(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Bereitstellen von Gruppenrichtlinien mithilfe von Windows Vista

Betrifft: Windows Server 2008,Windows Vista

Mit der Einführung von Windows® Vista™ kann nun Gruppenrichtlinien für die zentrale Verwaltung einer größeren Anzahl von Features und einer breiteren Palette von Komponentenverhalten verwendet werden, als dies in Microsoft® Windows Server™ 2003 möglich war. Die Anzahl der Gruppenrichtlinieneinstellungen hat sich von ungefähr 1.800 in Windows Server 2003 Service Pack 1 auf ungefähr 2.500 in Windows Vista und Windows Server® 2008 erhöht. Ihnen stehen mehr als 700 neue Richtlinien zum Verwalten von Desktops, Sicherheit und allen anderen Aspekten der Netzwerkausführung zur Verfügung. Dieses Dokument soll Sie dabei unterstützen, sich einen Überblick über die neuen und aktualisierten Features zu verschaffen, die in Windows Vista verfügbar sind. Außerdem stellt es mehrere bewährte Methoden für die Bereitstellung von Gruppenrichtlinien vor.

Einführung in Gruppenrichtlinien

Gruppenrichtlinien ermöglichen ein effizienteres Arbeiten, weil sie die zentralisierte Desktopverwaltung ermöglichen. Das zentrale Verwalten von Desktops kann die Gesamtbetriebskosten verringern. Produktivitätsverluste der Endbenutzer zählen zu den Hauptkosten, wenn die Gesamtbetriebskosten in einer verteilten Computerumgebung gemessen werden. Die folgenden Aspekte könne zu Produktivitätsverlusten der Endbenutzer beitragen:

  • Benutzerfehler: Beispielsweise das Ändern von Systemdateien mit anschließender Funktionsunfähigkeit der Computer.

  • Komplexität: Unwichtige Anwendungen und Features auf dem Desktop, die einige Benutzer verwirren oder zusätzliche Schulung erfordern.

  • Nicht genehmigte Anwendungen: Anwendungen. die per E-Mail übermittelt, heruntergeladen oder von Wechselmedien übertragen werden und das Unternehmensnetzwerk gefährden können.

Gruppenrichtlinien beugen Produktivitätsverlusten der Endbenutzer vor, weil Sie Richtlinieneinstellungen und zulässige Aktionen für Benutzer und Computer definieren können. Wenn Sie diese Richtlinieneinstellungen kombinieren, können Sie Desktops erstellen, die genau auf die Verantwortlichkeiten und Kenntnisse eines Benutzers zugeschnitten sind.

Gruppenrichtlinien gelten nicht nur für Benutzer und Clientcomputer, sondern auch für Mitgliedsserver, Domänencontroller und andere Computer mit Microsoft Windows im Verwaltungsbereich. Gruppenrichtlinien, die auf eine Domäne angewendet werden (d. h., auf Domänenebene, unmittelbar über dem Stamm vom Active Directory-Benutzer und -Computer), wirken sich auf alle Computer und Benutzer in der Domäne aus.

Active Directory-Benutzer und -Computer stellt außerdem eine integrierte Organisationseinheit Domänencontroller zur Verfügung. Wenn Sie die Domänencontrollerkonten dort belassen, können Sie das Gruppenrichtlinienobjekt Standard-Domänencontrollerrichtlinie verwenden, um Domänencontroller separat von anderen Computern zu verwalten. Auf der Grundlage, die mit Windows Server 2003 und Windows XP geschaffen wurde, wurden die Gruppenrichtlinien erweitert und durch bessere Berücksichtigung von Richtlinieneinstellungen und -erweiterungen, optimierte Netzwerkinformationen und Zuverlässigkeit sowie einfachere Verwaltung verbessert.

Definition der Gruppenrichtlinien

Sie verwenden Gruppenrichtlinien zum Definieren bestimmter Konfigurationen für Gruppen von Benutzern und Computern, indem Sie Gruppenrichtlinieneinstellungen erstellen. Diese Einstellungen werden mithilfe des Gruppenrichtlinienobjekt-Editors (früher auch als GPedit bezeichnet) angegeben und in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) gespeichert, das seinerseits mit Active Directory-Containern wie etwa Standorten, Domänen oder Organisationseinheiten verknüpft ist. Auf diese Weise werden Gruppenrichtlinieneinstellungen auf die Benutzer und Computer in diesen Active Directory-Containern angewendet. Sie können die Arbeitsumgebung des Benutzers einmal konfigurieren und sich anschließend darauf verlassen, dass das System die Richtlinien wie definiert durchsetzt.

Dieser Ansatz hat zum Ergebnis, dass Gruppenrichtlinien Richtlinieneinstellungen auf Benutzer und Computer in den betreffenden Active Directory-Containern anwenden. Sie können die Arbeitsumgebung des Benutzers einmal konfigurieren und sich anschließend darauf verlassen, dass Windows Vista die von Ihnen definierten Richtlinieneinstellungen durchsetzt.

Gruppenrichtlinienfunktionen

Sie erstellen bestimmte Richtlinieneinstellungen, die festlegen, wie sich Windows verhält, und die die Sicherheit von Benutzern und Computern gewährleisten. In den folgenden Abschnitten werden die Schlüsselfunktionen von Gruppenrichtlinien beschrieben.

Auf der Registrierung basierende Richtlinieneinstellungen

Die Implementierung von auf der Registrierung basierenden Richtlinieneinstellungen ist die am häufigsten verwendete Form von Richtlinieneinstellungen in Windows. Sie können auf der Registrierung basierende Richtlinieneinstellungen für Anwendungen und Windows mithilfe des Gruppenrichtlinienobjekt-Editors definieren. Sie können z. B. eine Richtlinieneinstellung aktivieren, die dem Startmenü in Windows Vista den Befehl Ausführen für alle betroffenen Benutzer hinzufügt.

Sicherheitseinstellungen

Gruppenrichtlinien stellen Ihnen Optionen zum Festlegen von Sicherheitsoptionen für Computer und Benutzer innerhalb des Gültigkeitsbereichs eines Gruppenrichtlinienobjekts zur Verfügung. Sie können Sicherheitseinstellungen für den lokalen Computer, die Domäne und das Netzwerk angeben. Um zusätzliche Sicherheit zur Verfügung zu stellen, können Sie Richtlinien für Softwareeinschränkung anwenden, die basierend auf dem Pfad, der URL-Zone, dem Hash oder Herausgeberkriterien verhindern, dass Benutzer Dateien ausführen können. Sie können Ausnahmen für diese Standardsicherheitsstufe definieren, indem Sie Regeln für bestimmte Software erstellen.

Richtlinieneinstellungen für Softwareeinschränkungen

Zum Schutz vor Viren, unerwünschten Anwendungen und Angriffen auf Computer mit Windows XP und Windows Server 2003 enthalten die Gruppenrichtlinien neue Richtlinieneinstellungen für Softwareeinschränkungen. Sie können nun Richtlinieneinstellungen zum Identifizieren von Software verwenden, die in einer Domäne ausgeführt wird, und ihre Ausführungsmöglichkeiten steuern.

Softwareverteilung

Sie können die Anwendungsinstallation, Anwendungsupdates und die Anwendungsdeinstallation zentral mit Gruppenrichtlinien steuern. Weil Organisationen angepasste Desktopkonfigurationen bereitstellen und verwalten können, entstehen weniger Kosten für die Unterstützung von Benutzern auf individueller Basis. Software kann Benutzern oder Computern zugeordnet (obligatorische Softwareverteilung) oder für Benutzer veröffentlicht werden (Benutzer können Software optional über Software in der Systemsteuerung installieren). Benutzer erhalten die Flexibilität, die sie für ihre Arbeit benötigen, ohne ihr System selbst konfigurieren zu müssen.

Sie können Gruppenrichtlinien zum Bereitstellen genehmigter Pakete verwenden. In einer hochgradig verwalteten Desktopumgebung, in der Benutzer nicht berechtigt sind, Anwendungen zu installieren, führt z. B. der Windows Installer-Dienst eine Installation für den Benutzer aus. Windows Installer ist außerdem für hochgradig verwaltete Arbeitsstationen in die Richtlinieneinstellungen für Softwareeinschränkungen integriert, die durch Gruppenrichtlinien implementiert werden, um neue Installationen auf eine Liste akzeptabler Software zu beschränken.

Computer- und Benutzerskripts

Sie können Skripts zum Automatisieren von Tasks beim Starten und Herunterfahren des Computers sowie bei der Benutzeran- und -abmeldung verwenden. Diese Skripts können eine beliebige Sprache verwenden, die vom Windows Script Host unterstützt wird, z. B. VBScript, JavaScript, PERL sowie Stapelverarbeitungsdateien im MS-DOS®-Stil (BAT- und CMD-Dateien).

Ordnerumleitung

Mithilfe von Ordnerumleitung können Sie wichtige Benutzerordner an einen serverbasierten Speicherort umleiten, beispielsweise den Ordner Eigene Dateien oder Benutzer. Ordnerumleitung stellt zentralisierte Verwaltung dieser Ordner zur Verfügung und ermöglicht einfache Sicherungs- und Wiederherstellungsvorgänge dieser Ordner für Benutzer.

Internet Explorer-Wartung

Sie können die Konfiguration von Microsoft Internet Explorer auf Computern anpassen, die Gruppenrichtlinien unterstützen. Der Gruppenrichtlinienobjekt-Editor enthält den Internet Explorer-Knoten Wartung, den Sie zum Bearbeiten der Internet Explorer-Sicherheitszonen, der Datenschutzeinstellungen und anderer Parameter auf einem Computer mit Windows 2000 oder höher verwenden.

Neuigkeiten in den Windows Vista-Gruppenrichtlinien

In Windows Vista verbessern Optimierungen der Gruppenrichtlinien die Funktionen für die Planung, Implementierung, Bereitstellung, Verwaltung, Problembehandlung und Berichterstattung zu Gruppenrichtlinienimplementierungen erheblich. In diesem Abschnitt werden einige der neuen Schlüsselfunktionen in den Gruppenrichtlinien beschrieben.

Integration der Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) besteht aus einem skriptfähigen MMC-Snap-In (Microsoft Management Console) und stellt so ein einzelnes Verwaltungstool zum Verwalten von Gruppenrichtlinien bereit. Ursprünglich wurde die GPMC als separate Downloadkomponente für Microsoft Windows® XP und Windows Server 2003 zur Verfügung gestellt. Jetzt ist sie direkt in das Betriebssystem integriert und zusammen mit dem Gruppenrichtlinienobjekt-Editor das Standardtool für die Verwaltung von Gruppenrichtlinien.

Bereitstellen der Energieverwaltungseinstellungen

Alle Energieverwaltungseinstellungen wurden für Gruppenrichtlinien aktiviert. Auf diese Weise werden ggf. erhebliche Kosteneinsparungen ermöglicht. Durch das Steuern der Energieeinstellungen über Gruppenrichtlinien können Organisationen erhebliche Geldbeträge einsparen. Sie können bestimmte Energieeinstellungen über einzelne Einstellungen einer Gruppenrichtlinie ändern oder einen benutzerdefinierten Energieplan erstellen, der mithilfe von Gruppenrichtlinien bereitgestellt werden kann.

Beschränken des Gerätezugriffs

Sie können die Installation von Geräten auf Computern in Ihrer Organisation zentral beschränken. Nun können Sie Richtlinieneinstellungen erstellen, um den Zugriff auf Geräte wie etwa USB-Laufwerke, CD-RW-Laufwerke, DVD-RW-Laufwerke und andere Wechselmedien zu steuern.

Verbesserungen der Sicherheitseinstellungen

Die Windows-Firewall- und IPsec-Gruppenrichtlinieneinstellungen wurden in der Windows-Firewall mit erweiterter Sicherheit kombiniert, damit Sie die Vorteile beider Technologien nutzen können. Es ist nicht mehr erforderlich, doppelte Funktionen zu erstellen und zu verwalten. Einige Szenarien, die durch diese kombinierten Windows-Firewall- und IPsec-Richtlinieneinstellungen unterstützt werden, sind sichere Server-zu-Server-Kommunikation über das Internet, das Beschränken des Zugriffs auf Domänenressourcen basierend auf Vertrauensstellungen oder dem Status eines Computers sowie das Schützen der Datenkommunikation mit einem bestimmten Server, um gesetzlichen Anforderungen hinsichtlich Datenschutz und -sicherheit zu genügen.

Erweiterte Verwaltung der Internet Explorer-Einstellungen

Sie können Internet Explorer-Gruppenrichtlinieneinstellungen öffnen und bearbeiten, ohne das Risiko einzugehen, den Status der Richtlinieneinstellung basierend auf der Konfiguration der Verwaltungsarbeitsstation unbeabsichtigterweise zu ändern. Diese Änderung ersetzt früheres Verhalten, bei dem einige Internet Explorer-Richtlinieneinstellungen basierend auf den Richtlinieneinstellungen der Verwaltungsarbeitsstation geändert wurden, die zum Anzeigen der Einstellungen verwendet wird.

Zuordnen von Druckern basierend auf dem Standort

Die Möglichkeit, Drucker basierend auf dem Standort in der Organisation oder basierend auf einem geografischen Standort zuzuordnen, ist ein neues Feature in Windows Vista. Wenn mobile Benutzer einen anderen Standort aufsuchen, kann eine Gruppenrichtlinie ihre Drucker für den neuen Standort aktualisieren. Mobilen Benutzern, die an ihren primären Standort zurückkehren, werden ihre üblichen Standarddrucker angezeigt.

Delegieren der Druckertreiberinstallation an Benutzer

Sie können nun mithilfe einer Gruppenrichtlinie die Installation von Druckertreibern an Benutzer delegieren. Dieses Feature unterstützt die Wahrung der Sicherheit, indem die Verteilung administrativer Anmeldeinformationen eingeschränkt wird.

Zusammenfassung der neuen oder erweiterten Gruppenrichtlinieneinstellungen

Eine Tabelle, die die neuen oder erweiterten Kategorien der Gruppenrichtlinieneinstellungen zusammenfasst, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=54020.

Leistungsumfang der Gruppenrichtlinientools

Gruppenrichtlinienobjekt-Editor

Der Gruppenrichtlinienobjekt-Editor ist ein MMC-Snap-In (Microsoft Management Console), das zum Konfigurieren und Ändern von Richtlinieneinstellungen in einem einzelnen Gruppenrichtlinienobjekt (Group Policy Object, GPO) verwendet wird.

Jedes Windows Vista-Betriebssystem verfügt über mindestens ein lokales Gruppenrichtlinienobjekt (LGPO). Die Richtlinieneinstellungen werde mithilfe des Gruppenrichtlinienobjekt-Editors oder über Skripts manuell auf das LGPO angewendet. LGPOs enthalten weniger Richtlinieneinstellungen als domänenbasierte Gruppenrichtlinienobjekte, insbesondere im Hinblick auf Sicherheitseinstellungen. LGPOs unterstützen keine Ordnerumleitung, Remoteinstallationsdienste oder Gruppenrichtlinien-Softwareinstallation, wenn sie als eigenständige Clientcomputer konfiguriert sind. Sie können sie jedoch verwenden, um eine sichere Betriebsumgebung auf solchen Computern zur Verfügung zu stellen.

Administratoren müssen außerdem in der Lage sein, Gruppenrichtlinieneinstellungen für mehrere Benutzer und Computer in der gesamten Netzwerkumgebung schnell zu ändern. Der Gruppenrichtlinienobjekt-Editor stellt Ihnen eine hierarchische Baumstruktur zum Konfigurieren der Gruppenrichtlinieneinstellungen in einem Gruppenrichtlinienobjekt zur Verfügung. Das Gruppenrichtlinienobjekt kann dann mit Standorten, Domänen und Organisationseinheiten (Organizational Units, OUs) verbunden werden, die Computer- oder Benutzerobjekte enthalten. Siehe Abbildung 1.

Der Gruppenrichtlinienobjekt-Editor besteht aus zwei Hauptabschnitten: aus dem Abschnitt Benutzerkonfiguration, der Einstellungen enthält, die für Benutzer gelten (bei der Anmeldung und regelmäßigen Aktualisierungen im Hintergrund), und aus dem Abschnitt Computerkonfiguration, der Einstellungen enthält, die für Computer gelten (beim Start und regelmäßigen Aktualisierungen im Hintergrund). Diese Abschnitte sind weiter in verschiedene Typen von Richtlinien unterteilt, die festgelegt werden können, z. B. Administrative Vorlagen, Sicherheit oder Ordnerumleitung.

Für effizientes Arbeiten ist es erforderlich, sofortigen Zugriff auf Informationen zur Funktion und zum Zweck einzelner Richtlinieneinstellungen zu besitzen. Für die Richtlinieneinstellungen der administrativen Vorlagen stellt der Gruppenrichtlinienobjekt-Editor Informationen zu jeder Richtlinieneinstellung direkt in der Webansicht der Konsole zur Verfügung. Diese Informationen werden als "Erklärungstext" bezeichnet. Erklärungstext zeigt Betriebssystemanforderungen an, definiert die Richtlinieneinstellung und enthält ggf. die jeweiligen Einzelheiten zu den Auswirkungen des Aktivierens, Deaktivierens oder Nichtkonfigurierens der Richtlinieneinstellung.

Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC)

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist ein umfassendes Verwaltungstool für die Gruppenrichtlinienverwaltung. Die GPMC Ist im Betriebssystem Windows Vista enthalten.

Group Policy Management Console

Die GPMC ist in die vorhandenen Gruppenrichtlinienfunktionen der Eigenschaftenseiten für die Active Directory-Verwaltungstools als eine vereinheitlichte Konsole integriert, die für Aufgaben der Gruppenrichtlinienverwaltung reserviert ist. Die GPMC erweitert die Verwaltungsfunktionen außerdem um neue Features. Sie verwenden auch weiterhin die Active Directory-Verwaltungstools für die Verwaltung von Active Directory, die GPMC ersetzt jedoch die Gruppenrichtlinien-Verwaltungsfunktionen dieser Tools durch eigene Funktionen. Siehe Abbildung 2.

noteHinweis
Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ist in zwei Versionen verfügbar.

  1. GPMC (Version 1.0) steht für den Download seit dem Jahr 2003 zur Verfügung und wurde für die Konfiguration von Gruppenrichtlinien in einer Windows Server 2003-Umgebung zusammen mit Windows XP konzipiert.

  2. GPMC (Version 2.0) ist in Windows Vista integriert und für die Konfiguration von Gruppenrichtlinien in allen Windows-Umgebungen konzipiert.

ImportantWichtig
Laden Sie nicht die ältere Version der GPMC (Version  1.0) in Windows Vista herunter bzw. verwenden Sie diese nicht, weil sie nicht mit Windows Vista kompatibel ist.

Verwalten von Desktops in einer gemischten Umgebung

Gruppenrichtlinienverwaltung für Vista

Microsoft Windows Vista führt ein neues Format für die Definition registrierungsbasierter Richtlinieneinstellungen ein. Registrierungsbasierte Richtlinieneinstellungen (diese befinden sic unter der Kategorie Administrative Vorlagen im Gruppenrichtlinienobjekt-Editor) werden mithilfe eines auf Standards basierenden XML-Dateiformats definiert, das als ADMX-Dateien bezeichnet wird. Diese neuen Dateien ersetzen ADM-Dateien, die eine eigene Beschreibungssprache verwendeten. Ein Hauptvorteil von ADMX-Dateien ist die Unterstützung mehrsprachiger Umgebungen, deren Implementierung mit ADM-Dateien nicht einfach ist. Die Gruppenrichtlinientools – der Gruppenrichtlinienobjekt-Editor und die Gruppenrichtlinien-Verwaltungskonsole – sind großenteils unverändert. Sie können jedoch die neuen ADMX-Dateien lesen. Unter normalen Umständen bemerken Sie das Vorhandensein von ADMX-Dateien bei der Erledigung der täglichen Gruppenrichtlinien-Verwaltungsaufgaben nicht.

In bestimmten Fällen sind jedoch Kenntnisse hinsichtlich der Struktur und des Speicherorts von ADMX-Dateien erforderlich. Die in Windows Vista oder Windows Server 2008 enthaltenen Gruppenrichtlinientools erkennen sowohl ADMX- als auch ADM-Dateien. Die in Windows Server 2003 und früheren Versionen von Windows enthaltenen Gruppenrichtlinientools erkennen nur ADM-Dateien.

Im Gegensatz zu ADM-Dateien werden ADMX-Dateien nicht in einzelnen Gruppenrichtlinienobjekten gespeichert. Für domänenbasierte Unternehmen können Sie optional einen zentralen Speicherort für ADMX-Dateien erstellen, auf den jeder Benutzer zugreifen kann, der berechtigt ist, Gruppenrichtlinienobjekte zu erstellen oder zu bearbeiten. Die Gruppenrichtlinientools erkennen auch weiterhin benutzerdefinierte ADM-Dateien, die vorhandenen Gruppenrichtlinienobjekten zugeordnet sind, die ignorieren jedoch alle ADM-Dateien, die durch ADMX-Dateien ersetzt wurden: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm und Wuau.adm.

Der Gruppenrichtlinienobjekt-Editor liest und zeigt Richtlinieneinstellungen für administrative Vorlagen basierend auf ADMX-Dateien, die lokal oder im optionalen zentralen ADMX-Informationsspeicher gespeichert sind, automatisch an. Der Gruppenrichtlinienobjekt-Editor zeigt automatisch Richtlinieneinstellungen für administrative Vorlagen an, die in benutzerdefinierten ADM-Dateien definiert sind, die im Gruppenrichtlinienobjekt gespeichert werden. Sie können einem Gruppenrichtlinienobjekt auch weiterhin benutzerdefinierte ADM-Dateien hinzufügen, indem Sie die Option Hinzufügen/Entfernen des Vorlagenmenüs verwenden. Alle Gruppenrichtlinieneinstellungen, die zurzeit in von Windows Server 2003, Windows XP und Windows 2000 bereitgestellten ADM-Dateien enthalten sind, sind auch in ADMX-Dateien von Windows Vista und Windows Server 2008 verfügbar.

Auswirkungen von ADMX-Dateien in einer gemischten Desktopumgebung

Wenn Sie Administrator in einer Organisation mit einer gemischten Desktopumgebung sind, in der Windows Vista, Windows XP und Windows 2000 ausgeführt werden, müssen Sie mit den neuen Gruppenrichtlinieneinstellungen vertraut sein. Die Gruppenrichtlinieneinstellungen von Windows Vista funktionieren nur mit Windows Vista und werden in früheren Versionen von Windows ignoriert.

  • Neue auf Windows Vista oder Windows Server 2008 basierende Richtlinieneinstellungen können nur über auf Windows Vista oder Windows Server 2008 basierende Verwaltungscomputer verwaltet werden, auf denen der Gruppenrichtlinienobjekt-Editor oder die Gruppenrichtlinien-Verwaltungskonsole ausgeführt wird. Solche Richtlinieneinstellungen werden ausschließlich in ADMX-Dateien definiert und stehen in der Windows Server 2003-, Windows XP- oder Windows 2000-Version dieser Tools nicht zur Verfügung. Ein Administrator muss den Gruppenrichtlinienobjekt-Editor auf einem Windows Vista-basierten oder Windows Server 2008-basierten Verwaltungscomputer zum Konfigurieren von neuen, Windows Vista-basierten Gruppenrichtlinieneinstellungen verwenden.

  • Der Gruppenrichtlinienobjekt-Editor auf Computern mit Windows Server 2003, Windows XP oder Windows 2000 zeigt die neuen administrativen Vorlageneinstellungen von Windows Vista nicht ordnungsgemäß an, die in einem Gruppenrichtlinienobjekt aktiviert bzw. deaktiviert sein können. Stattdessen werden die diesen Richtlinieneinstellungen zugeordneten Registrierungswerte unter Zusätzliche Registrierungseinstellungen im Gruppenrichtlinienobjekt-Editor angezeigt.

  • Die Windows Vista-Version des Gruppenrichtlinienobjekt-Editors und der Gruppenrichtlinien-Verwaltungskonsole kann zum Verwalten aller Betriebssysteme verwendet werden, die Gruppenrichtlinien unterstützen (Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP und Windows 2000).

  • Richtlinieneinstellungen für administrative Vorlagen, die aktuell in ADM-Dateien aus Windows Server 2003, Windows XP und Windows 2000 vorhanden sind, können aus allen Betriebssystemen konfiguriert werden, die Gruppenrichtlinien unterstützen (Windows Vista, Windows Server 2003, Windows XP und Windows 2000).

  • Die Windows Vista-Version des Gruppenrichtlinienobjekt-Editors und der Gruppenrichtlinien-Verwaltungskonsole unterstützt die Interoperabilität mit Versionen dieser Tools unter Windows Server 2003 und Windows XP. Benutzerdefinierte ADM-Dateien, die in Gruppenrichtlinienobjekten gespeichert sind, werden z. B. von Gruppenrichtlinienobjekt-Editor und der Gruppenrichtlinien-Verwaltungskonsole unter Windows Vista, Windows Server 2008, Windows Server 2003 und Windows XP verarbeitet. Siehe Tabelle 1.

Die Windows Vista-Version des Gruppenrichtlinienobjekt-Editors unterstützt die Interoperabilität mit Versionen des Gruppenrichtlinienobjekt-Editors unter Windows Server 2000. Benutzerdefinierte, in Gruppenrichtlinienobjekten gespeicherte ADM-Dateien werden z. B. vom Gruppenrichtlinienobjekt-Editor unter Windows Vista, Windows Server 2008 und Windows 2000 verwendet. (Die Gruppenrichtlinien-Verwaltungskonsole wird unter Windows 2000 nicht ausgeführt.)

In früheren Betriebssystemen wurden sämtliche Dateien für administrative Vorlagen (ADM-Dateien) beim Erstellen eines Gruppenrichtlinienobjekts in diesem Gruppenrichtlinienobjekt gespeichert. Die Speicherkosten waren ungefähr 4 MB pro Gruppenrichtlinienobjekt. Der Replikationsdatenverkehr kann bei Ereignissen Spitzen verursachen, bei denen alle Gruppenrichtlinienobjekte geändert werden, z. B. dem Ändern von Berechtigungen für Gruppenrichtlinienobjekte während einer Aktualisierung einer Windows 2000-Domäne auf eine Windows Server 2003-Domäne. Unter diesen Umständen werden alle ADM-Dateien für Gruppenrichtlinienobjekte gleichzeitig repliziert. Dieser Vorgang kann sich auf die Verfügbarkeit von Netzwerkbandbreite sowie die Leistung negativ auswirken.

Dieser Vorgang wird in Windows Vista und Windows Server 2008 durch einen zentralen Informationsspeicher im Verzeichnis SYSVOL ersetzt, der die neuen ADMX-Dateien enthält. Im Gegensatz zu früheren Versionen von Windows enthalten mithilfe von Windows Vista erstellte Gruppenrichtlinienobjekte keine ADMX-Dateien. Diese Änderung bedeutet weniger Datenreplikation über den effizienteren DFS-Replikationsdienst.

Solange alle Gruppenrichtlinienadministratoren den Windows Vista-Client verwenden, enthalten neue Gruppenrichtlinienobjekte keine ADM- oder ADMX-Dateien im Gruppenrichtlinienobjekt. Das Ergebnis dieser Änderung ist eine Einsparung von ungefähr 4 MB pro Gruppenrichtlinienobjekt. Nachdem das Unternehmen so aktualisiert wurde, dass der neue DFS-Dienst verwendet wird, werden die im Gruppenrichtlinienobjekt enthaltenen Informationen repliziert. Zu diesem Zweck wird der DFS-Replikationsdienst verwendet, der nur die Unterschiede im Gruppenrichtlinienobjekt repliziert. Diese beiden Änderungen verringern den Speicherplatz und die Bandbreite erheblich, die erforderlich sind, nachdem der Gruppenrichtlinienadministrator ein Gruppenrichtlinienobjekt geändert hat.

Tabelle 1 Verhalten der Gruppenrichtlinien-Verwaltungskonsole von Windows Vista und der Download-Gruppenrichtlinien-Verwaltungskonsole

Verhalten Gruppenrichtlinien-Verwaltungskonsole von Windows Vista Download-Gruppenrichtlinien-Verwaltungskonsole

Kann Windows Server 2003, Windows XP und Windows 2000 verwalten

Ja

Ja

Kann Windows Vista und Windows Server 2008 verwalten

Ja

Nein

Unterstützung für mehrere Sprachen

Ja

Nein

Kann benutzerdefinierte ADM-Dateien lesen

Ja

Ja

Standardspeicherort von Dateien

Lokal

Gruppenrichtlinienobjekt

Kann zentralen Informationsspeicher verwenden

Ja

Nein

Vermeidet doppelt vorhandene Dateien in den Gruppenrichtlinienobjekten (Übersättigung von SYSVOL)

Ja

Nein

Option zum Hinzufügen gruppenrichtlinienobjekt-spezifischer Dateien (Vorlagen hinzufügen/entfernen)

Nur ADM-Dateien

Nur ADM-Dateien

Dateivergleiche

Versionsnummer

Zeitstempel

Bewährte Methoden

Empfohlener Rolloutvorgang

Windows Vista führt über 800 neue Gruppenrichtlinieneinstellungen in der Windows-Umgebung ein. Dieser Abschnitt enthält die Informationen, die zum Anwenden von Gruppenrichtlinieneinstellungen aus Windows XP auf Windows Vista erforderlich sind. Es werden grundlegende Verwaltungskonzepte erläutert und bewährte Methoden für die Verwaltung der Sicherheitsrichtlinie beschrieben.

 

Empfohlener Rolloutvorgang
  1. Aktualisieren Sie die Arbeitsstationen der Gruppenrichtlinienadministratoren auf Windows Vista. Die gesamte Gruppenrichtlinienverwaltung erfolgt nun über die Computer, die Windows Vista ausführen.                                                                                                              

  2. (Optional) Erstellen Sie einen zentralen Informationsspeicher im Verzeichnis SYSVOL für jeden primären Active Directory-    Domänencontroller (Primary Domain Controller, PDC), wobei die Gruppenrichtlinien von Administratoren verwaltet werden, die Windows Vista ausführen. Füllen Sie den zentralen Informationsspeicher auf jedem PDC mit ADMX/ADML-Dateien von der Windows Vista-Arbeitsstation des Gruppenrichtlinienadministrators auf. Lesen Sie die schrittweisen Anleitungen zum Verwalten von ADMX-Dateien von Gruppenrichtlinien unter http://go.microsoft.com/fwlink/?LinkId=75124 (englischsprachig).

  3. Erstellen Sie neue Gruppenrichtlinienobjekte (oder aktualisieren Sie die vorhandenen Gruppenrichtlinienobjekte), die die neuen Gruppenrichtlinieneinstellungen von Windows Vista enthalten, die Sie verwenden möchten.

    Hinweis   Sie können diese Gruppenrichtlinienobjekte der Organisationseinheit zuordnen, die die neuen mit einer Domäne verbundenen Arbeitsstationen mit Windows Vista enthält.

    Hinweis   In seltenen Fällen müssen Sie ggf. das AD-Schema so erweitern, dass die neuen Einstellungen berücksichtigt werden.

  4. Stellen Sie Arbeitsstationen mit Windows Vista pro Bereitstellungsprojekt bereit.

    Hinweis   Neue oder aktualisierte Gruppenrichtlinienobjekte werden nach Bedarf auf Arbeitsstationen mit Windows Vista angewendet.                                                                                                         

Erstellen eines zentralen Informationsspeichers

Der zentrale Informationsspeicher ist eine Ordnerstruktur, die im Verzeichnis SYSVOL auf den Domänencontrollern in jeder Domäne erstellt wird. Sie müssen den zentralen Informationsspeicher nur einmal auf einem Domänencontroller für jede Domäne in Ihrer Organisation erstellen. Der Dateireplikationsdienst repliziert den zentralen Informationsspeicher anschließend auf alle Domänencontroller. Es wird empfohlen, den zentralen Informationsspeicher auf dem Domänencontroller zu erstellen, der als primärer Domänencontrolleremulator mit der Funktion FSMO verwendet wird, weil die Gruppenrichtlinien-Verwaltungskonsole und der Gruppenrichtlinienobjekt-Editor standardmäßig eine Verbindung mit dem primären Domänencontroller herstellen.

Der zentrale Informationsspeicher besteht auf einem Ordner auf Stammverzeichnisebene, der alle sprachneutralen ADMX-Dateien sowie Unterordner mit den sprachspezifischen ADMX-Ressourcendateien enthält.

noteHinweis
Wenn kein zentraler Informationsspeicher vorhanden ist, liest der Gruppenrichtlinienobjekt-Editor die lokalen Versionen der ADMX-Dateien, die vom lokalen Gruppenrichtlinienobjekt auf dem Verwaltungscomputer mit Windows Vista verwendet werden. Zum Ausführen dieses Verfahrens müssen Sie in Active Directory Mitglied der Gruppe Domänenadministratoren sein.

So erstellen Sie einen zentralen Informationsspeicher
  1. Erstellen Sie den Stammordner für den zentralen Informationsspeicher %systemroot%\sysvol\domain\policies\PolicyDefinitions auf dem Domänencontroller.

  2. Erstellen Sie einen Unterordner von %systemroot%\sysvol\domain\policies\PolicyDefinitions für jede Sprache, die Ihre Gruppenrichtlinienadministratoren verwenden. Jeder Unterordner wird gemäß dem entsprechenden Sprachen-/Kulturnamen laut ISO benannt. Eine Liste der Sprachen-/Kulturnamen laut ISO finden Sie unter Gebietsschemakennungen (englischsprachig). Um beispielsweise einen Unterordner für US-amerikanisches Englisch zu erstellen, erstellen Sie den folgenden Unterordner: %systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.

Auffüllen des zentralen Informationsspeichers mit ADMX-Dateien

Für das Auffüllen des zentralen Informationsspeichers mit Daten in Windows Vista steht keine Benutzeroberfläche zur Verfügung. Das folgende Verfahren zeigt, wie der zentrale Informationsspeicher mithilfe von Befehlszeilensyntax über den Domänencontroller mit Daten aufgefüllt wird.

So füllen Sie den zentralen Informationsspeicher mit Daten auf
  1. Öffnen Sie ein neues Befehlsfenster. Klicken Sie auf Start und dann auf Ausführen, geben Sie cmd ein, und klicken Sie anschließend die EINGABETASTE.

  2. Um alle sprachneutralen ADMX-Dateien (ADMX-Dateien) mithilfe des Kopierbefehls von der Windows Vista-Verwaltungsarbeitsstation in den zentralen Informationsspeicher auf dem Domänencontroller zu kopieren, geben Sie Folgendes ein:

    copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

  3. Um alle sprachspezifischen ADMX-Ressourcendateien (ADML-Dateien) mithilfe des Kopierbefehls von der Windows Vista-Verwaltungsarbeitsstation in den zentralen Informationsspeicher auf dem Domänencontroller zu kopieren, geben Sie Folgendes ein:

    copy %systemroot%\PolicyDefinitions\[MUIculture]\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

Um beispielsweise alle US-englischen ADML-Dateien zu kopieren, geben Sie Folgendes ein:

copy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\

Explorer view of Central Store

Herunterladen neuer Schemas

Windows Vista unterstützt Erweiterungen, die mithilfe von Gruppenrichtlinieneinstellungen konfiguriert werden können, und diese Einstellungen werden von Domänencontrollern mit Windows Server 2008 unterstützt. Um diese Erweiterungen für eine Active Directory-Verzeichnisdienstumgebung unterstützen zu können, die aus Domänencontrollern mit Windows Server 2003 oder Windows Server 2003 R2 besteht, muss das Active Directory-Schema erweitert werden. Die erforderlichen Informationen für die Active Directory-Schemaerweiterungen für drahtlose und verkabelte Windows Vista-Gruppenrichtlinienerweiterungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=70195.

noteHinweis
Die Erweiterung des Schemas ist nur erforderlich, wenn Sie die drahtlosen und verkabelten Gruppenrichtlinienerweiterungen oder die BitLocker-Gruppenrichtlinienerweiterungen benötigen.

Weitere Informationen zu BitLocker-Schemaänderungen finden Sie im Handbuch zu Active Directory für BitLocker und zur TPM-Sicherungsinstallation im BitLocker Active Directory Deployment Kit.

Weitere bewährte Methoden

Bevor Sie mit dem Rollout der Windows Vista-Gruppenrichtlinieneinstellungen beginnen, sollten Sie unbedingt diese Richtlinien sowie die Windows Vista-Dokumente lesen, weil sie Ihnen solides Grundlagenwissen zu den Gruppenrichtlinieneinstellungen vermitteln.

  • Verwenden von GPMC zum Sichern und Wiederherstellen domänenbasierter Gruppenrichtlinienobjekte

    Sicherungen, die mit der Gruppenrichtlinien-Verwaltungskonsole (Version 2.0) von Windows Vista gespeichert wurden, sind nicht mit der heruntergeladenen Version der Gruppenrichtlinien-Verwaltungskonsole (Version 1.0) kompatibel. Die heruntergeladene Version der Gruppenrichtlinien-Verwaltungskonsole sichert außerdem nicht alle Windows Vista-Gruppenrichtlinieneinstellungen, die in einem Gruppenrichtlinienobjekt enthalten sind. Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole von Windows Vista (Version 2.0) zum Sichern und Wiederherstellen aller Gruppenrichtlinienobjekte, um die bestmöglichen Ergebnisse zu erzielen.

  • Schrittweise Anleitungen in Windows Vista für IT-Fachleute

    Diese schrittweisen Anleitungen unterstützen IT-Fachleute bei der Bereitstellung von oder Migration nach Windows Vista. Diese Anleitungen stellen außerdem schrittweise Informationen zum Steuern der Geräteinstallation mithilfe von Geräteverwaltung und -installation (Device Management and Installation, DMI) sowie zur Verwaltung von ADMX-Dateien zur Verfügung.

  • Virtuelle TechNet-Übungseinheiten für Windows Vista-Gruppenrichtlinieneinstellungen (englischsprachig)

    Diese Übungseinheiten richten sich an IT-Fachleute, die für die Verwaltung von Windows Vista-Arbeitsstationen in einer Active Directory-Domäne verantwortlich sind. Diese Übungseinheiten beschäftigen sich mit den neuen und erweiterten Gruppenrichtlinieneinstellungen.

  • Gängige Szenarien für Gruppenrichtlinien (englischsprachig)

    Dieses Paket enthält eine Reihe von Gruppenrichtlinienobjekten, die mehrere gängige Desktopszenarien beschreiben. Dabei handelt es sich um Szenarien mit geringer Verwaltung, mobile und Kioskszenarien sowie andere Szenarien.

GPMC-Skripts

Die Gruppenrichtlinien- Verwaltungskonsole (GPMC) enthält eine Sammlung von Skriptschnittstellen für die Automatisierung zahlreicher allgemeiner Verwaltungsaufgaben für Gruppenrichtlinien. Mithilfe dieser Skriptingschnittstellen können Sie de Gruppenrichtlinienumgebung verwalten, z. B. Berichte zu Gruppenrichtlinienobjekt-Einstellungen generieren, Gruppenrichtlinienobjekte erstellen und kopieren und nicht zugeordnete Gruppenrichtlinienobjekte ermitteln. Windows Vista enthält keinerlei Skripts. Weitere Informationen zu GPMC-Skripts finden Sie unter http://go.microsoft.com/fwlink/?linkid=31191 (englischsprachig).

Mehrsprachige Umgebungen

In Windows Vista werden die Einstellungen für administrative Vorlagen in sprachneutrale (ADMX-Dateien) und sprachspezifische Ressourcen (ADML-Dateien) unterteilt, die allen Gruppenrichtlinienadministratoren zur Verfügung stehen. Mithilfe dieser Dateien können die Gruppenrichtlinientools ihre Benutzeroberfläche gemäß der vom Administrator konfigurierten Sprache anpassen. Das Hinzufügen einer neuen Sprache zu einer Sammlung von Richtliniendefinitionen wird erreicht, indem sichergestellt wird, dass die sprachenspezifische Ressourcendatei verfügbar ist.

Ein Gruppenrichtlinienadministrator erstellt beispielsweise ein Gruppenrichtlinienobjekt auf einer Windows Vista-Verwaltungsarbeitsstation, die für Englisch konfiguriert ist. Er speichert das Gruppenrichtlinienobjekt und verknüpft es mit der Domäne, die über geografische Grenzen hinweg bereitgestellt wird. Ein Kollege in Paris durchsucht mithilfe der Gruppenrichtlinien-Verwaltungskonsole die gleiche Domäne und wählt das in Englisch erstellte Gruppenrichtlinienobjekt aus. Er kann die Gruppenrichtlinieneinstellungen in Französisch anzeigen und bearbeiten. Dem ursprünglichen Gruppenrichtlinienadministrator, der dieses Gruppenrichtlinienobjekt erstellt hat, werden weiterhin alle Einstellungen in seiner Muttersprache Englisch angezeigt – auch die Änderungen des französischen Administrators.

Gruppenrichtlinienänderungen nach der Migration oder dem Update auf Windows Vista

Nach der Migration oder dem Update auf Windows Vista werden die Gruppenrichtlinien erneut wie bei einer Neuinstallation angewendet. Für Clients in einer Windows-Domäne werden die Gruppenrichtlinien so angewendet, als wäre der Computer soeben der Domäne beigetreten oder hätte der Benutzer sich erstmals angemeldet. Jede Erweiterung migriert ihre Richtlinieneinstellungen oder wendet diese Richtlinieneinstellungen an, wenn die Gruppenrichtlinien erstmals in der Domäne angewendet werden. Nach dem Update verarbeitet das Gruppenrichtlinienmodul Richtlinieneinstellungen auf ähnliche Weise wie eine Neuinstallation, es erstellt sämtliche RsoP-Daten neu und richtet alle zwischengespeicherten Werte ein. Die folgende Tabelle stellt Einzelheiten zum Update bzw. der Migration zur Verfügung, die spezifisch für die einzelnen Komponenten sind.

 

Komponente Updateverhalten Migrationsverhalten

Gruppenrichtlinienmodul

Voreinstellungsschlüssel und Werte, die in Beziehung zum Gruppenrichtlinien-Kernmodul stehen (z. B. die Verbindungsgeschwindigkeit) werden migriert.

Nicht migriert.

RSoP

Nach dem Update ist keine Migration der RSoP-Daten erforderlich, weil alle Richtlinieneinstellungen während des ersten Neustarts erneut angewendet werden.

Nicht migriert.

Lokales Gruppenrichtlinienobjekt

  • Das lokale Gruppenrichtlinienobjekt wird migriert.

  • Das Gruppen-MLGPO wird migriert.

  • Das Benutzer-MLGPO wird migriert.

    Hinweis   Wenn verschiedene SKUs von Windows Vista aktualisiert werden, werden MLGPO-Daten migriert.

  • Das lokale Gruppenrichtlinienobjekt wird migriert.

  • Das Gruppen-MLGPO wird migriert.

Clientseitige Erweiterungen

Clientseitige Erweiterungen erhalten Registrierungsdaten in der Registrierung. Die Erweiterungsregistrierungsschlüssel befinden sich unter

HKLM\Software\

Microsoft\Windows NT\

CurrentVersion\Winlogon\

GPExtensions

Hinweis   Jede clientseitige Erweiterung aktualisiert ihre eigenen Informationen.

Nicht migriert.

ADM-Vorlagen

  • Zuvor ausgelieferte ADM-Dateien werden durch ADMX-Dateien ersetzt.

  • Benutzerdefinierte ADM-Dateien bleiben beim Update erhalten.

Nicht migriert.

Auf der Registrierung basierende Richtlinieneinstellungen

  • Alle Richtlinieneinstellungen und -werte unter dem Registrierungsschlüssel Software\Policy werden migriert.

  • Voreinstellungseinstellungen werden nicht migriert.

  • Alle Richtlinieneinstellungen werden beim ersten Neustart nach der ersten Anmeldung von der Domäne erneut angewendet.

Nicht migriert.

Softwareinstallation

  • Alle über Gruppenrichtlinien installierten Anwendungen werden automatisch migriert.

  • Alle Dateien unter %windir%\system32 \appmgmt werden automatisch migriert.

  • Alle Schlüssel und Werte werden unter den folgenden Schlüssel migriert:

    • HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt

    • Wert "appmgmtdebuglevel" unter HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics

Nicht migriert.

Gruppenrichtlinien-Verwaltungskonsole und GPEdit

  • Frühere Versionen der Gruppenrichtlinien-Verwaltungskonsole werden entfernt.

    • Der Skriptordner wird nach dem Update beibehalten. Dies beinhaltet GPMC-Skripts, die mit der vorherigen Version der Gruppenrichtlinien-Verwaltungskonsole installiert wurden.

  • Die folgenden GPMC-Konfigurationsdaten werden migriert:

    • Informationen, die aktuell direkt in der Konsolendatei (MSC-Datei) gespeichert sind (z. B. die zuletzt verbundene Domäne oder Gesamtstruktur).

    • Registrierungsschlüssel und Voreinstellungen im Tool (Speicherort des Sicherungsordners, ADM-Dateioptionen usw.).

  • Für GPEdit werden alle Voreinstellungsschlüssel, z. B. der Standardname des Gruppenrichtlinienobjekts, migriert.

Nicht migriert.

noteHinweis
Eine Liste der Registrierungsschlüssel, die von der Migration verschoben werden, finden Sie in Anhang B.

Überprüfen der Gruppenrichtlinieneinstellungen – RSoP (Resultant Set of Policy)

Sämtliche Gruppenrichtlinien-Verarbeitungsinformationen werden gesammelt und in einer CIMOM-Datenbank (Common Information Model Object Management) auf dem lokalen Computer gespeichert. Auf diese Informationen, z. B. auf die Liste, den Inhalt und die Protokollierung von Verarbeitungsdetails für jedes Gruppenrichtlinienobjekt, kann anschließend durch Tools mithilfe der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) zugegriffen werden.

Im Protokollierungsmodus (Group Policy Results) fragt RSoP (Resultant Set of Policy) die CIMOM-Datenbank auf dem Zielcomputer ab, empfängt Informationen zu den Richtlinien und zeigt diese in der Gruppenrichtlinien-Verwaltungskonsole an. Im Planungsmodus (Group Policy Modeling) simuliert RSoP die Anwendung der Richtlinie mithilfe von GPDAS (Group Policy Directory Access Service, Gruppenrichtlinien-Verzeichniszugriffsdienst) auf einem Domänencontroller. GPDAS simuliert die Anwendung der Gruppenrichtlinienobjekte und übergibt diese an virtuelle clientseitige Erweiterungen auf dem Domänencontroller. Die Ergebnisse dieser Simulation werden in einer lokalen CIMOM-Datenbank auf dem Domänencontroller gespeichert, bevor diese Informationen zurückgegeben und in der Gruppenrichtlinien-Verwaltungskonsole angezeigt werden.

RSoP mithilfe der Gruppenrichtlinien-Verwaltungskonsole

Ein Administrator verwendet die Gruppenrichtlinien-Verwaltungskonsole zum Verwalten von Gruppenrichtlinien in einer Active Directory-Umgebung. Die Gruppenrichtlinien-Verwaltungskonsole bietet dem Administrator eine dauerhafte Ansicht der Gruppenrichtlinienumgebung im Netzwerk unter Berücksichtigung von Gruppenrichtlinienobjekten, Gruppenrichtlinienobjekt-Verknüpfungen, Standorten, Domänen und Organisationseinheiten in der ausgewählten Gesamtstruktur. Mit der Gruppenrichtlinien-Verwaltungskonsole kann ein Administrator jede der Verwaltungsaufgaben ausführen, die zuvor nur über die Registerkarte Gruppenrichtlinie der Active Directory-Verwaltungstools verfügbar waren.

Die Gruppenrichtlinien-Verwaltungskonsole kann auch zum Generieren von RSoP-Daten verwendet werden, die die kumulativen Auswirkungen von Gruppenrichtlinienobjekten auf das Netzwerk vorhersagen oder einen Bericht zu den kumulativen Auswirkungen von Gruppenrichtlinienobjekten auf einen bestimmten Benutzer oder Computer erstellen. Der Administrator kann die Gruppenrichtlinien-Verwaltungskonsole außerdem verwenden, um Gruppenrichtlinienobjekt-Vorgänge durchzuführen, die zuvor nicht möglich waren, beispielsweise zum Sichern und Wiederherstellen eines Gruppenrichtlinienobjekts, zum Kopieren eines Gruppenrichtlinienobjekts und sogar zum Migrieren eines Gruppenrichtlinienobjekts in eine andere Gesamtstruktur. Das Lesen oder Generieren von HTML- oder XML-Berichten zu Gruppenrichtlinienobjekt-Einstellungen ist auch mithilfe von WMI-Skripts möglich.

Bei der Verwendung der Gruppenrichtlinien-Verwaltungskonsole bestehen bestimmte Einschränkungen, weil die Konsole nicht die RSoP-Daten für MLGPOs (Multiple Local Group Policy Objects, mehrfache lokale Gruppenrichtlinienobjekte) abrufen kann und GPMC-Berichte die Windows-Firewall mit erweiterten Sicherheitseinstellungen nicht anzeigen.

Überprüfen der tatsächlichen Richtlinieneinstellungen, die zurzeit wirksam sind

Das RSoP-Snap-In (Resultant Set of Policy) ist ein MMC-Tool (Microsoft Management Console). Administratoren verwenden das RSoP-Snap-In für die Berichterstellung und Planung der kumulativen Auswirkungen von Gruppenrichtlinienobjekten. Sie können das RSoP-Snap-In für die Berichterstellung und Planung der Auswirkungen von Gruppenrichtlinien verwenden. Ein Großteil seiner Funktionen wurde jedoch in die Gruppenrichtlinien-Verwaltungskonsole (GPMC) integriert, die einem Netzwerkadministrator eine wesentlich bessere Benutzererfahrung bietet. Für das RSoP-Snap-In gelten Einschränkungen, weil es nicht alle Einstellungen in den Berichten berücksichtigt (es protokolliert beispielsweise viele der neuen Windows Vista-Einstellungen nicht), und es kann nicht die RSoP-Daten für eine Remotecomputer abrufen. Die Verwendung des RSoP-Snap-Ins wird nicht empfohlen, obwohl es auch in Windows Vista verfügbar ist, um RSoP-Daten für Gruppenrichtlinienerweiterungen von Drittanbietern zu erfassen.

GPMC-Berichte sind das empfohlene Tool für die Ermittlung, ob die Richtlinie auf einen Benutzer oder Computer angewendet wird. Die Gruppenrichtlinien-Veraltungskonsole funktioniert jedoch nicht für MLGPOs. Sie können GPMC-Berichte zwar nicht für MLGPOs verwenden, diese Informationen können jedoch im Gruppenrichtlinien-Betriebsprotokoll angezeigt werden.

Verbrauch von Windows Vista-Einstellungen

Gruppenrichtlinienskripts können aufgrund der Benutzerkontensteuerung einen Fehler verursachen

Die Hauptaufgabe der Benutzerkontensteuerung (User Account Control, UAC) besteht darin, die Angriffsfläche des Betriebssystems zu verringern. Die Benutzerkontensteuerung verlangt zu diesem Zweck von allen Benutzern die Ausführung im Standardbenutzermodus. Diese Beschränkung minimiert die Möglichkeiten der Benutzer, Änderungen durchzuführen, die die Computer destabilisieren oder das Netzwerk durch unerkannt auf dem Computer installierte böswillige Software (auch als Malware bezeichnet) unbeabsichtigt Viren aussetzen könnten.

Wenn die Benutzerkontensteuerung aktiviert ist, können Sie die meisten Anwendungen, Komponenten und Prozesse mit eingeschränkten Berechtigungen ausführen, während "Rechteerhöhungspotenzial" für bestimmte Verwaltungsaufgaben und Anwendungsfunktionen besteht. Windows verwendet zu diesem Zweck zwei Zugriffstoken für jeden Benutzer: Zugriffstoken für beschränkten und erhöhten Zugriff. Zugriffstoken identifizieren den Benutzer sowie die Gruppen und die Berechtigungen des Benutzers. Das System verwendet Zugriffstoken, um den Zugriff auf zu sichernde Objekte zu steuern und festzulegen, welche systembezogenen Vorgänge der Benutzer auf dem lokalen Computer durchführen darf.

Ein erhöhtes Token für einen lokalen Administrator enthält und aktiviert alle Administratorberechtigungen. Die Benutzerkontensteuerung verlangt, dass lokale Administratoren ihr erhöhtes Token verwenden, wenn sie eine systembezogene oder Verwaltungsaufgabe ausführen. Ein beschränktes Token für einen lokalen Administrator enthält alle Administratorberechtigungen. Diese Berechtigungen sind jedoch deaktiviert. Aus diese Weise kann Windows den Verwaltungsbenutzer und einen normalen Benutzer anzeigen. Dabei besteht die Option, seine Berechtigungen zu erhöhen.

Standardmäßig verwenden alle Benutzer, die sich bei Windows Vista anmelden, ihr vollständiges Token, um die Gruppenrichtlinien und Anmeldeskripts zu verarbeiten. Sie verwenden jedoch ihr beschränktes Token, um den Desktop und alle nachfolgenden Prozesse zu laden. Nicht-administrative beschränkte und erhöhte Token sind weitgehend identisch hinsichtlich der Berechtigungen und Gruppen. Daher kann ein Prozess, der mit einem nicht-administrativen beschränkten Token gestartet wurde, Prozesse anzeigen, die mit einem nicht-administrativen erhöhten Token gestartet wurden. Windows lässt dies zu, weil die anzeigende Anwendung keine Erhöhung benötigt, um den Prozess anzuzeigen, der mit dem erhöhten Token gestartet wurde.

Windows verarbeitet einen Administrator, der sich lokal anmeldet, auf die gleiche Weise. Gruppenrichtlinien und Anmeldeskripts werden mithilfe des erhöhten Benutzertokens verarbeitet, und der Desktop sowie alle nachfolgenden Prozesse verwenden das beschränkte Token. Es besteht jedoch ein Berechtigungsunterschied zwischen dem beschränkten und dem erhöhten Benutzertoken. Windows verhindert daher, dass Prozesse, die mit einem beschränkten Token gestartet wurden, Informationen für Prozesse freigeben, die mit einem erhöhten Token gestartet wurden.

Die Benutzerkontensteuerung kann verhindern, dass Gruppenrichtlinien-Anmeldeskripts ordnungsgemäß zu funktionieren scheinen. Eine Domänenumgebung enthält beispielsweise ein Gruppenrichtlinienobjekt, das ein Anmeldeskript zum Zuordnen von Netzlaufwerken umfasst. Ein nicht-administrativer Benutzer meldet sich an der Domäne über einen Computer mit Windows Vista an. Nachdem Windows Vista den Desktop geladen hat, startet der nicht-administrative Benutzer Windows-Explorer. Der Benutzer sieht seine zugeordneten Laufwerke. In der gleichen Umgebung meldet sich ein Administrator an der Domäne über einen Computer mit Windows Vista an. Nachdem Windows Vista den Desktop geladen hat, startet der Administrator Windows-Explorer. Der Benutzer sieht seine zugeordneten Laufwerke nicht.

Wenn sich der Administrator anmeldet, verarbeitet Windows die Anmeldeskripts mithilfe des erhöhten Tokens. Das Skript funktioniert und ordnet die Laufwerke zu. Windows blockiert jedoch die Ansicht der zugeordneten Netzlaufwerke, weil der Desktop das begrenzte Token verwendet, während die Laufwerke mithilfe des erhöhten Tokens zugeordnet wurden.

Um dieses Problem zu umgehen, sollten Administratoren Netzlaufwerke unter dem beschränkten Benutzertoken zuordnen. Diese Zuordnung wird mithilfe des Skripts launchapp.wsf erreicht, das in Anhang A gezeigt wird. Dieses Skript plant die Befehle mithilfe der Aufgabenplanung. Die Aufgabenplanung startet das Skript unter dem Administratortoken mit Vollzugriff. Auf diese Weise können Windows-Explorer, andere Prozesse mit beschränkten Token und der Prozess mit dem erhöhten Token die zugeordneten Netzlaufwerke anzeigen.

So konfigurieren Sie "launchapp.wsf" so, dass die Ausführung eines Anmeldeskripts zeitlich verzögert wird
  1. Kopieren Sie das Anmeldeskript und das Skript launchapp.wsf auf eine Netzwerkfreigabe.

  2. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie ändern möchten, und klicken Sie dann auf Bearbeiten.

  3. Erweitern Sie im Knoten Benutzerkonfiguration den Eintrag Windows-Einstellungen, und klicken Sie dann auf Skripts.

  4. Klicken Sie mit der rechten Maustaste auf Anmelden, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie im Dialogfeld Eigenschaften von Anmelden auf Hinzufügen.

  6. Geben Sie launchapp.wsf im Feld Skriptname ein.

  7. Geben Sie im Feld Skriptparameter den vollständigen Pfad und Namen für logon.bat ein.

Configuring launchapp.wsf

Der Gruppenrichtliniendienst kann nicht beendet werden

In Windows Vista wurden Gruppenrichtlinien aus dem Winlogon-Prozess entfernt und wwerden nun als separater Dienst ausgeführt. Der Gruppenrichtlinienclient ist für das Anwenden der von Administratoren konfigurierten Einstellungen auf den Computer und die Benutzer über die Gruppenrichtlinienkomponente verantwortlich. Im Snap-In Dienste sind die Optionen zum Starten, Beenden, Anhalten und Fortsetzen des Gruppenrichtlinienclients nicht verfügbar. Dies liegt daran, dass die Einstellungen nicht angewendet werden und Anwendungen und Komponenten nicht mithilfe von Gruppenrichtlinien verwaltet werden können, wenn der Clientdienst beendet oder deaktiviert wird. Alle Komponenten oder Anwendungen, die von der Gruppenrichtlinienkomponente abhängig sind, funktionieren ggf. nicht, wenn der Clientdienst beendet oder deaktiviert wird.

Richtlinieneinstellungen, für die ein Neustart oder eine Anmeldung erforderlich ist

Die auf der Registrierung basierenden Gruppenrichtlinieneinstellungen in diesem Abschnitt erfordern einen Neustart oder eine Anmeldung, wenn sie aktiviert sind. Die in diesem Abschnitt aufgezählten Elemente enthalten den Namen der Gruppenrichtlinieneinstellung, gefolgt von ihrer Funktion.

Anmeldung
  • Fensteranimationen nicht zulassen: Diese Richtlinieneinstellung steuert das Erscheinungsbild von Fensteranimationen, z. B. von Animationen beim Wiederherstellen, Minimieren und Maximieren von Fenstern.

  • Desktopgestaltung nicht zulassen: Diese Richtlinieneinstellung steuert, wie einige Grafiken gerendert werden, und ermöglicht andere Funktionen, darunter Flip, Flip3D und Taskleisten-Vorschaubilder.

  • Aufruf von Flip 3-D nicht zulassen: Diese Richtlinieneinstellung deaktiviert die 3-D-Fensterumschaltfunktion.

  • Standardfarbe angeben: Diese Richtlinieneinstellung steuert die Standardfarbe für Fensterrahmen, wenn die Benutzer keine Farbe angeben.

  • Farbänderungen nicht zulassen: Diese Richtlinieneinstellung steuert die Möglichkeit, die Farbe von Fensterrahmen zu ändern.

  • Ausführliche im Vergleich zu normalen Meldungen: Diese Richtlinieneinstellung weist das System an, sehr ausführliche Statusmeldungen anzuzeigen.

  • Aktion festlegen, die bei Ablauf der Anmeldestunden ausgeführt wird: Diese Richtlinieneinstellung steuert, welche Aktion ausgeführt werden soll, wenn die Anmeldestunden für den angemeldeten Benutzer ablaufen.

  • Aktion festlegen, die bei Ablauf der Anmeldestunden ausgeführt wird: Mit dieser Richtlinie wird gesteuert, welche Aktion ausgeführt wird, wenn die Anmeldestunden für den angemeldeten Benutzer abgelaufen sind. Zu den Aktionen gehören Sperren der Arbeitsstation, Trennen des Benutzers oder vollständiges Abmelden des Benutzers.

  • Melden, wenn der Anmeldeserver bei der Benutzeranmeldung nicht verfügbar war: Mit dieser Richtlinie wird gesteuert, ob der angemeldete Benutzer benachrichtigt werden soll, wenn bei der Anmeldung keine Verbindung mit dem Anmeldeserver hergestellt werden konnte und der Benutzer mit den zuvor gespeicherten Kontoinformationen angemeldet wurde.

  • Benutzerdefinierte Benutzeroberfläche: Diese Richtlinieneinstellung gibt eine andere Benutzeroberfläche an.

Neustart
  • Tablet PC-Fingereingabe deaktivieren: Diese Richtlinieneinstellung deaktiviert die Fingereingabe, die dem Benutzer die Interaktion mit dem Computer mittels Finger ermöglicht.

  • Windows Defender deaktivieren: Diese Richtlinieneinstellung schaltet den Windows Defender-Echtzeitschutz aus, sodass keine weiteren Scans mehr geplant werden.

  • Legacyschnittstelle für das Remoteherunterfahren deaktivieren: Diese Richtlinie steuert die Schnittstelle für das Remoteherunterfahren (Named Pipe). Die Named Pipe-Schnittstelle zum Remoteherunterfahren ist erforderlich, um dieses System von einem Windows XP- oder Windows Server 2003-Remotesystem herunterfahren zu können.

Interoperabilität der Ordnerumleitung

Windows Vista bietet in Kombination mit servergespeicherten Benutzerprofilen und Ordnerumleitung zahlreiche Vorteile. Durch die Umleitung von Benutzerdaten an einen zentralen Speicherort im Netzwerk wird die Größe des Benutzerprofils verringert, die Benutzerdaten stehen sofort zur Verfügung, und die Benutzeranmeldungs- und -abmeldungsleistung wird verbessert, weil weniger Daten übertragen werden. Wenn Sie Ordnerumleitung mit servergespeicherten Benutzerprofilen kombinieren, kann ein Benutzer servergespeicherte Daten für Computer mit Windows Vista und Windows XP freigeben.

Computer, die Windows Vista ausführen, können keine servergespeicherten Benutzerprofile lesen, die für Windows XP erstellt wurden. Dies stellt ein Problem für Benutzer dar, die ein servergespeichertes Benutzerprofil besitzen und zwischen Computern mit Windows Vista und Windows XP wechseln müssen. Die Ordnerumleitung von Windows Vista macht diesen Wechsel möglich.

Mithilfe der Ordnerumleitung können Sie alle bekannten Ordner umleiten, die im Lieferumfang eines Windows Vista-Benutzerprofils enthalten sind. Mit dieser Funktion können Sie einen Ordner im Windows XP-Benutzerprofil für einen Ordner im Windows Vista-Profil freigeben. Sie können beispielsweise den Ordner Favoriten für Windows Vista und Windows XP freigeben. Sie leiten den Ordner Favoriten in Windows Vista an den gleichen Speicherort um, an dem Windows XP den Ordner Favoriten im servergespeicherten Benutzerprofil synchronisiert.

Verwenden Sie Szenario 3 im folgenden Whitepaper, um mindestens eine Richtlinie für Ordnerumleitung zu erstellen, um Benutzern die Freigabe servergespeicherter Benutzerdaten mit Windows Vista und Windows XP zu ermöglichen. Der im Whitepaper genannte Freigabepfad ist der Freigabepfad zum servergespeicherten Benutzerordner des Benutzers.

Weitere Informationen finden Sie unter: http://go.microsoft.com/fwlink/?LinkId=73435.

NAP (Network Access Protection, Netzwerkzugriffschutz) und NLA (Network Location Awareness)

NAP (Network Access Protection) ist eine Plattform für die Durchsetzung von Richtlinien für Windows Vista, Windows Server 2008 (jetzt in der Betatestphase) und Windows XP, durch die ein besserer Schutz der Netzwerkressourcen gewährleistet wird, indem die Einhaltung der Anforderungen für die Systemintegrität durchgesetzt wird (beispielsweise die Sicherstellung, dass auf dem Client das aktuellste Betriebssystem und die aktuellsten Antivirenupdates installiert sind). Mit NAP können Sie angepasste Integritätsrichtlinien erstellen, um die Computerintegrität zu überprüfen, bevor Sie den Zugriff oder die Kommunikation zulassen, konforme Computer automatisch aktualisieren, um die weitere Konformität zu gewährleisten, und optional nicht konforme Computer einem beschränkten Netzwerk zuordnen, bis diese konform werden.

Wenn ein Clientcomputer versucht, auf das Netzwerk zuzugreifen, muss er seinen Systemintegritätsstatus angeben. Wenn ein Clientcomputer nicht beweisen kann, dass er mit der Richtlinie für die Systemintegrität konform ist, wird sein Zugriff auf das Netzwerk auf ein eingeschränktes Netzwerksegment mit Serverressourcen beschränkt, damit Konformitätsprobleme behoben werden können. Nachdem die Updates installiert wurden, fordert der Clientcomputer erneut Zugriff auf das Netzwerk an. Wenn er konform ist, wird dem Clientcomputer uneingeschränkter Zugriff erteilt.

Bedenken Sie, dass NAP keine Sicherheitslösung ist. NAP soll verhindern, dass Computer mit unsicheren Konfigurationen eine Verbindung mit dem Netzwerk herstellen können. NAP dient nicht dazu, Netzwerke vor böswilligen Benutzern zu schützen, die über gültige Anmeldeinformationen verfügen, oder vor Computern, die die aktuellen Integritätsanforderungen erfüllen.

Auf der Clientcomputerseite ermöglicht das NLA-Feature (Network Location Awareness) dem System das Empfangen von Benachrichtigungen, wenn die Verbindung mit dem Domänencontroller hergestellt wird, und der Gruppenrichtliniendienst entscheidet, ob Richtlinieneinstellungen für das Ereignis angewendet werden. NLA erkennt jedoch nicht den Übergang aus eine Quarantäneumgebung (in anderen Worten: einer NAP-Umgebung) in eine Unternehmensumgebung. NLA stellt daher keine Gruppenrichtlinien mit Netzwerkbenachrichtigungen zur Verfügung, wenn der Computer aus der Quarantäne entlassen wird.

Da NLA keine Benachrichtigungen für erfolgreiche Netzwerkverbindungen nach der Quarantäne bereitstellt, kann die folgende Problemumgehung zur Verfügung gestellt werden. Die NAP-Komponente zeichnet ein Ereignis in den Protokolldateien auf. Der Administrator muss ein Skript schreiben, das dieses Ereignis erkennt und gpupdate aufruft, damit sichergestellt ist, dass die Gruppenrichtlinien während einer erfolgreichen VPN-Verbindung aktualisiert werden.

Durch die Nutzung von NLA kann Windows Vista schneller auf Netzwerkänderungen reagieren. Die Verzögerung von bis zu 90 Minuten vor der Aktualisierung von Gruppenrichtlinien entfällt damit. Wenn der vorherige Richtlinieneinstellungs-Anwendungszyklus übersprungen wurde (oder zu einem Fehler geführt hat), starten die Gruppenrichtlinien einen erneuten Versuch, wenn die Netzwerkverbindung mit dem Domänencontroller verfügbar ist. Dies ist eine wichtige Verbesserung im Vergleich zu früheren Versionen der Gruppenrichtlinien, weil die Gruppenrichtlinienabhängigkeit von ICMP entfällt.

Verwalten von Windows Vista-Features mithilfe der Gruppenrichtlinie

Windows Vista verfügt über zahlreiche neue Features, die mithilfe von Gruppenrichtlinien verwaltet werden können. Dazu gehören die Energieverwaltung, Geräteinstallation und -verwendung und die Sicherheitseinstellungen. Im Folgenden finden Sie eine Liste der schrittweisen Anleitungen, die Sie bei der Konfiguration dieser Features unterstützen.

Liste der Richtlinieneinstellungen

Die Tabelle, auf die in der Liste unten verwiesen wird, listet die Richtlinieneinstellungen für Computer- und Benutzerkonfigurationen auf, die in den administrativen Vorlagendateien (ADMX/ADML-Dateien) enthalten sind, die mit Windows Vista RC1 ausgeliefert werden. Die in dieser Tabelle enthaltenen Richtlinieneinstellungen beziehen sich auf Windows Vista RC1, Microsoft Windows Server 2003, Windows XP Professional und Windows 2000. Diese Dateien werden verwendet, um Richtlinieneinstellungen anzugeben, wenn Sie Richtlinienobjekte (Group Policy Objects, GPOs) mithilfe des Grupperichtlinienobjekt-Editors (auch als GPEdit bezeichnet) bearbeiten.

http://go.microsoft.com/fwlink/?linkid=54020

Problembehandlung der Gruppenrichtlinie

Für die Problembehandlung von Gruppenrichtlinien müssen Sie die Interaktionen zwischen den Gruppenrichtlinien und den sie unterstützenden Technologien verstehen (z. B. der Microsoft® Active Directory®-Verzeichnisdienst und der Dateireplikationsdienst) sowie die Art und Weise, wie die Gruppenrichtlinienobjekte selbst verwaltet, bereitgestellt und angewendet werden. Mit diesem Wissen können Sie bestimmte Tools verwenden, um Antworten zu finden, die Sie bei der Identifikation und Behandlung von Problemen unterstützen.

Die Gruppenrichtlinieninfrastruktur hat sich in Windows Vista erheblich geändert. Die Gruppenrichtlinienverarbeitung findet nicht mehr im Winlogon-Prozess statt, sondern wird als eigener Dienst ausgeführt. Außerdem verwendet das Gruppenrichtlinienmodul nicht mehr die Ablaufverfolgungsprotokollierung in userenv.dll. Daher entfällt die Protokolldatei namens userenv.log.

Für einen Großteil der Problembehandlung von Gruppenrichtlinien in früheren Versionen von Windows war es erforderlich, dass die Protokollierung in der Komponente userenv.dll aktiviert war. Dann wurde eine Protokolldatei namens userenv.log im Ordner %WINDIR%\Debug\Usermode erstellt. Diese Protokolldatei enthielt Ablaufverfolgungs-Funktionsanweisungen mit unterstützenden Daten. Außerdem wurde diese Protokolldatei auch von Lade- und Entladefunktionen für das Profil gemeinsam verwendet. Die Diagnose des Protokolls war aus diesem Grund manchmal schwierig. Diese Protokolldatei, die zusammen mit dem Richtlinienergebnissatz der MMC (Resultant Set of Policy Microsoft Management Console, RSoP MMC) verwendet wurde, war die Hauptmethode für die Diagnose und Behebung von Gruppenrichtlinienproblemen.

In Windows Vista werden Gruppenrichtlinien als eigene Komponente mit einem neuen Gruppenrichtliniendienst behandelt. Dieser eigenständige Dienst wird unter dem Svchost-Prozess ausgeführt und liest und wendet die Gruppenrichtlinien an. Der neue Dienst enthält Änderungen bei den Ereignisberichten. Gruppenrichtlinien-Ereignismeldungen, die zuvor im Anwendungsprotokoll erfasst wurden, werden nun im Systemprotokoll erfasst. Die Ereignisanzeige listet diese neuen Nachrichten mit der Ereignisquelle Microsoft-Windows-GroupPolicy auf. Das operative Gruppenrichtlinienprotokoll ersetzt das vorherige Protokoll userenv.log. Das operative Ereignisprotokoll stellt verbesserte Ereignismeldungen zur Verfügung, die für die Gruppenrichtlinienverarbeitung spezifisch sind.

Weitere Tipps zur Problembehandlung finden Sie im Windows Vista-Problembehandlungshandbuch zu Gruppenrichtlinien unter folgender Adresse:

http://go.microsoft.com/fwlink/?LinkId=74139 (englischsprachig).

Verwandte Links

Anhang A: "Launchapp.wsf"

<job>

<script language="VBScript">

'---------------------------------------------------------

' Dieses Beispiel startet die Anwendung als interaktiver Benutzer.

'---------------------------------------------------------

' Eine Konstante, die einen Registrierungsauslöser angibt.

const TriggerTypeRegistration = 7

' Eine Konstante, die eine ausführbare Aktion angibt.

const ActionTypeExecutable = 0

' Eine Konstante, die das Flag in RegisterTaskDefinition angibt.

const FlagTaskCreate = 2

' Eine Konstante, die eine ausführbare Aktion angibt.

const LogonTypeInteractive = 3

If WScript.Arguments.Length <> 1 Then

WScript.Echo "Usage: cscript launchapp.wsf <AnwPfad>"

WScript.Quit

End If

strAppPath = WScript.Arguments(0)

'********************************************************

' Erstellen des TaskService-Objekts.

'********************************************************

Set service = CreateObject("Schedule.Service")

call service.Connect()

strTaskName = "Anw. als interaktiver Benutzer starten"

'********************************************************

' Ordner zum Erstellen einer Taskdefinition abrufen.

'********************************************************

Dim rootFolder

Set rootFolder = service.GetFolder("\")

' Task löschen, wenn dieser bereits vorhanden ist.

On Error Resume Next

call rootFolder.DeleteTask(strTaskName, 0)

Err.Clear

'********************************************************

' Neuen Task erstellen.

'********************************************************

Dim taskDefinition

Set taskDefinition = service.NewTask(0)

'********************************************************

' Registrierungsauslöser erstellen.

'********************************************************

Dim triggers

Set triggers = taskDefinition.Triggers

Dim triggers

Set trigger = triggers.Create(TriggerTypeRegistration)

'***********************************************************

' Auszuführende Aktion für den Task erstellen.

'***********************************************************

' Dem Task eine Aktion hinzufügen. Die Aktion führt die Anw. aus.

Dim Action

Set Action = taskDefinition.Actions.Create( ActionTypeExecutable )

Action.Path = strAppPath

WScript.Echo "Die Taskdefinition wurde erstellt. Der Task wird übermittelt..."

'***********************************************************

' Registrieren (Erstellen) des Tasks.

'***********************************************************

call rootFolder.RegisterTaskDefinition( _

strTaskName, taskDefinition, FlagTaskCreate, _

,, LogonTypeInteractive)

WScript.Echo "Der Task wurde übermittelt."

</script>

</job>

Anhang B: Liste der Registrierungsschlüssel, Werte und Dateien, die durch die Migration verschoben werden

Nach der Migration nach Windows Vista werden Gruppenrichtlinien erneut wie bei einer Neuinstallation angewendet. Für Clients in einer Windows-Domäne werden Gruppenrichtlinien so angewendet, als wäre der Computer soeben der Domäne beigetreten. Dies gilt ebenfalls für clientseitige Erweiterungen. Jede Erweiterung migriert ihre Einstellungen oder wendet diese Einstellungen an, wenn Gruppenrichtlinien erstmals in der Domäne angewendet wird. Nach dem Update verarbeitet das Gruppenrichtlinienmodul Richtlinieneinstellungen auf ähnliche Weise wie eine Neuinstallation, es erstellt sämtliche RsoP-Daten neu und richtet alle zwischengespeicherten Werte ein. Die folgende Liste enthält die Registrierungsschlüssel, die durch Windows Vista migriert werden.

GPedit

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GPEditDebugLevel]</pattern>

GPBase

            <pattern type="File">%windir%\system32\GroupPolicy\*[*]</pattern>

            <pattern type="File">%windir%\system32\GroupPolicyUsers\*[*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideStartupScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideShutdownScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunStartupScriptSync]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GpNetworkStartTimeoutPolicyValue]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyUsersFromMachGP]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableBkGndGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [SyncForegroundPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableLGPOProcessing]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyRsopToInteractiveUser]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RSoPGarbageCollectionInterval]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [WaitForNetwork]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [UserenvDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RsopDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpsvcDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGlobal]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogonScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogoffScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunLogonScriptSync]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKCU\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

GPMC

            <pattern type="Registry">HKCU\Software\Microsoft\Group Policy Management Console\* [*]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpmgmttracelevel]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]</pattern>

Softwareinstallation

           <pattern type="File">%windir%\system32\appmgmt\*[*]</pattern>

    <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

           <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [appmgmtdebuglevel]</pattern>

           <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.