Leitfaden zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole (GPMC)

Veröffentlicht: 17.09.2004

Dieser Leitfaden enthält allgemeine Anleitungen zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console – GPMC) für die Unterstützung von Gruppenrichtlinienobjekten (Group Policy Objects – GPOs) in einer Active Directory-Umgebung. Er enthält keine Anleitungen zur Implementierung von Gruppenrichtlinienobjekten.

Auf dieser Seite

Einführung

Übersicht

Installieren und Konfigurieren der Gruppenrichtlinien-Verwaltungskonsole

Verwalten von Gruppenrichtlinienobjekten

Sichern, Wiederherstellen, Kopieren und Importieren von Gruppenrichtlinienobjekten

Modellieren von Gruppenrichtlinienobjekten

Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory®. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Teil II: Installieren einer Arbeitsstation unter Windows XP Professional und Integration in eine Domäne

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Die Leitfäden zur Bereitstellung von Windows Server 2003 können in einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Mit VM-Technologie (Virtual Machine) sind Kunden in der Lage, mehrere Betriebssysteme parallel auf einem einzigen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die hierin verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Zum Seitenanfang

Übersicht

Bei der Microsoft Group Policy Management Console (GPMC – Gruppenrichtlinien-Verwaltungskonsole) handelt es sich um ein neues Tool für die Gruppenrichtlinienverwaltung. Es unterstützt Administratoren bei der kostengünstigeren Verwaltung eines Unternehmens, indem es die Verwaltbarkeit verbessert und die Produktivität erhöht. Die Gruppenrichtlinien-Verwaltungskonsole besteht aus einem neuen MMC-Snap-In (Microsoft Management Console) und einer Reihe von skriptfähigen Schnittstellen.

Diese Konsole vereinfacht die Gruppenrichtlinienverwaltung, indem sie einen zentralen Ort zum Verwalten von Kernaspekten der Gruppenrichtlinie bereitstellt. Zur Berücksichtigung der dringendsten Anforderungen der Gruppenrichtlinienbereitstellung entsprechend Kundenwünschen ist folgende Funktionalität verfügbar:

• Eine Benutzeroberfläche, die die Benutzerfreundlichkeit von Gruppenrichtlinien verbessert
• Sichern/Wiederherstellen von Gruppenrichtlinienobjekten (GPOs)
• Importieren/Exportieren und Kopieren/Einfügen von Gruppenrichtlinienobjekten und WMI-Filtern (Windows Management Instrumentation)
• Einfachere Verwaltung der Sicherheit im Zusammenhang mit Gruppenrichtlinien
• Berichte im HTML-Format (Hypertext Markup Language) über GPO-Einstellungen und RsoP-Daten (Resultant Set of Policy – Richtlinienergebnissatz)
• Skripterstellung für richtlinienbezogene Aufgaben, die im Rahmen dieses Tools offengelegt werden (keine Skripterstellung für Einstellungen innerhalb eines Gruppenrichtlinienobjekts).

In der Vergangenheit mussten Administratoren verschiedene Microsoft-Tools zum Verwalten von Gruppenrichtlinien verwenden, z. B. die Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste sowie das Richtlinienergebnissatz-Snap-In. Die Gruppenrichtlinien-Verwaltungskonsole integriert die vorhandene Gruppenrichtlinienfunktionalität dieser Tools zusammen mit mehreren neuen Funktionen in eine einzige, einheitliche Konsole.

In die Konsole integriert ist die Unterstützung zum Verwalten mehrerer Domänen und Gesamtstrukturen. Sie ermöglicht es Administratoren, Gruppenrichtlinien unternehmensübergreifend auf einfache Weise zu verwalten. Die Administratoren können vollständig steuern, welche Gesamtstrukturen und Domänen in der Gruppenrichtlinien-Verwaltungskonsole aufgelistet werden sollen, sodass nur die relevanten Teile einer Umgebung angezeigt werden.

Voraussetzungen

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Leitfaden zum Einrichten zusätzlicher Domänencontroller
• Leitfaden zur Verwaltung von Active Directory
• Leitfaden zur Verwendung des Assistenten zum Zuweisen der Objektverwaltung
• Leitfaden zum Verständnis der Gruppenrichtlinienfunktionen
• Leitfaden zum Durchsetzen der Richtlinien für sichere Kennwörter

Zum Seitenanfang

Installieren und Konfigurieren der Gruppenrichtlinien-Verwaltungskonsole

Installieren der Gruppenrichtlinien-Verwaltungskonsole

Das Installieren der Gruppenrichtlinien-Verwaltungskonsole ist ein einfacher Vorgang und mit der Ausführung eines Windows Installer-Pakets (MSI) verbunden. Informationen zum Downloaden der neuesten Version finden Sie auf der Windows Server System-Site für Gruppenrichtlinienverwaltung unter https://www.microsoft.com/windowsserver2003/gpmc/default.mspx.

So installieren Sie die Gruppenrichtlinien-Verwaltungskonsole

1. Navigieren Sie auf dem Server HQ-CON-DC-01 zu dem Ordner mit gpmc.msi, doppelklicken Sie auf das Paket gpmc.msi, und klicken Sie dann auf Weiter.
2. Klicken Sie auf Ich stimme zu, um den Endbenutzer-Lizenzvertrag (EULA) zu akzeptieren, und klicken Sie dann auf Weiter.
3. Klicken Sie auf Fertig stellen, um die Installation der Gruppenrichtlinien-Verwaltungskonsole abzuschließen.

Nach Beendigung des Installationsvorgangs wird die Registerkarte Gruppenrichtlinie aktualisiert, die auf den Eigenschaftenseiten von Standorten, Domänen und Organisationseinheiten (Organizational Units – OUs) der Active Directory-Snap-Ins angezeigt wurde. Auf diese Weise soll eine direkte Verknüpfung zur Gruppenrichtlinien-Verwaltungskonsole bereitgestellt werden. Die auf der ursprünglichen Registerkarte Gruppenrichtlinie vorhandenen Funktionen stehen nicht mehr zur Verfügung, weil über die Konsole auf sämtliche Funktionen zur Verwaltung der Gruppenrichtlinie zugegriffen werden kann.

So öffnen Sie das GPMC-Snap-In

1. Klicken Sie auf dem Server HQ-CON-DC-01 auf die Schaltfläche Start und dann auf Ausführen. Geben Sie GPMC.msc ein, und klicken Sie auf OK.

   Hinweis

   
   Alternativ kann eine der folgenden Methoden zum Starten der Gruppenrichtlinien-Verwaltungskonsole verwendet werden.

   • Klicken Sie im Menü Start oder in der Systemsteuerung im Ordner Verwaltung auf die Verknüpfung Gruppenrichtlinienverwaltung.
   • Erstellen Sie eine benutzerdefinierte MMC-Konsole: Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie MMC ein, und klicken Sie auf OK. Zeigen Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen. Markieren Sie Gruppenrichtlinienverwaltung. Klicken Sie dann nacheinander auf Hinzufügen, auf Schließen und auf OK.

Konfigurieren der Gruppenrichtlinien-Verwaltungskonsole für mehrere Gesamtstrukturen

Mehrere Gesamtstrukturen lassen sich der Struktur der Gruppenrichtlinien-Verwaltungskonsole problemlos hinzufügen. Standardmäßig können Sie dieser Konsole eine Gesamtstruktur nur dann hinzufügen, wenn eine bidirektionale Vertrauensstellung mit der Gesamtstruktur des Benutzers besteht, der die Konsole ausführt. Sie können die Gruppenrichtlinien-Verwaltungskonsole optional jedoch so konfigurieren, dass sie auch mit einer unidirektionalen Vertrauensstellung oder sogar ohne Vertrauensstellung funktioniert. Zum Hinzufügen einer zusätzlichen Gesamtstruktur zur Gruppenrichtlinien-Verwaltungskonsole markieren Sie Gruppenrichtlinienverwaltung im Stamm der Struktur. Wählen Sie Aktion aus dem Kontextmenü aus, und klicken Sie dann auf AddForest. Da die Beispielumgebung nur eine einzige Gesamtstruktur enthält, würde die Ausführung dieser Schritte den Rahmen dieses Leitfadens jedoch überschreiten.

Hinweis: Wenn Sie Gesamtstrukturen hinzufügen, für die keine Vertrauensstellung besteht, sind einige Funktionen nicht verfügbar. So kann beispielsweise die Gruppenrichtlinienmodellierung nicht verwendet werden, und es ist nicht möglich, den Gruppenrichtlinienobjekt-Editor für Gruppenrichtlinienobjekte in der nicht vertrauenswürdigen Gesamtstruktur zu öffnen. Das Szenario der nicht vertrauenswürdigen Gesamtstruktur soll in erster Linie das gesamtstrukturübergreifende Kopieren von Gruppenrichtlinienobjekten ermöglichen.

Gleichzeitiges Verwalten mehrerer Domänen

Die Gruppenrichtlinien-Verwaltungskonsole unterstützt die Verwaltung mehrerer Domänen gleichzeitig, wobei die einzelnen Domänen in der Konsole nach Gesamtstruktur gruppiert sind. Standardmäßig wird nur eine einzige Domäne in der Konsole angezeigt. Beim ersten Start der Gruppenrichtlinien-Verwaltungskonsole mithilfe des vorkonfigurierten Snap-Ins (gpmc.msc) oder über eine benutzerdefinierte MMC-Konsole zeigt die Verwaltungskonsole die Domäne mit dem Benutzerkonto an, über das die Konsole gestartet wurde. Sie können Domänen in jeder Gesamtstruktur angeben, die Sie über die Konsole verwalten möchten, indem Sie die darin angezeigten Domänen hinzufügen und entfernen.

So fügen Sie der Konsole die untergeordnete Domäne "vancouver.contoso.com" hinzu

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung auf das Pluszeichen (+) neben Gesamtstruktur: contoso.com, um die Struktur zu erweitern, und klicken Sie dann auf das Pluszeichen (+) neben Domänen.

2. Klicken Sie mit der rechten Maustaste auf Domänen, und klicken Sie dann auf Domänen anzeigen.

3. Aktivieren Sie das Kontrollkästchen neben vancouver.contoso.com (siehe Abbildung 1), und klicken Sie auf OK.

   

   Abbildung 1: Anzeigen von Domänen

In jeder für die Gruppenrichtlinien-Verwaltungskonsole verfügbaren Domäne wird derselbe Domänencontroller für sämtliche Vorgänge verwendet. Hierzu zählen alle Vorgänge für die Gruppenrichtlinienobjekte, Organisationseinheiten, Sicherheitsprinzipale und WMI-Filter in der betreffenden Domäne. Wenn der Gruppenrichtlinienobjekt-Editor über die Gruppenrichtlinien-Verwaltungskonsole geöffnet wird, verwendet er immer denselben Domänencontroller, dessen Ziel in der Konsole die Domäne ist, in der sich das Gruppenrichtlinienobjekt befindet.

Über die Gruppenrichtlinien-Verwaltungskonsole können Sie wählen, welcher Domänencontroller für die einzelnen Domänen verwendet werden soll. Die folgenden vier Optionen stehen zur Verfügung:

• Verwenden des PDC-Emulators (Primary Domain Controller – Primärer Domänencontroller) (Standardwahl)
• Verwenden eines beliebigen verfügbaren Domänencontrollers
• Verwenden eines beliebigen verfügbaren Domänencontrollers unter einem Betriebssystem aus der Windows Server 2003-Produktfamilie. Diese Option ist zweckmäßig, wenn Sie ein gelöschtes Gruppenrichtlinienobjekt wiederherstellen möchten, das die Software-Installationseinstellungen für die Gruppenrichtlinie enthält.
• Verwenden eines bestimmten angegebenen Domänencontrollers

So ändern Sie den Domänencontroller, der von der Gruppenrichtlinien-Verwaltungskonsole für die Domäne "vancouver.contoso.com" verwendet wird

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung unter dem Ordner Domänen mit der rechten Maustaste auf vancouver.contoso.com, und klicken Sie dann auf Domänencontroller ändern.

2. Klicken Sie im Dialogfeld Domänencontroller ändern auf Dieser Domänencontroller, und markieren Sie dann hq-con-dc-03.vancouver.contoso.com (siehe Abbildung 2).

3. Klicken Sie auf OK, um den Vorgang fortzusetzen.

   

   Abbildung 2. Ändern von Domänencontrollern

Zum Seitenanfang

Verwalten von Gruppenrichtlinienobjekten

Anzeigen von Gruppenrichtlinienobjekten der Domäne

In jeder Domäne stellt die Gruppenrichtlinien-Verwaltungskonsole eine richtlinienbasierte Ansicht von Active Directory und den der Gruppenrichtlinie zugeordneten Komponenten bereit, z. B. Gruppenrichtlinienobjekte, WMI-Filter und Gruppenrichtlinien-Objektverknüpfungen. Die Ansicht in der Konsole ähnelt der Ansicht im MMC-Snap-In Active Directory-Benutzer und -Computer insofern, als sie die Organisationseinheitshierarchie wiedergibt. Die Konsolenansicht unterscheidet sich jedoch von diesem Snap-In, weil sie statt Benutzern, Computern und Gruppen der Organisationseinheiten die mit den einzelnen Containern verknüpften Gruppenrichtlinienobjekte sowie die Objekte selbst anzeigt.

Für jeden Domänenknoten in der Gruppenrichtlinien-Verwaltungskonsole werden folgende Elemente angezeigt:

• Alle mit der Domäne verknüpften Gruppenrichtlinienobjekte
• Alle Organisationseinheiten der obersten Ebene sowie eine Strukturansicht geschachtelter Organisationseinheiten und Gruppenrichtlinienobjekte, die mit den einzelnen Organisationseinheiten verknüpft sind
• Den Container Gruppenrichtlinienobjekte, der alle Gruppenrichtlinienobjekte in der Domäne anzeigt
• Der Container WMI-Filter mit allen WMI-Filtern der Domäne

So zeigen Sie die Gruppenrichtlinienobjekte an, die einem bestimmten Container zugeordnet sind

1. Klicken Sie unter der Struktur Domänen (Domains) auf die Struktur contoso.com. Die dem Container (Domänenstamm) zugeordneten Gruppenrichtlinienobjekte werden wie in Abbildung 3 angezeigt. Dieses Konzept kann auf jeden beliebigen Domänencontainer angewendet werden.

   

   Abbildung 3. Gruppenrichtlinienobjekte im DomänenstammBild maximieren

So zeigen Sie alle Gruppenrichtlinienobjekte an, die einer bestimmten Domäne zugeordnet sind

1. Klicken Sie unter der Struktur Domänen auf das Pluszeichen (+) neben contoso.com und dann auf Gruppenrichtlinienobjekte.

Suchen nach Gruppenrichtlinienobjekten

Die Suche nach Gruppenrichtlinienobjekten ist auf Gesamtstruktur- oder Domänenebene möglich. Zum Einschränken der Suchergebnisse in einer großen Gruppe von Gruppenrichtlinienobjekten können einzelne oder mehrere Suchparameter verwendet werden.

So suchen Sie mithilfe mehrerer Suchparameter nach einem bestimmten Gruppenrichtlinienobjekt in der Gesamtstruktur "contoso.com"

1. Erweitern Sie die Konsolenstruktur, klicken Sie mit der rechten Maustaste auf Gesamtstruktur: contoso.com, und klicken Sie dann auf Suchen.

2. Wählen Sie im Feld Suchelement (Search item) den Eintrag Name des Gruppenrichtlinienobjekts (GPO Name) aus, geben Sie Password im Feld Wert (Value) ein, und klicken Sie auf Hinzufügen (Add).

3. Wählen Sie im Feld Suchelement (Search item) den Eintrag Computerkonfiguration (Computer Configuration) aus, geben Sie Security im Feld Wert (Value) ein, und klicken Sie auf Hinzufügen (Add).

4. Klicken Sie auf Suchen (Search). Die Ergebnisse sollten wie in Abbildung 4 aussehen.

   

   Abbildung 4. Kriterienbasierte Suche nach Gruppenrichtlinienobjekten

5. Nachdem die Suchergebnisse zurückgegeben wurden, können Sie eine der folgenden Aktionen ausführen:

   • Klicken Sie auf Bearbeiten, um das Gruppenrichtlinienobjekt zum Bearbeiten zu öffnen.
   • Klicken Sie auf Ergebnisse speichern, um die Suchergebnisse zu speichern. Geben Sie im Dialogfeld Gruppenrichtlinien-Suchergebnisse speichern den Dateinamen für die gespeicherten Ergebnisse ein, und klicken Sie auf Speichern.
   • Doppelklicken Sie in der Liste mit den Suchergebnissen auf Gruppenrichtlinienobjekt, um zu einem gefundenen Gruppenrichtlinienobjekt zu navigieren.
   • Klicken Sie auf Löschen, um die Suchergebnisse zu löschen.
   • Klicken Sie auf Schließen, um das Dialogfeld Gruppenrichtlinienobjekte suchen zu schließen.

Definieren von Gruppenrichtlinienobjekt-Bereichen

Der Wert von Gruppenrichtlinien kann nur dadurch realisiert werden, dass die Gruppenrichtlinienobjekte auf die zu verwaltenden Active Directory-Container ordnungsgemäß angewendet werden. Der Vorgang, mit dem festgelegt wird, welche Benutzer und Computer die Einstellungen in einem Gruppenrichtlinienobjekt erhalten sollen, wird als "Definieren des Gruppenrichtlinienobjekt-Bereichs" bezeichnet. Grundlage für diesen Vorgang sind die folgenden drei Faktoren:

• Die Standorte, Domänen oder Organisationseinheiten, mit denen das Gruppenrichtlinienobjekt verknüpft ist Der primäre Mechanismus, über den die Einstellungen in einem Gruppenrichtlinienobjekt auf Benutzer und Computer angewendet werden, besteht darin, das Objekt mit einem Standort, einer Domäne oder einer Organisationseinheit in Active Directory zu verknüpfen. Die Position, mit der ein Gruppenrichtlinienobjekt verknüpft ist, wird als Verwaltungsbereich (Scope of Management – SOM, in früheren Whitepapern auch "SDOU) bezeichnet. Es gibt drei Arten von Verwaltungsbereichen: Standorte, Domänen und Organisationseinheiten. Ein Gruppenrichtlinienobjekt kann mit mehreren Verwaltungsbereichen verknüpft werden und ein Verwaltungsbereich mit mehreren Gruppenrichtlinienobjekten. Ein Gruppenrichtlinienobjekt muss mit einem Verwaltungsbereich verknüpft werden, damit es angewendet werden kann.
• Die Sicherheitsfilterung für das Gruppenrichtlinienobjekt Standardmäßig wenden alle authentifizierten Benutzer in dem Verwaltungsbereich (und dessen untergeordneten Bereichen), mit dem ein Gruppenrichtlinienobjekt verknüpft ist, die Einstellungen in diesem Objekt an. Sie können die Festlegung, welche Benutzer und Computer die Einstellungen in einem Gruppenrichtlinienobjekt empfangen sollen, weiter verfeinern, indem Sie die Berechtigungen für das Objekt verwalten. Dies wird als "Sicherheitsfilterung" bezeichnet. Damit ein Gruppenrichtlinienobjekt auf einen bestimmten Benutzer oder Computer angewendet werden kann, muss dieser Benutzer bzw. Computer über die Berechtigungen Lesen und Gruppenrichtlinie übernehmen verfügen. Standardmäßig verfügen Gruppenrichtlinienobjekte über Berechtigungen, die diese beiden Berechtigungen für die Gruppe Authentifizierte Benutzer zulassen. Auf diese Weise empfangen alle authentifizierten Benutzer die Einstellungen eines neuen Gruppenrichtlinienobjekts, wenn dieses mit einem Verwaltungsbereich (Organisationseinheit, Domäne oder Standort) verknüpft wird. Diese Berechtigungen können jedoch geändert werden, um den Bereich des Gruppenrichtlinienobjekts auf eine bestimmte Gruppe von Benutzern, Gruppen und/oder Computern innerhalb der Verwaltungsbereiche, mit denen es verknüpft ist, zu begrenzen.
• Der WMI-Filter für das Gruppenrichtlinienobjekt Mithilfe von WMI-Filtern kann ein Administrator den Gruppenrichtlinienobjekt-Bereich dynamisch festlegen und dazu als Grundlage die (über WMI verfügbaren) Attribute des Zielcomputers verwenden. Ein WMI-Filter besteht aus einer oder mehreren Abfragen, die für das WMI-Repository des Zielcomputers mit true oder false ausgewertet werden. Der WMI-Filter stellt ein vom Gruppenrichtlinienobjekt getrenntes Objekt im Verzeichnis dar. Um einen WMI-Filter auf ein Gruppenrichtlinienobjekt anzuwenden, wird er mit dem Objekt verknüpft. Diese Verknüpfung wird auf der Registerkarte Bereich eines Gruppenrichtlinienobjekts im Abschnitt WMI-Filterung angezeigt. Jedes Gruppenrichtlinienobjekt kann nur über einen WMI-Filter verfügen; derselbe WMI-Filter kann aber mit mehreren Gruppenrichtlinienobjekten verknüpft werden. Wird ein mit einem WMI-Filter verknüpftes Gruppenrichtlinienobjekt auf den Zielcomputer angewendet, so wird der Filter dort ausgewertet. Wenn die Filterauswertung false lautet, wird das Gruppenrichtlinienobjekt nicht angewendet. Lautet sie true, wird das Gruppenrichtlinienobjekt angewendet.

So definieren Sie den Bereich für das in der vorherigen Suche gefundene Gruppenrichtlinienobjekt für die Domänenkennwortrichtlinie

1. Doppelklicken Sie im Suchergebnisbereich Gruppenrichtlinienobjekte suchen auf Domain Password Policy, und klicken Sie dann auf Schließen.

   Hinweis

   
   Nach dem Schließen des Dialogfelds Gruppenrichtlinienobjekte suchen hat das zuvor ausgewählte Gruppenrichtlinienobjekt den Fokus in der Gruppenrichtlinien-Verwaltungskonsole. Die Seite für den Gruppenrichtlinienobjekt-Bereich sieht wie in Abbildung 5 aus.

   

   Abbildung 5. Definieren eines Gruppenrichtlinienobjekt-Bereichs

So überprüfen Sie die durch ein Gruppenrichtlinienobjekt angewendeten Richtlinien

1. Klicken Sie im Ergebnisbereich Domain Password Policy auf die Registerkarte Einstellungen (Settings) und dann auf Alle anzeigen. Eine Zusammenfassung aller definierten Richtlinieneinstellungen wird wie in Abbildung 6 angezeigt. Nicht definierte Einstellungen werden nicht angezeigt.

   

   Abbildung 6. Überprüfen von Einstellungen des Gruppenrichtlinienobjekts

Richtlinienvererbung und Verknüpfungsreihenfolge für Gruppenrichtlinienobjekte

Auf der Registerkarte Gruppenrichtlinienvererbung für einen bestimmten Container werden alle Gruppenrichtlinienobjekte (ausgenommen die mit Standorten verknüpften) angezeigt, die von übergeordneten Containern vererbt werden. Die Spalte Rangfolge auf dieser Registerkarte zeigt die Gesamtrangfolge für alle Verknüpfungen an, die auf Objekte in diesem Container angewendet werden. Dabei werden die Attribute Verknüpfungsreihenfolge und Erzwingung für jede Verknüpfung sowie Vererbung deaktivieren berücksichtigt.

So zeigen Sie die Richtlinienvererbung bei einem Container an

1. Erweitern Sie im Fenster Gruppenrichtlinienverwaltung (Group Policy Management) unter der Struktur contoso.com die Organisationseinheit Accounts, und klicken Sie dann auf die Organisationseinheit Headquarters (siehe Abbildung 7).

   

   Abbildung 7. Vererbung von Gruppenrichtlinien

   Bild maximieren

Wenn mehrere Gruppenrichtlinienobjekte mit demselben Container verknüpft sind und über gemeinsame Einstellungen verfügen, muss ein Mechanismus zur Abstimmung der Einstellungen vorhanden sein. Dieses Verhalten wird durch die Verknüpfungsreihenfolge gesteuert. Dabei gilt: je niedriger die Nummer der Verknüpfungsreihenfolge, desto höher die Rangfolge. Informationen zu den Verknüpfungen für einen bestimmten Container werden auf dessen Registerkarte Verknüpfte Gruppenrichtlinienobjekte angezeigt. In diesem Bereich wird angezeigt, ob die Verknüpfung erzwungen ist, ob die Verknüpfung aktiviert ist, wie der Status des Gruppenrichtlinienobjekts lautet, ob ein WMI-Filter angewendet wird, wann er geändert wurde und auf welchem Domänencontroller der Filter gespeichert ist. Ein Administrator oder Benutzer, an den Berechtigungen zum Verknüpfen der Gruppenrichtlinienobjekte mit dem Container delegiert wurden, kann die Verknüpfungsreihenfolge ändern. Hierzu wird eine Gruppenrichtlinienobjekt-Verknüpfung markiert und anschließend in der Liste mit der Verknüpfungsreihenfolge mithilfe des Pfeils nach oben oder unten weiter nach oben bzw. nach unten verschoben.

So ändern Sie die Verknüpfungsreihenfolge für Richtlinien bei einem Container

1. Klicken Sie auf der Seite Headquarters auf Verknüpfte Gruppenrichtlinienobjekte (Linked Group Policy Objects).

2. Klicken Sie unter der Spalte Gruppenrichtlinienobjekt (GPO) auf Linked Policies und dann auf den Pfeil nach oben links neben der Spalte Verknüpfungsreihenfolge (Link Order). Nach Ausführung dieser Schritte sollte die Verknüpfungsreihenfolge für Gruppenrichtlinienobjekte unter der Organisationseinheit Headquarters wie in Abbildung 8 aussehen.

   

   Abbildung 8. Verknüpfungsreihenfolge für Gruppenrichtlinienobjekte

   Bild maximieren

Zum Seitenanfang

Sichern, Wiederherstellen, Kopieren und Importieren von Gruppenrichtlinienobjekten

Sichern eines Gruppenrichtlinienobjekts

Beim Sichern eines Gruppenrichtlinienobjekts werden die darin enthaltenen Daten in das Dateisystem kopiert. Die Sicherungsfunktion dient außerdem als Exportfunktion für Gruppenrichtlinienobjekte. Die Sicherung eines Gruppenrichtlinienobjekts kann verwendet werden, um dieses auf den Sicherungsstatus wiederherzustellen oder um die Einstellungen der Sicherung in ein anderes Gruppenrichtlinienobjekt zu importieren.

Durch das Sichern eines Gruppenrichtlinienobjekts werden alle darin gespeicherten Informationen im Dateisystem gespeichert. Hierzu gehören folgende Elemente:

• Die GUID (Globally Unique Identifier) und die Domäneneinstellungen des Gruppenrichtlinienobjekts
• Die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List – DACL) für das Gruppenrichtlinienobjekt
• Die WMI-Filterverknüpfung, falls vorhanden, doch nicht der Filter selbst
• Verknüpfungen zu IP-Sicherheitsrichtlinien, falls vorhanden
• XML-Bericht (Extensible Markup Language) der GPO-Einstellungen, die über die Gruppenrichtlinien-Verwaltungskonsole im HTML-Format angezeigt werden können
• Datums- und Zeitangaben der Sicherung
• Benutzerdefinierte Beschreibung der Sicherung

Beim Sichern eines Gruppenrichtlinienobjekts werden nur die darin gespeicherten Daten gespeichert. Die außerhalb des Gruppenrichtlinienobjekts gespeicherten Daten umfassen Folgendes:

• Verknüpfungen mit einem Standort, einer Domäne oder einer Organisationseinheit
• WMI-Filter
• IP-Sicherheitsrichtlinie

Wenn die Sicherung auf das ursprüngliche Gruppenrichtlinienobjekt wiederhergestellt oder in ein neues Gruppenrichtlinienobjekt importiert wird, stehen diese Daten nicht zur Verfügung.

So sichern Sie das Gruppenrichtlinienobjekt für die Domänenkennwortrichtlinie

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung unter der Struktur contoso.com auf den Ordner Gruppenrichtlinienobjekte.
2. Klicken Sie im Ordner Gruppenrichtlinienobjekte mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Domain Password Policy (Domänenkennwortrichtlinie), und klicken Sie dann auf Sichern.
3. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern unter Ort den Pfad c:\windows ein, geben Sie Sicherung der Domänenkennwortrichtlinie unter Beschreibung ein, und klicken Sie auf Sichern.
4. Nach Abschluss der Sicherung klicken Sie auf OK, um den Vorgang fortzusetzen.

Verwalten von Sicherungen

Mehrere Sicherungen desselben oder eines anderen Gruppenrichtlinienobjekts können an demselben Dateisystemort gespeichert werden. Jede Sicherung wird durch eine eindeutige Sicherungs-ID identifiziert. Die Zusammenstellung von Sicherungen in einem bestimmten Dateisystempfad kann über das Dialogfeld Sicherungen verwalten der Gruppenrichtlinien-Verwaltungskonsole oder über die skriptfähigen Schnittstellen verwaltet werden. Auf das Dialogfeld Sicherungen verwalten können Sie zugreifen, indem Sie in einer bestimmten Domäne mit der rechten Maustaste auf den Knoten Domänen oder auf den Knoten Gruppenrichtlinienobjekte klicken. Wenn Sie Sicherungen verwalten über den Knoten Gruppenrichtlinienobjekte öffnen, wird die Ansicht automatisch so gefiltert, dass sie nur Sicherungen der Gruppenrichtlinienobjekte der betreffenden Domäne anzeigt. Wenn das Dialogfeld Sicherungen verwalten über den Knoten Domänen geöffnet wird, zeigt es sämtliche Sicherungen an – unabhängig von der Domäne, aus der diese stammen.

So verwalten Sie verfügbare Sicherungen von Gruppenrichtlinienobjekten

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung unter der Struktur contoso.com mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte, und klicken Sie dann auf Sicherungen verwalten. Das Fenster Sicherungen verwalten (Manage Backups) sollte wie in Abbildung 9 aussehen.

   

   Abbildung 9. Verwalten von Sicherungen

2. Markieren Sie im Fenster Sicherungen verwalten den zuvor erstellten Eintrag Sicherung der Domänenkennwortrichtlinie, und klicken Sie auf Einstellungen.

3. Überprüfen Sie die detaillierten Informationen zum Gruppenrichtlinienobjekt, und schließen Sie dann Internet Explorer.

Wiederherstellen aus einer Sicherung

Beim Wiederherstellen wird ein Gruppenrichtlinienobjekt aus den Daten der Sicherung erneut erstellt. Ein Wiederherstellungsvorgang kann in den beiden folgenden Fällen verwendet werden: Das Gruppenrichtlinienobjekt wurde gesichert, inzwischen aber gelöscht; das Gruppenrichtlinienobjekt ist vorhanden, und Sie möchten es auf einen bekannten früheren Status zurücksetzen. Bei einem Wiederherstellungsvorgang werden die folgenden Komponenten eines Gruppenrichtlinienobjekts ersetzt:

• GPO-Einstellungen
• Die freigegebene Zugriffssteuerungsliste (DACL)
• WMI-Filterverknüpfungen (doch nicht die Filter selbst)

Durch den Wiederherstellungsvorgang werden keine Objekte wiederhergestellt, die nicht Bestandteil des Gruppenrichtlinienobjekts sind. Hierzu zählen Verknüpfungen mit einem Standort, einer Domäne oder einer Organisationseinheit; WMI-Filter und IPSec-Richtlinien.

So können Sie das Gruppenrichtlinienobjekt für die Domänenkennwortrichtlinie wiederherstellen

1. Klicken Sie im Fenster Sicherungen verwalten auf Wiederherstellen.
2. Wenn Sie dazu aufgefordert werden, klicken Sie auf OK, um die ausgewählte Sicherung wiederherzustellen.
3. Klicken Sie nach Abschluss der Wiederherstellung des Gruppenrichtlinienobjekts auf OK.
4. Klicken Sie im Dialogfeld Sicherungen verwalten auf Schließen.

Kopieren eines Gruppenrichtlinienobjekts

Ein Kopiervorgang ermöglicht es Ihnen, Einstellungen aus einem vorhandenen Gruppenrichtlinienobjekt in Active Directory direkt in ein neues Gruppenrichtlinienobjekt zu übertragen. Dem während des Kopiervorgangs erstellten neuen Gruppenrichtlinienobjekt wird eine neue GUID zugewiesen, und es wird nicht verknüpft. Mithilfe eines Kopiervorgangs können Sie Einstellungen in ein neues Gruppenrichtlinienobjekt in derselben Domäne, einer anderen Domäne in derselben Gesamtstruktur oder einer Domäne in einer anderen Gesamtstruktur übertragen. Weil bei einem Kopiervorgang ein vorhandenes Gruppenrichtlinienobjekt in Active Directory als Quelle verwendet wird, ist eine Vertrauensstellung zwischen Quell- und Zieldomäne erforderlich. Kopiervorgänge eignen sich zum Verschieben von Gruppenrichtlinien zwischen Produktionsumgebungen. Mit ihrer Hilfe werden auch Gruppenrichtlinien, die in einer Testdomäne oder -gesamtstruktur getestet wurden, in eine Produktionsumgebung migriert, solange eine Vertrauensstellung zwischen Quell- und Zieldomäne besteht.

So kopieren Sie ein Gruppenrichtlinienobjekt

1. Klicken Sie unter der Struktur contoso.com im Ordner Gruppenrichtlinienobjekte mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Enforced User Policies, und klicken Sie dann auf Kopieren.

2. Klicken Sie auf das Pluszeichen (+) neben vancouver.contoso.com, um die Domäne zu erweitern. Klicken Sie dann auf das Pluszeichen (+) neben Gruppenrichtlinienobjekte, um die Struktur zu erweitern.

3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und klicken Sie dann auf Einfügen.

4. Klicken Sie im Assistenten zum domänenübergreifenden Kopieren (Cross-Domain Copying Wizard) auf Weiter, um den Vorgang fortzusetzen.

5. Wählen Sie auf der Seite Angabe von Berechtigungen (Specifying Permissions) die Standardeinstellung Standardberechtigungen für neue Gruppenrichtlinienobjekte verwenden (Use the default permissions for new GPOs), wie in Abbildung 10 gezeigt. Klicken Sie dann auf Weiter (Next).

   

   Abbildung 10. Assistent zum domänenübergreifenden Kopieren

6. Nachdem das ursprüngliche Gruppenrichtlinienobjekt überprüft wurde, klicken Sie auf Weiter, um den Vorgang fortzusetzen.

7. Überprüfen Sie die Einstellungen auf der Seite Fertigstellen des Assistenten, und klicken Sie dann auf Fertig stellen.

8. Nach Abschluss des Kopiervorgangs klicken Sie auf OK.

   Hinweis

   
   Das Gruppenrichtlinienobjekt Enforced User Policies wurde in die Domäne vancouver.contoso.com kopiert, jedoch mit keinem Container verknüpft.
   

So verknüpfen Sie das Gruppenrichtlinienobjekt "Enforced User Policies" mit dem Stamm von "vancouver.contoso.com"

1. Klicken Sie mit der rechten Maustaste auf vancouver.contoso.com, klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen, markieren Sie Enforced User Policies, und klicken Sie dann auf OK.

Importieren eines Gruppenrichtlinienobjekts

Beim Importvorgang werden Einstellungen in ein vorhandenes Gruppenrichtlinienobjekt in Active Directory übertragen und dazu als Quelle ein gesichertes Gruppenrichtlinienobjekt im Dateisystempfad verwendet. Mithilfe von Importvorgängen können Einstellungen von einem Gruppenrichtlinienobjekt in ein anderes Gruppenrichtlinienobjekt innerhalb derselben Domäne, in ein Gruppenrichtlinienobjekt in einer anderen Domäne derselben Gesamtstruktur oder in ein Gruppenrichtlinienobjekt in einer Domäne einer anderen Gesamtstruktur übertragen werden. Der Importvorgang überträgt immer die gesicherten Einstellungen in ein vorhandenes Gruppenrichtlinienobjekt und löscht alle bereits vorhandenen Einstellungen im Ziel-Gruppenrichtlinienobjekt. Da für den Import keine Vertrauensstellung zwischen Quell- und Zieldomäne erforderlich ist, eignet er sich zum Übertragen von Einstellungen zwischen Gesamtstrukturen und Domänen, die über keine Vertrauensstellung verfügen. Das Importieren von Einstellungen in ein Gruppenrichtlinienobjekt hat keine Auswirkungen auf dessen freigegebene Zugriffssteuerungsliste (DACL), auf Verknüpfungen von Standorten, Domänen oder Organisationseinheiten mit diesem Objekt oder auf eine Verknüpfung mit einem WMI-Filter.

So importieren Sie die Domänenkennwortrichtlinie "contoso.com" in die Domänenkennwortrichtlinie "vancouver.contoso.com"

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung mit der rechten Maustaste auf vancouver.contoso.com, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
2. Geben Sie Domain Password Policy im Feld Name des Dialogfelds Neues Gruppenrichtlinienobjekt ein, und klicken Sie auf OK.
3. Klicken Sie in der Struktur vancouver.contoso.com unter Gruppenrichtlinienobjekte mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Domain Password Policy, und klicken Sie dann auf Einstellungen importieren.
4. Klicken Sie im Importeinstellungen-Assistenten auf Weiter, um den Vorgang fortzusetzen.
5. Klicken Sie auf der Seite Gruppenrichtlinie sichern auf Weiter, um den Vorgang ohne Sichern fortzusetzen, da das Gruppenrichtlinienobjekt momentan keine Richtliniendefinitionen enthält.
6. Übernehmen Sie den Standardsicherungsordner, c:\windows, und klicken Sie auf Weiter, um den Vorgang fortzusetzen.
7. Da es sich bei Domain Password Policy um die einzige aktuelle Sicherung handelt, ist dieser Eintrag standardmäßig ausgewählt. Klicken Sie auf Weiter, um mit dem Importieren der Einstellungen aus diesem Gruppenrichtlinienobjekt zu beginnen.
8. Nachdem das Gruppenrichtlinienobjekt auf Sicherheitsprinzipale überprüft worden ist, klicken Sie auf Weiter und dann auf Fertig stellen.
9. Klicken Sie nach Abschluss des Importeinstellungen-Assistenten auf OK.

So überprüfen Sie die Domänenkennwortrichtlinie "vancouver.contoso.com"

1. Klicken Sie in der Struktur vancouver.contoso.com unter Gruppenrichtlinienobjekte auf Domain Password Policy und dann im Ergebnisbereich auf Alle anzeigen. Die Einstellungen sollten mit denjenigen in Abbildung 11 identisch sein.

   

   Abbildung 11. Domänenkennwortrichtlinie für "vancouver.contoso.com"

   Bild maximieren

Zum Seitenanfang

Modellieren von Gruppenrichtlinienobjekten

Gruppenrichtlinienmodellierung

Bei der Gruppenrichtlinienmodellierung handelt es sich um eine Simulation, in der ermittelt wird, was in den von einem Administrator festgelegten Situationen geschehen würde. Weil diese Simulation von einem Dienst auf einem Domänencontroller mit Windows Server 2003 ausgeführt wird, muss mindestens ein Domänencontroller mit Windows Server 2003 verfügbar sein.

Mit der Gruppenrichtlinienmodellierung können Sie entweder die RSoP-Daten (Resultant Set of Policy – Richtlinienergebnissatz) simulieren, die bei einer vorhandenen Konfiguration angewendet würden, oder Sie können "Was-wäre-wenn"-Analysen durchführen, indem Sie hypothetische Änderungen an der Verzeichnisumgebung simulieren und dann den Richtlinienergebnissatz für diese hypothetische Konfiguration berechnen. So können Sie beispielsweise Änderungen an der Sicherheitsgruppenmitgliedschaft oder aber Änderungen am Speicherort des Benutzer- oder Computerobjekts in Active Directory simulieren. Außerhalb der Gruppenrichtlinien-Verwaltungskonsole wird die Gruppenrichtlinienmodellierung als "Planungsmodus für den Richtlinienergebnissatz" bezeichnet.

So simulieren Sie die Effekte von Gruppenrichtlinienobjekten

1. Klicken Sie im Fenster Gruppenrichtlinienverwaltung auf das Minuszeichen (–) neben Domänen, um die Struktur auszublenden.

2. Klicken Sie unter der Struktur Gesamtstruktur: contoso.com mit der rechten Maustaste auf Gruppenrichtlinienmodellierung, und klicken Sie dann auf Gruppenrichtlinienmodellierungs-Assistent.

3. Klicken Sie auf der Seite Gruppenrichtlinienmodellierungs-Assistent auf Weiter.

4. Behalten Sie auf der Seite Domänencontrollerwahl die Standardeinstellungen bei, und klicken Sie auf Weiter.

5. Klicken Sie auf der Seite Benutzer- und Computerauswahl (User and Computer Selection) unter Benutzerinformationen (User information) auf Benutzer (User). Klicken Sie auf Durchsuchen (Browse) ein, geben Sie Christine unter Objektnamen zum Auswählen eingeben, und klicken Sie auf OK. Aktivieren Sie das Kontrollkästchen Zur letzten Seite des Assistenten wechseln, ohne weitere Daten zu sammeln (Skip to the final page of this wizard without collecting additional data), und klicken Sie auf Weiter (Next). Ihre Einstellungen sollten wie in Abbildung 12 aussehen.

   

   Abbildung 12. Gruppenrichtlinienmodellierungs-Assistent

6. Klicken Sie auf der Seite Zusammenfassung der Auswahl auf Weiter, um die Simulation zu starten.

7. Klicken Sie auf Fertig stellen. Die Ergebnisse der Simulation werden im rechten Bereich angezeigt.

Zum Seitenanfang

Weitere Ressourcen

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Downloaden Sie die Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 unter https://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=de
• Whitepaper "Administering Group Policy with GPMC" unter https://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx (nur auf Englisch verfügbar).
• Aktuelle Informationen zu Windows Server 2003 unter /germany/windowsserver2003/.

Zum Seitenanfang

| Home | Technische Artikel | Community