppenrichtlinien-Aktualisierungsintervall für Domänencontroller oder Gruppenrichtlinien-Aktualisierungsintervall für Benutzer. Es wird jedoch davon abgeraten, die Aktualisierungshäufigkeit zu erhöhen, da dadurch möglicherweise Netzwerkdatenverkehr erhöht wird und die Domänencontroller zusätzlich belastet werden.

Auslösen einer Gruppenrichtlinienaktualisierung

Bei Bedarf können Sie eine Gruppenrichtlinienaktualisierung von einem lokalen Computer aus manuell auslösen, ohne auf die automatische Hintergrundaktualisierung zu warten. Zu diesem Zweck können Sie in der Befehlszeile gpupdate eingeben, um die Richtlinieneinstellungen für Benutzer oder Computer zu aktualisieren. Über die GPMC kann keine Gruppenrichtlinienaktualisierung ausgelöst werden. Der Befehl gpupdate löst eine Hintergrundaktualisierung der Richtlinien auf dem lokalen Computer aus, auf dem der Befehl ausgeführt wird.

Weitere Informationen zum Befehl gpupdate finden Sie weiter unten in dieser Anleitung unter Ändern des Gruppenrichtlinien-Aktualisierungsintervalls.

noteHinweis
Bei bestimmten Richtlinieneinstellungen, z. B. für die Ordnerumleitung und das Zuweisen von Softwareanwendungen, muss sich der Benutzer ab- und wieder anmelden, damit die Einstellungen wirksam werden. Computern zugewiesene Softwareanwendungen werden erst nach einem Neustart des Computers installiert.

Identifizieren von Problemen im Zusammenhang mit der Softwareinstallation

Sie können zwar Gruppenrichtlinien zum Installieren von Softwareanwendungen verwenden, insbesondere in kleinen und mittleren Organisationen, jedoch müssen Sie ermitteln, ob dies wirklich die optimale Lösung für Ihre Anforderungen ist. Wenn Sie zum Installieren von Softwareanwendungen Gruppenrichtlinien verwenden, werden zugewiesene Anwendungen erst nach einem Neustart des Computers oder bei der Anmeldung des Benutzers installiert oder aktualisiert.

Die Verwendung von System Center Configuration Manager 2007 (früher Systems Management Server, SMS) für die Softwarebereitstellung bietet Unternehmensfunktionalität, die bei der Softwarebereitstellung auf Basis von Gruppenrichtlinien nicht zur Verfügung steht, z. B. inventarbasierte Zielfestlegung, Statusberichte und Planung. Aus diesem Grund können Sie Gruppenrichtlinien verwenden, um den Desktop zu konfigurieren und die Systemsicherheit und Zugriffsberechtigungen festzulegen, zum Bereitstellen von Softwareanwendungen jedoch Configuration Manager verwenden. Dieser Ansatz ermöglicht eine Bandbreitensteuerung, da Sie die Anwendungsinstallation außerhalb der Kerngeschäftszeiten planen können.

Für welche Tools Sie sich letztlich entscheiden, hängt von den Anforderungen, der Umgebung und davon ab, ob Sie die durch Configuration Manager bereitgestellte zusätzliche Funktionalität und Sicherheit benötigen. Weitere Informationen zu Configuration Manager finden Sie im System Center Configuration Manager TechCenter unter http://go.microsoft.com/fwlink/?LinkID=93850.

Entwerfen des Gruppenrichtlinienmodells

Ihr erstes Ziel ist es, die GPO-Struktur entsprechend den Geschäftsanforderungen zu entwerfen. Überlegen Sie in Bezug auf die Computer und Benutzer in der Organisation, welche Richtlinieneinstellungen in der gesamten Organisation erzwungen werden müssen und welche für alle Benutzer oder alle Computer anwendbar sind. Bestimmen Sie außerdem, welche Richtlinieneinstellungen verwendet werden sollen, um Computer oder Benutzer je nach Typ, Funktion oder Aufgabengebiet zu konfigurieren. Gruppieren Sie dann die verschiedenen Typen von Richtlinieneinstellungen in GPOs, und verknüpfen Sie sie mit den entsprechenden Active Directory-Containern.

Berücksichtigen Sie zudem das Modell für die Gruppenrichtlinienvererbung und die Frage, wie die Rangfolge bestimmt wird. Standardmäßig werden Optionen, die in mit höheren Ebenen von Active Directory-Standorten, -Domänen und -Organisationseinheiten verknüpften GPOs festgelegt wurden, an alle Organisationseinheiten auf untergeordneten Ebenen vererbt. Allerdings können vererbte Richtlinien durch ein auf einer untergeordneten Ebene verknüpftes GPO außer Kraft gesetzt werden.

Hier ein Beispiel: Sie verwenden ein auf einer hohen Ebene verknüpftes GPO, um ein Standardhintergrundbild für den Desktop zuzuweisen, möchten jedoch für eine bestimmte Organisationseinheit ein anderes Hintergrundbild festlegen. Zu diesem Zweck können Sie der betreffenden untergeordneten Organisationseinheit ein zweites GPO zuweisen. Da GPOs auf untergeordneten Ebenen zuletzt angewendet werden, setzt das zweite GPO das GPO auf Domänenebene außer Kraft und stellt für die betreffende untergeordnete Organisationseinheit andere Gruppenrichtlinieneinstellungen bereit. Sie können dieses Standardverhalten bezüglich der Vererbung jedoch mithilfe von Vererbung deaktivieren und Erzwungen ändern.

Beachten Sie die folgenden Richtlinien, um den Gruppenrichtlinienentwurf auf die Anforderungen Ihrer Organisation abzustimmen:

  • Ermitteln Sie, ob Richtlinieneinstellungen vorhanden sind, die für bestimmte Gruppen von Benutzern oder Computern immer erzwungen werden müssen. Erstellen Sie GPOs, die diese Richtlinieneinstellungen enthalten, verknüpfen Sie sie mit dem entsprechenden Standort oder der entsprechenden Domäne oder Organisationseinheit, und legen Sie diese Verknüpfungen auf Erzwungen fest. Mit dieser Option erzwingen Sie die Richtlinieneinstellungen eines übergeordneten GPO, sodass sie nicht durch GPOs in untergeordneten Active Directory-Containern außer Kraft gesetzt werden. Wenn Sie z. B. ein bestimmtes GPO auf Domänenebene definieren und angeben, dass es erzwungen wird, gelten die im GPO enthaltenen Richtlinien für alle Organisationseinheiten in dieser Domäne. Die Domänengruppenrichtlinie kann nicht durch mit untergeordneten Organisationseinheiten verknüpfte GPOs außer Kraft gesetzt werden.

noteHinweis
Setzen Sie die Features Erzwungen und Richtlinienvererbung deaktivieren sparsam ein. Wenn Sie sie routinemäßig verwenden, wird die Problembehandlung für Richtlinien erschwert, da für Administratoren anderer GPOs nicht auf den ersten Blick ersichtlich ist, warum bestimmte Richtlinieneinstellungen angewendet oder nicht angewendet werden.

  • Entscheiden Sie, welche Richtlinieneinstellungen für die gesamte Organisation anwendbar sind, und ziehen Sie in Erwägung, diese mit der Domäne zu verknüpfen. Sie können auch die GPMC verwenden, um GPOs zu kopieren oder GPO-Richtlinieneinstellungen zu importieren, womit Sie identische GPOs in verschiedenen Domänen erstellen.

  • Verknüpfen Sie die GPOs mit der Organisationseinheitsstruktur (oder dem Standort), und verwenden Sie dann Sicherheitsgruppen, um diese GPOs selektiv auf bestimmte Benutzer oder Computer anzuwenden.

  • Klassifizieren Sie die Computer in der Organisation nach Typen und die Benutzer in der Organisation nach Rollen oder Aufgabenbereich, gruppieren Sie sie in Organisationseinheiten, erstellen Sie GPOs zum Konfigurieren der jeweiligen Umgebung entsprechend den Anforderungen, und verknüpfen Sie dann die GPOs mit den Organisationseinheiten.

  • Bereiten Sie eine Stagingumgebung vor, um die gruppenrichtlinienbasierte Verwaltungsstrategie zu testen, bevor Sie GPOs in der Produktionsumgebung bereitstellen. Dies ist die Stagingphase der Bereitstellung. Dieser Schritt ist von entscheidender Bedeutung, um sicherzustellen, dass Sie mit der Bereitstellung von Gruppenrichtlinien den beabsichtigten Verwaltungseffekt erzielen. Die Vorgehensweise wird weiter unten in dieser Anleitung unter Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung beschrieben.

Definieren des Anwendungsbereichs von Gruppenrichtlinien

Beantworten Sie zum Definieren des Anwendungsbereichs von GPOs die folgenden Fragen:

  • Womit sollen die GPOs verknüpft werden?

  • Welche Sicherheitsfilter sollen für die GPOs verwendet werden?

    Mithilfe von Sicherheitsfiltern können Sie präzisieren, welche Benutzer und Computer die Richtlinieneinstellungen in einem GPO empfangen und anwenden sollen. Durch die Sicherheitsgruppenfilterung wird festgelegt, ob das GPO als Ganzes auf Gruppen, Benutzer oder Computer angewendet wird. Sie kann nicht selektiv für verschiedene Richtlinieneinstellungen innerhalb eines GPO verwendet werden.

  • Welche WMI-Filter sollen angewendet werden?

    Mit WMI-Filtern können Sie den Bereich von GPOs basierend auf den Attributen des Zielcomputers dynamisch bestimmen.

Beachten Sie auch, dass GPOs standardmäßig vererbt werden, kumulativ sind und alle Computer und Benutzer in einem Active Directory-Container und den diesem untergeordneten Elementen betreffen. Sie werden in der folgenden Reihenfolge verarbeitet: Lokale Gruppenrichtlinien, Standort, Domäne, Organisationseinheit, wobei das zuletzt verarbeitete GPO die zuvor verarbeiteten GPOs außer Kraft setzt. Bei der Standardvererbungsmethode wird bei der Auswertung der Gruppenrichtlinien in dem Active Directory-Container begonnen, der am weitesten von dem Computer- oder Benutzerobjekt entfernt ist. Der Active Directory-Container, der dem Computer oder Benutzer am nächsten ist, setzt die in einem übergeordneten Active Directory-Container festgelegten Gruppenrichtlinien außer Kraft, es sei denn, Sie legen die Option Erzwungen (Kein Vorrang) für die betreffende GPO-Verknüpfung fest, oder die Richtlinieneinstellung Richtlinienvererbung deaktivieren wurde auf die Domäne oder Organisationseinheit angewendet. Das Richtlinienobjekt der lokalen Gruppe (Local Group Policy Object, LGPO) wird zuerst verarbeitet, sodass Richtlinieneinstellungen aus mit Active Directory-Containern verknüpften GPOs die lokalen Richtlinieneinstellungen außer Kraft setzen.

Ein weiterer wichtiger Aspekt ist, dass Sie zwar mehrere GPOs mit einem Active Directory-Container verknüpfen können, dabei jedoch die Verarbeitungspriorität kennen müssen. Die GPO-Verknüpfung mit der niedrigsten Position in der Verknüpfungsreihenfolge in der Liste Gruppenrichtlinienobjekt-Verknüpfungen (die in der GPMC auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte angezeigt wird) hat standardmäßig Vorrang. Wenn allerdings für mindestens eine GPO-Verknüpfung die Option Erzwungen festgelegt ist, hat die höchste auf Erzwungen festgelegte GPO-Verknüpfung Vorrang.

Kurz gesagt, handelt es sich bei Erzwungen um eine Verknüpfungseigenschaft und bei Richtlinienvererbung deaktivieren um eine Containereigenschaft. Erzwungen hat Vorrang vor Richtlinienvererbung deaktivieren. Zusätzlich haben Sie vier weitere Möglichkeiten, um Richtlinieneinstellungen im GPO selbst zu deaktivieren: Ein GPO kann deaktiviert werden, und in einem GPO können Computereinstellungen, Benutzereinstellungen oder alle Einstellungen deaktiviert werden.

Diese Aufgaben werden durch die GPMC erheblich vereinfacht, denn Sie können die GPO-Vererbung innerhalb der Organisation anzeigen und Verknüpfungen über eine einzige MMC-Konsole verwalten. Abbildung 2 zeigt, wie die Gruppenrichtlinienvererbung in der GPMC angezeigt wird.

e3115f72-6178-43c4-a324-6fad9692b942
noteHinweis
Zum Anzeigen aller Details bezüglich der Vererbung und Rangfolge für GPO-Verknüpfungen zu einer Domäne, einem Standort oder einer Organisationseinheit müssen Sie über Leseberechtigungen für den Standort, die Domäne oder die Organisationseinheit, der bzw. die die GPO-Verknüpfungen enthält, sowie für die GPOs verfügen. Wenn Sie über Leseberechtigungen für den Standort, die Domäne oder die Organisationseinheit, nicht jedoch für die dort verknüpften GPOs verfügen, wird Der Zugriff auf das Gruppenrichtlinienobjekt wurde verweigert angezeigt, und Sie können weder den Namen des GPO noch andere diesbezügliche Informationen lesen.

Bestimmen der Anzahl erforderlicher GPOs

Die Anzahl erforderlicher GPOs hängt von dem beim Entwurf gewählten Ansatz, der Komplexität der Umgebung, den verfolgten Zielen und dem Umfang des Projekts ab. Wenn Sie über eine Gesamtstruktur mit mehreren Domänen oder über mehrere Gesamtstrukturen verfügen, werden Sie möglicherweise zu dem Schluss kommen, dass in den einzelnen Domänen unterschiedlich viele GPOs erforderlich sind. In Domänen, die sehr komplexe Geschäftsumgebungen mit unterschiedlichsten Benutzertypen unterstützen, sind mehr GPOs erforderlich als in kleineren, einfacheren Domänen.

In gleichem Maße wie die Anzahl der zur Unterstützung einer Organisation erforderlichen GPOs nimmt u. U. auch der Arbeitsaufwand der Gruppenrichtlinienadministratoren zu. Mit bestimmten Maßnahmen können Sie jedoch die Verwaltung von Gruppenrichtlinien vereinfachen. Im Allgemeinen sollten Sie die Richtlinieneinstellungen, die für eine bestimmte Gruppe von Benutzern oder Computern gelten und von denselben Administratoren verwaltet werden, in einem GPO gruppieren. Außerdem ist es in dem Fall, dass für verschiedene Gruppen von Benutzern oder Computern dieselben Anforderungen gelten und nur für wenige der Gruppen inkrementelle Änderungen erforderlich sind, sinnvoll, die Anforderungen, die für alle diese Benutzer- oder Computergruppen gelten, mithilfe eines einzelnen GPO anzuwenden, das auf einer hohen Ebene in der Active Directory-Struktur verknüpft ist. Fügen Sie dann zusätzliche GPOs hinzu, mit denen nur die inkrementellen Änderungen auf die relevante Organisationseinheit angewendet werden. Dieser Ansatz ist möglicherweise nicht immer möglich oder praktikabel, sodass Sie ggf. Ausnahmen vorsehen müssen. Achten Sie in diesem Fall unbedingt darauf, die Ausnahmen nachzuverfolgen.

noteHinweis
Bei der Verarbeitung von GPOs für einen einzigen Benutzer oder Computer werden maximal 999 GPOs unterstützt. Bei Überschreitung dieses Maximalwerts werden keine GPOs verarbeitet. Diese Einschränkung betrifft nur die Anzahl von GPOs, die gleichzeitig angewendet werden können, nicht jedoch die Anzahl von GPOs, die Sie in einer Domäne erstellen und speichern können.

Beachten Sie, dass sich die Anzahl der auf einen Computer angewendeten GPOs auf die für den Systemstart erforderliche Zeit auswirkt, während sich die Anzahl der auf einen Benutzer angewendeten GPOs auf die für die Anmeldung am Netzwerk erforderliche Zeit auswirkt. Je mehr GPOs mit einem Benutzer verknüpft sind, und insbesondere, je mehr Richtlinieneinstellungen diese GPOs enthalten, umso länger dauert die Verarbeitung bei der Benutzeranmeldung. Während der Anmeldung wird jedes GPO aus der Standort-, Domänen- und Organisationseinheitenhierarchie des Benutzers angewendet, vorausgesetzt, für den Benutzer sind die Berechtigungen Lesen und Gruppenrichtlinie übernehmen festgelegt. In der GPMC werden die Berechtigungen Lesen und Gruppenrichtlinie übernehmen als eine Einheit mit dem Namen Sicherheitsfilterung verwaltet.

Wenn Sie die Sicherheitsfilterung verwenden und die Berechtigung Gruppenrichtlinie übernehmen für einen bestimmten Benutzer oder eine bestimmte Gruppe entfernen, entfernen Sie auch die Berechtigung Lesen, sofern der betreffende Benutzer nicht aus irgendeinem Grund über Lesezugriff verfügen muss. (Wenn Sie die GPMC verwenden, müssen Sie sich hierüber keine Gedanken machen, denn die GPMC erledigt diese Aufgabe automatisch.) Wenn die Berechtigung Gruppenrichtlinie übernehmen nicht festgelegt ist, die Berechtigung Lesen jedoch festgelegt ist, wird das GPO trotzdem von jedem Benutzer oder Computer in der Organisationseinheitenhierarchie, mit der das GPO verknüpft ist, überprüft (wenn auch nicht angewendet). Durch die Überprüfung dauert die Anmeldung ein wenig länger.

Testen Sie die Gruppenrichtlinienlösung stets in einer Testumgebung, um sicherzustellen, dass die definierten Richtlinieneinstellungen nicht zu einer inakzeptablen Verzögerung der Anzeige des Anmeldebildschirms führen und dass sie den Vereinbarungen zum Servicelevel für Desktops entsprechen. Melden Sie sich während dieses Stagingzeitraums mit einem Testkonto an, um die Auswirkungen mehrerer GPOs für Objekte in der Umgebung zu prüfen.

Verknüpfen von GPOs

Damit die Richtlinieneinstellungen eines GPO auf Benutzer und Computer angewendet werden, müssen Sie das GPO mit einem Standort, einer Domäne oder einer Organisationseinheit verknüpfen. Mithilfe der GPMC können Sie jedem Standort, jeder Domäne bzw. jeder Organisationseinheit eine oder mehrere GPO-Verknüpfungen hinzufügen. Beachten Sie, dass das Erstellen und Verknüpfen von GPOs ein sensibles Recht darstellt, das nur an vertrauenswürdige Administratoren mit ausreichendem Wissen über Gruppenrichtlinien delegiert werden sollte.

Verknüpfen von GPOs mit dem Standort

Wenn eine Reihe von Richtlinieneinstellungen, z. B. bestimmte Netzwerk- oder Proxykonfigurationseinstellungen, auf Computer an einem bestimmten physischen Standort angewendet werden müssen, sind möglicherweise nur diese Richtlinieneinstellungen für die Aufnahme in eine standortbasierte Richtlinieneinstellung geeignet. Da Standorte und Domänen unabhängig sind, ist es möglich, dass Computer an dem Standort Domänengrenzen passieren müssen, damit das GPO mit dem Standort verknüpft wird. Stellen Sie in diesem Fall eine gute Verbindung sicher.

Wenn die Richtlinieneinstellungen nicht eindeutig Computern an einem einzigen Standort entsprechen, ist es sinnvoller, das GPO nicht dem Standort, sondern der Domänen- oder Organisationseinheitsstruktur zuzuweisen.

Verknüpfen von GPOs mit der Domäne

Verknüpfen Sie GPOs mit der Domäne, wenn sie auf alle Benutzer und Computer in der Domäne angewendet werden sollen. So implementieren Sicherheitsadministratoren z. B. häufig domänenbasierte GPOs, um Unternehmensstandards zu erzwingen. Dabei ist es u. U. sinnvoll, diese GPOs mit aktivierter GPMC-Option Erzwingen zu erstellen, um zu gewährleisten, dass diese Richtlinieneinstellungen von keinem anderen Administrator außer Kraft gesetzt werden können.

ImportantWichtig
Wenn Sie die im GPO der Standarddomänenrichtlinie enthaltenen Richtlinieneinstellungen ändern müssen, empfiehlt es sich, zu diesem Zweck ein neues GPO zu erstellen, dieses mit der Domäne zu verknüpfen und die Option Erzwingen festzulegen. Im Allgemeinen sollten das GPO der Standarddomänenrichtlinie und das GPO der Standarddomänencontrollerrichtlinie nicht geändert werden.

Wie der Name besagt, ist das GPO der Standarddomänenrichtlinie auch mit der Domäne verknüpft. Das GPO der Standarddomänenrichtlinie wird erstellt, wenn der erste Domänencontroller in der Domäne installiert wird und sich der Administrator zum ersten Mal anmeldet. Dieses GPO enthält die domänenweiten Kontorichtlinieneinstellungen, also die Kennwort-, Kontosperrungs- und Kerberos-Richtlinie, die durch die Domänencontroller in der Domäne erzwungen werden. Alle Domänencontroller rufen die Werte der Kontorichtlinieneinstellungen aus dem GPO der Standarddomänenrichtlinie ab. Damit Kontorichtlinien auf Domänenkonten angewendet werden, müssen die Richtlinieneinstellungen in einem mit der Domäne verknüpften GPO bereitgestellt werden. Wenn Sie Kontorichtlinieneinstellungen auf einer untergeordneten Ebene, z. B. für eine Organisationseinheit, festlegen, betreffen die Richtlinieneinstellungen nur lokale Konten (keine Domänenkonten) auf Computern in der betreffenden Organisationseinheit und in Elementen, die dieser untergeordnet sind.

Bevor Sie Änderungen an den Standard-GPOs vornehmen, sichern Sie die GPOs unbedingt mithilfe der GPMC. Falls ein Problem mit den an den Standard-GPOs vorgenommenen Änderungen auftritt und Sie den vorherigen oder ursprünglichen Zustand nicht wiederherstellen können, können Sie das im nächsten Abschnitt beschriebene Tool Dcgpofix.exe verwenden, um die Standardrichtlinien im ursprünglichen Zustand neu zu erstellen. Wenn Sie AGPM verwenden, werden alle vorgenommenen Änderungen aufgezeichnet, sodass Sie den vorherigen oder ursprünglichen Zustand wiederherstellen können.

Wiederherstellen des GPO der Standarddomänenrichtlinie und des GPO der Standarddomänencontrollerrichtlinie

Dcgpofix.exe ist ein Befehlszeilentool, mit dem das GPO der Standarddomänenrichtlinie und das GPO der Standarddomänencontrollerrichtlinie im ursprünglichen Zustand wiederhergestellt werden können, falls ein Notfall eintritt und Sie die GPMC nicht verwenden können. Dcgpofix.exe ist im Lieferumfang von Windows Server 2008 und Windows Server 2003 enthalten und befindet sich im Ordner C:\Windows\system32\.

Mit Dcgpofix.exe werden nur die Richtlinieneinstellungen wiederhergestellt, die zum Zeitpunkt der Generierung in den Standard-GPOs enthalten sind. Andere, von Administratoren erstellte GPOs werden von Dcgpofix.exe nicht wiederherstellt. Das Tool ist ausschließlich für die Wiederherstellung der GPOs im Notfall konzipiert.

noteHinweis
Dcgpofix.exe speichert keine in Anwendungen wie Configuration Manager oder Exchange erstellten Informationen.

Die Syntax für Dcgpofix.exe lautet folgendermaßen:

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

In Tabelle 1 sind die Befehlszeilenoptionen beschrieben, die Sie mit dem Tool Dcgpofix.exe verwenden können.

Tabelle 1: Befehlszeilenoptionen für "Dcgpofix.exe"

Option Optionsbeschreibung

/ignoreschema

Standardmäßig funktioniert die in Windows Server 2008 enthaltene Version von Dcgpofix nur für Windows Server 2008-Domänen. Mit dieser Option wird die Schemaüberprüfung umgangen, sodass das Tool auch für andere als Windows Server 2008-Domänen verwendet werden kann.

/target: DOMAIN oder

Gibt an, dass die Standarddomänenrichtlinie neu erstellt werden soll.

/target: DC oder

Gibt an, dass die Standarddomänencontrollerrichtlinie neu erstellt werden soll.

/target: BOTH

Gibt an, dass sowohl die Standarddomänenrichtlinie als auch die Standarddomänencontrollerrichtlinie neu erstellt werden sollen.

Weitere Informationen zu Dcgpofix.exe finden Sie unter "Dcgpofix" http://go.microsoft.com/fwlink/?LinkId=109291.

Verknüpfen von GPOs mit der Organisationseinheitsstruktur

GPOs werden normalerweise mit der Organisationseinheitsstruktur verknüpft, da auf diese Weise die höchste Flexibilität und Verwaltbarkeit erzielt wird. Beispiel:

  • Sie können Benutzer und Computer in Organisationseinheiten und aus diesen verschieben.

  • Organisationseinheiten können bei Bedarf neu angeordnet werden.

  • Sie können mit kleineren Gruppen von Benutzern arbeiten, für die dieselben Verwaltungsanforderungen gelten.

  • Sie können Benutzer und Computer nach den Administratoren organisieren, von denen sie verwaltet werden.

Durch das Organisieren von GPOs als benutzer- und computerorientierte GPOs können Sie die Gruppenrichtlinienumgebung transparenter gestalten und die Problembehandlung vereinfachen. Allerdings sind möglicherweise mehr GPOs erforderlich, wenn Sie Benutzer und Computer auf separate GPOs aufteilen. Einen Ausgleich können Sie schaffen, indem Sie die Einstellung Objektstatus so konfigurieren, dass die nicht anwendbaren auf die Benutzer- oder Computerkonfiguration bezogenen Abschnitte des GPO deaktiviert werden und der Zeitaufwand für die Anwendung eines bestimmten GPO reduziert wird.

Ändern der Verknüpfungsreihenfolge von GPOs

Innerhalb jedes Standorts, jeder Domäne und jeder Organisationseinheit wird durch die Verknüpfungsreihenfolge bestimmt, in welcher Reihenfolge die GPOs angewendet werden. Wenn Sie den Vorrangwert einer Verknüpfung ändern möchten, können Sie die Verknüpfungsreihenfolge ändern, indem Sie die Verknüpfung nach oben oder unten an die gewünschte Position in der Liste verschieben. Je niedriger die Nummer einer Verknüpfung ist, umso höher ist ihr Vorrangwert für einen bestimmten Standort, eine Domäne oder eine Organisationseinheit.

Wenn Sie z. B. sechs GPO-Verknüpfungen hinzufügen und später beschließen, dass die zuletzt hinzugefügte den höchsten Rang haben soll, können Sie die Verknüpfungsreihenfolge ändern, sodass die GPO-Verknüpfung an Position 1 steht. Verwenden Sie zum Ändern der Verknüpfungsreihenfolge der GPO-Verknüpfungen für einen Standort, eine Domäne oder eine Organisationseinheit die GPMC.

Verwenden der Sicherheitsfilterung zum Anwenden von GPOs auf ausgewählte Gruppen

Standardmäßig betrifft ein GPO alle im verknüpften Standort bzw. der verknüpften Domäne oder Organisationseinheit enthaltenen Benutzer und Computer. Sie können die Wirkung eines GPO jedoch mithilfe der Sicherheitsfilterung ändern, sodass es nur auf einen bestimmten Benutzer, die Mitglieder einer Active Directory-Sicherheitsgruppe oder einen Computer angewendet wird. Dazu ändern Sie die Berechtigungen für das GPO. Eine Kombination der Sicherheitsfilterung mit einer zielgerichteten Platzierung in Organisationseinheiten ermöglicht Ihnen, ein GPO auf eine bestimmte Gruppe von Benutzern oder Computern anzuwenden.

Damit ein GPO auf einen bestimmten Benutzer, eine bestimmte Sicherheitsgruppe oder einen bestimmten Computer angewendet wird, muss der Benutzer, die Gruppe bzw. der Computer sowohl über die Berechtigung Lesen als auch die Berechtigung Gruppenrichtlinie übernehmen für das GPO verfügen. Standardmäßig sind für authentifizierte Benutzer die Berechtigungen Lesen und Gruppenrichtlinie übernehmen auf Zulassen festgelegt. Die beiden Berechtigungen werden bei Verwendung der Sicherheitsfilterung in der GPMC als eine Einheit verwaltet.

Erweitern Sie zum Festlegen der Berechtigungen für ein bestimmtes GPO, sodass dieses nur auf bestimmte Benutzer, Sicherheitsgruppen oder Computer (nicht auf alle authentifizierten Benutzer) angewendet wird, in der GPMC-Konsolenstruktur Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, die das GPO enthält. Klicken Sie auf das GPO, und entfernen Sie im Detailbereich auf der Registerkarte Bereich unter Sicherheitsfilterung den Eintrag Authentifizierte Benutzer. Klicken Sie dann auf Hinzufügen, und fügen Sie den neuen Benutzer, die neue Gruppe bzw. den neuen Computer hinzu.

Wenn z. B. nur ein Teil der Benutzer innerhalb einer Organisationseinheit ein GPO empfangen sollen, entfernen Sie Authentifizierte Benutzer aus Sicherheitsfilterung. Fügen Sie dann eine neue Sicherheitsgruppe hinzu, in der die Benutzer enthalten sind, die das GPO empfangen sollen, und legen Sie für diese Gruppe unter Sicherheitsfilterung die Berechtigungen fest. Nur die Mitglieder dieser Gruppe, die sich an dem Standort oder in der Domäne oder Organisationseineit befinden, mit dem bzw. der das GPO verknüpft ist, empfangen das GPO. Mitglieder der Gruppe an anderen Standorten oder in anderen Domänen oder Organisationseinheiten empfangen das GPO nicht.

Möglicherweise ist es sinnvoll zu verhindern, dass bestimmte Gruppenrichtlinieneinstellungen auf Mitglieder der Gruppe Administratoren angewendet werden. Dies können Sie folgendermaßen erreichen:

  • Erstellen Sie eine separate Organisationseinheit für Administratoren, und gliedern Sie diese Organisationseinheit nicht in die Hierarchie ein, auf die Sie die meisten Verwaltungseinstellungen anwenden. Auf diese Weise erhalten Administratoren die meisten für verwaltete Benutzer bereitgestellten Richtlinieneinstellungen nicht. Wenn die separate Organisationseinheit der Domäne direkt untergeordnet ist, erhalten Administratoren von allen möglichen Richtlinieneinstellungen nur die aus GPOs, die direkt mit der Domäne oder dem Standort verknüpft sind. In der Regel werden mit der Domäne oder dem Standort nur generische, allgemein anwendbare Richtlinieneinstellungen verknüpft, d. h. es ist möglicherweise akzeptabel, dass Administratoren diese Richtlinieneinstellungen erhalten. Falls dies nicht Ihre Absicht ist, können Sie die Option Vererbung deaktivieren für die Organisationseinheit der Administratoren festlegen.

  • Sorgen Sie dafür, dass Administratoren nur für Verwaltungsaufgaben gesonderte Administratorkonten verwenden. Wenn sie keine Verwaltungsaufgaben ausführen, sind auch sie verwaltete Benutzer.

  • Verwenden Sie die Sicherheitsfilterung in der GPMC, sodass nur Benutzer ohne Administratorrechte die Richtlinieneinstellungen erhalten.

Anwenden von WMI-Filtern

Mithilfe von WMI-Filtern können Sie die Anwendung von GPOs steuern. Ein GPO kann mit nur einem WMI-Filter verknüpft werden. Umgekehrt kann jedoch ein WMI-Filter mit mehreren GPOs verknüpft werden. Bevor Sie einen WMI-Filter mit einem GPO verknüpfen können, müssen Sie den Filter erstellen. Der WMI-Filter wird während der Gruppenrichtlinienverarbeitung auf dem Zielcomputer ausgewertet. Das GPO wird nur angewendet, wenn der WMI-Filter als True ausgewertet wird. Auf Computern unter Windows 2000 wird der WMI-Filter ignoriert und das GPO immer angewendet.

noteHinweis
Es wird empfohlen, WMI-Filter in erster Linie für die Ausnahmenverwaltung zu verwenden. Sie können sehr leistungsfähig sein, wenn es darum geht, GPOs zielgerichtet auf bestimmte Benutzer und Computer anzuwenden, jedoch werden WMI-Filter bei jeder Verarbeitung der Gruppenrichtlinien ausgewertet, was zu einer Verlängerung von Start- und Anmeldezeit führt. Zudem ist kein Zeitlimit für WMI-Filter vorhanden. Daher sollten Sie sie nur bei Bedarf verwenden.

Mithilfe der GPMC können Sie die folgenden Vorgänge für WMI-Filter ausführen: Erstellen und Löschen, Erstellen und Aufheben von Verknüpfungen, Kopieren und Einfügen, Importieren und Exportieren sowie Anzeigen und Bearbeiten von Attributen.

WMI-Filter können nur verwendet werden, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2008 oder Windows Server 2003 ausgeführt wird oder wenn Sie in der betreffenden Domäne ADPrep mit der Option /Domainprep ausgeführt haben. Andernfalls werden der Abschnitt WMI-Filterung auf der Registerkarte Bereich für GPOs sowie der Knoten WMI-Filter unter der Domäne nicht angezeigt. Abbildung 3 zeigt die in diesem Abschnitt beschriebenen Elemente.

a69987c9-84ec-4473-9f2c-efe0022d5331

Festlegen von Optionen für die WMI-Filterung

WMI macht Verwaltungsdaten von einem Zielcomputer verfügbar. Hierzu zählen z. B. Hardware- und Softwareinventar, Einstellungen und Konfigurationsinformationen, u. a. Daten aus der Registrierung, den Treibern, dem Dateisystem, Active Directory, SNMP, Windows Installer und dem Netzwerk. Administratoren können aus mindestens einer auf diesen Daten basierenden Abfrage bestehende WMI-Filter erstellen, um zu steuern, ob das GPO angewendet wird. Der Filter wird auf dem Zielcomputer ausgewertet. Wenn der WMI-Filter als True ausgewertet wird, wird das GPO auf dem Zielcomputer angewendet, wird er als False ausgewertet, wird das GPO nicht angewendet. Bei Zielcomputern, bei denen es sich um Clients oder Server unter Windows 2000 handelt, werden WMI-Filter ignoriert, und das GPO wird immer angewendet. Wenn kein WMI-Filter vorhanden ist, wird das GPO immer angewendet.

Mithilfe von WMI-Filtern können Sie Gruppenrichtlinieneinstellungen auf Basis verschiedener Objekte und anderer Parameter zielgerichtet anwenden. In Tabelle 2 sind Beispiele für Abfragekriterien aufgeführt, die für WMI-Filter angegeben werden können.

Tabelle 2: Beispiele für WMI-Filter

Abgefragte WMI-Daten Beispielabfragekriterien

Dienste

Computer, auf denen der DHCP-Dienst ausgeführt wird

Registrierung

Computer, auf denen ein bestimmter Registrierungsschlüssel oder -eintrag Werte enthält

Windows-Ereignisprotokoll

Computer, von denen in den letzten fünf Minuten ein Überwachungsereignis gemeldet wurde

Betriebssystemversion

Computer, auf denen Windows Server 2003 und höher ausgeführt wird

Hardwareinventar

Computer mit Pentium III-Prozessor

Hardwarekonfiguration

Computer mit Netzwerkkarten aktiviert auf Ebene 3

Dienstzuordnungen

Computer mit einem vom SQL-Dienst abhängigen Dienst

Ein WMI-Filter besteht aus mindestens einer WQL-Abfrage (WMI Query Language, WMI-Abfragesprache). Der WMI-Filter gilt für jede Richtlinieneinstellung im GPO, d. h., bei unterschiedlichen Filteranforderungen für verschiedene Richtlinieneinstellungen müssen Administratoren separate GPOs erstellen. Die Auswertung der WMI-Filter erfolgt auf dem Zielcomputer, nachdem die Liste potenzieller GPOs ermittelt und nach der Sicherheitsgruppenmitgliedschaft gefiltert wurde.

Sie können zwar in begrenztem Maße eine inventarbasierte Zielfestlegung für die Softwarebereitstellung vornehmen, indem Sie die auf Gruppenrichtlinien basierende Softwarebereitstellung mit WMI-Filtern kombinieren, jedoch wird aus folgenden Gründen von einer routinemäßigen Verwendung dieses Verfahrens abgeraten:

  • Für jedes GPO kann nur ein WMI-Filter verwendet werden. Wenn für bestimmte Anwendungen unterschiedliche Inventuranforderungen gelten, müssen Sie mehrere WMI-Filter und somit mehrere GPOs verwenden. Eine höhere Anzahl von GPOs führt zu längeren Start- und Anmeldezeiten sowie zu einem erhöhten Verwaltungsaufwand.

  • Die Auswertung von WMI-Filtern kann viel Zeit in Anspruch nehmen, sodass die Anmeldung und der Systemstart möglicherweise länger dauern. Der Zeitaufwand hängt davon ab, wie die Abfrage erstellt wird.

Beispiele für WMI-Filter

Wie bereits erwähnt, sind WMI-Filter sehr nützliche Tools für die Ausnahmenverwaltung. Indem Sie nach bestimmten Kriterien filtern, können Sie bestimmte GPOs zielgerichtet nur auf bestimmte Benutzer und Computer anwenden. Im folgenden Abschnitt werden WMI-Filter beschrieben, anhand derer diese Technik deutlich wird.

Zielfestlegung auf Basis des Betriebssystems

In diesem Beispiel möchte ein Administrator eine Richtlinie für die Unternehmensüberwachung bereitstellen, die jedoch nur auf Computern unter Windows Vista angewendet werden soll. Der Administrator kann einen WMI-Filter wie den folgenden erstellen:

Select * from Win32_OperatingSystem where Caption like "%Vista%"

Für die meisten WMI-Filter wird der Namespace Root\CimV2 verwendet, und diese Option wird standardmäßig auf der GPMC-Benutzeroberfläche aufgefüllt.

Da WMI-Filter auf Computern unter Windows 2000 ignoriert werden, wird ein gefiltertes GPO auf diesen Computern immer angewendet. Sie können dies jedoch umgehen, indem Sie zwei GPOs verwenden und dem GPO mit Windows 2000-Einstellungen Vorrang geben (mithilfe der Verknüpfungsreihenfolge). Verwenden Sie dann einen WMI-Filter für dieses Windows 2000-GPO, und wenden Sie diesen nur an, wenn es sich bei dem Betriebssystem um Windows 2000, nicht um Windows Vista oder Windows XP handelt. Der Computer unter Windows 2000 erhält das Windows 2000-GPO, und die Richtlinieneinstellungen im GPO für Windows Vista oder Windows XP werden außer Kraft gesetzt. Der Windows Vista- oder Windows XP-Client erhält alle Richtlinieneinstellungen im GPO für Windows Vista oder Windows XP.

Zielfestlegung auf Basis des Hardwareinventars

In diesem Beispiel möchte ein Administrator einen neuen Netzwerkverbindungs-Manager nur an Desktops mit Modems verteilen. Der Administrator kann das Paket mit dem folgenden WMI-Filter an die betreffenden Desktops verteilen:

Select * from Win32_POTSModem Where Name = " MyModem"

Wenn Sie Gruppenrichtlinien mit einem WMI-Filter verwenden, beachten Sie, dass der WMI-Filter auf alle Richtlinieneinstellungen im GPO angewendet wird. Wenn für die einzelnen Bereitstellungen unterschiedliche Anforderungen gelten, müssen Sie unterschiedliche GPOs mit jeweils einem eigenen WMI-Filter verwenden.

Zielfestlegung auf Basis der Konfiguration

In diesem Beispiel möchte ein Administrator ein GPO nicht auf Computer anwenden, die Multicast unterstützen. Mithilfe des folgenden Filters kann der Administrator die Computer mit Multicastunterstützung ermitteln:

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

Zielfestlegung auf Basis von Speicherplatz und Dateisystemtyp

In diesem Beispiel möchte ein Administrator nur Zielcomputer angeben, die auf der Partition C, D oder E mehr als 10 Megabytes (MB) verfügbaren Speicherplatz aufweisen. Die Partitionen müssen sich auf mindestens einer lokalen Festplatte befinden und das NTFS-Dateisystem verwenden. Mithilfe des folgenden Filters kann der Administrator die Computer ermitteln, die diese Kriterien erfüllen:

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

Im obigen Beispiel steht DriveType = 3 für einen lokalen Datenträger, und FreeSpace wird in der Einheit Bytes angegeben (10 MB = 10.485.760 Bytes).

So erstellen Sie einen WMI-Filter

  1. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf WMI-Filter in der Gesamtstruktur und Domäne, in der Sie einen WMI-Filter hinzufügen möchten.

  2. Klicken Sie auf Neu.

  3. Geben Sie im Dialogfeld Neuer WMI-Filter im Feld Name einen Namen für den neuen WMI-Filter ein, und geben Sie im Feld Beschreibung eine Beschreibung für den Filter ein.

  4. Klicken Sie auf Hinzufügen.

  5. Übernehmen Sie im Dialogfeld WMI-Abfrage den Standardnamespace, oder geben Sie einen anderen Namespace an, indem Sie eine der folgenden Aktionen ausführen:

    • Geben Sie im Feld Namespace den Namen des Namespaces ein, den Sie für die WMI-Abfrage verwenden möchten. Der Standardwert ist root\CimV2. In den meisten Fällen müssen Sie diesen nicht ändern.

    • Klicken Sie auf Durchsuchen, wählen Sie einen Namespace aus der Liste aus, und klicken Sie dann auf OK.

  6. Geben Sie im Feld Abfrage eine WMI-Abfrage ein, und klicken Sie dann auf OK.

  7. Wiederholen Sie zum Hinzufügen weiterer Abfragen die Schritte 4 bis 6 für jede weitere Abfrage.

  8. Nachdem Sie alle Abfragen hinzugefügt haben, klicken Sie auf Speichern.

Der WMI-Filter steht nun zur Verknüpfung zur Verfügung.

Verwenden der Gruppenrichtlinienvererbung

Es ist häufig nützlich, ein GPO für Unternehmensstandards zu definieren. In diesem Dokument bezieht sich der Begriff "Unternehmensstandard" auf Richtlinieneinstellungen, die auf viele Benutzer in einer Organisation anwendbar sind. Es ist z. B. angebracht, ein GPO für Unternehmensstandards zu definieren, wenn eine Geschäftsanforderung wie die folgende vorliegt: "Nur speziell autorisierte Benutzer dürfen auf die Eingabeaufforderung oder den Registrierungs-Editor zugreifen." Die Gruppenrichtlinienvererbung ist hilfreich, um diese Unternehmensstandards anzuwenden, dabei jedoch die Richtlinieneinstellungen für unterschiedliche Benutzergruppen anzupassen.

Eine mögliche Vorgehensweise besteht darin, die Richtlinieneinstellungen Zugriff auf Eingabeaufforderung verhindern und Zugriff auf Programme zum Bearbeiten der Registrierung verhindern in einem mit einer Organisationseinheit (z. B. Benutzerkonten) verknüpften GPO (z. B. dem GPO für Standardbenutzerrichtlinien) festzulegen. Auf diese Weise werden diese Richtlinieneinstellungen auf alle Benutzer in der Organisationseinheit angewendet. Erstellen Sie dann ein GPO, z. B. GPO für Administratorbenutzerrichtlinien, mit dem Administratoren explizit der Zugriff auf die Eingabeaufforderung und die Programme zum Bearbeiten der Registrierung gewährt wird. Verknüpfen Sie das GPO mit der Organisationseinheit Administratoren. Dadurch werden die im GPO für Standardbenutzerrichtlinien konfigurierten Richtlinieneinstellungen außer Kraft gesetzt. Diese Vorgehensweise ist in Abbildung 4 dargestellt.

48d12c74-030c-4728-a511-782c9d7ab5dc

Wenn eine andere Gruppe von Benutzern Zugriff auf die Eingabeaufforderung, nicht jedoch auf die Registrierung benötigt, können Sie ein weiteres GPO erstellen, um diesen Benutzern den Zugriff zu gewähren. Der Zugriff auf die Programme zum Bearbeiten der Registrierung wird weiterhin verweigert, da durch das neue GPO nicht die im GPO für Standardbenutzerrichtlinien vorgenommene Einstellung für die Programme zum Bearbeiten der Registrierung außer Kraft gesetzt wird. In der Regel umfasst ein GPO für Unternehmensstandards mehr Richtlinieneinstellungen und Konfigurationsoptionen, als in der obigen Abbildung dargestellt. So werden GPOs für Unternehmensstandards z. B. üblicherweise für folgende Zwecke verwendet:

  • Entfernen jeglicher möglicherweise schädigenden und nicht benötigten Funktionalität für Benutzer

  • Definieren von Zugriffsberechtigungen, Sicherheitseinstellungen sowie Dateisystem- und Registrierungsberechtigungen für Mitgliedsserver und Arbeitsstationen

Üblicherweise werden GPOs nicht der Domäne oder dem Standort, sondern der Organisationseinheitsstruktur zugewiesen. Wenn Sie das Organisationseinheitenmodell nach Benutzern, Arbeitsstationen und Servern strukturieren, können Sie Richtlinieneinstellungen für Unternehmensstandards einfacher identifizieren und konfigurieren. Zudem können Sie die nicht anwendbaren Benutzer -oder Computerabschnitte des GPO inaktivieren, um die Verwaltung der Gruppenrichtlinien zu vereinfachen.

Wenn Sie Standardwerte für sicherheitsrelevante Richtlinieneinstellungen festlegen, z. B. Mitgliedschaft in eingeschränkten Gruppen oder Zugriffsberechtigungen für das Dateisystem und die Registrierung, müssen Sie sich im Klaren darüber sein, dass bei diesen Richtlinieneinstellungen der letzte Schreibvorgang alle vorherigen außer Kraft setzt ("Last Writer Wins"-Prinzip) und die Richtlinieneinstellungen nicht zusammengeführt werden. Das folgende Beispiel veranschaulicht dieses Prinzip.

Beispiel: "Last Writer Wins"-Prinzip

Ein Administrator erstellt ein GPO für Standardarbeitsstationen, in dem als Mitglieder der lokalen Gruppe Hauptbenutzer die Gruppen Technischer Support und Helpdesk definiert werden. Die Gruppe Bankgeschäfte möchte dieser Liste die Gruppe Support für Bankgeschäfte hinzufügen und erstellt zu diesem Zweck ein neues GPO für Standardarbeitsstationen. Sofern nicht im neuen GPO angegeben wird, dass alle drei Gruppen Mitglieder der Gruppe Hauptbenutzer sind, verfügt nur die Gruppe Support für Bankgeschäfte auf betroffenen Arbeitsstationen über Hauptbenutzerrechte.

Bereitstellen von Gruppenrichtlinien

Machen Sie sich vor dem Bereitstellen von Gruppenrichtlinien mit den Verfahren für die Arbeit mit GPOs vertraut, u. a. damit, wie Sie GPOs erstellen, Richtlinieneinstellungen importieren, GPOs sichern und wiederherstellen sowie bearbeiten und verknüpfen, Ausnahmen für die Standardvererbung von GPOs festlegen, Filter für die Anwendung von GPOs verwenden, die Verwaltung delegieren und wie Sie die Gruppenrichtlinienmodellierung für die Planung und Gruppenrichtlinienergebnisse für die Auswertung der GPO-Anwendung nutzen.

Führen Sie vor der Bereitstellung in der Produktionsumgebung stets umfassende Tests der GPOs in einer sicheren Umgebung aus. Je ausführlicher Sie GPOs vor der Bereitstellung planen, entwerfen und testen, umso problemloser gelingt die Erstellung, Implementierung und Verwaltung einer optimalen Bereitstellung von Gruppenrichtlinien. Die Bedeutung von Tests und Pilotbereitstellungen kann in diesem Kontext nicht genug betont werden. Bei den Tests sollte die Produktionsumgebung möglichst genau simuliert werden.

Die Entwurfsarbeit ist erst abgeschlossen, wenn Sie alle bedeutenden Variationen und die Bereitstellungsstrategie getestet und überprüft haben. Die Strategie für die GPO-Implementierung kann erst gründlich getestet werden, wenn Sie die GPOs mit bestimmten Richtlinieneinstellungen konfiguriert haben, z. B. mit Sicherheitseinstellungen sowie Einstellungen für Desktop- und Datenverwaltung. Nehmen Sie diese Konfiguration für jede Gruppe von Benutzern und Computern im Netzwerk vor. Verwenden Sie zum Entwickeln, Testen und Überprüfen spezifischer GPOs die Testumgebung. Nutzen Sie dabei den Gruppenrichtlinienmodellierungs-Assistenten und den Gruppenrichtlinienergebnis-Assistenten der GPMC.

Ziehen Sie außerdem eine iterative Implementierung von Gruppenrichtlinien in Betracht. Anstatt 100 neue Gruppenrichtlinieneinstellungen bereitzustellen, können Sie zunächst nur wenige Richtlinieneinstellungen bereitstellen, um zu überprüfen, ob die Gruppenrichtlinieninfrastruktur gut funktioniert.

Weitere Informationen zur Stagingbereitstellung von Gruppenrichtlinien finden Sie unter Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung in dieser Anleitung.

Erstellen von und Arbeiten mit GPOs

Da Änderungen an einem GPO sofort übernommen werden, verknüpfen Sie das GPO so lange nicht mit dem Produktionsort (Standort, Domäne oder Organisationseinheit), bis sie es in einer Testumgebung umfassend getestet haben. Verknüpfen Sie das GPO während der Entwicklung nicht oder mit einer Testorganisationseinheit.

In diesem Abschnitt werden die Erstellung und die Bereitstellung von GPOs beschrieben. Weitere Informationen zum Testen von Gruppenrichtlinienkonfigurationen vor der Bereitstellung finden Sie unter Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung in dieser Anleitung.

In den folgenden Verfahren wird beschrieben, wie GPOs mithilfe der GPMC erstellt und bearbeitet werden.

So erstellen Sie ein nicht verknüpftes GPO

  1. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, in der Sie ein neues, nicht verknüpftes GPO erstellen möchten.

  2. Klicken Sie auf Neu.

  3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue GPO an, und klicken Sie dann auf OK.

Verwenden Sie das folgende Verfahren, um ein GPO zu bearbeiten.

So bearbeiten Sie ein GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu bearbeitende GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf das zu bearbeitende GPO, und klicken Sie dann auf Bearbeiten.

  3. Erweitern in der Konsolenstruktur nach Bedarf Elemente, um zu dem Element zu gelangen, das die zu ändernden Richtlinieneinstellungen enthält. Klicken Sie auf ein Element, um die zugeordneten Richtlinieneinstellungen im Detailbereich anzuzeigen.

  4. Doppelklicken Sie im Detailbereich auf den Namen der Richtlinieneinstellung, die Sie bearbeiten möchten. Beachten Sie, dass für bestimmte Richtlinieneinstellungen, z. B. diejenigen für die Bereitstellung eines neuen Softwareinstallationspakets, eindeutige Benutzeroberflächen verwendet werden.

  5. Nehmen Sie im Dialogfeld Eigenschaften die gewünschten Änderungen an den Richtlinieneinstellungen vor, und klicken Sie dann auf OK.

So verknüpfen Sie ein GPO

Das primäre Verfahren zum Anwenden von Richtlinieneinstellungen in einem GPO auf Benutzer und Computer besteht darin, das GPO mit einem Container in Active Directory zu verknüpfen. GPOs können mit drei Typen von Containern in Active Directory verknüpft werden: Standorten, Domänen und Organisationseinheiten. Ein GPO kann mit mehreren Active Directory-Containern verknüpft werden.

GPOs werden pro Domäne gespeichert. Wenn Sie z. B. ein GPO mit einer Organisationseinheit verknüpfen, befindet sich das GPO nicht wirklich in dieser Organisationseinheit. Bei einem GPO handelt es sich um ein domänenbasiertes Objekt, das mit einem beliebigen Ort in der Gesamtstruktur verknüpft werden kann. Die Benutzeroberfläche der GPMC verdeutlicht den Unterschied zwischen Verknüpfungen und den eigentlichen GPOs.

In der GPMC können Sie ein vorhandenes GPO mit einer der folgenden Methoden mit Active Directory-Containern verknüpfen:

  • Klicken Sie mit der rechten Maustaste auf den Standort, die Domäne oder die Organisationseinheit, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen. Dieses Verfahren entspricht der Auswahl von Hinzufügen auf der Registerkarte Gruppenrichtlinie, die vor der Installation der GPMC im Snap-in Active Directory-Benutzer und -Computer verfügbar war. Voraussetzung für dieses Verfahren ist, dass das GPO bereits in der Domäne vorhanden ist.

  • Ziehen Sie ein GPO unter Gruppenrichtlinienobjekte in die Organisationseinheit, mit der das GPO verknüpft werden soll. Diese Drag & Drop-Funktionalität funktioniert nur innerhalb derselben Domäne.

Sie können die GPMC verwenden, um gleichzeitig ein neues GPO zu erstellen und zu verknüpfen. Dies wird im nächsten Abschnitt beschrieben.

So erstellen und verknüpfen Sie ein GPO

Zum Erstellen eines GPO und zum Verknüpfen dieses GPO mit einem Standort, einer Domäne oder einer Organisationseinheit müssen Sie zunächst das GPO in der Domäne erstellen und dann die Verknüpfung erstellen.

Das folgende Verfahren entspricht der dem Klicken auf Neu auf der Registerkarte Gruppenrichtlinie, die vor der Installation der GPMC im Snap-in Active Directory-Benutzer und -Computer verfügbar war. Dieser Vorgang wird zwar in der GPMC als eine Aktion dargestellt, jedoch werden tatsächlich zwei Aktionen ausgeführt: Ein GPO wird in der Domäne erstellt, und dann wird das neue GPO mit dem Standort, der Domäne oder der Organisationseinheit verknüpft.

So erstellen Sie ein GPO und verknüpfen es mit einem Standort, einer Domäne oder einer Organisationseinheit

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu verknüpfende GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf eine Domäne oder Organisationseinheit, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.

  3. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue GPO an, und klicken Sie dann auf OK.

Verwenden Sie das folgende Verfahren, um die Verknüpfung eines GPO aufzuheben (d. h. die Verknüpfung eines GPO mit einem Standort, einer Domäne oder einer Organisationseinheit zu löschen).

So löschen Sie die Verknüpfung eines GPO mit einem Standort, einer Domäne oder einer Organisationseinheit

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das GPO enthält, dessen Verknüpfung Sie aufheben möchten.

  2. Klicken Sie auf das GPO, dessen Verknüpfung Sie aufheben möchten.

  3. Klicken Sie im Detailbereich auf die Registerkarte Bereich.

  4. Wenn die folgende Meldung angezeigt wird, klicken Sie auf OK, um sie zu schließen (Sie können auch angeben, dass die Meldung nicht mehr angezeigt wird, wenn Sie ein neues GPO erstellen und verknüpfen):

    "Sie haben eine Verknüpfung eines Gruppenrichtlinienobjekts ausgewählt. Änderungen, die Sie hier vornehmen (außer an Verknüpfungseigenschaften), sind global für das Gruppenrichtlinienobjekt und wirken sich so auf alle anderen Orte aus, die mit diesem Gruppenrichtlinienobjekt verknüpft sind."

  5. Klicken Sie im Abschnitt Verknüpfungen mit der rechten Maustaste auf das Active Directory-Objekt mit der zu löschenden Verknüpfung, und klicken Sie dann auf Verknüpfungen löschen.

noteHinweis
Das Löschen einer Verknüpfung eines GPO entspricht nicht dem Löschen eines GPO. Wenn Sie nur die Verknüpfung eines GPO löschen, ist das GPO nach wie vor vorhanden. Dasselbe gilt für alle anderen vorhandenen Verknüpfungen dieses GPO mit anderen Domänen. Wenn Sie hingegen ein GPO löschen, werden Sie aufgefordert, das GPO und alle Verknüpfungen zu diesem GPO in der ausgewählten Domäne zu löschen. Verknüpfungen zu dem GPO in anderen Domänen werden dabei nicht gelöscht. Achten Sie darauf, Verknüpfungen zu dem GPO in anderen Domänen zu entfernen, bevor Sie das GPO aus dieser Domäne löschen.

Deaktivieren der Benutzer- oder Computerkonfigurationseinstellungen in einem GPO

Wenn Sie ein GPO nur zu dem Zweck erstellen, benutzerbezogene Richtlinieneinstellungen festzulegen, können Sie die Computerkonfigurationseinstellungen im GPO deaktivieren. Dadurch wird die für den Start des Computers benötigte Zeit leicht verkürzt, da die Computerkonfigurationseinstellungen im GPO nicht ausgewertet werden müssen, um festzustellen, ob Richtlinieneinstellungen vorhanden sind. Wenn Sie nur computerbezogene Richtlinieneinstellungen konfigurieren, deaktivieren Sie die Benutzerkonfigurationseinstellungen im GPO.

In Abbildung 5 sind die im folgenden Verfahren genannten Elemente in der GPMC zu sehen.

3a7b8d0f-aa56-41e4-8294-7d48816627c0

So deaktivieren Sie die Benutzer- oder Computerkonfigurationseinstellungen in einem GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die die zu deaktivierenden Richtlinieneinstellungen enthält.

  2. Klicken Sie mit der rechten Maustaste auf das GPO, das die zu deaktivierenden Richtlinieneinstellungen enthält.

  3. Wählen Sie in der Liste Objektstatus eine der folgenden Optionen aus:

    • Alle Einstellungen deaktiviert

    • Computerkonfigurationseinstellungen deaktiviert

    • Aktiviert (Standard)

    • Benutzerkonfigurationseinstellungen deaktiviert

Spezielle Überlegungen zu mit Standorten verknüpften GPOs

Mit Standorten verknüpfte GPOs sind möglicherweise geeignet, um Richtlinien für Proxyeinstellungen, Drucker und netzwerkbezogene Einstellungen festzulegen. Jedes mit einem Standortcontainer verknüpfte GPO wird auf alle Computer an dem betreffenden Standort angewendet, und zwar unabhängig davon, zu welcher Domäne in der Gesamtstruktur ein Computer gehört. Dieses Verhalten hat folgende Auswirkungen:

  • Sie müssen sicherstellen, dass die Computer nicht über eine WAN-Verbindung auf ein Standort-GPO zugreifen, denn dies würde zu erheblichen Leistungsproblemen führen.

  • Standardmäßig müssen Sie zum Verwalten von Standort-GPOs entweder ein Mitglied der Gruppe Organisations-Admins oder ein Mitglied der Gruppe Domänen-Admins in der Stammdomäne der Gesamtstruktur sein.

  • Die Active Directory-Replikation zwischen Domänencontrollern an verschiedenen Standorten erfolgt weniger häufig als die Replikation zwischen Domänencontrollern am selben Standort, und sie wird ausschließlich in geplanten Zeiträumen ausgeführt. Zwischen Standorten wird die FRS-Replikation nicht durch den Replikationszeitplan für Standortverknüpfungen bestimmt. Innerhalb von Standorten ist dies kein Problem.

    Der Zeitplan und die Frequenz der Verzeichnisdienstreplikation sind Eigenschaften der Standortverknüpfungen, über die Standorte miteinander verbunden sind. Die Standardfrequenz für die standortübergreifende Replikation beträgt drei Stunden. Gehen Sie zum Ändern der Frequenz folgendermaßen vor:

    So ändern Sie die standortübergreifende Replikationsfrequenz

    1. Öffnen Sie Active Directory-Standorte und -Dienste.

    2. Erweitern Sie in der Konsolenstruktur den Ordner Sites, erweitern Sie Inter-Site Transports, erweitern Sie IP, und klicken Sie dann auf den Ordner Inter-Site Transports, der die Standortverknüpfung enthält, für die Sie die standortübergreifende Replikation konfigurieren möchten.

    3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Standortverknüpfung, deren standortübergreifende Replikationsfrequenz konfiguriert werden soll, und klicken Sie dann auf Eigenschaften.

    4. Geben Sie auf der Registerkarte Allgemein unter Replizieren alle die Anzahl der Minuten zwischen den Replikationen an, oder wählen Sie sie aus.

    5. Klicken Sie auf OK.

Jede Änderung der Replikationsfrequenz oder des Zeitplans kann erhebliche Auswirkungen auf die Gruppenrichtlinien haben. Angenommen, Sie haben eine Replikationsfrequenz von mindestens drei Stunden festgelegt, erstellen ein GPO und verknüpfen dieses mit einer Organisationseinheit in einer Domäne, die sich über mehrere Standorte erstreckt. Sie werden wahrscheinlich mehrere Stunden warten müssen, bis alle Benutzer in der Organisationseinheit das GPO erhalten haben.

Wenn sich die meisten Benutzer in einer Organisationseinheit an einem Remotestandort befinden und an diesem Standort ein Domänencontroller vorhanden ist, können Sie die Wartezeit für die standortübergreifende Replikation umgehen, indem Sie alle Gruppenrichtlinienvorgänge auf dem Domänencontroller an diesem Standort ausführen.

Verwenden der Loopbackverarbeitung zum Konfigurieren von Benutzerrichtlinieneinstellungen

Die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie ist eine erweiterte Option, die darauf abzielt, die Konfiguration des Computers unabhängig davon beizubehalten, wer sich anmeldet. Diese Richtlinieneinstellung ist für bestimmte genau verwaltete Umgebungen mit für spezielle Zwecke verwendeten Computern geeignet, z. B. für Unterrichtsräume, öffentliche Kioskcomputer und Empfangsbereiche. Es ist z. B. möglicherweise sinnvoll, diese Richtlinieneinstellung für einen bestimmten Server zu aktivieren, z. B. für einen Terminalserver. Wenn Sie die Richtlinieneinstellung für den Loopbackverarbeitungsmodus aktivieren, werden auf jeden Benutzer, der sich an dem betreffenden Computer anmeldet, dieselben Benutzerrichtlinieneinstellungen angewendet.

Wenn Sie GPOs auf Benutzer anwenden, werden normalerweise immer dieselben Benutzerrichtlinieneinstellungen auf die einzelnen Benutzer angewendet, unabhängig davon, an welchem Computer sie sich anmelden. Durch Aktivieren der Richtlinieneinstellung für die Loopbackverarbeitung in einem GPO können Sie Benutzerrichtlinieneinstellungen auf Basis des Computers, an dem die Anmeldung erfolgt, konfigurieren. Diese Richtlinieneinstellungen werden unabhängig davon angewendet, welcher Benutzer sich anmeldet. Wenn Sie die Richtlinieneinstellung für den Loopbackverarbeitungsmodus aktivieren, müssen Sie sicherstellen, dass die Einstellungen Computerkonfiguration und Benutzerkonfiguration im GPO aktiviert sind.

Sie können die Richtlinieneinstellung für die Loopbackverarbeitung in der GPMC konfigurieren, indem Sie das GPO bearbeiten und die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie aktivieren. Zwei Optionen sind verfügbar:

  • Zusammenführen-Modus: In diesem Modus wird die Liste der GPOs für den Benutzer während des Anmeldeprozesses zusammengestellt. Danach wird die Liste der GPOs für den Computer zusammengestellt. Als Nächstes wird die Liste der GPOs für den Computer am Ende der GPOs für den Benutzer hinzugefügt. Dies führt dazu, dass die GPOs für den Computer Vorrang vor den GPOs für den Benutzer haben. Im Fall eines Konflikts zwischen den Richtlinieneinstellungen werden die Benutzerrichtlinieneinstellungen in den GPOs für den Computer angewendet, nicht die normalen Richtlinieneinstellungen für den Benutzer.

  • Ersetzen-Modus: In diesem Modus wird keine Liste von GPOs für den Benutzer zusammengestellt. Stattdessen wird nur die Liste der GPOs für das Computerobjekt verwendet. Die benutzerdefinierten Konfigurationseinstellungen aus dieser Liste werden auf den Benutzer angewendet.

Delegieren der Verwaltung von Gruppenrichtlinien

Im Gruppenrichtlinienentwurf müssen Sie wahrscheinlich das Delegieren bestimmter Verwaltungsaufgaben für Gruppenrichtlinien vorsehen. Die Frage, in welchem Maße die Verwaltungsfunktionalität für Gruppenrichtlinien zentralisiert oder verteilt werden soll, ist einer der wichtigsten Faktoren bei der Bewertung der Anforderungen Ihrer Organisation. In Organisationen mit einem zentralen Verwaltungsmodell stellt eine IT-Gruppe Dienste bereit, trifft Entscheidungen und legt Standards für das gesamte Unternehmen fest. In Organisationen mit einem verteilten Verwaltungsmodell verwaltet jede Unternehmenseinheit eine eigene IT-Gruppe.

Sie können die folgenden Aufgaben für Richtlinien delegieren:

  • Verwalten einzelner GPOs (z. B. Erteilen von Bearbeitungs- oder Lesezugriff auf ein GPO)

  • Ausführen der folgenden Gruppenrichtlinienaufgaben für Standorte, Domänen und Organisationseinheiten:

    • Verwalten von Gruppenrichtlinienverknüpfungen für einen bestimmten Standort oder eine bestimmte Domäne oder Organisationseinheit

    • Ausführen von Analysen zur Gruppenrichtlinienmodellierung für Objekte in dem betreffenden Container (für Standorte nicht zutreffend)

    • Lesen von Gruppenrichtlinienergebnissen für Objekte in dem betreffenden Container (für Standorte nicht zutreffend)

  • Erstellen von GPOs

  • Erstellen von WMI-Filtern

  • Verwalten und Bearbeiten einzelner WMI-Filter

Je nach dem Verwaltungsmodell Ihrer Organisation müssen Sie bestimmen, welche Aspekte der Konfigurationsverwaltung am besten auf Standort-, Domänen- und Organisationseinheitsebene behandelt werden können. Außerdem müssen Sie bestimmen, wie die Zuständigkeiten auf jeder Standort-, Domänen- und Organisationseinheitsebene möglicherweise weiter auf die auf der jeweiligen Ebene verfügbaren Administratoren oder Administratorgruppen aufgeteilt werden können.

Bei der Entscheidung über das Delegieren von Autorität auf Standort-, Domänen- und Organisationseinheitsebene sollten Sie die folgenden Punkte berücksichtigen:

  • Auf Domänenebene delegierte Autorität betrifft alle Objekte in der Domäne, wenn die Berechtigung für die Vererbung an alle untergeordneten Container festgelegt ist.

  • Auf Organisationseinheitsebene delegierte Autorität kann entweder nur die jeweilige Organisationseinheit oder die Organisationseinheit und alle untergeordneten Organisationseinheiten betreffen.

  • Die Verwaltung von Berechtigungen ist einfacher und effizienter, wenn Sie die Steuerung auf der höchstmöglichen Organisationseinheitsebene zuweisen.

  • Auf Standortebene delegierte Autorität erstreckt sich wahrscheinlich über mehrere Domänen und kann Objekte in anderen Domänen als in der Domäne beeinflussen, in der sich das GPO befindet.

In den folgenden Abschnitten wird beschrieben, wie Sie die Delegierungsaufgaben mithilfe der GPMC ausführen.

Delegieren der Verwaltung einzelner GPOs

Mithilfe der GPMC können Sie auf einfache Weise zusätzlichen Benutzern Berechtigungen für ein GPO erteilen. In der GPMC werden Berechtigungen auf Aufgabenebene verwaltet. Für ein GPO sind fünf Berechtigungsstufen zulässig: Lesen, Bearbeiten, Einstellungen bearbeiten, löschen, Sicherheit ändern, Lesen (durch Sicherheitsfilterung) und Benutzerdefiniert. Diese Berechtigungsstufen entsprechen einem festen Satz von Berechtigungen auf niedriger Ebene. In Tabelle 3 sind die einzelnen Optionen und die entsprechenden Berechtigungen auf niedriger Ebene aufgeführt.

Tabelle 3: GPO-Berechtigungsoptionen und Berechtigungen auf niedriger Ebene

GPO-Berechtigungsoption Berechtigungen auf niedriger Ebene

Lesen

Lesezugriff für das GPO zulassen.

Lesen (durch Sicherheitsfilterung)

Diese Einstellung kann nicht direkt festgelegt werden, wird jedoch angezeigt, wenn der Benutzer über die Berechtigungen Lesen und Gruppenrichtlinie übernehmen für das GPO verfügt, die unter Sicherheitsfilterung auf der Registerkarte Bereich des GPO festgelegt werden.

Einstellungen bearbeiten

Lesen, Schreiben, Untergeordnete Objekte erstellen, Untergeordnete Objekte löschen zulassen.

Einstellungen bearbeiten, löschen, Sicherheit ändern

Lesen, Schreiben, Untergeordnete Objekte erstellen, Untergeordnete Objekte löschen, Löschen, Berechtigungen ändern und Besitzer ändern zulassen. Dadurch wird Vollzugriff auf das GPO erteilt, nur ist die Berechtigung Gruppenrichtlinie übernehmen nicht festgelegt.

Benutzerdefiniert

Alle anderen Kombinationen von Rechten, z. B. das Verweigern von Berechtigungen, werden als benutzerdefinierte Berechtigungen angezeigt. Sie können benutzerdefinierte Rechte nicht durch Klicken auf Hinzufügen festlegen. Sie können diese nur festgelegen, indem Sie auf Erweitert klicken und die Rechte dann direkt ändern.

Verwenden Sie das folgende Verfahren, um einem Benutzer oder einer Gruppe Berechtigungen für ein GPO zu erteilen.

So erteilen Sie einem Benutzer oder einer Gruppe Berechtigungen für ein GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu bearbeitende GPO enthält.

  2. Klicken Sie auf das GPO, für das Sie Berechtigungen erteilen möchten.

  3. Klicken Sie im Detailbereich auf die Registerkarte Delegierung.

  4. Klicken Sie auf Hinzufügen.

  5. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen wählen den Benutzer oder die Gruppe an, dem bzw. der Sie Berechtigungen erteilen möchten, und klicken Sie dann auf OK.

  6. Klicken Sie im Dialogfeld Gruppe oder Benutzer hinzufügen unter Berechtigungen auf die Berechtigungsstufe, die Sie dem Benutzer oder der Gruppe erteilen möchten, und klicken Sie dann auf OK.

Beachten Sie, dass die Berechtigung Gruppenrichtlinie übernehmen, die für die Sicherheitsfilterung verwendet wird, auf der Registerkarte Delegierung nicht festgelegt werden kann. Da die Berechtigung Gruppenrichtlinie übernehmen zum Definieren des Bereichs des GPO verwendet wird, wird diese Berechtigung in der GPMC auf der Registerkarte Bereich für das GPO verwaltet. Wenn Sie einem Benutzer oder einer Gruppe die Berechtigung Gruppenrichtlinie übernehmen für ein GPO erteilen möchten, klicken Sie auf der Registerkarte Bereich für das betreffende GPO auf Hinzufügen, und geben Sie den Benutzer bzw. die Gruppe an. Der Name des Benutzers bzw. der Gruppe wird in der Liste Sicherheitsfilterung angezeigt. Wenn Sie einem Benutzer auf der Registerkarte Bereich unter Sicherheitsfilterung Berechtigungen erteilen, legen Sie tatsächlich die Berechtigungen Lesen und Gruppenrichtlinie übernehmen fest.

In Tabelle 4 sind die Standardeinstellungen für Sicherheitsberechtigungen für ein GPO aufgelistet.

Tabelle 4: Standardmäßige Sicherheitsberechtigungen für GPOs

Sicherheitsgruppe Berechtigungen

Authentifizierte Benutzer

Lesen (durch Sicherheitsfilterung)

DOMÄNENCONTROLLER DER ORGANISATION

Lesen

Domänen-Admins, Organisations-Admins, Ersteller-Besitzer, SYSTEM

Einstellungen bearbeiten, löschen, Sicherheit ändern

noteHinweis
Da auch Administratoren zur Gruppe Authentifizierte Benutzer gehören, ist für sie der Zugriffssteuerungseintrag (Access Control Entry, ACE) Gruppenrichtlinie übernehmen standardmäßig auf Zulassen festgelegt. Dies führt dazu, dass Richtlinieneinstellungen auch für sie gelten, wenn sie sich in dem Container befinden, mit dem das GPO verknüpft ist.

Delegieren von Gruppenrichtlinienaufgaben für Standorte, Domänen und Organisationseinheiten

Sie können in Active Directory die folgenden drei Gruppenrichtlinienaufgaben (Berechtigungen) pro Container delegieren:

  • Verknüpfen von GPOs mit einem Active Directory-Container (Standort, Domäne oder Organisationseinheit)

  • Ausführen von Analysen zur Gruppenrichtlinienmodellierung für Objekte in dem betreffenden Container (Domänen und Organisationseinheiten)

  • Lesen von Gruppenrichtlinienergebnissen für Objekte in dem betreffenden Container (Domänen und Organisationseinheiten)

Zum Delegieren von Verwaltungsaufgaben müssen Sie in der GPMC die der Aufgabe entsprechende Berechtigung für den entsprechenden Active Directory-Container erteilen.

Standardmäßig verfügen Mitglieder der Gruppe Domänen-Admins über die Berechtigung zum Verknüpfen von GPOs für Domänen und Organisationseinheiten, und Mitglieder der Gruppen Organisations-Admins und Domänen-Admins in der Gesamtstruktur-Stammdomäne können Verknüpfungen mit Standorten verwalten. In der GPMC können Sie Berechtigungen an zusätzliche Gruppen und Benutzer delegieren.

Standardmäßig sind der Zugriff auf die Gruppenrichtlinienmodellierung und der Remotezugriff auf Gruppenrichtlinienergebnisse auf Mitglieder der Gruppen Organisations-Admins und Domänen-Admins beschränkt. Sie können den Zugriff auf diese Daten an Administratoren auf niedrigeren Ebenen delegieren, indem Sie die entsprechenden Berechtigungen in der GPMC festlegen.

In den folgenden Verfahren wird beschrieben, wie Sie Verwaltungsaufgaben für Gruppenrichtlinien delegieren können, indem Sie die entsprechenden Berechtigungen für Active Directory-Container ändern.

So delegieren Sie Verwaltungsaufgaben für Gruppenrichtlinien für einen Standort, eine Domäne oder eine Organisationseinheit

  1. Klicken Sie in der GPMC auf den Namen des Standorts, der Domäne oder der Organisationseinheit, für den bzw. die Sie Verwaltungsaufgaben für Gruppenrichtlinien delegieren möchten.

  2. Klicken Sie im Detailbereich für den Standort, die Domäne oder die Organisationseinheit auf die Registerkarte Delegierung.

  3. Klicken Sie in der Liste Berechtigung auf eine der folgenden Optionen: Gruppenrichtlinienobjekte verknüpfen, Analysen zur Gruppenrichtlinienmodellierung durchführen oder Gruppenrichtlinienergebnisse lesen. Beachten Sie, dass für Standorte nur Gruppenrichtlinienobjekte verknüpfen verfügbar ist.

  4. Klicken Sie zum Delegieren der Aufgabe an einen neuen Benutzer oder eine neue Gruppe auf Hinzufügen, und geben Sie dann den hinzuzufügenden Benutzer bzw. die hinzuzufügende Gruppe an.

  5. Klicken Sie zum Ändern der Einstellung Hierauf anwenden für eine vorhandene Berechtigung (d. h. zum Ändern des Active Directory-Containers, für den die einem bestimmten Benutzer oder einer bestimmten Gruppe erteilte Berechtigung gilt) in der Liste Gruppen und Benutzer mit der rechten Maustaste auf den Benutzer bzw. die Gruppe, und klicken Sie dann entweder auf Nur diesen Container oder auf Dieser und untergeordnete Container.

  6. Wenn Sie eine vorhandene Gruppe oder einen vorhandenen Benutzer aus der Liste der Gruppen und Benutzer, denen die betreffende Berechtigung erteilt wurde, entfernen möchten, klicken Sie in der Liste Gruppen und Benutzer auf den Benutzer bzw. die Gruppe, und klicken Sie dann auf Entfernen. Hierzu müssen Sie Mitglied der Gruppe Domänen-Admins sein.

  7. So fügen Sie benutzerdefinierte Berechtigungen hinzu oder entfernen diese

    1. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.

    2. Klicken Sie unter Gruppen- oder Benutzernamen auf den Benutzer oder die Gruppe, dessen bzw. deren Berechtigungen Sie ändern möchten.

    3. Ändern Sie unter Berechtigungen die Berechtigungen nach Bedarf, und klicken Sie dann auf OK.

Delegieren der Erstellung von GPOs

Die Berechtigung zum Erstellen von GPOs in einer Domäne wird pro Domäne verwaltet. Standardmäßig können nur Mitglieder der Gruppen Domänen-Admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer und SYSTEM neue GPOs erstellen.

Ein Mitglied der Gruppe Domänen-Admins kann die Erstellung von GPOs an beliebige Gruppen oder Benutzer delegieren. Es gibt zwei Methoden, einer Gruppe oder einem Benutzer diese Berechtigung zu erteilen, wobei die erteilten Berechtigungen bei beiden Methoden identisch sind:

  • Die Gruppe bzw. der Benutzer kann der Gruppe Richtlinien-Ersteller-Besitzer hinzugefügt werden. Vor Einführung der GPMC war dies die einzige verfügbare Methode.

  • Der Gruppe bzw. dem Benutzer kann in der GPMC explizit die Berechtigung zum Erstellen von GPOs erteilt werden. Klicken Sie zu diesem Zweck in der GPMC-Konsolenstruktur auf Gruppenrichtlinienobjekte, klicken Sie auf die Registerkarte Delegierung, und nehmen Sie dann die erforderlichen Änderungen an den Berechtigungen vor.

Wenn ein Mitglied der Gruppe Richtlinien-Ersteller-Besitzer, der kein Administrator ist, ein GPO erstellt, wird dieser Benutzer der Ersteller-Besitzer des GPO und kann Berechtigungen für das GPO bearbeiten und ändern. Allerdings können Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer GPOs nicht mit Containern verknüpfen, es sei denn, das entsprechende Recht wurde für einen bestimmten Standort oder eine bestimmte Domäne oder Organisationseinheit separat an sie delegiert. Durch die Mitgliedschaft in der Gruppe Richtlinien-Ersteller-Besitzer erhält der Nichtadministrator nur auf die von ihm selbst erstellten GPOs Vollzugriff. Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer verfügen nicht über Berechtigungen für von anderen Benutzern erstellte GPOs.

noteHinweis
Wenn ein Administrator ein GPO erstellt, werden Mitglieder der Gruppe Domänen-Admins Ersteller-Besitzer des GPO. Standardmäßig können Mitglieder der Gruppe Domänen-Admins alle GPOs in der Domäne bearbeiten.

Das Recht zum Verknüpfen von GPOs wird getrennt von den Rechten zum Erstellen und zum Bearbeiten von GPOs delegiert. Denken Sie daran, beide Rechte an die Gruppen zu delegieren, die GPOs erstellen und verknüpfen sollen. Standardmäßig können Benutzer, die keine Mitglieder der Gruppe Domänen-Admins sind, keine Verknüpfungen verwalten, sodass sie in der GPMC kein GPO erstellen und verknüpfen können. Wenn sie jedoch Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer sind, können Benutzer, die keine Mitglieder der Gruppe Domänen-Admins sind, ein nicht verknüpftes GPO erstellen. Nachdem ein solcher Benutzer ein nicht verknüpftes GPO erstellt hat, kann der Domänenadministrator oder ein anderer Benutzer, an den die Berechtigungen zum Verknüpfen von GPOs mit Containern delegiert worden sind, das GPO nach Bedarf verknüpfen.

Da die Gruppe Richtlinien-Ersteller-Besitzer eine globale Domänengruppe ist, kann sie keine Mitglieder von außerhalb der Domäne umfassen. Wenn Sie Berechtigungen zum Erstellen von GPOs an Benutzer außerhalb der Domäne delegieren möchten, müssen Sie daher stattdessen die GPMC verwenden, um den betreffenden Benutzern die entsprechenden Berechtigungen explizit zu erteilen.

Erstellen Sie zu diesem Zweck eine neue lokale Domänengruppe in der Domäne (z. B. "Richtlinien-Ersteller-Besitzer - Extern"), erteilen Sie dieser Gruppe die Berechtigung zum Erstellen von GPOs in der Domäne, und fügen Sie dann dieser Gruppe lokale Domänengruppen aus externen Domänen hinzu. Für Benutzer und Gruppen in der Domäne sollten Sie weiterhin die Gruppe Richtlinien-Ersteller-Besitzer verwenden, um Berechtigungen zum Erstellen von GPOs zu erteilen.

Delegieren der Erstellung von WMI-Filtern

Sie können an einen Benutzer oder eine Gruppe eine der beiden folgenden Berechtigungsstufen für die Erstellung von WMI-Filtern delegieren:

  • Ersteller-Besitzer: Der Benutzer bzw. die Gruppe darf neue WMI-Filter in der Domäne erstellen, erhält jedoch nicht die Berechtigungen zum Verwalten von WMI-Filtern, die von anderen Benutzern erstellt wurden.

  • Vollzugriff: Der Benutzer bzw. die Gruppe darf WMI-Filter erstellen und erhält Vollzugriff auf alle WMI-Filter in der Domäne einschließlich neuer Filter, die nach dem Erteilen dieser Berechtigung erstellt werden.

Sie können diese Berechtigungen mithilfe der GPMC delegieren. Klicken Sie in der GPMC-Konsolenstruktur auf WMI-Filter. Klicken Sie im Detailbereich auf die Registerkarte Delegierung, und delegieren Sie die erforderlichen Berechtigungen nach Bedarf.

Delegieren von Berechtigungen zum Verwalten einzelner WMI-Filter

Sie können an einen Benutzer oder eine Gruppe eine der beiden folgenden Berechtigungsstufen für die Verwaltung eines einzelnen WMI-Filters delegieren:

  • Bearbeiten: Der Benutzer bzw. die Gruppe darf den ausgewählten WMI-Filter bearbeiten.

  • Vollzugriff: Der Benutzer bzw. die Gruppe darf den ausgewählten WMI-Filter bearbeiten, löschen und die Sicherheit für diesen ändern.

Sie können diese Berechtigungen mithilfe der GPMC delegieren. Klicken Sie in der GPMC-Konsolenstruktur auf den WMI-Filter, für den Sie Berechtigungen delegieren möchten. Klicken Sie im Detailbereich auf die Registerkarte Delegierung, und delegieren Sie die erforderlichen Berechtigungen nach Bedarf.

Beachten Sie, dass alle Benutzer über Lesezugriffauf alle WMI-Filter verfügen müssen. Diese Berechtigung kann in der GPMC nicht entfernt werden. Wenn die Berechtigung Lesen entfernt würde, würde bei der Gruppenrichtlinienverarbeitung auf dem Zielcomputer ein Fehler auftreten.

Definieren der Verfahren für Gruppenrichtlinien

Um die zukünftige Verwaltung von Gruppenrichtlinien so einfach wie möglich zu gestalten, sollten Sie Verfahren entwickeln, durch die sichergestellt wird, dass Änderungen an GPOs mit entsprechender Autorisierung und Steuerung erfolgen. Stellen Sie insbesondere sicher, dass alle neuen GPOs und Änderungen an vorhandenen GPOs vor der eigentlichen Bereitstellung in der Produktionsumgebung ordnungsgemäß in einer Stagingumgebung bereitgestellt werden. Außerdem sollten Sie regelmäßige Sicherungen der GPOs erstellen.

In einigen Organisationen sind möglicherweise unterschiedliche Teams für die Verwaltung der verschiedenen Aspekte von Gruppenrichtlinien verantwortlich. So ist z. B. ein Softwarebereitstellungsteam üblicherweise für die Richtlinieneinstellungen unter Benutzerkonfiguration\Richtlinien\Softwareeinstellungen\Softwareinstallation und Computerkonfiguration\Richtlinien\Softwareeinstellungen\Softwareinstallation zuständig. Die übrigen Richtlinieneinstellungen, die sich auf Elemente wie Scripts und Ordnerumleitung beziehen, sind wahrscheinlich für dieses Team nicht von Interesse.

Zum Reduzieren der Komplexität und zum Minimieren des Fehlerrisikos ist es u. U. sinnvoll, separate GPOs für verschiedene Gruppen von Administratoren zu erstellen. Alternativ können Sie den Zugriff von Administratoren auf die Teile von Gruppenrichtlinien beschränken, die sie ändern dürfen. Mithilfe der Richtlinieneinstellung Eingeschränkte/Zugelassene Snap-Ins\Erweiterungs-Snap-Ins können Sie einschränken, auf welche Snap-Ins Administratoren zugreifen können. Diese Richtlinieneinstellung ist beim Bearbeiten eines GPO unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Microsoft Management Console verfügbar. Die Richtlinieneinstellung Eingeschränkte/Zugelassene Snap-Ins\Erweiterungs-Snap-Ins bezieht sich auf die Benutzeroberfläche, auf die über den zur GPMC gehörenden Editor zugegriffen werden kann. Bedenken Sie, dass bestimmte Teams möglicherweise Zugriff auf mehrere Typen von Erweiterungs-Snap-Ins benötigen.

noteHinweis
Die MMC-Richtlinieneinstellungen betreffen nur die Benutzeroberfläche, auf die über die MMC zugegriffen werden kann. Wenn Gruppenrichtlinien programmgesteuert bearbeitet werden, können beliebige GPO-Einstellungen bearbeitet werden.

Weitere Informationen zu dieser und anderen Gruppenrichtlinieneinstellungen erhalten Sie, wenn Sie beim Bearbeiten eines GPO im Detailbereich auf die Richtlinieneinstellung doppelklicken und dann im Dialogfeld Eigenschaften für die Richtlinie auf die Registerkarte Erklärung klicken. Diese Informationen sind immer verfügbar, wenn Sie auf eine Richtlinieneinstellung klicken, sofern Erweiterte Ansicht aktiviert ist. Diese Ansicht ist standardmäßig aktiviert.

Angeben eines Domänencontrollers für die Bearbeitung von Gruppenrichtlinien

Die GPMC verwendet in jeder Domäne denselben Domänencontroller für alle Vorgänge in dieser Domäne. Hierunter fallen alle Vorgänge für die GPOs, die sich in der Domäne befinden, sowie für alle anderen Objekte in der Domäne, z. B. Organisationseinheiten und Sicherheitsgruppen.

Außerdem verwendet die GPMC denselben Domänencontroller für alle Vorgänge für Standorte. Dieser Domänencontroller wird zum Lesen und Schreiben von Informationen zu den an einem bestimmten Standort vorhandenen Verknüpfungen mit GPOs verwendet, jedoch werden Informationen bezüglich der GPOs selbst von den Domänencontrollern der Domänen abgerufen, die die GPOs hosten.

Wenn Sie der Konsole eine neue Domäne hinzufügen, wird von der GPMC standardmäßig der Domänencontroller mit der PDC-Emulator-Betriebsmasterrolle (Primary Domain Controller, primärer Domänencontroller) in dieser Domäne für Vorgänge in der Domäne verwendet. Für die Verwaltung von Standorten verwendet die GPMC standardmäßig den PDC-Emulator in der Domäne des Benutzers.

Die Wahl der Domänencontroller ist für Administratoren ein wichtiger Aspekt im Hinblick auf die Vermeidung von Replikationskonflikten. Besonders wichtig ist dies, da sich GPO-Daten sowohl in Active Directory als auch in SYSVOL befinden, die jeweils unterschiedliche Replikationsmechanismen zum Replizieren von GPO-Daten auf den verschiedenen Domänencontrollern in der Domäne verwenden. Wenn zwei Administratoren gleichzeitig dasselbe GPO auf verschiedenen Domänencontrollern bearbeiten, ist es je nach Replikationswartezeit möglich, dass die von einem Administrator vorgenommenen Änderungen von dem anderen Administrator überschrieben werden.

Zur Vermeidung dieses Problems verwendet die GPMC standardmäßig den PDC-Emulator in der jeweiligen Domäne. Dadurch wird sichergestellt, dass alle Administratoren denselben Domänencontroller verwenden und Datenverluste verhindert werden. Allerdings ist es möglicherweise nicht immer wünschenswert, dass ein Administrator den PDC zum Bearbeiten von GPOs verwendet. Wenn sich z. B. der Administrator an einem Remotestandort befindet oder sich die Mehrheit der Benutzer oder Computer, für die ein GPO gilt, an einem Remotestandort befinden, kann der Administrator einen Domänencontroller am Remotestandort als Ziel auswählen. Wenn Sie z. B. als Administrator in Japan tätig sind und sich der PDC-Emulator in New York befindet, ist es u. U. unpraktisch, über eine WAN-Verbindung auf den PDC-Emulator in New York zuzugreifen.

ImportantWichtig
Wenn mehrere Administratoren ein gemeinsames GPO verwalten, sollten alle Administratoren zum Bearbeiten des GPO denselben Domänencontroller verwenden, um FRS-Konflikte zu vermeiden.

Verwenden Sie zum Angeben des Domänencontrollers, der für eine bestimmte Domäne oder für alle Standorte in einer Gesamtstruktur verwendet werden soll, den Befehl Domänencontroller ändern in der GPMC. Im jedem Fall sind die folgenden vier Optionen verfügbar:

  • Domänencontroller mit dem Betriebsmastertoken für die PDC-Emulation (Standardoption)

  • Beliebigem verfügbaren Domänencontroller

  • Beliebigem verfügbaren Domänencontroller mit Windows Server 2003 oder höher

  • Folgendem Domänencontroller (In diesem Fall müssen Sie den Domänencontroller auswählen.)

Die ausgewählte Option wird so lange bei jedem Öffnen einer gespeicherten Konsole verwendet, bis Sie eine andere Option auswählen.

Diese Einstellung wird in der MSC-Datei gespeichert und beim Öffnen der MSC-Datei verwendet. Im Allgemeinen wird von der Verwendung der Option Beliebigem verfügbaren Domänencontroller abgeraten, es sei denn, Sie führen reine Lesevorgänge aus.

Gruppenrichtlinienverarbeitung und langsame Verbindungen

Manchmal werden Gruppenrichtlinien nicht angewendet, wenn die Verbindungsgeschwindigkeit unter bestimmte Schwellenwerte fällt. Daher müssen Sie in Fällen, in denen die Gruppenrichtlinienlösung die Anwendung von Richtlinien über langsame Verbindungen oder über Remotezugriff erforderlich macht, Richtlinieneinstellungen zur Erkennung langsamer Verbindungen in Erwägung ziehen.

Es besteht zwar ein Zusammenhang zwischen langsamen Verbindungen und Remotezugriff, jedoch unterscheidet sich die jeweilige Gruppenrichtlinienverarbeitung. Wenn ein Computer mit einem LAN verbunden ist, bedeutet dies nicht unbedingt eine schnelle Verbindung, und ebenso wenig ist eine RAS-Verbindung (Remote Access Service) gleichbedeutend mit einer langsamen Verbindung. Als langsame Verbindung gilt bei Gruppenrichtlinien jede Verbindung mit einer Übertragungsrate von weniger als 500 Kilobits pro Sekunde (KBit/s). Sie können diesen Schwellenwert mithilfe von Gruppenrichtlinien ändern. Im folgenden Abschnitt werden die Phasen der Gruppenrichtlinienverarbeitung und das Verfahren zum Messen der Verbindungsgeschwindigkeit durch Gruppenrichtlinien in Windows Server 2008 beschrieben.

Phasen der Gruppenrichtlinienverarbeitung

Bei der Gruppenrichtlinienverarbeitung werden drei Phasen durchlaufen. Jede Phase des Prozesses ist durch eine Teilmenge von Verarbeitungsszenarien gekennzeichnet. Bei der Verarbeitung von Gruppenrichtlinien durchläuft der Gruppenrichtliniendienst in jeder Phase die einzelnen Szenarien. Folgende Phasen der Gruppenrichtlinienverarbeitung werden unterschieden:

  • Vorverarbeitungsphase: Diese Phase gibt die Anfangsinstanz der Gruppenrichtlinienverarbeitung an und dient zum Sammeln von für die Gruppenrichtlinienverarbeitung erforderlichen Informationen.

  • Verarbeitungsphase: In dieser Phase werden die in der Vorverarbeitungsphase gesammelten Informationen verwendet, um die einzelnen Gruppenrichtlinienerweiterungen zu durchlaufen, wodurch Richtlinieneinstellungen auf den Benutzer oder Computer angewendet werden.

  • Phase der nachträglichen Verarbeitung: In dieser Phase wird das Ende der Richtlinienverarbeitungsinstanz gemeldet, und es wird aufgezeichnet, ob die Instanz erfolgreich beendet wurde, mit Warnungen verarbeitet wurde oder Fehler aufgetreten sind.

Der Gruppenrichtliniendienst ist von einer erfolgreichen Kommunikation mit einem Domänencontroller abhängig, um computer- und benutzerspezifische Informationen abrufen zu können. Zudem verwendet der Dienst den Domänencontroller, um die GPOs im Bereich des Computers oder Benutzers zu ermitteln.

Funktionsweise der Messung der Verbindungsgeschwindigkeit durch Gruppenrichtlinien

Für Gruppenrichtlinien unter Windows Server 2008 ist die Erkennung langsamer Verbindungen verbessert worden. Bei Gruppenrichtlinien unter Windows Server 2003 sucht ein Client nach dem entsprechenden Domänencontroller, indem mithilfe von ICMP (Internet Control Message-Protokoll) die Verfügbarkeit des Domänencontrollers und die Geschwindigkeit der Verbindung zwischen dem Client und dem Domänencontroller ermittelt werden. Unter Windows Server 2008 ermittelt der Gruppenrichtliniendienst die Verbindungsgeschwindigkeit mithilfe des NLA-Diensts (Network Location Awareness), mit dem der aktuelle TCP-Verkehr zwischen dem Client und dem Domänencontroller abgefragt wird. Dieses Abfragen erfolgt während der Vorverarbeitungsphase.

Kurz nachdem der Gruppenrichtliniendienst einen Domänencontroller ermittelt hat, fordert der Gruppenrichtliniendienst den NLA-Dienst auf, mit dem Abfragen der TCP-Bandbreite an der Netzwerkschnittstelle, an der der Domänencontroller gehostet wird, zu beginnen. Im weiteren Verlauf der Vorverarbeitungsphase kommuniziert der Gruppenrichtliniendienst mit dem Domänencontroller, um die Rolle des aktuellen Computers (Mitglied oder Domänencontroller), den angemeldeten Benutzer und die GPOs im Bereich des Computers oder Benutzers zu ermitteln. Anschließend fordert der Gruppenrichtliniendienst den NLA-Dienst auf, das Abfragen des TCP-Verkehrs zu beenden und auf der Basis des Ergebnisses eine Schätzung der Bandbreite zwischen dem Computer und dem Domänencontroller bereitzustellen. Wie bereits erwähnt, wird bei Gruppenrichtlinien von einer langsamen Verbindung ausgegangen, wenn das Abfragen durch den NLA-Dienst einen Wert unter 500 KBit/s ergibt.

Sie können eine Richtlinieneinstellung verwenden, um eine langsame Verbindung für die Anwendung von Gruppenrichtlinien zu definieren, wie in den folgenden Abschnitten beschrieben.

Angeben von Gruppenrichtlinieneinstellungen zur Erkennung langsamer Verbindungen

Sie können teilweise steuern, welche Gruppenrichtlinienerweiterungen über eine langsame Verbindung verarbeitet werden. Standardmäßig werden bei der Verarbeitung über eine langsame Verbindung nicht alle Komponenten von Gruppenrichtlinien verarbeitet. In Tabelle 5 sind die Standardeinstellungen für die Verarbeitung von Gruppenrichtlinien über langsame Verbindungen aufgelistet.

Tabelle 5: Standardeinstellungen für die Verarbeitung von Gruppenrichtlinien über langsame Verbindungen

Einstellung Standard

Sicherheit

EIN (kann nicht deaktiviert werden)

IP-Sicherheit

EIN

EFS

EIN

Softwarebeschränkungsrichtlinien

EIN

Drahtlos

EIN

Administrative Vorlagen

EIN (kann nicht deaktiviert werden)

Softwareinstallation

AUS

Skripts

AUS

Ordnerumleitung

AUS

QoS-Paketplaner

EIN

Datenträgerkontingente

AUS

Internet Explorer-Zonenzuordnung

EIN

Internet Explorer-Wartung

EIN

Gruppenrichtlinieneinstellungen

EIN

Windows-Suche

EIN

Bereitgestellte Druckerverbindungen

AUS

802.3-Gruppenrichtlinie

EIN

Microsoft-Offlinedateien

EIN

Sie können eine Richtlinieneinstellung verwenden, um eine langsame Verbindung für die Anwendung und Aktualisierung von Gruppenrichtlinien zu definieren. Gemäß dem Standardwert ist eine Verbindung mit einer Übertragungsrate von weniger als 500 KBit/s eine langsame Verbindung.

Verwenden Sie zum Angeben von Einstellungen für die Erkennung langsamer Verbindungen bei Gruppenrichtlinien für Computer beim Bearbeiten eines GPO die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie. Die Maßeinheit für die Verbindungsgeschwindigkeit ist KBit/s.

Verwenden Sie zum Konfigurieren dieser Richtlinieneinstellung für Benutzer die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.

Für Benutzerprofile befindet sich die Richtlinieneinstellung Zeitlimit für langsame Verbindungen für Benutzerprofile im Knoten Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile. Diese Richtlinieneinstellung ermöglicht die Überprüfung der Netzwerkleistung auf dem Dateiserver, der das Benutzerprofil hostet. Dieser Schritt ist erforderlich, da Benutzerprofile an einem beliebigen Ort gespeichert werden können und der Server möglicherweise IP nicht unterstützt. Wenn Sie diese Richtlinieneinstellung konfigurieren, müssen Sie die Verbindungsgeschwindigkeiten sowohl in KBit/s als auch in Millisekunden angeben.

ImportantWichtig
 

Wenn die Richtlinieneinstellung Langsame Netzwerkverbindungen nicht erkennen aktiviert ist, wird die Richtlinieneinstellung Zeitlimit für langsame Verbindungen für Benutzerprofile ignoriert.

Wenn die Richtlinieneinstellung Zwischengespeicherte Kopien von servergespeicherten Profilen löschen aktiviert ist, kann keine lokale Kopie des servergespeicherten Profils geladen werden, wenn das System eine langsame Verbindung erkennt.

Festlegen von Computerrichtlinien für clientseitige Erweiterungen für die Verarbeitung über langsame Verbindungen

Gruppenrichtlinien werden fast vollständig als eine Reihe von clientseitigen Erweiterungen wie Sicherheit, administrative Vorlagen und Ordnerumleitung implementiert. Es steht eine Computerrichtlinie zur Verfügung, mit der das Verhalten bei langsamen Verbindungen für jede clientseitige Erweiterung konfiguriert werden kann. Sie können mithilfe dieser Richtlinieneinstellungen das Verhalten von clientseitigen Erweiterungen bei der Verarbeitung von Gruppenrichtlinien angeben. Für jede Richtlinieneinstellung können maximal drei Optionen festgelegt werden. Die Option Verarbeitung über eine langsame Verbindung zulassen steuert die Verarbeitung von Richtlinieneinstellungen über langsame Verbindungen. Mit den anderen beiden Optionen kann angegeben werden, dass die Richtlinieneinstellung nicht im Hintergrund verarbeitet werden soll bzw. dass die Richtlinieneinstellung selbst dann aktualisiert und erneut angewendet werden soll, wenn keine Änderungen vorgenommen wurden. Weitere Informationen zu Richtlinien für clientseitige Erweiterungen finden Sie in dieser Anleitung unter Angeben von Gruppenrichtlinieneinstellungen zur Erkennung langsamer Verbindungen.

Bei manchen Erweiterungen werden große Datenmengen verschoben, sodass die Verarbeitung über eine langsame Verbindung möglicherweise zu Leistungseinbußen führt. Standardmäßig werden nur die administrativen Vorlagen und sicherheitsrelevante Richtlinieneinstellungen über eine langsame Verbindung verarbeitet.

Sie können Einstellungen zur Gruppenrichtlinienverarbeitung für die folgenden Richtlinieneinstellungen konfigurieren:

  • Softwareinstallation

  • IP-Sicherheit

  • Wiederherstellung von EFS

  • Datenträgerkontingent

  • Internet Explorer-Wartung

  • Skripts

  • Ordnerumleitung

  • Registrierung

  • Sicherheit

  • Verkabelt

  • Drahtlos

  • Gruppenrichtlinieneinstellungen

Die Konfiguration dieser Richtlinieneinstellungen wird weiter unten in dieser Anleitung unter Steuern clientseitiger Erweiterungen mithilfe von Gruppenrichtlinien beschrieben.

Gruppenrichtlinien und RAS-Verbindungen

Die Verarbeitung von Gruppenrichtlinien über eine RAS-Verbindung unterscheidet sich von der Verarbeitung über eine langsame Verbindung. Gruppenrichtlinien werden über eine RAS-Verbindung folgendermaßen angewendet:

  • Wenn Benutzer eine Remoteverbindungsoption durch Klicken auswählen, bevor sie sich über die Remoteverbindung an einem Zielcomputer anmelden, werden die Gruppenrichtlinieneinstellungen sowohl für den Benutzer als auch für den Computer angewendet, wenn der Computer Mitglied der Domäne ist, zu der der Remotezugriffsserver gehört oder der er vertraut. Allerdings werden computerbasierte Softwareinstallations-Richtlinieneinstellungen nicht verarbeitet, und computerbasierte Startskripts werden nicht ausgeführt, da Computerrichtlinien normalerweise verarbeitet werden, bevor der Anmeldebildschirm angezeigt wird. Bei einer Remoteverbindung wird jedoch die Anwendung von Computerrichtlinien während des Anmeldeprozesses als Hintergrundaktualisierung abgeschlossen.

  • Nach Abschuss der Verarbeitung zwischengespeicherter Anmeldeinformationen und dem Herstellen einer RAS-Verbindung werden Gruppenrichtlinien nicht angewendet, ausgenommen während einer Hintergrundaktualisierung.

Gruppenrichtlinien werden nicht auf Computer angewendet, die Mitglieder einer Arbeitsgruppe sind, denn Computerrichtlinien werden niemals auf Computer in einer Arbeitsgruppe angewendet.

Steuern clientseitiger Erweiterungen mithilfe von Gruppenrichtlinien

Mehrere Gruppenrichtlinienkomponenten umfassen (i. d. R.als DLL-Dateien implementierte) clientseitige Erweiterungen, die für die Verarbeitung und Anwendung von Gruppenrichtlinieneinstellungen auf den Zielcomputern zuständig sind.

Für jede clientseitige Erweiterung wird die Verarbeitungsreihenfolge für GPOs aus einer Liste von GPOs abgerufen, die während der Verarbeitung durch das Gruppenrichtlinienmodul ermittelt wird. Jede clientseitige Erweiterung verarbeitet die resultierende Liste von GPOs.

Es ist eine Computerrichtlinie vorhanden, die das Verhalten jeder der clientseitigen Gruppenrichtlinienerweiterungen steuert. Jede Richtlinie umfasst bis zu drei Optionen, einige auch spezifischere Konfigurationsoptionen. Sie können Computerrichtlinien für clientseitige Erweiterungen beim Bearbeiten eines GPO konfigurieren, indem Sie den Ordner Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie öffnen und dann auf die Richtlinie für die entsprechende Erweiterung doppelklicken.

Die folgenden Optionen für Computerrichtlinien können festgelegt werden:

  • Verarbeitung über eine langsame Verbindung zulassen. Bei einigen Erweiterungen werden große Datenmengen übertragen, sodass die Verarbeitung über eine langsame Verbindung möglicherweise zu Leistungseinbußen führt. Standardmäßig werden nur die administrativen Vorlagen und Sicherheitsrichtlinieneinstellungen über eine langsame Verbindung verarbeitet. Durch Festlegen dieser Richtlinie können Sie erzwingen, dass andere clientseitige Erweiterungen ebenfalls über eine langsame Verbindung verarbeitet werden. Welche Verbindungen als langsame Verbindung erachtet werden, steuern Sie über die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen. Weitere Informationen finden Sie in dieser Anleitung unter Angeben von Gruppenrichtlinieneinstellungen zur Erkennung langsamer Verbindungen.

  • Während regelmäßiger Hintergrundverarbeitung nicht übernehmen. Die Computerrichtlinie wird beim Systemstart und danach alle 90 Minuten angewendet. Darüber hinaus werden Benutzerrichtlinien angewendet, wenn sich der Benutzer am Computer anmeldet. Anschließend werden sie im Hintergrund rund alle 90 Minuten angewendet. Mithilfe der Option Während regelmäßiger Hintergrundverarbeitung nicht übernehmen können Sie dieses Verhalten außer Kraft setzen und die Ausführung von Gruppenrichtlinien im Hintergrund verhindern.

noteHinweis
Die Erweiterungen für Softwareinstallation und Ordnerumleitung verarbeiten Gruppenrichtlinien nur beim Systemstart und bei der Anmeldung des Benutzers am Netzwerk, da mit der Verarbeitung dieser Richtlinien im Hintergrund Risiken verbunden sind, wenn Benutzer Anwendungen und Dateien möglicherweise geöffnet haben.

  • Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten. Wenn GPOs auf dem Server nicht geändert werden, ist es normalerweise nicht erforderlich, sie ständig erneut auf den Zielcomputer anzuwenden, es sei denn, es müssen mögliche lokale Änderungen außer Kraft gesetzt werden. Da als lokale Administratoren angemeldete Benutzer möglicherweise die Teile der Registrierung ändern können, in denen Gruppenrichtlinieneinstellungen gespeichert werden, ist es u. U. sinnvoll, diese Richtlinieneinstellungen nach Bedarf während des Anmeldeprozesses oder während der regelmäßigen Hintergrundverarbeitung erneut anzuwenden, um den Computer wieder in den gewünschten Zustand zu versetzen.

Angenommen, mithilfe einer Gruppenrichtlinie werden bestimmte Sicherheitsoptionen für eine Datei definiert. Anschließend meldet sich ein Benutzer mit Administratoranmeldeinformationen an und ändert diese Sicherheitsoptionen. Sie können die Option Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten aktivieren, damit die in der Gruppenrichtlinie angegebenen Sicherheitsoptionen bei der nächsten Aktualisierung der Richtlinie erneut angewendet werden. Ähnliches gilt für Anwendungen: Wenn diese Option aktiviert ist und durch eine Gruppenrichtlinie eine Anwendung installiert wird, der Benutzer jedoch die Anwendung entfernt oder das zugehörige Symbol löscht, wird die Anwendung bei der nächsten Anmeldung des Benutzer am Computer erneut angekündigt.

Standardmäßig werden durch Gruppenrichtlinien bereitgestellte Sicherheitsrichtlinieneinstellungen alle 16 Stunden (960 Minuten) angewendet, selbst wenn kein GPO geändert wurde. Sie können dieses Standardintervall im Registrierungseintrag MaxNoGPOListChangesInterval in folgendem Unterschlüssel ändern:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

Der Datentyp dieses Eintrags lautet REG_DWORD, und der Wert entspricht der Anzahl von Minuten.

CautionVorsicht
Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Schäden am System verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.

Gruppenrichtlinien und SYSVOL

Richtlinieneinstellungen in GPOs werden an zwei Orten gespeichert: in Active Directory und im Ordner SYSVOL auf Domänencontrollern. Der Active Directory-Container wird als Gruppenrichtliniencontainer bezeichnet, und der Ordner SYSVOL enthält die Gruppenrichtlinienvorlage. Der Gruppenrichtliniencontainer enthält Attribute, die zum Bereitstellen von GPOs in der Domäne, in Organisationseinheiten und an Standorten verwendet werden. Außerdem enthält der Gruppenrichtliniencontainer einen Pfad zu der Gruppenrichtlinienvorlage, in der die meisten Gruppenrichtlinieneinstellungen gespeichert werden.

Zu den in der Gruppenrichtlinienvorlage gespeicherten Informationen zählen Sicherheitseinstellungen, Skriptdateien und Informationen bezüglich der Bereitstellung von Anwendungen, lokalen Einstellungen und auf administrativen Vorlagen basierenden Gruppenrichtlinieneinstellungen. Administrative Vorlagen (ADMX-Dateien) stellen Informationen zu Gruppenrichtlinieneinstellungen für die unter Administrative Vorlagen angezeigten Elemente bereit. Bei Gruppenrichtlinien für Windows Server 2008 können Sie administrative Vorlagen lokal oder zentral in SYSVOL speichern. Damit administrative Vorlagen zentral gespeichert werden können, müssen Sie zunächst auf einem geeigneten Domänencontroller den Ordner PolicyDefinitions auf der SYSVOL-Freigabe erstellen und dann die anzuwendenden administrativen Vorlagendateien innerhalb der Domäne in diesen Ordner kopieren.

note
An SYSVOL vorgenommene Aktualisierungen werden auf allen Domänencontrollern in der Domäne repliziert, was zu erhöhtem Netzwerkdatenverkehr und stärkerer Belastung der Domänencontroller führt. Daher wird empfohlen, das Kopieren von administrativen Vorlagen in SYSVOL außerhalb der Kerngeschäftszeiten zu planen, um die Auswirkungen dieses Vorgangs in der Domäne so gering wie möglich zu halten.

Administrative Vorlagendateien unter Windows Server 2008 und Windows Vista sind in sprachunabhängige Dateien (vom Typ ADMX) und sprachspezifische Dateien (vom Typ ADML) unterteilt. Diese beiden Dateiformate treten an die Stelle des ADM-Dateiformats, das in früheren Versionen von Windows verwendet wurde und bei dem eine proprietäre Markupsprache zum Einsatz kam. Dateien vom Typ ADML sind in der XML-basierten ADM-Sprache geschrieben und werden in einem sprachspezifischen Ordner gespeichert. So werden z. B. Dateien vom Typ ADML für Englisch (USA) in einem Order mit dem Namen en-US gespeichert. Standardmäßig werden im Ordner %Systemroot%\PolicyDefinitions auf einem lokalen Computer alle Dateien vom Typ ADMX sowie die Dateien vom Typ ADML für alle auf dem Computer aktivierten Sprachen gespeichert.

Sie können die administrativen Vorlagendateien für Windows Server 2008 auf der Seite für administrative Vorlagen (ADMX) für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=116434, möglicherweise in englischer Sprache) herunterladen.

Vorteile der Speicherung von ADMX-Dateien im Ordner "SYSVOL"

Die Erstellung und Verwendung eines zentralen Speichers für administrative Vorlagen bietet zwei wesentliche Vorteile. Der erste Vorteil besteht darin, dass ein replizierter zentraler Speicherort für administrative Vorlagen für Domänen vorhanden ist. In der im Umfang von Windows Server 2008 enthaltenen GPMC wird immer ein zentraler Speicher für administrative Vorlagen statt der lokalen Versionen der administrativen Vorlagen verwendet. Auf diese Weise können Sie eine Gruppe von genehmigten administrativen Vorlagen für die gesamte Domäne bereitstellen.

Der andere Vorteil der Speicherung von administrativen Vorlagen im Ordner SYSVOL besteht darin, dass administrative Vorlagen in verschiedenen Sprachen bereitgestellt werden können. Dies ist besonders in Umgebungen nützlich, die sich über verschiedene Länder erstrecken oder in denen verschiedene Sprachen verwendet werden. Wenn administrative Vorlagen im Ordner SYSVOL gespeichert werden, kann ein Administrator einer Domäne z. B. Richtlinieneinstellungen für administrative Vorlagen auf Englisch anzeigen, während ein anderer Administrator derselben Domäne dieselben Richtlinieneinstellung auf Französisch anzeigt.

Weitere Informationen zum Verwalten von ADMX-Dateien und zum Erstellen eines zentralen Speichers finden Sie Artikel mit der schrittweisen Anleitung für die Verwaltung von ADMX-Dateien für Gruppenrichtlinien (http://go.microsoft.com/fwlink/?LinkId=75124 möglicherweise in englischer Sprache).

Nachteile der Speicherung von ADMX-Dateien im Ordner "SYSVOL"

Die Erstellung und Verwendung eines zentralen Speichers für administrative Vorlagen bietet erhebliche Vorteile, jedoch gibt es auch Nachteile. Wenn Sie ein GPO bearbeiten oder modellieren oder entsprechende Berichte erstellen, liest die GPMC alle administrativen Vorlagendateien. Die GPMC muss diese Dateien also über das Netzwerk lesen. Wenn Sie sich für die Erstellung eines zentralen Speichers für administrative Vorlagen entscheiden, sollten Sie die GPMC unbedingt mit dem nächstgelegenen Domänencontroller verbinden.

noteHinweis
Der durch den zentralen Speicher entstehende zusätzliche Netzwerkdatenverkehr ist auf Benutzer der GPMC beschränkt. Clients, die Gruppenrichtlinien anwenden und verarbeiten, lesen die administrativen Vorlagen nicht.

Aktualisieren von SYSVOL

Wenn Sie bei Gruppenrichtlinien in Versionen von Microsoft Windows vor Windows Vista Richtlinieneinstellungen für administrative Vorlagen auf lokalen Computern ändern, wird die SYSVOL-Freigabe auf einem Domänencontroller innerhalb der Domäne automatisch mit den neuen ADM-Dateien aktualisiert. Wenn Sie bei Gruppenrichtlinien unter Windows Server 2008 und Windows Vista Richtlinieneinstellungen für administrative Vorlagen auf lokalen Computern ändern, wird SYSVOL nicht automatisch mit den neuen ADMX- oder ADML-Dateien aktualisiert. Dieses geänderte Verhalten wurde implementiert, um die Netzwerklast und den erforderlichen Speicherplatz zu reduzieren und um Konflikte zwischen ADMX- und ADML-Dateien zu vermeiden, wenn Richtlinieneinstellungen für administrative Vorlagen in verschiedenen Gebietsschemas bearbeitet werden. Damit sichergestellt ist, dass auch lokale Updates in SYSVOL übernommen werden, müssen Sie die aktualisierten ADMX- oder ADML-Dateien manuell aus dem Ordner PolicyDefinitions auf dem lokalen Computer in den Ordner SYSVOL\PolicyDefinitions auf dem entsprechenden Domänencontroller kopieren.

Ändern des Gruppenrichtlinien-Aktualisierungsintervalls

Sie können das Standardaktualisierungsintervall für Richtlinien ändern, indem Sie eine der folgenden Richtlinieneinstellungen festlegen: Gruppenrichtlinien-Aktualisierungsintervall für Computer, Gruppenrichtlinien-Aktualisierungsintervall für Domänencontroller oder Gruppenrichtlinien-Aktualisierungsintervall für Benutzer. Mithilfe dieser Richtlinieneinstellungen können Sie eine Aktualisierungsrate zwischen 0 und 64.800 Minuten (45 Tage) angeben.

ImportantWichtig
Wenn Sie das Aktualisierungsintervall auf 0 Minuten festlegen, versucht der Computer, die Gruppenrichtlinien alle sieben Sekunden zu aktualisieren. Da dadurch möglicherweise die Benutzer bei der Arbeit beeinträchtigt werden und erhöhter Netzwerkdatenverkehr entsteht, sind sehr kurze Aktualisierungsintervalle nur für Testumgebungen geeignet.

Wenn Sie verhindern möchten, dass Gruppenrichtlinien aktualisiert werden, während ein Computer verwendet wird, können Sie die Richtlinieneinstellung Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren aktivieren. Wenn Sie diese Richtlinieneinstellung aktivieren, wartet das System mit dem Aktualisieren von Gruppenrichtlinieneinstellungen, bis sich der aktuelle Benutzer vom System abgemeldet hat.

Gruppenrichtlinien-Aktualisierungsintervall für Computer

Durch diese Richtlinieneinstellung wird angegeben, wie häufig Gruppenrichtlinien für Computer im Hintergrund aktualisiert werden. Die Hintergrundaktualisierungsrate gilt nur für Gruppenrichtlinien für Computer. Standardmäßig werden Gruppenrichtlinien für Computer alle 90 Minuten mit einem Zufallsintervall von bis zu 30 Minuten im Hintergrund aktualisiert. Zusätzlich zu den Hintergrundaktualisierungen werden Computergruppenrichtlinien bei jedem Systemstart aktualisiert. Diese Richtlinieneinstellung ist unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie verfügbar.

Gruppenrichtlinien-Aktualisierungsintervall für Domänencontroller

Durch diese Richtlinieneinstellung wird angegeben, wie häufig Gruppenrichtlinien auf Domänencontrollern im Hintergrund aktualisiert werden. Standardmäßig werden Gruppenrichtlinien auf Domänencontrollern alle fünf Minuten aktualisiert. Diese Richtlinieneinstellung ist unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie verfügbar.

Gruppenrichtlinien-Aktualisierungsintervall für Benutzer

Durch diese Richtlinieneinstellung wird angegeben, wie häufig Benutzergruppenrichtlinien-Einstellungen im Hintergrund aktualisiert werden. Zusätzlich zu den Hintergrundaktualisierungen werden Benutzergruppenrichtlinien bei jeder Benutzeranmeldung aktualisiert. Diese Richtlinieneinstellung ist unter Benutzerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie verfügbar.

Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren

Durch diese Richtlinieneinstellung wird verhindert, dass Gruppenrichtlinieneinstellungen angewendet werden, solange der Computer verwendet wird. Diese Richtlinieneinstellung gilt für Gruppenrichtlinien für Computer, Benutzer und Domänencontroller. Sie ist unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie verfügbar.

Ausführen von Befehlszeilenoptionen zum Aktualisieren von Richtlinien

Sie können auf einem bestimmten Computer die auf diesem bereitgestellten Richtlinieneinstellungen mithilfe des Tools Gpupdate.exe aktualisieren. In Tabelle 6 sind Parameter für Gpupdate.exe beschrieben. Das Tool Gpupdate.exe wird in Umgebungen unter Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP verwendet.

Für das Tool Gpupdate.exe gilt folgende Syntax:

gpupdate [/target:{computer|user}] [/force] [/wait:Wert] [/logoff] [/boot] [/sync]

Tabelle 6: Parameter für "Gpupdate.exe"

Parameter Beschreibung

/target:{computer|user}

Je nach dem angegebenen Ziel werden von Gpupdate.exe die Computerrichtlinieneinstellungen, die Richtlinieneinstellungen für den aktuellen Benutzer oder beide Arten von Richtlinieneinstellungen verarbeitet. Standardmäßig werden die Computer- und die Benutzerrichtlinieneinstellungen verarbeitet.

/force

Wendet alle Richtlinieneinstellungen erneut an und ignoriert Verarbeitungsoptimierungen. Standardmäßig werden nur geänderte Richtlinieneinstellungen angewendet.

/wait:Wert

Gibt die Anzahl von Sekunden an, die bis zur Fertigstellung der Richtlinienverarbeitung gewartet wird. Der Standardwert beträgt 600 Sekunden. Der Wert 0 bedeutet, dass nicht gewartet wird, -1, dass unbegrenzt gewartet wird.

/logoff

Führt nach Abschluss der Richtlinienaktualisierung eine Abmeldung durch. Dies ist für clientseitige Gruppenrichtlinienerweiterungen erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, sondern beim Anmelden des Benutzers verarbeiten, z. B. die Erweiterungen für Softwareinstallation und Ordnerumleitung. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die erfordern, dass der Benutzer sich abmeldet.

/boot

Startet den Computer nach Abschluss der Richtlinienaktualisierung neu. Dies ist für clientseitige Gruppenrichtlinienerweiterungen erforderlich, die die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, sondern beim Start des Computers verarbeiten, z. B. bei der Softwareinstallation auf dem Computer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die erfordern, dass der Computer neu gestartet wird.

/sync

Erzwingt, dass die nächste Richtlinienanwendung im Vordergrund synchron ausgeführt wird. Die Gruppenrichtlinienverarbeitung im Vordergrund erfolgt beim Computerstart und bei der Benutzeranmeldung. Sie können die Richtlinienanwendung im Vordergrund mithilfe des Parameters /target für den Benutzer und/oder den Computer angeben. Wenn Sie diesen Parameter und die Parameter /force und /wait angeben, werden die Parameter /force und /wait ignoriert.

/?

Zeigt an der Eingabeaufforderung Hilfe an.

Verwenden von Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnissen zum Auswerten von Gruppenrichtlinieneinstellungen

Bevor Sie Gruppenrichtlinien in einer Produktionsumgebung bereitstellen, ist es wichtig zu ermitteln, welche Auswirkungen die konfigurierten Richtlinieneinstellungen sowohl einzeln als auch miteinander kombiniert haben. Die primäre Methode für die Beurteilung der Gruppenrichtlinienbereitstellung besteht darin, eine Stagingumgebung zu erstellen und dann die Anmeldung mit einem Testkonto auszuführen. Dies ist die beste Möglichkeit, die Auswirkungen und Interaktion aller angewendeten GPO-Einstellungen zu verstehen. Die Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung ist eine wichtige Voraussetzung, um eine Umgebung zu schaffen, die erfolgreich verwaltet werden kann. Weitere Informationen finden Sie unter Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung in dieser Anleitung.

Für Active Directory-Netzwerke mit mindestens einem Domänencontroller unter Windows Server 2008 können Sie die Gruppenrichtlinienmodellierung in der GPMC verwenden, um die Bereitstellung von GPOs auf beliebigen Zielcomputern zu simulieren. Das wichtigste Tool zum Anzeigen der tatsächlichen Anwendung von GPOs ist Gruppenrichtlinienergebnisse in der GPMC.

Verwenden der Gruppenrichtlinienmodellierung zum Simulieren des Richtlinienergebnissatzes

Der Gruppenrichtlinienmodellierungs-Assistent in der GPMC berechnet die simulierten Auswirkungen von GPOs. Mithilfe der Gruppenrichtlinienmodellierung können auch Faktoren wie die Sicherheitsgruppenmitgliedschaft, die Auswertung von WMI-Filtern und die Auswirkungen des Verschiebens von Benutzer- oder Computerobjekten in einen anderen Active Directory-Container simuliert werden. Die Simulation wird durch einen Dienst durchgeführt, der auf Domänencontrollern unter Windows Server 2008 oder Windows Server 2003 ausgeführt wird. Die berechneten Richtlinieneinstellungen werden im HTML-Format gemeldet und in der GPMC im Detailbereich auf der Registerkarte Einstellungen für die ausgewählte Abfrage angezeigt. Klicken Sie zum Ein- und Ausblenden der Richtlinieneinstellungen unter den einzelnen Elementen auf Ausblenden bzw. Alle anzeigen, sodass alle oder nur einige Richtlinieneinstellungen angezeigt werden. Zum Ausführen der Gruppenrichtlinienmodellierung müssen Sie über mindestens einen Domänencontroller unter Windows Server 2008 oder Windows Server 2003 und über die Berechtigung Analysen zur Gruppenrichtlinienmodellierung durchführen für die Domäne oder Organisationseinheit verfügen, die die Objekte enthält, für die die Abfrage ausgeführt werden soll.

Klicken zum Ausführen des Assistenten in der GPMC-Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienmodellierung (oder einen Active Directory-Container), und klicken Sie dann auf Gruppenrichtlinienmodellierungs-Assistent. Wenn Sie den Assistenten in einem Active Directory-Container ausführen, wird in den Feldern Container für den Benutzer und den Computer der definierte LDAP-Name (Lightweight Directory Access Protocol) des betreffenden Containers angegeben.

Nach Abschluss des Assistenten werden die Ergebnisse wie für ein einziges GPO angezeigt. Sie werden auch als Abfrage gespeichert, die als neues Element in der GPMC unter Gruppenrichtlinienmodellierung dargestellt wird. Unter der Überschrift Ausschlaggebendes Gruppenrichtlinienobjekt wird auch angezeigt, welches GPO jeweils für eine Richtlinieneinstellung ausschlaggebend ist. Sie können auch detailliertere Informationen zur Rangfolge anzeigen (z. B. welche GPOs ohne Erfolg versucht haben, die Richtlinieneinstellung festzulegen), indem Sie mit der rechten Maustaste auf das Abfrageelement klicken und dann auf Erweiterte Ansicht klicken. Daraufhin wird das Richtlinienergebnissatz-Snap-In geöffnet. Wenn Sie die Eigenschaften der Richtlinieneinstellungen im Richtlinienergebnissatz anzeigen, werden Sie feststellen, dass für jede Richtlinieneinstellung die Registerkarte Rangfolge angezeigt wird.

Beachten Sie, dass im Rahmen der Gruppenrichtlinienmodellierung keine lokalen GPOs ausgewertet werden. Daher treten in bestimmten Fällen möglicherweise Abweichungen zwischen den Simulations- und den tatsächlichen Ergebnissen auf. Sie können die Ergebnisse der Modellierung speichern, indem Sie mit der rechten Maustaste auf die Abfrage klicken und dann auf Bericht speichern klicken.

noteHinweis
Unter Windows Server 2008 und Windows Vista wird die neue Richtlinieneinstellung Verarbeitung lokaler Gruppenrichtlinienobjekte deaktivieren berücksichtigt. Mithilfe dieser Richtlinieneinstellung können Sie die Verarbeitung lokaler Gruppenrichtlinien deaktivieren. Diese Richtlinieneinstellung finden Sie unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie.

Verwenden der Gruppenrichtlinienergebnisse zum Bestimmen des Richtlinienergebnissatzes

Mithilfe des Gruppenrichtlinienergebnis-Assistenten können Sie bestimmen, welche Gruppenrichtlinieneinstellungen für einen Benutzer oder Computer wirksam sind, indem Sie Richtlinienergebnissatzdaten vom Zielcomputer abrufen. Anders als die Gruppenrichtlinienmodellierung geben die Gruppenrichtlinienergebnisse Aufschluss darüber, welche Gruppenrichtlinieneinstellungen tatsächlich auf dem Zielcomputer angewendet wurden. Auf dem Zielcomputer muss Windows XP Professional oder höher ausgeführt werden.

Die Richtlinieneinstellungen werden in einem Bericht im HTML-Format angegeben und im GPMC-Browserfenster im Detailbereich für die ausgewählte Abfrage auf den Registerkarten Zusammenfassung und Einstellungen angezeigt. Sie können die Richtlinieneinstellungen unter den einzelnen Elementen ein- und ausblenden, indem Sie auf Ausblenden bzw. Alle anzeigen, sodass alle oder nur einige Richtlinieneinstellungen angezeigt werden. Für den Remotezugriff auf Gruppenrichtlinienergebnisse für einen Benutzer oder Computer müssen Sie über die entsprechende Berechtigung für die Domäne oder Organisationseinheit verfügen, die den Benutzer oder Computer enthält, oder Sie müssen Mitglied der lokalen Gruppe Administratoren auf dem entsprechenden Computer sein und über eine Netzwerkverbindung mit dem Zielcomputer verfügen.

Sie können zum Ausführen des Assistenten mit der rechten Maustaste auf das Element Gruppenrichtlinienergebnisse klicken und dann auf Gruppenrichtlinienergebnis-Assistent klicken.

Nach Abschluss des Assistenten wird von der GPMC ein Bericht erstellt, in dem die Richtlinienergebnissatzdaten für den im Assistenten angegebenen Benutzer und Computer angezeigt werden. Unter der Überschrift Ausschlaggebendes Gruppenrichtlinienobjekt wird angezeigt, welches GPO jeweils für eine Richtlinieneinstellung auf der Registerkarte Einstellungen ausschlaggebend ist.

Sie können die Ergebnisse speichern, indem Sie mit der rechten Maustaste auf die Abfrage klicken und dann auf Bericht speichern klicken.

Verwenden von "Gpresult.exe" zum Auswerten von Gruppenrichtlinieneinstellungen

Sie können Gpresult.exe auf dem lokalen Computer ausführen, um die gleichen Daten abzurufen, die Sie auch mithilfe des Gruppenrichtlinienergebnis-Assistenten in der GPMC abrufen können. Standardmäßig werden von Gpresult.exe die auf dem Computer, auf dem das Tool ausgeführt wird, wirksamen Richtlinieneinstellungen zurückgegeben.

Unter Windows Server 2008 und Windows Vista mit Service Pack 1 gilt für Gpresult.exe folgende Syntax:

gpresult [/s <Computer> [/u <Domäne>\<Benutzer> /p <Kennwort>]] [/scope {user|computer}] [/user <Zielbenutzername>] [/r | /v | /z] [/x | /h <Dateiname> [/f]]

In Tabelle 7 sind die Parameter für Gpresult.exe beschrieben.

Tabelle 7: Parameter für "Gpresult.exe"

Parameter Beschreibung

/s <Computer>

Gibt den Namen oder die IP-Adresse eines Remotecomputers an. (Verwenden Sie keine umgekehrten Schrägstriche.) Als Standardeinstellung wird der lokale Computer verwendet.

/u <Domäne>\<Benutzer>

Führt den Befehl mit den Kontoberechtigungen des Benutzers aus, der als <Benutzer> oder <Domäne\Benutzer> angegeben ist. Standardmäßig werden die Berechtigungen des Benutzers verwendet, der aktuell an dem Computer angemeldet ist, der den Befehl ausgibt.

/p <Kennwort>

Gibt das Kennwort des im Parameter /u angegebenen Benutzerkontos an.

/scope {user | computer}

Zeigt entweder Ergebnisse für einen Benutzer (user) oder für einen Computer (computer) an. Gültige Werte für den Parameter /scope sind user oder computer. Wenn Sie den Parameter /scope auslassen, werden Einstellungen sowohl für Benutzer als auch für Computer angezeigt.

/user <Zielbenutzername>

Gibt den Benutzernamen des Benutzers an, dessen Richtlinienergebnissatzdaten angezeigt werden sollen.

/r

Zeigt RSoP-Zusammenfassungsdaten an.

/v

Gibt an, dass in der Ausgabe ausführliche Richtlinieninformationen angezeigt werden.

/z

Gibt an, dass in der Ausgabe alle verfügbaren Informationen zu Gruppenrichtlinien angezeigt werden. Da mit diesem Parameter mehr Informationen erstellt werden als mit dem Parameter /v, sollten Sie die Ausgabe bei Verwendung dieses Parameters in eine Textdatei umleiten (beispielsweise gpresult /z >policy.txt).

/x <Dateiname>

Speichert den Bericht im XML-Format an dem Speicherort und unter dem im Parameter <Dateiname> angegebenen Dateinamen (gültig unter

Windows Server 2008 und Windows Vista SP1).

/h <Dateiname>

Speichert den Bericht im HTML-Format an dem Speicherort und unter dem im Parameter <Dateiname> angegebenen Dateinamen (gültig unter

Windows Server 2008 und Windows Vista SP1).

/f

Erzwingt, dass der im Parameter /x oder /h angegebene Dateiname von Gpresult überschrieben wird.

/?

Zeigt an der Eingabeaufforderung Hilfe an.

So führen Sie "Gpresult.exe" auf dem Computer aus

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten. Klicken Sie zum Öffnen einer Eingabeaufforderung mit erhöhten Rechten auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung gpresult /h gpresult.html /f ein.

  3. Geben Sie an der Eingabeaufforderung Start gpresult.html ein, um die Datei anzuzeigen.

Sichern, Wiederherstellen, Migrieren und Kopieren von GPOs

Die GPMC bietet Mechanismen zum Sichern, Wiederherstellen, Migrieren und Kopieren vorhandener GPOs. Diese Funktionen sind sehr wichtig, um die Bereitstellung von Gruppenrichtlinien im Falle eines Fehlers oder Notfalls aufrechtzuerhalten. Dank dieser Funktionen müssen Sie verloren gegangene oder beschädigte GPOs nicht manuell erneut erstellen und dann die Planungs-, Test- und Bereitstellungsphasen erneut durchlaufen. Im Rahmen der laufenden Gruppenrichtlinienvorgänge sollten Sie alle GPOs regelmäßig sichern. Informieren Sie alle Gruppenrichtlinienadministratoren darüber, wie GPOs mithilfe der GPMC wiederhergestellt werden können.

In der GPMC können auch GPOs kopiert und importiert werden, und zwar sowohl innerhalb einer Domäne als auch domänenübergreifend. Sie können mithilfe der GPMC ein vorhandenes GPO migrieren, z. B. von einer vorhandenen Domäne zu einer neu bereitgestellten Domäne. Sie können entweder GPOs kopieren oder Richtlinieneinstellungen aus einem GPO in ein anderes importieren. Auf diese Weise vermeiden Sie Zeit- und Arbeitsaufwand, da Sie den Inhalt vorhandener GPOs wiederverwenden können. Wenn Sie GPOs kopieren, können Sie von der Stagingphase direkt in die Produktion übergehen, wenn Sie geeignete Vertrauensstellungen zwischen den Umgebungen konfiguriert haben. Beim Importieren von GPOs können Sie Richtlinieneinstellungen aus einem gesicherten GPO in ein vorhandenes GPO übertragen, was besonders in Situationen nützlich ist, in denen keine Vertrauensstellung zwischen der Quell- und der Zieldomäne besteht. Wenn Sie vorhandene GPOs wiederverwenden möchten, bietet Ihnen das Kopieren eine bequeme Möglichkeit, GPOs aus einer Produktionsumgebung in eine andere zu verschieben.

Verwenden der GPMC für die Arbeit mit GPOs

Zum Erstellen von GPO-Sicherungen müssen Sie mindestens über Lesezugriff auf die GPOs und Schreibzugriff auf den Ordner verfügen, in dem die Sicherungen gespeichert werden. Abbildung 6 zeigt die in den folgenden Verfahren genannten Elemente.

d70b2aa1-5fd2-410f-afaa-670c89b85c24

Sichern von GPOs und Anzeigen von GPO-Sicherungen mithilfe der GPMC

Bei der Sicherung wird ein Produktions-GPO im Dateisystem gesichert. Die Sicherung kann in einem beliebigen Ordner gespeichert werden, für den Sie über Schreibzugriff verfügen. Nach dem Sichern von GPOs müssen Sie mithilfe der GPMC den Inhalt des Sicherungsordners anzeigen und bearbeiten. Dies ist über die Benutzeroberfläche der GPMC oder programmgesteuert mithilfe eines Skripts möglich. Greifen Sie auf archivierte GPOs nicht direkt über das Dateisystem zu. Verwenden Sie nach dem Sichern der GPOs in der GPMC den Import- und den Wiederherstellungsvorgang, um archivierte GPOs zu verarbeiten.

noteHinweis
Sie können mehrere Instanzen eines GPO am selben Speicherort sichern, da in der GPMC jede Sicherungsinstanz eindeutig gekennzeichnet wird und Mechanismen zur Verfügung stehen, die die Auswahl der gewünschten Instanz des archivierten GPO ermöglichen. So haben Sie z. B. beim Anzeigen des Inhalts eines Sicherungsordners in der GPMC die Möglichkeit, nur die letzten Sicherungen anzuzeigen. Dies kann nützlich sein, wenn Sie Sicherungen eines GPO erstellen, nachdem Sie dieses geändert haben, und zu einem späteren Zeitpunkt eine frühere Version des GPO wiederherstellen müssen.

So sichern Sie alle GPOs in einer Domäne

  1. Erweitern Sie in der GPMC-Konsolenstruktur die Gesamtstruktur oder Domäne, die die zu sichernden GPOs enthält.

  2. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Alle sichern.

  3. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern den Pfad zu dem Speicherort ein, an dem die GPO-Sicherungen gespeichert werden sollen. Sie können auch auf Durchsuchen klicken, den Ordner suchen, in dem die GPO-Sicherungen gespeichert werden sollen, und dann auf OK klicken.

  4. Geben Sie eine Beschreibung für die zu sichernden GPOs ein, und klicken Sie dann auf Sichern.

  5. Nach Abschluss des Sicherungsvorgangs wird eine Zusammenfassung angezeigt, die Aufschluss darüber gibt, wie viele GPOs erfolgreich gesichert wurden und ob ggf. GPOs nicht gesichert wurden.

  6. Klicken Sie auf OK.

So sichern Sie ein bestimmtes GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu sichernde GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf das zu sichernde GPO, und klicken Sie dann auf Sichern.

  3. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern den Pfad zu dem Speicherort ein, an dem die GPO-Sicherung gespeichert werden soll. Sie können auch auf Durchsuchen klicken, den Ordner suchen, in dem die GPO-Sicherung gespeichert werden soll, und dann auf OK klicken.

  4. Geben Sie eine Beschreibung für das zu sichernde GPO ein, und klicken Sie dann auf Sichern.

  5. Nach Abschluss des Sicherungsvorgangs wird eine Zusammenfassung mit Informationen dazu angezeigt, ob die Sicherung erfolgreich ausgeführt wurde.

  6. Klicken Sie auf OK.

So zeigen Sie die Liste der GPO-Sicherungen an

  1. Erweitern Sie in der GPMC-Konsolenstruktur die Gesamtstruktur oder Domäne, die die zu sichernden GPOs enthält.

  2. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Sicherungen verwalten.

  3. Geben Sie im Dialogfeld Sicherungen verwalten den Pfad zu dem Speicherort ein, an dem Sie die anzuzeigenden GPO-Sicherungen gespeichert haben. Sie können auch auf Durchsuchen klicken, den Ordner suchen, der die GPO-Sicherungen enthält, und dann auf OK klicken.

  4. Wenn nur die jeweils neueste Version der GPOs in der Liste Gesicherte Gruppenrichtlinienobjekte angezeigt werden soll, aktivieren Sie das Kontrollkästchen Für jedes Gruppenrichtlinienobjekt nur die neueste Version anzeigen. Klicken Sie auf Schließen.

ImportantWichtig
Zum Schutz der gesicherten GPOs sollten Sie sicherstellen, dass nur autorisierte Administratoren über Berechtigungen zum Zugreifen auf den Ordner verfügen, in dem Sie GPOs speichern. Verwenden Sie die Sicherheitsberechtigungen für das Dateisystem, in dem die Sicherungen gespeichert werden.

Wiederherstellen von GPOs mithilfe der GPMC

Sie können GPOs auch wiederherstellen. Dabei wird ein gesichertes GPO in derselben Domäne wiederhergestellt, in der es gesichert wurde. Sie können ein GPO nicht in einer anderen als der ursprünglichen Domäne aus einer Sicherung wiederherstellen.

So stellen Sie eine vorherige Version eines vorhandenen GPO wieder her

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das wiederherzustellende GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf das GPO, von dem Sie eine vorherige Version wiederstellen möchten, und klicken Sie dann auf Von Sicherung wiederherstellen.

  3. Wenn der Assistent zum Wiederherstellen von Gruppenrichtlinienobjekten geöffnet wird, folgen Sie den Anweisungen des Assistenten, und klicken Sie dann auf Fertig stellen.

  4. Nach Abschluss des Wiederherstellungsvorgangs wird eine Zusammenfassung mit Informationen dazu angezeigt, ob die Wiederherstellung erfolgreich ausgeführt wurde. Klicken Sie auf OK.

So stellen Sie ein gelöschtes GPO wieder her

  1. Erweitern Sie in der GPMC-Konsolenstruktur die Gesamtstruktur oder Domäne, die das wiederherzustellende GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Sicherungen verwalten.

  3. Klicken Sie im Dialogfeld Sicherungen verwalten auf Durchsuchen, und suchen Sie dann die Datei, die die gesicherten GPO-Sicherungen enthält.

  4. Klicken Sie im Feld Gesicherte Gruppenrichtlinienobjekte auf das wiederherzustellende GPO, und klicken Sie dann auf Wiederherstellen.

  5. Klicken Sie auf OK, wenn Sie zum Bestätigen des Wiederherstellungsvorgangs aufgefordert werden.

  6. Nach Abschluss des Wiederherstellungsvorgangs wird eine Zusammenfassung mit Informationen dazu angezeigt, ob die Wiederherstellung erfolgreich ausgeführt wurde. Klicken Sie auf OK. Klicken Sie auf Schließen.

Sichern und Wiederherstellen von WMI-Filterdaten, IPsec-Richtlinieneinstellungen und Verknüpfungen mit Organisationseinheiten

Verknüpfungen mit WMI-Filtern und IPsec-Richtlinien werden in GPOs gespeichert und als Teil eines GPO gesichert. Wenn Sie ein GPO wiederherstellen, bleiben die Verknüpfungen erhalten, wenn die zugrunde liegenden Objekte in Active Directory noch vorhanden sind. Verknüpfungen mit Organisationseinheiten hingegen gehören nicht zu den Sicherungsdaten und werden bei einem Wiederherstellungsvorgang nicht wiederhergestellt.

Richtlinieneinstellungen, die außerhalb der GPOs gespeichert werden, z. B. WMI-Filterdaten und IPsec-Richtlinieneinstellungen, werden im Rahmen dieser Vorgänge nicht gesichert oder wiederhergestellt. Zum Sichern und Wiederstellen einer geringen Anzahl von WMI-Filtern können Sie in der GPMC auf das Element WMI-Filter oder einen bestimmten darunter angezeigten WMI-Filter klicken und nach Bedarf die Befehle Importieren oder Exportieren verwenden. Informationen zum Importieren oder Exportieren eines WMI-Filters finden Sie in der Hilfe zur GPMC unter "Importieren eines WMI-Filters" bzw. "Exportieren eines WMI-Filters". Da Sie mit diesen Befehlen jeweils nur einen einzigen WMI-Filter importieren oder exportieren können, wird diese Vorgehensweise nur empfohlen, wenn wenige WMI-Filter gesichert oder wiederhergestellt werden müssen.

Wenn Sie eine größere Anzahl von WMI-Filtern sichern und wiederherstellen müssen, können das Ldifde-Befehlszeilentool verwenden, wie im Blog über das Importieren und Exportieren von WMI-Filtern (http://go.microsoft.com/fwlink/?linkid=109519, möglicherweise in englischer Sprache) beschrieben.

noteHinweis
Ldifde ist ein in Windows Server 2008 integriertes Befehlszeilentool. Es ist verfügbar, wenn Sie die AD DS- oder AD LDS-Serverrolle (Active Directory Lightweight Directory Services) installiert haben. Zur Verwendung von Ldifde müssen Sie den Befehl Ldifde an einer Eingabeaufforderung mit erhöhten Rechten ausführen. Weitere Informationen finden Sie auf der Seite zu Ldifde (http://go.microsoft.com/fwlink/?LinkId=110104, möglicherweise in englischer Sprache).

Wenn Sie einem GPO eine IPsec-Richtlinien zuweisen, wird ein Zeiger auf die IPsec-Richtlinie im GPO-Attribut ipsecOwnersReference aufgezeichnet. Das GPO selbst enthält nur einen definierten LDAP-Namen als Verweis auf die IPsec-Richtlinie. Gruppenrichtlinien werden nur verwendet, um die Richtlinienzuweisung an den IPsec-Dienst des Computers zu übermitteln. Daraufhin ruft der IPsec-Dienst des Computers die IPsec-Richtlinie aus Active Directory ab, verwaltet lokal einen aktuellen Cache mit der Richtlinie und hält diesen unter Anwendung eines in der IPsec-Richtlinie selbst angegebenen Abfrageintervalls auf aktuellem Stand.

Zum Sichern und Wiederherstellen von IPsec-Richtlinieneinstellungen müssen Sie die Befehle Richtlinien exportieren und Richtlinien importieren im IP-Sicherheitsrichtlinienverwaltungs-Snap-In verwenden. Mit dem Befehl Richtlinien exportieren können Sie alle lokalen IPsec-Richtlinien exportieren und in einer Datei mit der Erweiterung .ipsec speichern.

Kopieren von GPOs und Importieren von GPO-Einstellungen mithilfe der GPMC

Mithilfe der GPMC können Sie GPOs innerhalb einer Domäne ebenso wie domänenübergreifend kopieren und Gruppenrichtlinieneinstellung aus einem GPO in ein anderes importieren. Führen Sie diese Vorgänge in der Stagingphase vor der Bereitstellung in der Produktionsumgebung aus. Diese Vorgänge sind auch zum Migrieren von GPOs von einer Produktionsumgebung zu einer anderen nützlich.

Die Sammlung von Richtlinieneinstellungen, aus denen ein GPO besteht, stellt zwar logisch eine einzige Entität dar, jedoch werden die Daten für ein einzelnes GPO an mehreren Speicherorten und in verschiedenen Formaten gespeichert. Einige Daten befinden sich in Active Directory, während andere im Ordner SYSVOL auf Domänencontrollern gespeichert werden. Das bedeutet, dass Sie zum Kopieren von GPOs nicht einfach einen Ordner von einem Computer auf einen anderen kopieren können. Die GPMC bietet jedoch integrierte Unterstützung für einen sicheren und relativ unkomplizierten Kopiervorgang.

Bei einem Kopiervorgang wird ein vorhandenes aktuelles GPO in die gewünschte Zieldomäne kopiert. Dabei wird immer ein neues GPO erstellt. Als Zieldomäne kommt jede vertrauenswürdigen Domäne in Frage, in der Sie über das Recht zum Erstellen neuer GPOs verfügen. Fügen Sie einfach die gewünschten Gesamtstrukturen und Domänen in der GPMC hinzu, und kopieren Sie dann die gewünschten GPOs in der GPMC in einer Domäne, und fügen Sie sie in einer anderen Domäne ein. (Sie können auch Drag & Drop verwenden.) Zum Kopieren eines GPO müssen Sie über die Berechtigung zum Erstellen von GPOs in der Zieldomäne verfügen.

Beim Kopieren von GPOs können Sie zusätzlich zu den darin enthaltenen Richtlinieneinstellungen auch die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für das jeweilige GPO kopieren. Dies ist nützlich, um sicherzustellen, dass für das im Rahmen des Kopiervorgangs erstellte neue GPO dieselben Optionen für Sicherheitsfilterung und Delegierung gelten wie für das ursprüngliche GPO.

Beim Importieren eines GPO können Sie Richtlinieneinstellungen aus einem gesicherten GPO in ein vorhandenes GPO übertragen. Dabei werden nur die GPO-Einstellungen übertragen, die vorhandene Sicherheitsfilterung oder vorhandene Verknüpfungen für das Ziel-GPO werden nicht geändert. Der Import eines GPO ist nützlich, um GPOs zwischen nicht vertrauenswürdigen Umgebungen zu migrieren, da Sie nur auf das gesicherte GPO zugreifen müssen, nicht auf das Produktions-GPO. Da bei einem Import nur Richtlinieneinstellungen geändert werden, reichen Bearbeitungsberechtigungen für das Ziel-GPO für diesen Vorgang aus.

Beim Kopieren oder Importieren eines GPO können Sie eine Migrationstabelle angeben, wenn das GPO Sicherheitsprinzipale oder UNC-Pfade enthält, die beim Kopieren in die Zieldomäne möglicherweise aktualisiert werden müssen. Sie können Migrationstabellen mit dem Migrationstabellen-Editor erstellen und bearbeiten. Migrationstabellen werden im nächsten Abschnitt, Verwenden von Migrationstabellen, beschrieben.

So kopieren Sie ein GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu kopierende GPO enthält.

  2. Klicken Sie mit der rechten Maustaste auf das zu kopierende GPO, und klicken Sie dann auf Kopieren.

  3. Führen Sie eine der folgenden Aktionen aus:

    • Wenn Sie die Kopie des GPO in derselben Domäne wie das Quell-GPO speichern möchten, klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Einfügen.

    • Wenn Sie die Kopie des GPO in einer anderen Domäne (in derselben oder einer anderen Gesamtstruktur) speichern möchten, erweitern Sie die Zieldomäne, klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Einfügen.

    • Wenn Sie den Kopiervorgang innerhalb einer Domäne ausführen, klicken Sie auf Standardberechtigungen für neue Gruppenrichtlinienobjekte verwenden oder Vorhandene Berechtigungen beibehalten und dann auf OK.

  4. Wenn Sie den Kopiervorgang zwischen zwei Domänen ausführen, folgen Sie den Anweisungen des geöffneten Assistenten, und klicken Sie dann auf Fertig stellen.

So importieren Sie Richtlinieneinstellungen aus einem gesicherten GPO in ein GPO

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das GPO enthält, in das Sie Richtlinieneinstellungen importieren möchten.

  2. Klicken Sie mit der rechten Maustaste auf das GPO, in das Sie Richtlinieneinstellungen importieren möchten, und klicken Sie dann auf Einstellungen importieren.

  3. Wenn der Importeinstellungen-Assistent geöffnet wird, folgen Sie den Anweisungen des geöffneten Assistenten, und klicken Sie dann auf Fertig stellen.

  4. Nach Abschluss des Importvorgangs wird eine Zusammenfassung mit Informationen dazu angezeigt, ob der Import erfolgreich ausgeführt wurde. Klicken Sie auf OK.

Verwenden von Migrationstabellen

Da bestimmte Daten in einem GPO domänenspezifisch sind und möglicherweise nicht mehr gültig sind, wenn sie direkt in eine andere Domäne kopiert werden, stehen in der GPMC Migrationstabellen zur Verfügung. Bei einer Migrationstabelle handelt es sich um eine einfache Tabelle, in der eine Zuordnung zwischen einem Quell- und einem Zielwert angegeben wird. Abbildung 7 zeigt eine Migrationstabelle im Migrationstabellen-Editor in der GPMC.

1fb8e2c2-970c-4686-9a0a-1d853732dd9c

Durch eine Migrationstabelle werden beim Kopier- oder Importvorgang die Verweise in einem GPO in neue Verweise konvertiert, die in der Zieldomäne gültig sind. Mithilfe von Migrationstabellen können Sie während des Import- oder Kopiervorgangs Sicherheitsprinzipale und UNC-Pfade mit neuen Werten aktualisieren. Migrationstabellen werden mit der Dateinamenerweiterung .migtable gespeichert, und eigentlich handelt es sich um XML-Dateien. Sie benötigen keine XML-Kenntnisse, um Migrationstabellen erstellen oder bearbeiten zu können, denn in der GPMC steht der Migrationstabellen-Editor für die Bearbeitung von Migrationstabellen zur Verfügung.

Eine Migrationstabelle besteht aus mindestens einem Zuordnungseintrag. Jeder Zuordnungseintrag besteht aus einem Quelltyp, einem Quellverweis und einem Zielverweis. Wenn Sie bei einem Import- oder Kopiervorgang eine Migrationstabelle angeben, wird jeder Verweis auf den Quelleintrag durch den Zieleintrag ersetzt, wenn die Richtlinieneinstellungen in das Ziel-GPO geschrieben werden. Stellen Sie vor der Verwendung einer Migrationstabelle sicher, dass die in dieser angegebenen Zielverweise bereits vorhanden sind.

Die folgenden Elemente können Sicherheitsprinzipale enthalten und mithilfe einer Migrationstabelle geändert werden:

  • Sicherheitsrichtlinieneinstellungen folgender Typen:

    • Zuweisen von Benutzerrechten

    • Eingeschränkte Gruppen

    • Systemdienste

    • Dateisystem

    • Registrierung

  • Erweiterte Ordnerumleitungsrichtlinien

  • Die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für das GPO, wenn sie während eines Kopiervorgangs beibehalten werden soll

  • Die DACL für Softwareinstallationsobjekte, die nur beibehalten wird, wenn die Option zum Kopieren der DACL für das GPO angegeben ist

Die folgenden Elemente können UNC-Pfade enthalten, die möglicherweise während des Import- oder Kopiervorgangs mit neuen Werten aktualisiert werden müssen, da u. U. von der Domäne, zu der das GPO migriert wird, nicht auf Server in der ursprünglichen Domäne zugegriffen werden kann:

  • Gruppenrichtlinieneinstellungen für die Ordnerumleitung

  • Gruppenrichtlinieneinstellungen für die Softwareinstallation

  • Verweise auf Skripts (z. B. Skripts zum Anmelden und Starten), die außerhalb des GPO gespeichert sind. Das Skript selbst wird im Rahmen des Kopier- oder Importvorgangs für das GPO nur kopiert, wenn das Skript innerhalb des Quell-GPO gespeichert ist.

Weitere Informationen zur Verwendung von Migrationstabellen finden Sie in dieser Anleitung unter Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung.

Warten von Gruppenrichtlinien

Nach der Bereitstellung sind für die Gruppenrichtlinienimplementierung möglicherweise routinemäßige Wartungsaufgaben und Änderungen erforderlich, wenn sich Ihre Organisation und deren Anforderungen ändern und Sie mehr Erfahrung im Umgang mit Gruppenrichtlinien gewinnen. Durch das Einrichten von Steuerungsverfahren für das Erstellen, Verknüpfen, Bearbeiten, Sichern und Wiederherstellen von GPOs sowie das Importieren von Richtlinieneinstellungen in GPOs können Sie das Aufkommen von Helpdesk- und Supportanrufen aufgrund von unzureichend geplanten Gruppenrichtlinienbereitstellungen minimieren. Zudem können Sie die Problembehandlung für GPOs vereinfachen und zu einer Senkung der Gesamtbetriebskosten für Computer im Netzwerk beitragen.

Durch das Einrichten von Steuerungsmechanismen für GPOs können Sie sicherstellen, dass die von Ihnen erstellten GPOs folgende Anforderungen erfüllen:

  • Einhaltung von Unternehmensstandards

  • Vermeidung von Konflikten zwischen den eigenen und den von anderen festgelegten Richtlinieneinstellungen

Hilfestellung bei der Problembehandlung für GPOs bietet der Gruppenrichtlinienergebnis-Assistent in der GPMC, mit dem mögliche Fehler bei der Gruppenrichtlinienbereitstellung identifiziert werden können. Weitere Informationen zu diesem Tool finden Sie in dieser Anleitung unter Verwenden von Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnissen zum Auswerten von Gruppenrichtlinieneinstellungen. Sie können auch den Gruppenrichtlinienmodellierungs-Assistenten in der GPMC verwenden, um die Konsequenzen neuer Gruppenrichtlinieneinstellungen auszuwerten, bevor Sie diese in der Produktionsumgebung bereitstellen.

Wann immer Sie neue Technologielösungen wie beispielsweise ein Drahtlosnetzwerk bereitstellen, müssen Sie die Gruppenrichtlinienkonfigurationen überprüfen, um sicherzustellen, das sie mit der neuen Technologie kompatibel sind. Zur Verwaltung verschiedener Technologien stehen für Gruppenrichtlinien Richtlinieneinstellungen wie die folgenden zur Verfügung: Richtlinien für Drahtlosnetzwerke (IEEE 802.11) (unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen, Terminaldienste (unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten und Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten) sowie Richtlinieneinstellungen für zahlreiche weitere Technologien.

Jede Änderung von Gruppenrichtlinieneinstellungen kann erhebliche Konsequenzen haben. Bei der Wartung von Gruppenrichtlinien müssen Sie als Sicherheitsmaßnahme vor der Bereitstellung die geplanten Änderungen in einer Stagingumgebung testen und ihre Wirkung auswerten.

Überlegungen zum Umbenennen einer Domäne im Zusammenhang mit Gruppenrichtlinien

Domänennamen spielen eine wichtige Rolle für die ordnungsgemäße Funktion einer Gruppenrichtlinienimplementierung. Unter den Betriebssystemen der Windows Server 2008-Produktfamilie können Sie eine Domäne mithilfe der im Lieferumfang von Windows Server 2008 enthaltenen Tools zum Umbenennen von Domänen (Rendom.exe und GPfixup.exe) umbenennen. Die Tools zum Umbenennen von Domänen bieten eine sichere und unterstützte Methode zum Umbenennen einer oder mehrerer Domänen (und Anwendungsverzeichnispartitionen) in einer Active Directory-Gesamtstruktur.

ImportantWichtig
Sichern Sie nach dem Umbenennen der Domäne unbedingt alle GPOs mithilfe der GPMC. Wenn Sie eine Domäne umbenannt haben, können Sie vor dem Umbenennen erstellte Sicherungen nicht mehr wiederherstellen.

Das Umbenennen von Domänen ist ein komplexer Prozess, für den eine gründliche Planung und grundlegende Kenntnisse der entsprechenden Vorgehensweisen unverzichtbar sind. Sie müssen auch alle betroffenen GPOs ändern, sodass sie ordnungsgemäß funktionieren. Verwenden Sie zum Ändern der GPOs das mit Windows Server 2008 bereitgestellte Tool Gpfixup.exe. Mit Gpfixup.exe werden GPOs und GPO-Verweise in jeder umbenannten Domäne repariert. Nach dem Umbenennen einer Domäne müssen die GPOs und Gruppenrichtlinienverknüpfungen repariert werden, um den in diese GPOs und die zugehörigen Verknüpfungen eingebetteten alten Domänennamen zu aktualisieren.

ImportantWichtig
Weitere Informationen zum Umbenennen von Domänen finden Sie im Windows Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkId=100876, möglicherweise in englischer Sprache).

Verwalten von Gruppenrichtlinien mithilfe von Skripts

Sie können Beispielskripts, in denen die GPMC-Oberflächen verwendet werden, herunterladen und zahlreiche der von der GPMC unterstützten Vorgänge skriptgesteuert ausführen. Die GPMC-Beispielskripts bilden die Basis für ein Toolkit für die Skripterstellung, mit dem Sie bestimmte administrative Probleme lösen können. So können Sie z. B. Abfragen ausführen, um alle GPOs in einer Domäne zu finden, die doppelt vorhandene Namen aufweisen, oder um eine Liste aller GPOs in einer Domäne zu generieren, deren Richtlinieneinstellungen ganz oder teilweise deaktiviert sind. In den Skripts werden außerdem die wichtigsten Skriptobjekte und -methoden verdeutlicht, sodass Sie sich einen Überblick über die zahlreichen Verwaltungsaufgaben verschaffen können, die Sie mithilfe der GPMC ausführen können. Informationen zu diesen Skripts finden Sie im Artikel zu den Beispielskripts für die Gruppenrichtlinien-Verwaltungskonsole (http://go.microsoft.com/fwlink/?LinkId=109520, möglicherweise in englischer Sprache).

Standardmäßig werden die heruntergeladenen GPMC-Beispielskripts im Ordner Programme\Microsoft Group Policy\GPMC Sample Scripts installiert. Die Ausgabe der Beispielskripts wird im Befehlsfenster angezeigt, und die Ausführung muss mit Cscript.exe erfolgen. Wenn Cscript.exe nicht der Standard-Scripting Host ist, müssen Sie Cscript.exe in der Befehlszeile explizit angeben. Geben Sie z. B. Folgendes ein: d:\Programme\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf. Geben Sie zum Festlegen von Cscript.exe als Standard-Scripting Host in der Befehlszeile cscript //h:cscript ein.

Für viele der Beispielskripts wird eine Bibliothek gemeinsamer Hilfsfunktionen verwendet, die in der Datei Lib_CommonGPMCFunctions.js enthalten ist. Wenn Sie diese Skripts in einen anderen Pfad kopieren, müssen Sie auch die Bibliotheksdatei in diesen Pfad kopieren, damit die Beispielskripts funktionsfähig sind.

Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung

Gruppenrichtlinien unter Windows Server 2008 bieten leistungsfähige Funktionen für die organisationsweite Bereitstellung von Konfigurationsänderungen. Wie bei jeder anderen Änderung in der Organisation sind bei Gruppenrichtlinienbereitstellungen und laufenden Updates eine sorgfältige Planung und eingehende Tests unverzichtbar, sodass eine sichere Infrastruktur mit hoher Verfügbarkeit gewährleistet ist. Mithilfe der Features in der GPMC können Sie ein Verfahren für Tests/Staging/Bereitstellung in der Produktionsumgebung entwickeln, um eine berechenbare und einheitliche Gruppenrichtlinienbereitstellung zu gewährleisten.

Übersicht über die Bereitstellung von Gruppenrichtlinien in einer Stagingumgebung

Gruppenrichtlinien sind ein leistungsfähiges Tool für die organisationsweite Konfiguration der Betriebssysteme Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP. Angesichts dieser Möglichkeit, auf die Konfiguration Hunderter oder gar Tausender von Computern Einfluss zu nehmen, sind optimale Verfahren für das Änderungsmanagement erforderlich, um sicherzustellen, dass an einem GPO vorgenommene Änderungen zu den erwarteten Ergebnisse für die entsprechenden Ziele, also Benutzer und Computer, führen.

In den meisten Organisationen sind Änderungsmanagementprozesse implementiert, durch die sichergestellt wird, dass vor der Bereitstellung neuer Konfigurationen oder Bereitstellungen in Produktionsumgebungen strenge Tests in einer Nichtproduktionsumgebung durchgeführt werden.

Organisationen unterscheiden bei Änderungsmanagementprozessen vielfach zwischen einer Testumgebung, in der Änderungen getestet werden, und einer Stagingumgebung, bei der es sich um eine unberührte Umgebung handelt, die der Produktionsumgebung ähnelt und die letzte Möglichkeit zum Zurückhalten einer Änderung vor der Bereitstellung in der Produktionsumgebung bietet. In diesem Abschnitt werden die Begriffe Test und Staging synonym verwendet, d. h., es wird dabei nicht zwischen zwei physischen Umgebungen unterschieden. Sie können jedoch anhand der in diesem Abschnitt beschriebenen Verfahren separate Test- und Stagingumgebungen erstellen, wenn dies für Ihre Änderungsmanagementprozesse erforderlich ist.

Effektive Änderungsmanagementprozesse sind auch wichtig, um eine erfolgreiche Bereitstellung von Gruppenrichtlinienänderungen sicherzustellen, denn Gruppenrichtlinien können alles Mögliche betreffen, angefangen bei Registrierungseinstellungen bis hin zu Sicherheitseinstellungen oder auf einem Computer bereitgestellter Software. Zusätzlich zu den zahlreichen von Gruppenrichtlinien unterstützten Konfigurationseinstellungen können GPOs mit einer Reihe verschiedener Bereiche verknüpft werden, und ihre Wirkung kann nach Benutzern, Computern oder Sicherheitsgruppen gefiltert werden. Die Möglichkeit einer Stagingbereitstellung von GPOs in einer Testumgebung und anschließender Tests der verschiedenen Auswirkungen vor der Bereitstellung in einer Produktionsumgebung ist wichtig, um einen zuverlässigen, stabilen Betrieb der Windows-basierten Infrastruktur zu gewährleisten. Die Erstellung einer Stagingumgebung ist eine wichtige Voraussetzung für eine erfolgreiche Bereitstellung von Gruppenrichtlinien in der Active Directory-Infrastruktur. Sie haben zur Erstellung einer solchen Umgebung die Wahl zwischen verschiedenen Optionen. Diese werden über Features in der GPMC aktiviert.

Sie können Features der GPMC mit Skripts kombinieren, um eine Stagingumgebung zu erstellen, die die Produktionsumgebung widerspiegelt. Anschließend können Sie in der Stagingumgebung neue oder geänderte GPOs testen. Nachdem Sie die GPOs überprüft haben, können Sie sie mithilfe der GPMC zu den Produktionsdomänen migrieren.

Stagingprozess für Gruppenrichtlinien

Der Stagingprozess für Gruppenrichtlinien umfasst das Erstellen einer Stagingumgebung, die die Produktionsumgebung widerspiegelt, das Testen neuer Gruppenrichtlinieneinstellungen in der Stagingumgebung und die anschließende Bereitstellung der Gruppenrichtlinieneinstellungen in der Produktionsumgebung. Welche Bereitstellungsmethode Sie im Einzelfall verwenden, hängt von der Konfiguration der Stagingumgebung ab.

Zunächst geht es bei der Erstellung einer Stagingumgebung für Gruppenrichtlinien einfach darum, verfügbare Hardware zu ermitteln, die zum Erstellen einer der Produktionsumgebung entsprechenden Infrastruktur verwendet werden kann, und dann die entsprechende logische Struktur einzurichten. Anschließend können Sie mithilfe der Tools in der GPMC Gruppenrichtlinieneinstellungen aus der Produktionsumgebung in die Stagingumgebung importieren. Nachdem Sie die Umgebung erstellt haben, werden zum Testen von Gruppenrichtlinien Änderungen implementiert und deren Auswirkungen auf Testbenutzer und -computer gemessen, die Produktionsbenutzer und -computer widerspiegeln. Wenn Sie die Änderungen überprüft haben, können Sie die erneut Tools in der GPMC verwenden, um geänderte oder neue Gruppenrichtlinieneinstellungen zur Produktionsumgebung zu migrieren.

Gruppenrichtlinien müssen fortlaufend gewartet und Änderungen stets überprüft werden. Folglich müssen Sie die Stagingumgebung langfristig mit der Produktionsumgebung synchronisiert halten. Für die laufende Wartung der Stagingumgebung können Sie die GPMC-Tools wie die Beispielskripts und die Features zum Sichern, Kopieren und Importieren verwenden.

noteHinweis
Mithilfe der hypervisorbasierten Virtualisierung unter Windows Server 2008 können Sie unterschiedlichste Gruppenrichtlinienszenarien erstellen und testen. Mit virtuellen Computern können Sie eine sichere, eigenständige Umgebung erstellen, in der der Betrieb physischer Server und Clients simuliert wird. Weitere Informationen zur Windows Server 2008-Virtualisierung finden Sie auf der Seite zu Virtualisierung und Konsolidierung (http://go.microsoft.com/fwlink/?LinkId=109521, möglicherweise in englischer Sprache).

Funktionen der GPMC für Stagingbereitstellung und Wartung

Die GPMC bietet verschiedene Features für die Stagingbereitstellung und Wartung von Gruppenrichtlinien:

  • Den Gruppenrichtlinienmodellierungs-Assistenten zum Planen von Gruppenrichtlinienbereitstellungen.

  • Den Gruppenrichtlinienergebnis-Assistenten zum Anzeigen der GPO-Interaktion und zur Problembehandlung.

  • Die Möglichkeit zur Verwendung einer einzigen MMC-Oberfläche (Microsoft Management Console) (der GPMC) zum Verwalten von Gruppenrichtlinien innerhalb der gesamten Organisation. Zu den Verwaltungsvorgängen zählen Importieren und Exportieren, Kopieren und Sichern sowie Wiederherstellen von GPOs.

Die wichtigsten Features der GPMC bei der Stagingbereitstellung von Gruppenrichtlinien sind Sicherung, Import, Kopieren und Migrationstabellen. Mithilfe dieser Features können Sie GPOs in einer Stagingumgebung bereitstellen und zwischen Gesamtstrukturen und Domänen migrieren.

Sichern und Importieren

In der GPMC können Sie beliebig viele GPOs sichern. Anschließend können Sie aus diesen Sicherungen einzelne GPOs im ursprünglichen Zustand wiederherstellen (mithilfe des Wiederherstellungsvorgangs). Sie können auch Richtlinieneinstellungen in ein vorhandenes GPO importieren, wodurch zuvor vorhandene Richtlinieneinstellungen überschrieben werden. Der Wiederherstellungsvorgang wird nur verwendet, um ein GPO in derselben Domäne wiederherzustellen, in der es gesichert wurde.

Der Importvgang hingegen wird in Fällen verwendet, in denen die Sicherung eines GPO in derselben Domäne, in einer anderen Domäne oder sogar in einer anderen, nicht vertrauenswürdigen Gesamtstruktur erstellt wurde, z. B. in einer von der Produktionsgesamtstruktur isolierten Testgesamtstruktur. Beachten Sie, dass zwar sowohl die Wiederherstellungs- als auch die Importfunktion für zuvor gesicherte GPOs verwendet werden, die Wiederherstellung jedoch ein größeres Funktionsspektrum bietet. Die Verfahren zum Sichern, Importieren und Kopieren werden verwendet, um GPOs in einer Stagingumgebung bereitzustellen und zur Produktionsumgebung zu migrieren.

Abbildung 8 veranschaulicht den Importvorgang. In diesem Fall enthält GPO X in einer Testgesamtstruktur eine Reihe von Sicherheitsprinzipalen, denen das Benutzerrecht Lokal anmelden zulassen zugewiesen ist. Das GPO wird gesichert und dann in die Produktionsgesamtstruktur importiert. Während des Importvorgangs werden die ursprünglichen Sicherheitsprinzipale neuen, in der Produktionsdomäne vorhandenen zugeordnet.

3232f3ca-42bf-4dfb-8fee-b2f4de7ed53e

Kopieren

Wenn Sie die Kopierfunktion in der GPMC verwenden, können Sie mit der rechten Maustaste auf ein GPO klicken und dieses in einer Domäne kopieren und in einer anderen einfügen. Wenn Sie ein GPO in eine andere Domäne kopieren, wird ein neues GPO erstellt. Hierin unterscheidet sich der Kopiervorgang vom Importvorgang, denn bei diesem wird ein vorhandenes GPO gelöscht und überschrieben. Allerdings werden nur die Richtlinieneinstellungen aus dem Quell-GPO in das neue GPO kopiert. Für das Quell-GPO vorhandene SOM-Verknüpfungen (Scope of Management, Verwaltungsbereich), Zugriffssteuerungslisten und Verknüpfungen mit WMI-Filtern werden nicht in das neue GPO kopiert. Kopiervorgänge können nur ausgeführt werden, wenn die Quelldomäne der Zieldomäne vertraut. Um Kopiervorgänge ausführen zu können, müssen Sie Mitglied der lokalen Gruppe Administratoren oder ein delegierter Benutzer mit folgenden Rechten sein:

  • Leserechte für das Quell-GPO und in der Quelldomäne

  • Das Recht zum Erstellen von GPOs in der Zieldomäne (der Domäne, in die das GPO kopiert wird)

Sowohl beim Import- als auch beim Kopiervorgang unterstützt die GPMC die Zuordnung von Sicherheitsprinzipalen und UNC-Pfaden zwischen Verweisen auf diese Objekte in den Quell- und Ziel-GPOs.

Abbildung 9 veranschaulicht den Kopiervorgang. In diesem Fall wird ein GPO aus Domäne B zu Domäne C migriert, und mehrere der zugehörigen Sicherheitsprinzipale werden neuen Prinzipalen für Domäne C zugeordnet.

6ec4947c-8963-4733-a35b-95b941edf305

Migrationstabellen

GPOs können Verweise auf Sicherheitsprinzipale und UNC-Pfade als Bestandteile einer Richtlinieneinstellung enthalten. So können Sie z. B. in Sicherheitsrichtlinieneinstellungen steuern, welche Benutzer oder Gruppen einen bestimmten Windows-Dienst starten und beenden können. Abbildung 10 veranschaulicht die Sicherheitseinstellungen, die auf den Nachrichtendienst angewendet werden können. In diesem Fall können diese Sicherheitseinstellungen von Sicherheitsprinzipalen in der Stagingumgebung mithilfe von Migrationstabellen Sicherheitsprinzipalen in einer Produktionsumgebung zugeordnet werden.

28811d69-b5a2-490a-a2cd-3ee25bce2929

Zusätzlich weist ein GPO eine Sicherheitsbeschreibung auf, die eine DACL umfasst, über die gesteuert wird, welche Computer, Benutzer oder Gruppen ein GPO verarbeiten und welche Benutzer das GPO erstellen, ändern und bearbeiten können. Die in der DACL für ein GPO enthaltenen Sicherheitsprinzipale können auch berücksichtigt werden, wenn das GPO aus einer Domäne in einer anderen bereitgestellt wird.

Migrationstabellen unterstützen auch die Zuordnung von UNC-Pfaden, die möglicherweise in Richtlinien für Softwareinstallation, Ordnerumleitung oder Skripts enthalten sind. Damit Unterschieden in diesen Pfaden zwischen der Test- und der Produktionsumgebung Rechnung getragen wird, können Sie Migrationstabellen verwenden, um bei der Migration von Gruppenrichtlinieneinstellungen Server- und Freigabenamen zu ersetzen.

Wenn ein in einer anderen Domäne oder Gesamtstruktur erstelltes GPO zur Produktionsumgebung migriert wird, müssen Sie die Verweise auf die zugehörigen Sicherprinzipale so ändern, dass sie den Verweisen in der Produktionsdomäne entsprechen. In der GPMC steht ein Migrationstabellen-Editor zur Verfügung, in dem Sie eine Zuordnungsdatei für Sicherheitsprinzipale und UNC-Pfade erstellen können. Im Migrationstabellen-Editor wird eine Datei im XML-Format mit der Erweiterung .migtable erstellt, in der für eine GPO-Migration die Sicherheitsprinzipale oder UNC-Pfade von Quelle und Ziel angegeben werden. Weitere Informationen zum Migrationstabellen-Editor finden Sie weiter unten in dieser Anleitung unter Erstellen von Migrationstabellen.

Erstellen der Stagingumgebung

Der erste Schritt beim Staging und Bereitstellen von Gruppenrichtlinien besteht in der Erstellung der Stagingumgebung. In diesem Schritt erstellen Sie eine Testinfrastruktur, die die Infrastruktur der Produktionsumgebung widerspiegelt und in der Sie neue oder geänderte Gruppenrichtlinieneinstellungen testen können, ohne negative Auswirkungen auf Benutzer und Computer in der Produktionsumgebung befürchten zu müssen.

Zu diesem Zeitpunkt müssen Sie Entscheidungen über die Platzierung der Stagingumgebung und deren Vertrauensstellung zur Produktionsumgebung treffen. Sie können Folgendes erstellen:

  • Eine Stagingdomäne innerhalb der Produktionsgesamtstruktur

  • Eine Staginggesamtstruktur ohne Vertrauensstellung zur Produktionsgesamtstruktur

  • Eine Staginggesamtstruktur mit Vertrauensstellung zur Produktionsgesamtstruktur

Jede Option hat bestimmte Vor- und Nachteile, wie in Tablle 8 beschrieben.

Tabelle 8: Auswählen einer Stagingmethode

Methode Vorteile Nachteile

Stagingdomäne innerhalb der Produktionsgesamtstruktur

  • Der Kopiervorgang in der GPMC kann verwendet werden, um GPOs zwischen Staging- und Produktionsumgebung zu verschieben.

  • Dienste in der vorhandenen Produktionsinfrastruktur (z. B. DNS oder DHCP) können genutzt werden.

  • Es ist u. U. weniger Hardware erforderlich als bei einer vollständig isolierten Umgebung, die einer unterstützenden Infrastruktur bedarf.

  • Die Synchronisierung mit der Produktionsumgebung ist einfacher, da sich alle Richtlinieneinstellungen und Dienste in derselben Gesamtstruktur befinden.

  • Es sind u. U. weniger Migrationstabellen erforderlich, wenn eine Migration von Domäne zu Domäne in der Produktionsgesamtstruktur erfolgt (z. B. können einige Sicherheitsprinzipale domänenunabhängig wiederverwendet werden).

  • Die Isolation von der Produktionsumgebung reicht u. U. nicht aus, um sicherzustellen, dass Tests keine negativen Auswirkungen auf diese haben. (Mit einem Standort verknüpfte GPOs z. B. können nicht problemlos getestet werden, da sich Standorte über die Domänen in einer Gesamtstruktur erstrecken. Sicherheitsprinzipale können unabhängig von der Domäne wiederverwendet werden.)

  • Erweist sich u. U. als restriktiv, wenn zum Testen Änderungen an der Umgebung erforderlich sind.

Staginggesamtstruktur ohne Vertrauensstellung zu der Produktionsgesamtstruktur

  • Ist von der Produktionsumgebung vollständig isoliert und bietet maximalen Schutz der Computer und Benutzer in der Produktionsumgebung beim Testen von GPOs.

  • Keine Sicherheitsüberschneidung zwischen Staging und Produktion. Administratoren in Staging- und Produktionsgesamtstrukturen benötigen keinen Zugriff auf beide Gesamtstrukturen.

  • Es ist Flexibilität gewährleistet; Administratoren können uneingeschränkt mit Richtlinieneinstellungen und Konfigurationen experimentieren, ohne dass dies Auswirkungen auf die Produktionsumgebung hat.

  • Synchronisierung mit der Produktionsgesamtstruktur ist schwierig.

  • Ohne Vertrauensstellung ist das Verschieben von Daten und Richtlinieneinstellungen zwischen Gesamtstrukturen aufwändiger.

  • Zum Verschieben von GPOs mit Sicherheitsprinzipalen oder UNC-Pfaden von der Staging- in die Produktionsumgebung sind Migrationstabellen erforderlich.

  • Der Kopiervorgang in der GPMC kann nicht zum Migrieren von GPOs verwendet werden. Der Importvorgang in der GPMC muss verwendet werden.

Staginggesamtstruktur mit Vertrauensstellung zu der Produktionsgesamtstruktur

  • Der Kopiervorgang in der GPMC kann verwendet werden, um GPOs zwischen Staging- und Produktionsumgebung zu verschieben.

  • Ein gewisser Grad der Isolierung von der Produktionsumgebung.

  • Es ist Flexibilität gewährleistet; Administratoren können uneingeschränkt mit Richtlinieneinstellungen und Konfigurationen experimentieren, ohne dass dies Auswirkungen auf die Produktionsumgebung hat.

  • Möglicherweise sind zum Zuordnen von UNC-Pfaden keine Migrationstabellen erforderlich, da u. U. alle Pfade über aktuelle Vertrauensstellungen verfügbar sind.

  • Synchronisierung mit der Produktionsgesamtstruktur ist schwierig.

  • Bei Vertrauensstellungen zwischen Staging- und Produktionsumgebung können Benutzer in einer Umgebung auf Ressourcen in der anderen zugreifen.

  • Zum Verschieben von GPOs mit Sicherheitsprinzipalen von der Staging- in die Produktionsumgebung sind Migrationstabellen erforderlich.

Ziehen Sie bei der Entscheidung für eine Stagingmethode die in Tabelle 8 beschriebenen Vor- und Nachteile in Erwägung. Wenn Sie sich für eine Methode entschieden haben, können Sie sich der Feststellung der Hardwareanforderungen für die Stagingumgebung zuwenden.

Hardwareanforderungen

Unabhängig von der auswählten Stagingmethode müssen Sie zusätzliche Hardware für die Erstellung der Stagingumgebung einsetzen. Die Menge der erforderlichen Hardware hängt von der Art der durchzuführenden Tests und davon ab, wie speziell die Testanforderungen für Gruppenrichtlinien im Einzelnen sind. So kann es z. B. in Produktionsumgebungen, in denen Computer über langsame Netzwerkverbindungen eingebunden sind, Auswirkungen darauf geben, wie Gruppenrichtlinien von Windows angewendet werden, denn bestimmte Gruppenrichtlinieneinstellungen werden über langsame Verbindungen nicht angewendet. Es ist wichtig, dass diese besondere Situation in der Testumgebung widergespiegelt wird, damit Sie sich ein präzises Bild davon machen können, wie sich Änderungen an Gruppenrichtlinien auf die Produktionsumgebung auswirken. Die GPMC ist in einer solchen Situation hilfreich, da Sie in dieser die Auswirkungen der Gruppenrichtlinienverarbeitung über langsame Verbindungen modellieren können. Allerdings ist es u. U. nicht möglich, die Produktionsumgebung vollständig zu spiegeln, es sei denn, Sie setzen Systeme und Netzwerkhardware in ausreichender Menge für die Stagingumgebung ein. Ihr Ziel ist es, eine Test- und Stagingumgebung zu schaffen, die die Leistung und das Verhalten widerspiegelt, die für die Computer und Benutzer in der Produktionsumgebung auftreten, wenn neue oder geänderte GPOs angewendet werden.

Vorbereiten der Stagingumgebung

Wenn Sie sich für eine Stagingmethode entschieden und die Hardware eingerichtet haben, installieren Sie Windows Server 2008 und Active Directory auf den Stagingservern, um die Synchronisierung der Konfiguration von Produktions- und Stagingumgebung vorzubereiten. In den meisten Fällen müssen Sie sicherstellen, dass auf den Computern in der Stagingumgebung dasselbe Betriebssystem mit denselben Service Packs und Hotfixes wie auf den Computern in der Produktionsumgebung ausgeführt wird. Dies ist eine wichtig Voraussetzung für einheitliche Testergebnisse. Stellen Sie außerdem sicher, dass die unterstützende Infrastruktur, z. B. DNS, DFS (Distributed File System, verteiltes Dateisystem) und verwandte Dienste, genauso konfiguriert ist wie in der Produktionsumgebung. Besonders DNS ist für die ordnungsgemäße Verarbeitung von GPOs von wesentlicher Bedeutung. Wenn Sie sich für eine Stagingmethode entscheiden, bei der eine Stagingdomäne oder Staging-Organisationseinheitsstruktur in die Produktionsgesamtstruktur eingefügt wird, können Sie die vorhandene DNS-Infrastruktur der Produktionsumgebung für Namensdienste verwenden.

ImportantWichtig
Sie können mithilfe der GPMC unter Windows Server 2008 GPOs in Domänen unter Windows Server 2008, Windows Server 2003 und Windows 2000 verwalten.

Wenn Sie für die Stagingbereitstellung eine separate Gesamtstruktur erstellen, müssen Sie sich mit der Integration von Namensdiensten befassen. Zu den Namensdiensten können je nach den erstellten Vertrauenstypen DNS oder Windows Internet Name Service (WINS) gehören. Möglicherweise müssen Sie für die Stagingumgebung eine separate DNS-Infrastruktur erstellen. Dies gilt insbesondere, wenn Sie in der Produktionsgesamtstruktur sicheres Active Directory-integriertes DNS verwenden, denn sichere Active Directory-integrierte Zonen können die dynamische Registrierung von Clients aus fremden Gesamtstrukturen nicht unterstützen. Wenn Sie die Erstellung von Vertrauensstellungen zwischen der Staging- und der Produktionsgesamtstruktur planen, muss die Infrastruktur für Namensdienste in einer Gesamtstruktur die der jeweils anderen Gesamtstruktur erkennen. Wenn Sie die Stagingumgebung mit diesen für die Bereitstellung von Gruppenrichtlinien erforderlichen Basiselementen vollständig konfiguriert haben, müssen im nächsten Schritt die Staging- und die Produktionsumgebung synchronisiert werden.

Synchronisieren der Staging- und der Produktionsumgebung

Nachdem Sie eine grundlegende, der Produktionsumgebung entsprechende Staginginfrastruktur erstellt haben, müssen Sie sicherstellen, dass alle Sicherheits- und GPO-Einstellungen in beiden Umgebungen identisch sind. Bei der Synchronisierung muss auch sichergestellt werden, dass in beiden Umgebungen Organisationseinheiten, Benutzer, Computer und Gruppen in ausreichender Anzahl vertreten sind, da Sie GPO-Verknüpfungen und die Auswirkungen der Sicherheitsgruppenfilterung unter Bedingungen testen müssen, die denen in der Produktionsumgebung entsprechen.

Ziel bei der Erstellung jeder Testumgebung ist es, die Produktionsumgebung so genau wie möglich widerzuspiegeln. Sie können zwei GPMC-Beispielskripts mit den Namen CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf herunterladen und ausführen, um die Erstsynchronisierung durchzuführen und die Testumgebung langfristig mit der Produktionsumgebung synchronisiert zu halten. Wie weiter oben erwähnt, werden die GPMC-Beispielskripts standardmäßig im Ordner Programme\Microsoft Group Policy\GPMC Sample Scripts installiert.

Das Skript CreateXMLFromEnvironment.wsf wird für eine Produktionsdomäne ausgeführt und bewirkt, dass alle richtlinienbezogenen Informationen in einer XML-Datei gespeichert und die in der Produktionsdomäne gefundenen GPOs gesichert werden. Beachten Sie, dass dieses Skript jeweils nur für eine Domäne ausgeführt wird, nicht für eine vollständige Gesamtstruktur. Bei Ausführung des Skripts CreateEnvironmentFromXML.wsf werden die vom Skript CreateXMLFromEnvironment.wsf erstellte XML-Datei und die gesicherten GPOs verwendet, um GPOs und andere Objekte aus der Produktionsdomäne in einer Stagingdomäne neu zu erstellen. In Tabelle 9 sind die von CreateXMLFromEnvironment.wsf erfassten Objekte und Richtlinieneinstellungen sowie zusätzliche Objekte aufgeführt, die bei Ausführung des Skripts mithilfe von Befehlszeilenoptionen erfasst werden können.

Tabelle 9: Von "CreateXMLFromEnvironment.wsf" erfasste Objekte

Objekttyp Vom Skript erfasst Zusätzliche Befehlszeilenoptionen

Alle GPOs und GPO-Einstellungen für die Domäne oder Organisationseinheit

Ja

Zum Erfassen von GPO-Einstellungen müssen Sie mithilfe der Option /TemplatePath einen Vorlagenpfad als Speicherort für gesicherte GPOs im Dateisystem angeben. Wenn kein Vorlagenpfad angegeben ist, werden GPOs nicht gesichert.

Sie können Berechtigungen für GPOs mithilfe der Option /ExcludePermissions ausschließen.

Organisationseinheiten

Ja

Mit der Option /StartingOU können Sie festlegen, dass nur ein Teil der Organisationseinheitsstruktur erfasst wird, indem Sie den DN-Pfad zu einer Organisationseinheit angeben.

GPO-Verknüpfungen und Verknüpfungsattribute (z. B. Deaktiviert oder Vererbung deaktivieren)

Ja, nur Verknüpfungen mit Standortobjekten werden nicht erfasst.

Keine

Richtlinienbezogene Berechtigungen

Ja

Sie können Berechtigungen mithilfe der Option /ExcludePermissions ausschließen.

WMI-Filter

Ja

Keine

Benutzer

Optional

Benutzerkonten werden nur erfasst, wenn Sie die Option /IncludeUsers verwenden.

Sicherheitsgruppen

Ja

Standardmäßig werden nur in Organisationseinheiten definierte Sicherheitsgruppen durch das Skript erfasst. Sie können mit der Option /IncludeAllGroups festlegen, dass alle Gruppen im Benutzercontainer und im Domänenstamm erfasst werden.

Computer

Nein

Keine

Standorte

Nein

Keine

Bei Verwendung des Skripts CreateXMLFromEnvironment.wsf müssen Sie einige Punkte beachten. Wenn Sie die Option /IncludeUsers verwenden, um Benutzerobjekte zu erfassen, müssen Sie nach der Neuerstellung dieser Objekte in der Stagingdomäne ein Kennwort für jeden erfassten Benutzer angeben. Dazu können Sie die resultierende XML-Datei manuell bearbeiten und für jeden Benutzer ein Kennwort hinzufügen.

Wenn Sie jedoch in der XML-Datei für bestimmte Benutzer kein Kennwort angegeben haben, werden Sie vom Skript CreateEnvironmentfromXML.wsf zur Eingabe eines Kennworts aufgefordert. Alle Benutzer, für die in der XML-Datei kein Kennwort angegeben wurde, werden mit diesem Kennwort erstellt. Beachten Sie außerdem, das von dem Skript keine Computer erfasst werden. Der Grund hierfür liegt darin, dass Computerobjekte in Active Directory physischen Hardwareressourcen entsprechen, die u. U. in der Produktions- und der Stagingumgebung nicht übereinstimmen. Schließlich ist auch zu beachten, dass von dem Skript weder Standorte noch GPO-Verknüpfungen mit Standorten erfasst werden. Da Standorte mehrere Domänen umfassen und Auswirkungen auf die Active Directory-Replikation haben können, empfiehlt es sich, diese Objekte ebenso wie die GPO-Verknüpfungen mit diesen in der Stagingumgebung manuell zu erstellen.

Beispiel: Erstellen einer XML-Datei in einer Produktionsumgebung

Angenommen, der Name der Produktionsdomäne lautet Contoso.com. Sie möchten Gruppenrichtlinieneinstellungen und zugehörige Informationen exportieren, um eine neue Stagingdomäne zum Testen von GPOs zu erstellen. In diesem Beispiel möchten Sie GPOs aus der gesamten Domäne erfassen und auch Benutzerkonten und Gruppen einbeziehen. Führen Sie zum Exportieren der benötigten Informationen die folgenden Aufgaben aus:

So erstellen Sie eine XML-Datei auf Grundlage einer Produktionsumgebung

  1. Stellen Sie sicher, dass Sie für die Produktionsdomäne über ausreichende Berechtigungen verfügen, um die erforderlichen Daten zu extrahieren. Sie müssen über die Rechte zum Lesen aller erfassten Objekte, u. a. GPOs, Organisationseinheiten, Benutzer und Gruppen (sowie Gruppenmitgliedschaften), verfügen.

  2. Erstellen Sie einen Ordner, in dem die XML-Datei mit den von dem Skript gesammelten Informationen gespeichert werden soll.

  3. Erstellen Sie einen Ordner, in dem Sicherungen der von dem Skript extrahierten GPOs gespeichert werden sollen.

  4. Führen Sie das Skript CreateXMLFromEnvironment.wsf im Installationsordner aus. Wenn cscript.exe nicht das WSH-Standardmodul (Windows Script Host) ist, stellen Sie dem Skriptnamen den Befehl cscript voran. Geben Sie beispielsweise Folgendes in der Befehlszeile ein:

    Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
    

Mit diesen Befehl wird die XML-Datei Production.xml in dem Ordner erstellt, in dem das Skript ausgeführt wird. Die gesicherten GPOs werden in einem Unterordner des aktuellen Orders mit dem Namen GPObackups erstellt. Wenn Sie einen umgekehrten Schrägstrich (\) vor den Pfaden für production.xml und GPObackups einfügen, wird von dem Skript ein relativer Pfad verwendet, und die Ordner für die XML-Datei und die gesicherten GPOs werden in dem aktuellen Verzeichnis erstellt, in dem das Skript ausgeführt wird. Bei Verwendung eines relativen Pfads ist es einfacher, die XML-Datei und die Sicherungen an andere Orte zu kopieren, von denen aus sie wiederhergestellt werden können.

Die Erfassung durch das Skript beginnt auf der Ebene der Domäne Contoso.com. Sie können das Skript auch auf der Ebene einer Organisationseinheit ausführen und dazu die Option /StartingOU zusätzlich zur Option /Domain verwenden. Wenn Sie die Option /Domain ausschließen, wird von der aktuellen Domäne ausgegangen. Mit der Option /DC weisen Sie das Skript an, den Domänencontroller contoso-dc1 zu verwenden, während mit der Option /TemplatePath angegeben wird, dass die Sicherungen aller erfassten GPOs im Ordner GPOBackups gespeichert werden sollen. Mit der Option /IncludeUsers schließlich stellen Sie sicher, dass auch Benutzerkonten von dem Skript erfasst werden.

CautionVorsicht
Sie können die von dem Skript CreateXMLFromEnvironment.wsf erstellten XML-Dateien in einem Text-Editor oder einem beliebigen XML-Editor öffnen und bearbeiten. Beachten Sie jedoch, dass bei XML-Dateien eine bestimmte Syntax eingehalten werden muss. Wenn Sie diese Syntax ändern, kann die Eingabedatei möglicherweise vom Skript CreateEnvironmentFromXML.wsf nicht mehr gelesen werden.

Nachdem Sie die Produktionsumgebung durch Ausführen des Skripts CreateXMLFromEnvironment.wsf erfasst haben, müssen Sie das Skript CreateEnvironmentFromXML.wsf ausführen und dabei die von CreateXMLFromEnvironment.wsf erstellte XML-Ausgabedatei als Eingabe verwenden. Sie müssen das Skript CreateEnvironmentFromXML.wsf innerhalb der Stagingdomäne ausführen. Sie können es jedoch auch auf einem Computer außerhalb der Stagingdomäne ausführen, sofern Sie bereits Vertrauensstellungen zu der Stagingdomäne konfiguriert haben.

Importieren von Produktions-GPO in die Stagingdomäne

Das Skript CreateEnvironmentFromXML.wsf bietet verschiedene Möglichkeiten, um die Erstellung von GPOs in der Stagingumgebung zu genauer zu bestimmen. Die einfachste Möglichkeit besteht darin, eine in der Produktionsdomäne erstellte XML-Datei für das Skript bereitzustellen und optional die Ausführung des Skripts auf einen Domänencontroller in der Stagingdomäne zu richten. Bei Ausführung des Skripts werden in der Stagingdomäne GPOs und zugehörige Objekte erstellt, die den in der Produktionsdomäne erfassten Daten entsprechen. Wenn Sie den Prozess ändern müssen, stehen Ihnen für das Skript verschiedene Befehlszeilenoptionen zur Verfügung:

  • Undo. Durch diese Option werden alle in der XML-Datei angegebenen Objekte (GPOs, GPO-Berechtigungen, Organisationseinheiten, WMI-Filter, Benutzer und Gruppen) aus der Stagingumgebung entfernt. Diese Option ist nützlich, um an der Stagingdomäne vorgenommene Änderungen rückgängig zu machen.

  • ExcludePolicy Settings. Mit dieser Option werden GPOs in der Zieldomäne erstellt, jedoch ohne Richtlinieneinstellungen. Verwenden Sie diese Option, wenn Sie die Richtlinieneinstellungen in GPOs nicht importieren, sondern lediglich erfasste Organisationseinheiten, Benutzer und Benutzergruppen erstellen möchten.

  • ExcludePermissions. Diese Option bewirkt, dass von dem Skript alle in der XML-Datei enthaltenen gruppenrichtlinienbezogenen Berechtigungen ignoriert werden. Stattdessen werden die neuen GPOs und anderen Objekte in der Stagingumgebung mit Standardberechtigungen erstellt.

  • MigrationTable. Mit dieser Option können Sie eine mithilfe des Migrationstabellen-Editors erstellte MIGTABLE-Datei angeben, in der die Sicherheitsprinzipale und UNC-Pfade in den GPO-Einstellungen der Produktionsumgebung den entsprechenden Sicherheitsprinzipalen und UNC-Pfaden in der Stagingumgebung zugeordnet werden.

  • ImportDefaultGPOs. Mit dieser Option werden Richtlinieneinstellungen in die Standarddomänenrichtlinie und die Standarddomänencontrollerichtlinie importiert, sofern Richtlinieneinstellungen für diese GPOs in der XML-Datei angegeben sind. Wird diese Option nicht angegeben, werden die GPOs nicht geändert.

  • CreateUsersEnabled. Diese Option bewirkt, dass Benutzerkonten aktiviert und nicht deaktiviert erstellt werden.

  • PasswordForUsers. Mithilfe dieser Option können Sie das Kennwort angeben, das für alle Benutzer verwendet werden soll, für die keine Kennwörter in der XML-Datei angegeben sind. Dieses Kennwort wird für alle Benutzer verwendet, für die in der XML-Datei noch keine Kennwörter angegeben wurden.

  • Q. Diese Option bewirkt die Ausführung des Skripts im stillen Modus, sofern alle erforderlichen Parameter in der Befehlszeile angegeben wurden. Ohne diese Option werden Sie gewarnt, dass dieses Skript ausschließlich für die Erstellung von Stagingumgebungen verwendet werden sollte, und Sie werden ggf. aufgefordert, ein Kennwort für alle Benutzer einzugeben, für die in der XML-Datei keine Kennwörter definiert sind.

Beispiel: Auffüllen der Stagingdomäne anhand der XML-Datei

Angenommen, als Stagingumgebung wird die Domäne test.contoso.com verwendet, und diese Domäne befindet sich in derselben Gesamtstruktur wie die weiter oben in diesem Kapitel erfasste Produktionsdomäne. Auch wenn sich die Stagingdomäne nicht in derselben Gesamtstruktur wie die Produktionsdomäne befindet, sind die Schritte zum Auffüllen der Stagingdomäne identisch, jedoch ist u. U. eine andere Zuordnung mithilfe von Migrationstabellen erforderlich.

So füllen Sie eine Stagingumgebung anhand einer XML-Datei auf

  1. Stellen Sie sicher, dass Sie das Skript CreateEnvironmentFromXML.wsf mit ausreichenden Berechtigungen in der Stagingdomäne ausführen. Führen Sie das Skript als Mitglied der Gruppe Domänen-Admins oder als Benutzer mit gleichwertigem Zugriff in der Domäne aus.

  2. Stellen Sie sicher, dass Sie auf die XML-Datei und die gesicherten GPOs zugreifen können, die durch die Ausführung von CreateXMLFromEnvironment.wsf in der Produktionsdomäne erstellt wurden.

    Wenn Sie CreateEnvironmentFromXML.wsf ausführen, verweisen Sie in den Befehlszeilenoptionen lediglich auf die XML-Datei (nicht auf den Pfad zu den gesicherten GPOs). Diese Datei enthält die Pfade zu den GPO-Sicherungsdateien. Folglich werden bei Angabe der XML-Datei für CreateEnvironmentFromXML.wsf alle GPO-Sicherungsdateien verwendet, die sich in dem bei Ausführung des Skripts CreateXMLFromEnvironment.wsf angegebenen Ordner befinden. Wenn Sie CreateXMLFromEnvironment.wsf mit dem unter Beispiel: Erstellen einer XML-Datei in einer Produktionsumgebung dargestellten Befehl ausgeführt haben, wird in der XML-Datei angegeben, dass sich die Sicherungen in einem Unterordner des aktuellen Ordners befinden. Wenn Sie bei der Ausführung von CreateXMLFromEnvironment.wsf keinen relativen Pfad verwendet haben, haben Sie drei Möglichkeiten sicherzustellen, dass von CreateEnvironmentFromXML.wsf die erforderlichen Dateien gefunden werden:

    • Kopieren Sie die angegebene Ordnerstruktur aus dem Pfad, in dem sie erstellt wurde, in einen identischen Pfad auf dem lokalen Computer, auf dem Sie CreateEnvironmentFromXML.wsf ausführen.

    • Geben Sie bei der Erstellung der XML-Datei kein lokales Laufwerk, sondern eine Netzwerkfreigabe an (der Zugriff auf diese Freigabe muss auch von dem Ort aus möglich sein, an dem Sie CreateEnvironmentFromXML.wsf ausführen).

    • Bearbeiten Sie die XML-Datei, um die Einträge für die Pfade zu ändern, sodass für die GPO-Sicherungsdateien auf einen anderen Pfad verwiesen wird.

  3. Führen Sie CreateEnvironmentFromXML.wsf aus dem Ordner Scripts im GPMC-Installationsordner aus. Wenn cscript.exe nicht das WSH-Standardmodul ist, stellen Sie dem Skriptnamen den Befehl cscript voran. Geben Sie beispielsweise Folgendes in der Befehlszeile ein:

    Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
    

Es wird die Warnung angezeigt, dass das Skript nur für die Erstellung von Stagingumgebungen bestimmt ist, und dann werden Sie zur Eingabe eines Kennworts für Benutzerobjekte aufgefordert. Wenn Sie die Option /Q verwenden und das Kennwort bei Ausführung dieses Skripts mit der Option PasswordForUsers angeben, werden diese Meldungen nicht angezeigt. Wenn Sie bestätigen, dass der Vorgang fortgesetzt werden soll, werden Statusangaben angezeigt, während die XML-Datei und die GPOs von dem Skript verarbeitet werden. Anschließend können Sie sich überzeugen, dass alle Schritte korrekt abgeschlossen wurden, indem Sie unter Active Directory-Benutzer und -Computer und in der GPMC überprüfen, ob Benutzer, Gruppen und GPOs erfolgreich erstellt wurden.

Beibehalten der Synchronisierung von Staging- und Produktionsumgebung

Mithilfe der Skripts CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf erstellen Sie auf Basis der Produktionsumgebung eine erste Stagingumgebung. Jedoch ist die Wartung von Gruppenrichtlinien einschließlich des Testens neuer und geänderter GPOs mit laufendem Arbeitsaufwand verbunden. Wie können Sie die Stagingumgebung laufend mit der Produktionsumgebung synchronisiert halten? Die beiden Skripts stellen eine Alles-oder-nichts-Methode für das Auffüllen von GPOs dar, d. h., sie sind nicht spezifisch genug, um nur bestimmte GPOs zu erfassen und zu importieren.

Die Sicherungs- und die Importfunktion in der GPMC bieten Ihnen die Möglichkeit, bestimmte GPOs selektiv zwischen der Produktions- und der Stagingumgebung zu synchronisieren. Mithilfe der Sicherungsfunktion erstellen Sie eine Sicherung der Richtlinieneinstellungen und Sicherheit eines Produktions-GPO. Anschließend können Sie die Sicherung über ein vorhandenes GPO in der Stagingdomäne importieren, wodurch dieses mit dem Produktions-GPO synchronisiert wird. Weitere Informationen zum Sichern und Importieren von GPOs finden Sie unter Beispiele für die Bereitstellung.

Testen von Gruppenrichtlinien in der Stagingumgebung

Nachdem Sie die Stagingumgebung erstellt und die Gruppenrichtlinien mit der Produktionsumgebung synchronisiert haben, können Sie mit dem Testen geplanter Gruppenrichtlinienänderungen beginnen. Am besten können Sie Gruppenrichtlinien testen, indem Sie die in der GPMC verfügbaren Tools für Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse verwenden und unter Verwendung von realen Benutzerkonten und Computern in der Testumgebung tatsächlich vorhandene GPOs verarbeiten.

Das Feature für Gruppenrichtlinienergebnisse ist nützlich, wenn Sie neue GPO-Einstellungen auf einen Computer und einen Benutzer angewendet haben und überprüfen müssen, ob tatsächlich alle Richtlinieneinstellungen wie erwartet angewendet wurden. Mithilfe der Gruppenrichtlinienmodellierung kann ermittelt werden, welche Auswirkungen das Verschieben eines Benutzers oder Computers innerhalb des Active Directory-Namespaces, das Ändern der Gruppenmitgliedschaft eines Benutzers oder Computers oder eine Richtlinie für langsame Verbindungen oder die Loopbackverarbeitung hat. Die Gruppenrichtlinienmodellierung ermöglicht es Ihnen, die Auswirkungen einer Änderung zu testen, ohne die Änderung tatsächlich vorzunehmen, während Sie anhand der Gruppenrichtlinienergebnisse anzeigen können, was tatsächlich geschehen ist. Das Feature für Gruppenrichtlinienergebnisse wird auf dem Zielcomputer ausgeführt, sodass Sie Zugriff auf diesen Computer benötigen. Die Gruppenrichtlinienmodellierung wird auf einem Domänencontroller ausgeführt, d. h., ein solcher muss für die Ausführung des Modellierungsprozesses verfügbar sein. Mithilfe der Gruppenrichtlinienmodellierung können Sie Richtlinieneinstellungen auf Computern unter Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP Professional modellieren. Beachten Sie, dass bei der Gruppenrichtlinienmodellierung die Richtlinienverarbeitung simuliert wird, während die Gruppenrichtlinienergebnisse die Auswirkungen der tatsächlichen Richtlinienverarbeitung zeigen.

Testen durch Anmelden als Testbenutzer

Die erste und beste Methode zum Testen von Gruppenrichtlinien besteht darin, die Änderungen an den GPOs in der Stagingdomäne tatsächlich vorzunehmen und anschließend die Ergebnisse dadurch zu testen, dass Sie sich mit Testbenutzerkonten an Arbeitsstationen anmelden, um die Auswirkungen der Änderungen festzustellen. Auf diese Weise können Sie beobachten, inwiefern Benutzer von den Änderungen betroffen sind.

Testen mithilfe von Gruppenrichtlinienergebnissen

Wenn die GPMC auf dem Testcomputer installiert ist, können Sie den Gruppenrichtlinienergebnis-Assistenten in der GPMC verwenden, um detaillierte Berichte über die auf Benutzer und Computer angewendeten GPOs abzurufen. Andernfalls können Sie die Befehlszeilenversion des Tools für Gruppenrichtlinienergebnisse verwenden, um Berichte über die auf Benutzer und Computer angewendeten GPOs zu erstellen. Anschließend können Sie alle entsprechenden Änderungen an den Test-GPOs vornehmen. Gruppenrichtlinienergebnisse verwenden Sie, nachdem alle Gruppenrichtlinien für einen bestimmten Benutzer und Computer verarbeitet wurden, um herauszufinden, welche Richtlinieneinstellungen angewendet wurden. Die Ergebnisse werden durch eine Abfrage des Richtlinienergebnissatzes auf dem Computer unter Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP, auf dem die Gruppenrichtlinien verarbeitet wurden, gesammelt. Somit gibt der Assistent die tatsächlich angewendeten Richtlinieneinstellungen und nicht die erwarteten Richtlinieneinstellungen zurück. Die Ausgabe ist identisch mit der, die bei Verwendung von Gpresult.exe mit dem Parameter /hgeneriert wird.

Weitere Informationen zum Gruppenrichtlinienergebnis-Assistenten finden Sie in dieser Anleitung unter Verwenden von Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnissen zum Auswerten von Gruppenrichtlinieneinstellungen.

Testen mithilfe der Gruppenrichtlinienmodellierung

Die zweite Methode zum Testen von Gruppenrichtlinien besteht darin, mithilfe des Gruppenrichtlinienmodellierungs-Assistenten in der GPMC Änderungen an der Umgebung zu modellieren, bevor diese tatsächlich vorgenommen werden. Die Gruppenrichtlinienmodellierung ermöglicht es Ihnen, vor dem Rollout in der Produktionsumgebung hypothetische Tests für Benutzer- und Computerobjekte durchführen, um zu beobachten, wie Gruppenrichtlinieneinstellungen nach bestimmten Änderungen, z. B. dem Verschieben der Benutzer- oder Computerobjekte in eine andere Organisationseinheit, dem Ändern ihrer Sicherheitsgruppenmitgliedschaft oder dem Ändern der geltenden WMI-Filter, angewendet würden. Beachten Sie jedoch, dass die Ergebnisse der Gruppenrichtlinienmodellierung auf simulierten und nicht auf tatsächlichen Richtlinieneinstellungen basieren. Daher ist es immer empfehlenswert, nach dem Modellieren des Ihren Anforderungen entsprechenden Szenarios den Gruppenrichtlinienergebnis-Assistenten zu verwenden, um die erwarteten Richtlinieneinstellungen zu überprüfen.

Da Sie bei der Gruppenrichtlinienmodellierung keine geplanten Änderungen an Richtlinieneinstellungen in einem GPO angeben können, müssen Sie die geplanten Änderungen an den GPOs in der Stagingumgebung vornehmen und dann den Gruppenrichtlinienmodellierungs-Assistenten für eine bestimmte Organisationseinheit bzw. einen bestimmten Benutzer oder Computer ausführen, um den Richtlinienergebnissatz zu ermitteln.

Mithilfe der Gruppenrichtlinienmodellierung können Sie auch das Gruppenrichtlinienverhalten bei der Richtlinienverarbeitung über eine langsame Netzwerkverbindung modellieren. Dabei kann ermittelt werden, welche Gruppenrichtlinienerweiterungen verarbeitet werden. Wenn die Verbindung eines Computers mit einem Domänencontroller über eine langsame Netzwerkverbindung hergestellt wird, werden Gruppenrichtlinienerweiterungen wie Softwareinstallation und Ordnerumleitung nicht verarbeitet.

Mit der Gruppenrichtlinienmodellierung kann die Übertragungsrate von langsamen Verbindungen simuliert werden, und die effektiven Richtlinieneinstellungen für den modellierten Benutzer und Computer können ermittelt werden. Zusätzlich können mithilfe der Gruppenrichtlinienmodellierung die Auswirkungen des Loopbackverarbeitungsmodus für Gruppenrichtlinien getestet werden. Wenn die Loopbackverarbeitung aktiviert ist, werden auf einen Computer immer dieselben Richtlinieneinstellungen angewendet, unabhängig davon, welcher Benutzer sich an diesem Computer anmeldet. Beachten Sie, dass Sie im Gruppenrichtlinienmodellierungs-Assistenten angeben müssen, dass Sie die Loopbackverarbeitung modellieren möchten, denn standardmäßig wird die Loopbackverarbeitung nicht modelliert.

Sie können im Gruppenrichtlinienmodellierungs-Assistenten die Erkennung langsamer Verbindungen, die Loopbackverarbeitung oder beides angeben. Für die Loopbackverarbeitung können Sie auswählen, ob benutzerspezifische Richtlinien ersetzt oder zusammengeführt werden sollen. Im Ersetzen-Modus werden alle normalen Richtlinieneinstellungen eines Benutzers durch die Richtlinieneinstellungen ersetzt, die in der Benutzerkonfiguration der auf das Computerobjekt angewendeten GPOs definiert sind (die Loopback-Richtlinieneinstellungen). Im Zusammenführen-Modus werden die normalen Richtlinieneinstellungen des Benutzers mit den Loopback-Richtlinieneinstellungen zusammengeführt. Im Falle eines Konflikts zwischen einem Richtlinienelement in den normalen Richtlinieneinstellungen des Benutzers und in den Loopback-Richtlinieneinstellungen werden die Loopback-Richtlinieneinstellungen angewendet.

noteHinweis
Die Gruppenrichtlinienmodellierung wird auf einem Domänencontroller ausgeführt. Dagegen werden Gpresult.exe oder der Gruppenrichtlinienergebnis-Assistent auf dem Computer unter Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP ausgeführt, von dem die Gruppenrichtlinien verarbeitet werden. In den Gruppenrichtlinienergebnissen wird der Richtlinienergebnissatz-WMI-Anbieter verwendet, um Informationen zur Gruppenrichtlinienverarbeiten zu generieren. Bei der Gruppenrichtlinienmodellierung wird der Richtlinienergebnissatzanbieter-Dienst auf dem Domänencontroller unter Windows Server 2008 oder Windows Server 2003 zur Ausführung der Analyse verwendet.

Weitere Informationen zum Gruppenrichtlinienmodellierungs-Assistenten finden Sie in dieser Anleitung unter Verwenden von Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnissen zum Auswerten von Gruppenrichtlinieneinstellungen.

Vorbereiten der Bereitstellung in der Produktionsumgebung

Nachdem Sie die Gruppenrichtlinienänderungen in der Stagingumgebung umfassend getestet haben, Sie sind fast an dem Punkt angelangt, an dem die neuen oder geänderten GPOs in der Produktionsumgebung bereitgestellt werden können. Bevor Sie diesen Schritt jedoch tatsächlich ausführen können, müssen Sie ermitteln, ob Sie in den GPOs enthaltene Sicherheitsprinzipale oder UNC-Pfade im Rahmen der Migration anderen Werten zuordnen müssen.

Ermitteln der Zuordnungsanforderungen für die Migration

Bei der Stagingumgebung kann es sich um eine Testdomäne in der Produktionsumgebung, eine separate vertrauenswürdige Testgesamtstruktur oder eine separate, nicht vertrauenswürdige Testgesamtstruktur handeln. In jedem Fall müssen Sie wahrscheinlich eine Migrationstabelle zum Bereitstellen neuer oder geänderter GPOs in der Produktionsumgebung erstellen und verwenden. Migrationstabellen erfüllen drei verschiedene Typen von Zuordnungsanforderungen:

  • Sie müssen bei der Migration der GPOs zur Produktionsumgebung jeden Zugriffssteuerungseintrag (Access Control Entry, ACE) für ein oder mehrere GPOs anderen Sicherheitsprinzipalen zuordnen. In den ACEs für ein GPO wird beschrieben, welche Benutzer, Computer und Computergruppen das GPO verarbeiten und welche Benutzer oder Benutzergruppen Richtlinieneinstellungen im GPO anzeigen und bearbeiten oder das GPO löschen können.

  • Sie müssen Sicherheitsprinzipale in Richtlinieneinstellungen für Sicherheit oder Ordnerumleitung zuordnen, die in einem oder mehreren GPOs definiert sind. Insbesondere können Sie mit Richtlinien wie Zuweisen von Benutzerrechten, Eingeschränkte Gruppen, Dateisystem, Registrierung oder Systemdienste bestimmte Benutzer oder Gruppen angeben, die auf die betreffenden Ressourcen zugreifen oder diese konfigurieren können. Die Sicherheits-ID (Security Identifier, SID) für den betreffenden Benutzer bzw. die betreffende Gruppe wird im GPO gespeichert und muss bei der Migration des GPO geändert werden, um den Benutzern oder Gruppen in der Produktionsdomäne Rechnung zu tragen.

  • UNC-Pfade müssen Sie zuordnen, wenn Sie Richtlinieneinstellungen für Softwareinstallation, Ordnerumleitung oder Skripts definiert haben, in denen auf UNC-Pfade verwiesen wird. So könnte beispielsweise in einem GPO auf ein Skript verwiesen werden, das in einem externen Pfad, z. B. auf der NETLOGON-Freigabe, auf einem Remoteserver gespeichert ist. Dieser Pfad muss bei der Migration des GPO möglicherweise einem anderen Pfad zugeordnet werden. UNC-Pfade beziehen sich i. d. R. explizit auf eine bestimmte Umgebung und müssen ggf. geändert werden, wenn Sie das GPO zur Produktionsumgebung migrieren.

Wenn eine der drei vorgenannten Bedingungen erfüllt ist, müssen Sie eine Migrationstabelle erstellen, in der die Werte in den Test-GPOs den richtigen Werten in der Produktionsdomäne zugeordnet werden.

Erstellen von Migrationstabellen

Zum Erstellen und Bearbeiten von Migrationstabellen verwenden Sie den in der GPMC enthaltenen Migrationstabellen-Editor. Für den Zugriff auf eine Tabelle haben Sie zwei Möglichkeiten:

  • Sie können den Migrationstabellen-Editor während eines Kopier- oder Importvorgangs in der GPMC starten und eine Migrationstabelle erstellen oder bearbeiten. In diesem Fall wird der Migrationstabellen-Editor in einem separaten Fenster gestartet, in dem Sie eine neue Migrationstabelle erstellen oder eine vorhandene bearbeiten können.

  • Sie können den Migrationstabellen-Editor im eigenständigen Modus (unabhängig von einem Import- oder Kopiervorgang) starten und die Migrationstabelle erstellen oder bearbeiten, bevor Sie GPOs zur Produktionsumgebung migrieren.

Außerdem können Sie Migrationstabellen mithilfe von Beispielskripts erstellen, wie weiter unten in diesem Abschnitt beschrieben.

Wenn Sie die Migrationstabelle vorab erstellen, bietet dies u. a. den Vorteil, dass Sie sich sicher sein können, die Migrationseinstellungen vor Beginn der Bereitstellung genau Ihren Anforderungen entsprechend zu definieren. Wenn Sie daher bereit sind, die Test-GPOs zur Produktionsumgebung zu migrieren, sollten Sie zunächst mindestens eine Migrationstabelle für die zu migrierenden GPOs erstellen. Eine Migrationstabelle kann für mehrere GPOs verwendet werden. So können Sie u. U. eine einzige Migrationstabelle verwenden, die jede mögliche Kombination von Sicherheitsprinzipalen und UNC-Pfaden für eine Migration von einer Staging- zu einer Produktionsdomäne abdeckt. In diesem Fall können Sie einfach dieselbe Migrationstabelle für jedes GPO anwenden, das aus der Stagingdomäne in der Produktionsdomäne bereitgestellt wird, und alle passenden Prinzipale und Pfade werden korrekt zugeordnet.

Verwenden des Migrationstabellen-Editors im eigenständigen Modus

Führen Sie zum Starten des Migrationstabellen-Editors im eigenständigen Modus Mtedit.exe im GPMC-Installationsordner aus. Der Migrationstabellen-Editor wird mit einer leeren Migrationstabelle gestartet, die Sie dann durch Eingabe von Einträgen in das Raster manuell auffüllen oder mit einer der entsprechenden Methoden automatisch auffüllen lassen können.

Automatisches Auffüllen der Migrationstabelle

Die einfachste Möglichkeit zum Erstellen einer Migrationstabelle besteht in der Verwendung eines der Features zum automatischen Auffüllen, die im Migrationstabellen-Editor im Menü Extras zur Verfügung stehen. Sie können als Grundlage für das automatische Auffüllen sowohl gesicherte GPOs als auch Live-GPOs verwenden. Verwenden Sie das folgende Verfahren für das automatische Auffüllen einer Migrationstabelle.

So lassen Sie eine Migrationstabelle automatisch auffüllen

  1. Wählen Sie aus, ob die Tabelle aus Live-GPOs oder aus gesicherten GPOs automatisch aufgefüllt werden soll. Wenn Sie zur Migration eines GPO in der Stagingumgebung zur Produktionsumgebung bereit sind, können Sie die Option Von Gruppenrichtlinienobjekt auffüllen für das Live-GPO in der Stagingumgebung verwenden, um mit der Erstellung der Migrationstabelle zu beginnen. Der Vorgang für das automatische Auffüllen der Tabelle aus einem gesicherten GPO ist identisch, nur müssen Sie den Pfad zum gesicherten GPO angeben. Wenn mehrere gesicherte GPOs vorhanden sind, wird in diesem Fall eine Liste angezeigt, aus der Sie Ihre Auswahl treffen können. Beachten Sie, dass Sie beim automatischen Auffüllen einer Migrationstabelle mehrere GPOs bzw. gesicherte GPOs auswählen können. Auf diese Weise können Sie eine einzige Migrationstabelle für alle GPOs in einer Domäne verwenden.

  2. Wählen Sie aus, ob Sicherheitsprinzipale aus der DACL des GPO einbezogen werden sollen. Beim automatischen Auffüllen einer Migrationstabelle können Sie die Option zum Einbeziehen von Sicherheitsprinzipalen aus der DACL des GPO auswählen. Wenn Sie diese Option auswählen, werden Sicherheitsprinzipale aus der DACL des GPO in die Tabelle mit den Sicherheitsprinzipalen aufgenommen, auf die in den GPO-Einstellungen verwiesen wird. Doppelt vorhandene Quellsicherheitsprinzipale werden in der Migrationstabelle nicht wiederholt. Der Migrationstabellen-Editor unterstützt unterschiedliche Objekttypen, die zugeordnet werden können, wie in Tabelle 10 beschrieben.

    Tabelle 10: In Migrationstabellen unterstützte Objekttypen

    Objekttyp Zuordnung

    Benutzer

    Einzelne Benutzerkonten

    Globale Gruppe (in Domäne)

    Globale Domänengruppen

    Lokale Gruppe (in Domäne)

    Lokale Domänengruppen

    Universelle Gruppe

    Universelle Gruppen

    Computer

    Computernamen. Einem Computer können z. B. die Berechtigungen Lesen
    und Gruppenrichtlinie übernehmen
    für ein GPO erteilt werden.

    UNC-Pfad

    UNC-Pfade in Richtlinien für die Softwareinstallation

    Freier Text oder SID

    Unbestimmte Sicherheitsprinzipale. Sie können z. B. auf Sicherheitsprinzipale für ein GPO mit dem Namen und nicht mit der SID verweisen (Eingabe von Administratoren anstelle von DomäneX\Administratoren), oder Sicherheitsprinzipale können nicht aufgelöst werden, um den Typ zu ermitteln.

    Dieser Zuordnungstyp kann auftreten, wenn Sie die Sicherheitsrichtlinie Eingeschränkte Gruppen festlegen und den Namen der Gruppe eingeben, statt den Namen für eine Livedomäne aufzulösen.
    In diesem Fall wird der Gruppenname als der von Ihnen angegebene Name, nicht jedoch die entsprechende SID im GPO gespeichert. Im Migrationstabellen-Editor wird ein solcher Sicherheitsprinzipal als Freier Text oder SID berücksichtigt.

    Darüber hinaus können Sie im
    Migrationstabellen-Editor Roh-SIDs eingeben. In diesem Fall ist der Objekttyp dem Migrationstabellen-Editor unbekannt und muss daher als Freier Text oder SID angegeben werden.

  3. Ändern Sie den Eintrag für Ziel für jeden Sicherheitsprinzipal und UNC-Pfad. Nachdem Sie die Migrationstabelle aufgefüllt haben, können Sie das Feld Ziel für jeden Eintrag ändern. Der Standardwert für Ziel lautet Identisch mit Quelle. Dies bedeutet, dass im Ziel-GPO derselbe Sicherheitsprinzipal oder UNC-Pfad wie in der Quelle verwendet wird. In diesem Fall wird der Wert unverändert kopiert, und durch die Zuordnung werden keine Änderungen vorgenommen. Üblicherweise muss dieses Feld für einen oder mehrere Quelleinträge geändert werden, wenn Sie ein GPO aus einer Testumgebung zu einer Produktionsumgebung migrieren. Zum Ändern des Zielfelds können Sie entweder einen Eintrag eingeben oder mit der rechten Maustaste auf das Feld klicken und dann auf das entsprechende Menüelement klicken.

  4. Die beiden verfügbaren Menüelemente lauten Durchsuchen und Ziel angeben. Wenn Sie auf Durchsuchen klicken, können Sie einen Sicherheitsprinzipal in einer beliebigen vertrauenswürdigen Domäne auswählen. Wenn Sie auf Ziel angeben klicken, stehen Ihnen drei Optionen zur Auswahl:

    • Kein Ziel. Wenn Sie Kein Ziel angeben, wird der Sicherheitsprinzipal bei der Migration nicht in das Ziel-GPO aufgenommen. Diese Option ist für Einträge für UNC-Pfade nicht verfügbar.

    • Zuordnung mit relativem Namen. Wenn Sie Zuordnung mit relativem Namen angeben, wird vorausgesetzt, dass der Sicherheitsprinzipalname in der Zieldomäne bereits vorhanden ist und der Zielname für die Zuordnung verwendet wird. Wenn z. B. für die Domäne test.contoso.com der Quellname Domänen-Admins lautet und Sie das GPO zur Domäne contoso.com migrieren, muss der Name Domänen-Admins@test.contoso.com dem Namen Domänen-Admins@contoso.com zugeordnet werden. Die Gruppe muss in der Zieldomäne bereits vorhanden sein, damit der Import- oder Kopiervorgang erfolgreich ausgeführt werden kann. Diese Option ist für Einträge für UNC-Pfade nicht verfügbar.

    • Identisch mit Quelle. Wenn Sie Identisch mit Quelle angeben, wird im Quell- und im Ziel-GPO derselbe Sicherheitsprinzipal verwendet. Der Sicherheitseintrag bleibt im Wesentlichen unverändert. Beachten Sie, dass die Verwendung dieser Option nur praktikabel ist, wenn die Migration aus einer Testdomäne, die sich in derselben Gesamtstruktur wie die Produktionsdomäne befindet, oder aus einer Testdomäne in einer anderen Gesamtstruktur, die der Produktionsgesamtstruktur vertraut, erfolgt. Voraussetzung für eine erfolgreiche Zuordnung eines Quellnamens ist, dass dieser von Benutzern und Computern in der Produktionsgesamtstruktur aufgelöst werden kann.

    Bei den für den Zielnamen verfügbaren Optionen gelten verschiedene Einschränkungen. Für UNC-Pfade wird nur die Option Identisch mit Quelle unterstützt. Alternativ können Sie manuell einen anderen UNC-Pfad eingeben. Für als Freier Text oder SID festgelegte Sicherheitsprinzipale wird Zuordnung mit relativem Namen nicht unterstützt.

    Beachten Sie auch, dass eine Warnung angezeigt wird, wenn Sie verschiedene Gruppentypen einander zuordnen. Wenn z. B. für den Quellprinzipal der Typ Globale Gruppe (in Domäne) festgelegt ist und Sie für das Ziel Lokale Gruppe (in Domäne) auswählen, werden Sie gewarnt, dass der Zielname einen anderen Typ aufweist als die Quelle. Bei der anschließenden Überprüfung der Datei tritt ein Fehler auf, Sie können jedoch trotzdem die Migrationstabelle für die Migration verwenden. Beachten Sie, dass in der Migrationstabelle die Zuordnung einer integrierten Sicherheitsgruppe wie Administratoren nicht unterstützt wird.

    Wenn Sie im Migrationstabellen-Editor eine Zeile löschen müssen, markieren Sie die Zeile, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Löschen.

  5. Überprüfen Sie die Migrationstabelle. Vor dem Speichern der Migrationstabelle sollten Sie die Datei überprüfen. Klicken Sie dazu im Menü Extras auf Überprüfen. Bei der Überprüfung wird festgestellt, ob das XML-Format der erstellten Datei gültig ist und die Zielnamen im Hinblick auf die Migration gültig sind. Wenn Sie z. B. einen UNC-Pfad für das Ziel eingeben, der Pfad jedoch nicht vorhanden ist, wird bei der Überprüfung eine Warnung zurückgegeben. Im Einzelnen werden bei der Überprüfung folgende Schritte ausgeführt:

    • Es wird überprüft, ob Sicherheitsprinzipale und UNC-Pfade für das Ziel vorhanden sind.

    • Es wird überprüft, ob für Quelleinträge mit UNC-Pfaden Ziele mit der Angabe Zuordnung mit relativem Namen oder Kein Ziel vorhanden sind, denn diese Ziele werden nicht unterstützt.

    • Es wird überprüft, ob der Typ jedes Zieleintrags in der Tabelle dem Typ in Active Directory entspricht.

    Wenn Sie Daten manuell eingeben, ist die Überprüfung besonders wichtig, um sicherzustellen, dass die Migration nicht aufgrund eines Eingabefehlers fehlschlägt. Beachten Sie, dass bei der Überprüfung der Zuordnungsdatei möglicherweise ein Fehler auftritt, weil der Benutzer, der die Datei bearbeitet, nicht die Möglichkeit hat, die in der Datei angegebenen Sicherheitsprinzipale oder UNC-Pfade aufzulösen. Dies bedeutet jedoch nicht, dass die Datei während der Migration nicht wie erwartet funktioniert, vorausgesetzt, der Benutzer, der die Migration ausführt, kann die Sicherheitsprinzipale und UNC-Pfade auflösen. Nach der Überprüfung wird in Meldungen angegeben, ob ein Syntaxfehler in der Tabelle vorliegt oder ob einfach ein Sicherheitsprinzipal oder UNC-Pfad nicht aufgelöst werden kann. Wenn ein Fehler bei der Namensauflösung vorliegt, stellen Sie sicher, dass Sie bei der eigentlichen Migration über ausreichende Zugriffsrechte sowohl für die Quell- als auch für die Zielressourcen verfügen.

  6. Wenn Sie die Bearbeitung der Tabelle abgeschlossen haben, speichern Sie die resultierende MIGTABLE-Datei, indem Sie auf Datei und dann auf Speichern klicken.

Manuelles Eingeben von Einträgen in eine Migrationstabelle

Wenn Sie sich gegen die Verwendung des Features für das automatischen Auffüllen entscheiden oder Daten aus einem anderen Grund manuell eingeben müssen, verwenden Sie unbedingt die richtigen Formate, damit die Migrationstabelle gültig ist. In Tabelle 11 sind die richtigen Formate für alle in der Migrationstabelle unterstützten Objekttypen angegeben. Diese Formate müssen in den Quell- und Zielfeldern verwendet werden.

Tabelle 11: Erforderliche Formate für Migrationsobjekte

Objekttyp Erforderliches Format

Benutzer

a. UPN – Benutzer@UPN-Suffix

b. SAM – NetBIOS-Domänenname\Benutzer

c. DNS – DNS-Domänenname\Benutzer

Beispiel: MonicaB@contoso.com, contoso\MonicaB oder contoso.com\MonicaB.

Globale Gruppe (in Domäne)

a. UPN – Gruppe@UPN-Suffix

b. SAM – NetBIOS-Domänenname\Gruppe

c. DNS – DNS-Domänenname\Gruppe

Beispiel: Domänen-Admins@contoso.com, contoso\Domänen-Admins oder Contoso.com\Domänen-Admins.

Lokale Gruppe (in Domäne)

a. UPN – Gruppe@UPN-Suffix

b. SAM – NetBIOS-Domänenname\Gruppe

c. DNS – DNS-Domänenname\Gruppe

Beispiel: Administratoren@contoso.com, contoso\Administrator oder Contoso.com\Administratoren.

Universelle Gruppe

a. UPN – Gruppe@UPN-Suffix

b. SAM – NetBIOS-Domänenname\Gruppe

c. DNS – DNS-Domänenname\Gruppe

Beispiel: Organisations-Admins@contoso.com, contoso\Organisations-Admins oder contoso.com\Organisations-Admins.

Computer

a. UPN – Computername$@UPN-Suffix

b. SAM – NetBIOS-Domänenname\Computername$

c. DNS – DNS-Domänenname\Computername$

Beispiel: server1$@contoso.com, contoso\server1$ oder contoso.com\server1$. Durch das Zeichen $ wird das ausgeblendete Computerkonto des Computers angegeben.

UNC-Pfad

\\Servername\Freigabename\. Beispiel: \\server1\packages.

Freier Text oder SID

Entweder eine Zeichenfolge oder die Zeichenfolgendarstellung einer SID. Beispiel: "MonicaB" oder "S-1-5-21-1473733259-1489586486-3363071491-1005". SIDs können im Zielfeld nicht angegeben werden.

Erstellen einer Migrationstabelle mithilfe eines Skripts

Wenn Sie die Erstellung von Migrationstabellen automatisieren müssen, können Sie das GPMC-Beispielskript CreateMigrationTable.wsf verwenden. Sie können dieses Skript auch anstelle des Migrationstabellen-Editors verwenden, um die anfängliche Migrationstabelle zu generieren, und die Tabelle anschließend im Migrationstabellen-Editor bearbeiten.

Das Skript CreateMigrationTable.wsf unterstützt das automatische Auffüllen einer Migrationstabelle anhand eines aktuellen GPOs oder eines Pfads mit gesicherten GPOs. Sie können auch festlegen, dass das Skript alle GPOs in einer Domäne liest. In diesem Fall werden alle möglichen Sicherheitsprinzipale, die in GPOs in der Stagingdomäne gefunden wurden, in die Migrationstabelle eingefügt, und diese eine Migrationstabelle kann dann verwendet werden, um jedes beliebige GPO von der Stagingdomäne zu einer Produktionsdomäne zu migrieren.

Beachten Sie, dass mit dem Skript die Sicherheitsprinzipale, die zur DACL des GPO gehören, immer eingefügt werden, während Sie im Migrationstabellen-Editor die Möglichkeit haben, diese auszuschließen. Außerdem bietet das Skript die Option, den Zielnamen auf Zuordnung mit relativem Namen statt auf die Standardeinstellung Identisch mit Quelle festzulegen. Zum Implementieren relativer Namen können Sie die Option /MapByName verwenden.

Der folgende Befehl veranschaulicht, wie das Skript verwendet werden kann. In diesem Befehl befindet sich ein GPO mit dem Namen Finance OU Desktop Policy in der Stagingdomäne staging.contoso.com. Durch den Befehl wird die Migrationstabelle FinanceStaging.migtable anhand des aktuellen GPO automatisch aufgefüllt:

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

Wenn Sie die Migrationstabelle nicht aus dem Live-GPO, sondern aus der Sicherung dieses GPO erstellen möchten, fügen Sie der Befehlssyntax einfach die Option /BackupLocation hinzu, und geben Sie den Pfad zu dem Ordner an, in dem sich die Sicherungskopie des GPO befindet. Befinden sich bei Verwendung der Option /BackupLocation mehrere gesicherte GPOs in dem angegebenen Ordner, werden alle verfügbaren gesicherten GPOs zum Auffüllen der Migrationstabelle verwendet.

Letzte Vorbereitungen für die Bereitstellung

Als letzten Schritt vor der Bereitstellung in der Produktionsumgebung sollten Sie die Staging-GPOs sichern. Eine Sicherung ist erforderlich, wenn Sie zur Migration von der Staging- zur Produktionsumgebung GPOs importieren. Diese Methode müssen Sie verwenden, wenn sich die Stagingumgebung in einer Gesamtstruktur befindet, die von der Produktionsdomäne isoliert und nicht vertrauenswürdig ist, oder wenn Sie ein vorhandenes GPO, das in der Produktionsumgebung bereits vorhanden ist, aktualisieren müssen. Sie können die GPMC zum Sichern von einem oder mehreren GPOs verwenden oder mithilfe des Beispielskripts BackupGPO.wsf ein einzelnes GPO oder alle GPOs in der Stagingdomäne sichern. Klicken Sie zum Sichern eines GPO mithilfe der GPMC in der Konsolenstruktur mit der rechten Maustaste auf das GPO, das Sie sichern möchten, und klicken Sie dann auf Sichern.

Zum Sichern eines GPO mithilfe von BackupGPO.wsf führen Sie das Skript im Ordner Programme\Microsoft Group Policy\GPMC Sample Scripts aus. Mit der folgenden Befehlszeilensyntax wird das GPO Finance OU Workstation Security Policy in der Domäne staging.contoso.com im Ordner c:\gpobacks gesichert:

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com

In dieser Syntax ist ein Kommentar enthalten, der den Zweck der Sicherung angibt.

Bereitstellen von GPOs aus der Stagingumgebung in der Produktionsumgebung

Nachdem Sie die Stagingumgebung erstellt, diese mit der Produktionsumgebung synchronisiert, neue und geänderte GPOs getestet und Migrationstabellen erstellt haben, können Sie die tatsächliche Bereitstellung in der Produktionsumgebung durchführen.

Vorsichtsmaßnahmen bei der Bereitstellung

Zur Vermeidung von Dienstunterbrechungen für die Benutzer ist es sinnvoll, bei der Migration von GPOs von der Staging- zur Produktionsumgebung gewisse Vorsichtsmaßnahmen zu treffen. Zwar ist die Migration neuer GPOs i. d. R. weder mit hohem Zeitaufwand noch mit negativen Auswirkungen für die Benutzer oder Computer in der Produktionsumgebung verbunden, jedoch ist es sicherer, eine solche Änderung zu einer Zeit vorzunehmen, zu der möglichst wenige Benutzer betroffen sind. Der beste Zeitpunkt ist normalerweise außerhalb der regulären Arbeitszeit, wenn keine Benutzer im Netzwerk aktiv sind.

Denken Sie daran, dass ein GPO zuerst auf dem Domänencontroller aktualisiert wird, der in der GPMC aktuell der Zieldomänencontroller für eine bestimmte Domäne ist. Wenn Sie die Migration mithilfe der GPMC ausführen, können Sie in der Konsolenstruktur auf Domänen klicken, um zu ermitteln, welcher Domänencontroller aktuell für die jeweils verwaltete Domäne verwendet wird. Klicken Sie zum Ändern des Domänencontrollers in der GPMC-Konsolenstruktur mit der rechten Maustaste auf Domänencontroller ändern, und geben Sie den neuen Domänencontroller an, bevor Sie die Änderungen migrieren.

GPO-Replikation

Beachten Sie, dass GPO-Änderungen entsprechend der Active Directory- und der SYSVOL-Replikationstopologie propagiert werden, sodass die Replikation aller Standorte in einer weltweiten Active Directory-Bereitstellung möglicherweise relativ viel Zeit in Anspruch nimmt. Beachten Sie außerdem, dass ein GPO aus zwei Teilen besteht, nämlich aus einem in Active Directory gespeicherten und replizierten und einem in SYSVOL gespeicherten und replizierten Teil. Da es sich dabei um zwei separate Objekte handelt, die über das Netzwerk repliziert werden müssen, müssen die beiden Objekte vor dem Anwenden des neuen GPO synchronisiert werden.

Sie können den Replikationsstatus für einen bestimmten Domänencontroller in der GPMC anzeigen. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das anzuwendende GPO enthält, klicken Sie auf ein zu prüfendes GPO, und klicken Sie dann im Detailbereich auf die Registerkarte Details. Wenn das GPO auf dem betreffenden Domänencontroller synchronisiert ist, werden dieselben Active Directory- und SYSVOL-Versionsnummern für die Benutzer- und Computerkonfiguration angezeigt. Allerdings müssen die Versionsnummern für Benutzer nicht mit denen für Computer übereinstimmen.

Anforderungen für die Ausführung der Bereitstellung

Die wichtigste Anforderung bei der Vorbereitung auf die Migration von GPOs von der Staging- zur Produktionsumgebung ist, dass Sie über ausreichende Berechtigungen für die Ziel-GPOs verfügen müssen. Normalerweise benötigen Sie lediglich Lesezugriff auf die Quelldomäne, um eine Bereitstellung durchzuführen. Je nach der Konfiguration der Stagingumgebung müssen Sie möglicherweise vor der Migration einige besondere Schritte ausführen. Bei einem Kopiervorgang benötigen Sie ausreichende Berechtigungen, um ein neues GPO in der Zieldomäne zu erstellen. Wenn Sie ein gesichertes GPO importieren, müssen Sie die Sicherungsdateien unabhängig von ihrem Speicherort lesen können, und anschließend benötigen Sie ausreichende Berechtigungen zum Ändern eines vorhandenen GPO in der Zieldomäne, die das Ziel des Importvorgangs ist. Schließlich müssen Sie sicherstellen, dass die für die einzelnen GPOs nach Bedarf erstellten Migrationstabellen an einem Ort gespeichert sind, an dem Sie während der Migration darauf zugreifen können. In der folgenden Prüfliste sind die Punkte zusammengefasst, die Sie vor der Migration überprüfen müssen:

  • Für einen Kopiervorgang: Stellen Sie sicher, dass die Quelldomäne der Zieldomäne vertraut und dass Sie in der Zieldomäne über Berechtigungen zum Erstellen von GPOs verfügen. Ob Sie über diese Berechtigungen für eine Domäne verfügen, können Sie in der GPMC überprüfen. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Zieldomäne, und klicken Sie dann auf die Registerkarte Delegierung, um zu überprüfen, welche Benutzer oder Gruppen neue GPOs in der Domäne erstellen können.

  • Für einen Importvorgang: Stellen Sie sicher, dass Sie Zugriff auf die GPO-Sicherungsdateien haben und über die Berechtigung zum Bearbeiten von GPO-Einstellungen für das Ziel-GPO verfügen.

  • Bei Verwendung einer Migrationstabelle (.migtable): Stellen Sie sicher, dass Sie von der GPMC aus auf die Datei zugreifen können.

Beispiele für die Bereitstellung

Die beiden folgenden Beispiele zeigen die Bereitstellung von GPOs aus Staging- in Produktionsumgebungen. Im ersten Beispiel befindet sich die Stagingdomäne in derselben Gesamtstruktur wie die Produktionsdomäne. Im zweiten Beispiel befindet sich die Stagingdomäne in einer separaten Gesamtstruktur, der die Produktionsdomäne nicht vertraut. Wenn Sie eine separate Staginggesamtstruktur verwenden, der die Produktionsdomäne vertraut, sind dieselben Schritte auszuführen wie im ersten Beispiel, in dem die Stagingdomäne Teil der Produktionsgesamtstruktur ist.

Bereitstellung in einer Produktionsdomäne in derselben Gesamtstruktur oder aus einer vertrauenswürdigen Staginggesamtstruktur

Wenn die Stagingdomäne Teil der Produktionsgesamtstruktur ist oder eine separate Staginggesamtstruktur vorhanden ist, der die Produktionsdomäne vertraut, hängt die Bereitstellungsmethode davon ab, ob es sich um ein neues oder ein geändertes GPO handelt. Wenn das GPO neu und in der Produktionsdomäne nicht vorhanden ist, verwenden Sie zum Bereitstellen des neuen GPO die Kopiermethode. Wenn Sie ein Update für ein vorhandenes GPO bereitstellen, müssen Sie die Importmethode verwenden, um die Einstellungen des Produktions-GPO mit den Einstellungen des gesicherten Staging-GPO zu aktualisieren.

In diesem Beispiel stellen Sie mithilfe der GPMC ein neues GPO mit dem Namen Sales OU Workstation Security Policy aus der Stagingdomäne in der Produktionsdomäne bereit. Abbildung 11 zeigt die Konfiguration der Staging- und der Produktionsdomäne sowie die zugehörige Migrationstabelle.

1b96d2a0-3a40-43f2-a46a-5da3c361412a

Laden Sie vor dem Beginn der Bereitstellung sowohl die Quell- als auch die Zieldomäne in die GPMC. Wenn Sie aus einer separaten vertrauenswürdigen Gesamtstruktur kopieren, öffnen Sie beide Gesamtstrukturen in der GPMC.

So stellen Sie ein neues GPO mit der Kopiermethode bereit

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Stagingdomäne.

  2. Klicken Sie mit der rechten Maustaste auf das zu kopierende GPO, und klicken Sie dann auf Kopieren.

  3. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte in der Produktionsdomäne, und klicken Sie dann auf Einfügen. Der Assistent zum Kopieren wird angezeigt.

  4. Klicken Sie auf der Willkommensseite des Assistenten auf Weiter.

  5. Wählen Sie Berechtigungen der ursprünglichen Gruppenrichtlinienobjekte beibehalten oder migrieren aus, und klicken Sie dann auf Weiter.

    Bei Auswahl dieser Option können Sie eine Migrationstabelle verwenden, um die DACL des Staging-GPO den Entsprechungen in der Produktionsumgebung zuzuordnen. Wenn Sie die erste Option, Standardberechtigungen für neue Gruppenrichtlinienobjekte verwenden, ausgewählt haben, werden dem GPO die Standardberechtigungen zugeordnet, die für jedes neue GPO in der Produktionsdomäne gelten.

  6. Der Assistent führt eine Überprüfung des Quell-GPO durch, um festzustellen, ob Sicherheitsprinzipale oder UNC-Pfade zugeordnet werden müssen. Klicken Sie nach Abschluss der Überprüfung auf Weiter.

  7. Wählen Sie auf der Seite Verweise werden migriert die Option Zuordnung neuer Werte in neuen Gruppenrichtlinienobjekten mithilfe der folgenden Migrationstabelle aus.

    Bei Auswahl dieser Option können Sie im Rahmen der Bereitstellung eine Migrationstabelle auswählen. Da Sie ein neues GPO von der Staging- zur Produktionsumgebung migrieren, müssen Sie diese Option auswählen. Mit der anderen Option, Identisch von der Quelle kopieren, bleiben alle Sicherheitsprinzipale und UNC-Pfade im neuen GPO exakt so erhalten, wie sie in der Quelle vorliegen.

  8. Auf derselben Seite können Sie festlegen, dass die gesamte Migration fehlschlagen soll, wenn ein im Quell-GPO enthaltener Sicherheitsprinzipal oder UNC-Pfad in der Migrationstabelle nicht vorhanden ist. Wählen Sie dazu die Option Migrationstabelle exklusiv verwenden aus.

    Wenn Sie diese Option auswählen, versucht der Assistent, alle Sicherheitsprinzipale und UNC-Pfade mithilfe der angegebenen Migrationstabelle zuzuordnen. Auf diese Weise können Sie sicherstellen, dass Sie in der Migrationstabelle alle Sicherheitsprinzipale und UNC-Pfade berücksichtigt haben.

  9. Klicken Sie auf Weiter.

  10. Überprüfen Sie auf der Abschlussseite des Assistenten, ob Sie die richtigen Migrationsoptionen angegeben haben, und klicken Sie dann auf Fertig stellen.

    Nachdem Sie auf Fertig stellen geklickt haben, beginnt die Migration des Staging-GPO. Beachten Sie, dass das neue GPO in der Produktionsdomäne erstellt wird, jedoch noch mit keinen Containerobjekten verknüpft ist.

  11. Wenn der Kopiervorgang abgeschlossen ist, klicken Sie mit der rechten Maustaste auf den Active Directory-Standort oder die Active Directory-Domäne oder -Organisationseinheit, mit dem bzw. der das kopierte GPO verknüpft werden soll, und wählen Sie dann Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.

  12. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen das soeben kopierte Gruppenrichtlinienobjekt aus.

Wenn Sie das neue GPO verknüpft haben und die Replikation abgeschlossen ist, ist das GPO in der Produktionsdomäne live verfügbar.

Verwenden eines Skripts für die Bereitstellung durch Kopieren

Sie können für die Bereitstellung durch Kopieren auch das Skript CopyGPO.wsf verwenden. Bei Ausführung dieses Skripts wird ein GPO mit nur einem Befehl aus der Stagingdomäne in die Produktionsdomäne kopiert. Führen Sie folgenden Befehl aus, um denselben Kopiervorgang auszuführen, der im vorhergehenden Verfahren beschrieben wurde:

Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

In den ersten beiden Argumenten in diesem Befehl wird derselbe Name für das Quell- und das Ziel-GPO angegeben. In den nächsten vier Argumenten werden die Namen der Quell- und der Zieldomäne sowie ein Domänencontroller in jeder Domäne angegeben. Im Argument /migrationtable wird die zu verwendende Migrationstabelle angegeben, und das Argument /CopyACL wird verwendet, damit die DACL des Quell-GPO beibehalten und die angegebene Migrationstabelle verwendet wird, um die Quell-DACLs ihren Entsprechungen in der Produktionsdomäne zuzuordnen.

Bereitstellen in einer Produktionsdomäne aus einer nicht vertrauenswürdigen Staginggesamtstruktur

Wenn Sie ein GPO aus einer Staginggesamtstruktur bereitstellen, der die Produktionsgesamtstruktur nicht vertraut, können Sie nur einen Importvorgang verwenden. Sie können einen Import auch verwenden, um ein Update für ein vorhandenes GPO in der Produktionsdomäne bereitzustellen, selbst wenn zwischen der Staging- und der Produktionsdomäne eine Vertrauensstellung vorhanden ist.

Voraussetzungen für den Import

Führen Sie vor der Bereitstellung in diesem Beispiel unbedingt folgende Aktionen aus:

  • Wenn Sie ein neues GPO mithilfe der GPMC bereitstellen, müssen Sie in der Produktionsdomäne ein neues, leeres GPO als Ziel für den Importvorgang erstellen. Beim Importvorgang in der GPMC werden die Richtlinieneinstellungen aus einem gesicherten GPO in ein vorhandenes Ziel-GPO importiert. Sie können jedoch auch das Skript ImportGPO.wsf verwenden, damit im Rahmen des Importvorgangs automatisch ein neues GPO erstellt wird.

  • Sichern Sie vor dem Beginn des Importvorgangs die GPOs in der Stagingdomäne, die Sie in der Produktionsumgebung bereitstellen möchten. Dieser Schritt ist erforderlich, weil beim Importvorgang keine Live-GPOs, sondern gesicherte GPOs verwendet werden.

  • Wenn Sie zum Importieren nicht das Skript, sondern die GPMC verwenden, können Sie das aktuelle Produktions-GPO sichern, bevor Sie den Import abschließen. Sie sollten ein vorhandenes Produktions-GPO immer sichern, bevor Sie eine neue Version bereitstellen, um im Fall von Problemen bei der Bereitstellung darauf zurückgreifen zu können. Sie können dann bei Bedarf in der GPMC die frühere Version des GPO wiederherstellen.

Nachdem Sie diese Aufgaben ausgeführt haben, verwenden Sie das folgende Verfahren, um ein neues GPO mithilfe des Importvorgangs in der Produktionsumgebung bereitzustellen.

So stellen Sie ein neues GPO mithilfe des Importvorgangs in der Produktionsdomäne bereit

  1. Erweitern Sie in der GPMC-Konsolenstruktur das Element Gruppenrichtlinienobjekte in der Produktionsdomäne.

  2. Klicken Sie mit der rechten Maustaste auf das zu aktualisierende GPO, und klicken Sie dann auf Einstellungen importieren. Daraufhin wird der Importeinstellungen-Assistent geöffnet.

  3. Klicken Sie auf der Willkommensseite auf Weiter.

  4. Klicken Sie auf der Seite Gruppenrichtlinie sichern auf Sichern, um das vorhandene Produktions-GPO vor dem Importieren zu sichern.

  5. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern den Ort an, an dem die Sicherung des GPO gespeichert werden soll, geben Sie eine Beschreibung für die Sicherung ein, und klicken Sie auf Sichern.

  6. Nach Abschluss des Sicherungsvorgangs wird eine Meldung angezeigt, die besagt, dass die Sicherung erfolgreich erstellt wurde. Klicken Sie auf OK.

  7. Klicken Sie auf der Seite Gruppenrichtlinie sichern auf Weiter.

  8. Geben Sie auf der Seite Sicherungsverzeichnis den Ordner an, der die Sicherung des zu importierenden Staging-GPO enthält.

    Sie müssen auf den Ordner zugreifen können, in dem Sie die Staging-GPOs gesichert haben. Wenn die Sicherungen auf einem Server in der Staginggesamtstruktur erstellt wurden, müssen Sie möglicherweise auf dem Computer, auf dem Sie den Importvorgang ausführen, dem betreffenden Ordner ein Laufwerk zuordnen. Verwenden Sie dazu die Anmeldeinformationen aus der Staginggesamtstruktur.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf der Seite Quell-GPO auf das Staging-GPO, das Sie importieren möchten, und klicken Sie dann auf Weiter.

  11. Auf der Seite Sicherung wird überprüft werden die Richtlinieneinstellungen in der Sicherung überprüft, um Verweise auf Sicherheitsprinzipale oder UNC-Pfade zu ermitteln, die übertragen werden müssen. Anschließend wird das Ergebnis der Überprüfung angezeigt.

  12. Klicken Sie auf Weiter.

  13. Wählen Sie auf der Seite Verweise werden migriert die Option Zuordnung neuer Werte in neuen Gruppenrichtlinienobjekten mithilfe der folgenden Migrationstabelle aus, und geben Sie dann den Pfad zu der für diese Migration erstellten Migrationstabelle an.

    Bei Auswahl dieser Option können Sie im Rahmen der Bereitstellung eine Migrationstabelle auswählen. Da Sie ein GPO aus einer Stagingdomäne bereitstellen, die nicht über eine Vertrauensstellung zu der Produktionsdomäne verfügt, müssen Sie eine Migrationstabelle verwenden, um Informationen zu Sicherheitsprinzipalen und UNC-Pfaden zu migrieren. Andernfalls können die Sicherheitsprinzipale und UNC-Pfade, auf die in der nicht vertrauenswürdigen Gesamtstruktur verwiesen wird, in der Produktionsdomäne nicht aufgelöst werden.

  14. Auf derselben Seite können Sie festlegen, dass die gesamte Migration fehlschlagen soll, wenn ein im Quell-GPO enthaltener Sicherheitsprinzipal oder UNC-Pfad in der Migrationstabelle nicht vorhanden ist. Wählen Sie dazu die Option Migrationstabelle exklusiv verwenden aus.

    Verwenden Sie diese Option nur für den Import des GPO, wenn alle in der gesicherten Version gefundenen Sicherheitsprinzipale auch in der Migrationstabelle berücksichtigt wurden.

  15. Klicken Sie auf Weiter.

  16. Überprüfen Sie auf der Abschlussseite des Assistenten, ob Sie die richtigen Migrationsoptionen angegeben haben, und klicken Sie dann auf Fertig stellen. Nachdem Sie auf Fertig stellen geklickt haben, beginnt die Migration des Staging-GPO. Nach Abschluss des Importvorgangs wird in einer Meldung bestätigt, dass der Import erfolgreich war.

  17. Klicken Sie auf OK.

Wenn Sie für den Import ein neues Produktions-GPO erstellt haben, müssen Sie das neue GPO mit dem entsprechenden Containerobjekt verknüpfen. Klicken Sie zu diesem Zweck in der GPMC-Konsolenstruktur in der Produktionsdomäne mit der rechten Maustaste auf den Active Directory-Standort oder die Active Directory-Domäne oder -Organisationseinheit, mit dem bzw. der das importierte GPO verknüpft werden soll, klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen, geben Sie das zu verknüpfende GPO an, und klicken Sie dann auf OK. Wenn Sie das neue GPO verknüpft haben und die Replikation abgeschlossen ist, ist das GPO in der Produktionsdomäne live verfügbar.

Verwenden eines Skripts für die Bereitstellung durch Import

Sie können für die Bereitstellung durch Import auch das Skript ImportGPO.wsf verwenden. Mithilfe dieses Skripts können Sie ein gesichertes GPO in die Produktionsdomäne importieren. Wenn das Ziel-GPO nicht nicht vorhanden ist, können Sie mit dem Skript im Rahmen des Vorgangs auch ein neues GPO als Ziel für den Import erstellen. Geben Sie folgenden Befehl ein, um denselben Importvorgang auszuführen, der im vorhergehenden Verfahren beschrieben wurde:

Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

Im ersten Argument in diesem Befehl wird der Ort angegeben, an dem die GPO-Sicherungsdateien gespeichert sind. Im zweiten Argument wird der Name des gesicherten GPO angegeben, aus dem importiert werden soll. (Sie können stattdessen auch die Sicherungs-ID angeben, einen 128-Bit-GUID-Wert, der vom Sicherungsdienstprogramm zur eindeutigen Kennzeichnung der Sicherung generiert wird.) Im dritten Argument wird der Name des Ziel-GPO angegeben, in das importiert werden soll. Durch das Argument /CreateIfNeeded wird angegeben, dass das Ziel-GPO vor dem Import erstellt werden soll, falls es noch nicht vorhanden ist. Durch das Argument /MigrationTable werden der Pfad und der Name der Migrationstabellendatei angegeben. Im Argument /Domain wird der DNS-Name der Zieldomäne angegeben.

Rollback

Falls nach der Bereitstellung eines GPO aus der Stagingumgebung in der Produktionsumgebung ein Problem auftritt, verwenden Sie zum Durchführen eines Rollbacks für die Bereitstellung am besten die zuvor erstellte Sicherung des GPO, um das ursprüngliche GPO wiederherzustellen. Sie können für die Wiederherstellung auch das Skript RestoreGPO.wsf verwenden. Es empfiehlt sich, im Rahmen der Bereitstellung eine Reihe von Skripts zu erstellen, die Sie für ein automatisches Rollback aller vorgenommenen Änderungen mithilfe von RestoreGPO.wsf verwenden können. Wenn ein Rollback erforderlich wird, ist das Skript verfügbar und kann mit minimalen Unterbrechungen für die Benutzer ausgeführt werden.

Weitere Ressourcen für Gruppenrichtlinien

  • TechCenter-Website zu Gruppenrichtlinien (http://go.microsoft.com/fwlink/?LinkId=109523, möglicherweise in englischer Sprache)

  • "Gruppenrichtlinien" im Hilfe- und Supportcenter für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=109524, möglicherweise in englischer Sprache)

  • Detaillierte Informationen zur Verwendung der GPMC für die Bereitstellung von Gruppenrichtlinien in der Hilfe zur GPMC

  • Hilfe zu bestimmten Gruppenrichtlinieneinstellungen in der standardmäßigen erweiterten Ansicht bei der Bearbeitung in der GPMC (bei Auswahl einer Gruppenrichtlinieneinstellung werden detaillierte Informationen zu dieser angezeigt)

  • Alphabetische Liste der Befehle im Onlinebefehlsverzeichnis für Windows Server 2008: weitere Informationen zu Befehlszeilentools wie Dcgpofix.exe, Gpupdate.exe und Gpresult.exe (http://go.microsoft.com/fwlink/?LinkId=109525, möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft