(0) exportieren Drucken
Alle erweitern
1 von 4 fanden dies hilfreich - Dieses Thema bewerten.

Einstellungen zum Zulassen des Beitritts von Computern in einer Domäne zu einer Heimnetzgruppe

Letzte Aktualisierung: Oktober 2009

Betrifft: Windows 7

Heimnetzgruppe ist eine neue Funktion unter Windows 7, die ein einfaches Setup für das Freigeben von Dateien und Druckern in einem Heimnetzwerk ermöglicht. Außerdem erleichtert diese Funktion den Zugriff auf Medien mithilfe von Windows Media Player, Windows Media Center und kompatiblen Mediengeräten zu Hause. Ein Benutzer kann beispielsweise einen Computer, der einer Domäne am Arbeitsplatz angehört, mit nach Hause nehmen und einer bestehenden Heimnetzgruppe beitreten. Dadurch erhält er Zugriff auf Drucker und freigegebene Dateien auf Computern zu Hause.

ImportantWichtig
Wenn Benutzer einen Computer, der einer Domäne am Arbeitsplatz angehört, nach Hause mitnehmen und diesen Computer mit einer Heimnetzgruppe verbinden, erfolgt keine Freigabe von Inhalten des Arbeitscomputers. Mit dieser Sicherheitsfunktion wird verhindert, dass vertrauliche Informationen versehentlich für andere Heimnetzgruppenbenutzer freigegeben werden.

Warum sollten Sie einem Computer, der einer Domäne angehört, den Beitritt zu einer Heimnetzgruppe gestatten?

Das Verbinden eines Computers, der Mitglied einer Domäne am Arbeitsplatz ist, mit einer Heimnetzgruppe oder mit einem Heimnetzwerk ermöglicht Heimarbeitszenarien, die zuvor sehr aufwändig waren.

Wenn Benutzer in der Vergangenheit zu Hause arbeiten wollten, haben sie zur Übertragung von Dateien und Medien zwischen ihrem Heim- und Arbeitscomputer möglicherweise einen Wechseldatenträger verwendet. Vielleicht wurden vertrauliche Dokumente auch an ein privates E-Mail-Konto gesendet, um sie dann auf einem Computer mit Anschluss zum Heimdrucker zu öffnen und auszudrucken. Diese Praktiken bergen Sicherheitsrisiken und gestalten das Arbeiten zu Hause schwierig.

Heimnetzgruppe unter Windows 7 löst diese Probleme. Durch das Verbinden eines Arbeitscomputers mit einer Heimnetzgruppe müssen Benutzer beim Arbeiten zu Hause keine Sicherheitsbeeinträchtigungen in Kauf nehmen oder auf Hilfsmittel zurückgreifen, die nicht dem Standard entsprechen.

noteHinweis
Das Erstellen einer Heimnetzgruppe auf dem Arbeitscomputer ist nicht möglich, allerdings kann dieser einer bereits vorhandenen Heimnetzgruppe beitreten.

Wie kann ein Computer, der Mitglied einer Domäne ist, einer Heimnetzgruppe beitreten?

Eine der einfachsten Methoden für erfolgreiches Arbeiten zu Hause ist das Gewähren von Administratorrechten. Als Administrator kann der Benutzer Einstellungen und Berechtigungen ändern und Druckertreiber installieren. Die meisten Unternehmen müssen jedoch zusätzliche Sicherheitsmaßnahmen ergreifen und können Benutzern keine Administratorrechte für ihre Computer gewähren.

Um einer Heimnetzgruppe beizutreten, muss der Benutzer seine Netzwerkadresse auf Privat festlegen. Um Benutzern ohne Administratorrechte den Beitritt zu einer Heimnetzgruppe zu ermöglichen, wurden unter Windows 7 die Standardeinstellungen geändert, damit diese Benutzer die Netzwerkadresse ihres Computers ändern können. In früheren Versionen von Windows war dies nicht möglich. Zur Steuerung dieses Verhaltens wurde eine neue Gruppenrichtlinie, Höhere Rechte von Domänenbenutzern beim Festlegen einer Netzwerkadresse anfordern, erstellt. Das Ändern von Einstellungen für das Domänennetzwerk ist nicht möglich. Beispielsweise kann ein Benutzer die Netzwerkadresse Privat nicht für das Domänennetzwerk übernehmen. Die Arbeitsumgebung an sich bleibt gegenüber Windows Vista unverändert.

noteHinweis
Administratoren besitzen weiterhin die Möglichkeit zur Änderung von Netzwerkadressen. Auch Administratoren können einer Heimnetzgruppe beitreten.

Mit dieser Funktion kann ein Benutzer einen Computer, der einer Domäne am Arbeitsplatz angehört, mit nach Hause nehmen, den Computer mit dem Heimnetzwerk verbinden und die Netzwerkadresse auf Privat festlegen. Wird nun eine Heimnetzgruppe erkannt, kann der Benutzer dieser beitreten. Dieses Szenario ermöglicht das Erkennen und automatische Einrichten von freigegebenen Druckern zu Hause (für Druckertreiber mit Windows-Logos). Außerdem kann der Computer Medien auf anderen Computern der Heimnetzgruppe erkennen und verwenden.

Welche Einstellungen müssen vorgenommen werden, damit ein Computer, der Mitglied einer Domäne ist, einer Heimnetzgruppe beitreten kann?

Administratoren müssen folgende Einstellungen festlegen, um dem Benutzer das Verbinden eines Computers, der einer Domäne am Arbeitsplatz angehört, mit einer Arbeitsgruppe zu ermöglichen:

  • Firewalleinstellungen

  • IPsec-Einstellungen

  • Gruppenrichtlinieneinstellungen

Firewalleinstellungen

Um einen Computer in eine Heimnetzgruppe aufzunehmen, müssen bestimmte Firewallports geöffnet sein. Wenn Sie Windows-Firewall verwenden, werden die erforderlichen Ports beim Auswählen der Netzwerkadresse Privat standardmäßig geöffnet. Beim Verwenden einer nicht von Microsoft stammenden Firewall oder von benutzerdefinierten Einstellungen müssen alle Ports in der folgenden Liste für das Heimnetzwerk des Benutzers geöffnet werden:

Durch Auswählen der Netzwerkadresse Privat werden folgende Ports geöffnet:

  • Netzwerkerkennung (einschließlich WSD, UPnP und SSDP):

    UDP 5355, UDP 138, UDP 137, UDP 3702, UDP 1900, TCP 2869, TCP 5357, TCP 5358, UDP 3702

  • Remoteunterstützung:

    UDP 3540, UDP 1900, TCP 2869

    noteHinweis
    Diese Ports sind Teil des Standardprofils unter der Netzwerkadresse Privat. Es besteht keine Interaktion mit der Heimnetzgruppe. Die Ports werden lediglich der Vollständigkeit halber an dieser Stelle aufgeführt.

Wenn ein Computer, der Mitglied einer Domäne ist, einer Heimnetzgruppe beitritt, öffnet die Funktion Heimnetzgruppe zusätzlich folgende Ports:

  • Peer-zu-Peer-Gruppierung:

    TCP 3587

  • Peer Name Resolution-Protokoll (PNRP):

    UDP 3540

IPsec-Einstellungen

Um die uneingeschränkte Funktionalität der Heimnetzgruppe zu gewährleisten, sollten Unternehmen mit IPsec-Bereitstellungen domänenbasierte Gruppenrichtlinieneinstellungen für IPsec-Richtlinien verwenden. Sie sollten eine Regel einschließen, die Hosts ohne IPsec aus dem Bereich 192.168.x.x ermöglicht, den Computer auf TCP 3587 (Peer-zu-Peer-Gruppierung) und UDP 3540 (PNRP) zu kontaktieren.  

In Abhängigkeit von den spezifischen Gegebenheiten der Heimnetzwerkkonfiguration der Mitarbeiter (insbesondere wenn Adressen durch DHCP zugewiesen werden) ist es möglicherweise erforderlich, dass IT-Administratoren der Liste der zulässigen Adressen für diese Ports weitere Adressen hinzufügen. Wenn diese Regel nicht bereitgestellt wird, verursacht der Arbeitscomputer Probleme für andere Computer, die versuchen, der Heimnetzgruppe beizutreten. Insbesondere wenn ein neuer Computer versucht, einer Heimnetzgruppe beizutreten, die von einem Arbeitscomputer angekündigt wird, schlägt die Verbindung aufgrund von Zeitüberschreitung fehl.

Gruppenrichtlinieneinstellungen

Mithilfe von drei Gruppenrichtlinien in der Gruppenrichtlinien-Verwaltungskonsole können IT-Administratoren Computer steuern, die Mitglieder einer Domäne am Arbeitsplatz sind und die einer Heimnetzgruppe beitreten.

Vollständiger Pfad dieses Knotens in der Gruppenrichtlinien-Verwaltungskonsole:

Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen

Verfügbare Richtlinieneinstellungen:

 

Name Erläuterung Anforderungen

Höhere Rechte von Domänenbenutzern beim Festlegen einer Netzwerkadresse anfordern

Mit dieser Richtlinieneinstellung können Sie die Möglichkeit zum eigenständigen Ändern der Netzwerkadresse von Standarddomänenbenutzern steuern.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden von Domänenbenutzern höhere Rechte beim Festlegen einer Netzwerkadresse angefordert. Hierzu sind Administratorrechte erforderlich. (Hierbei handelt es sich um das gleiche Verhalten wie unter Windows Vista.)

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren (Standardeinstellung), können Standarddomänenbenutzer ihre Netzwerkadresse ändern.

Mindestens Windows 7 oder Windows Server 2008 R2

 

Vollständiger Pfad dieses Knotens in der Gruppenrichtlinien-Verwaltungskonsole:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Heimnetzgruppe

Verfügbare Richtlinieneinstellungen:

 

Name Erläuterung Anforderungen

Beitritt des Computers zu einer Heimnetzgruppe verhindern

Mit dieser Richtlinieneinstellung können Sie die Möglichkeit von Benutzern zum Beitritt einer Heimnetzgruppe steuern.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Heimnetzgruppen erkennen oder ihnen beitreten.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren (Standardeinstellung), können Benutzer Heimnetzgruppen erkennen und ihnen beitreten.

Mindestens Windows 7 oder Windows Server 2008 R2

 

Vollständiger Pfad dieses Knotens in der Gruppenrichtlinien-Verwaltungskonsole:

Computerkonfiguration\Administrative Vorlagen\Drucker

Verfügbare Richtlinieneinstellungen:

 

Name Erläuterung Anforderungen

Point-and-Print-Einschränkungen

Mit dieser Richtlinieneinstellung können Sie die Installation von Druckertreibern in der Heimnetzgruppe steuern.

Wenn Sie diese Richtlinieneinstellung aktivieren, ist die Installation von Druckertreibern mithilfe von Remotecomputern in der gleichen Heimnetzgruppe nur möglich, wenn der Treiber bereits auf dem lokalen Computer installiert ist.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren (Standardeinstellung), erkennen und installieren Computer, die einer Heimnetzgruppe angehören, Druckertreiber von anderen Computern in der gleichen Heimnetzgruppe automatisch.

Mindestens Windows Vista

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.