(0) exportieren Drucken
Alle erweitern

Gruppenrichtlinien für Anfänger

Letzte Aktualisierung: April 2011

Betrifft: Windows 7

Wenn Sie ein IT-Spezialist sind, der noch nie Gruppenrichtlinien zum Steuern von Computerkonfigurationen verwendet hat, richtet sich dieses Whitepaper an Sie. Bei Gruppenrichtlinien handelt es sich um das wesentliche Verfahren, mit dem die meisten Organisationen Einstellungen auf ihren Computern erzwingen. Es ist auch für die komplexesten Szenarios flexibel genug, wobei sich jedoch die wesentlichen Funktionen in häufiger vorkommenden unkomplizierten Szenarios einfach verwenden lassen.

Dieses Whitepaper bietet eine Einführung in Gruppenrichtlinien. Sie erhalten zunächst einen Überblick über die Aufgaben, die Sie mit Gruppenrichtlinien durchführen können. Anschließend werden die wesentlichen Konzepte erläutert, die Sie kennen müssen. Beispiel: Was ist ein Gruppenrichtlinienobjekt (GPO)? Was bedeutet Vererbung? Nachdem die Grundlagen erläutert wurden, finden Sie in diesem Whitepaper schrittweise Anleitungen mit zahlreichen Screenshots für die am häufigsten vorkommenden Aufgaben im Zusammenhang mit Gruppenrichtlinien.

noteHinweis
Diese Anleitung richtet sich an Anfänger beim Umgang mit Gruppenrichtlinien. Soweit möglich werden die Gruppenrichtlinienkonzepte auf unkomplizierte Weise in einfacher Sprache erläutert. Spezialisten im Umgang mit Gruppenrichtlinien finden detaillierte technische Informationen auf TechNet im Artikel zum Planungs- und Bereitstellungshandbuch für Gruppenrichtlinien.

Eine herunterladbare Version dieses Dokuments finden Sie im Artikel zu Gruppenrichtlinien für Anfänger im Microsoft Download Center.

Übersicht über Gruppenrichtlinien

Gruppenrichtlinien stellen die einfachste Möglichkeit dar, Computer- und Benutzereinstellungen in Netzwerken, die auf Active Directory-Domänendiensten (AD DS) basieren, zu konfigurieren. Wenn Gruppenrichtlinien in Ihrem Unternehmen nicht verwendet werden, verpassen Sie eine großartige Gelegenheit, um Kosten einzusparen, Konfigurationen zu steuern, die Sicherheit zu verbessern und für produktive und zufriedene Benutzer zu sorgen. Für Gruppenrichtlinien gilt: "eine Einstellung, viele Konfigurationen".

Die Anforderungen für die Verwendung von Gruppenrichtlinien sowie die zu befolgenden Anweisungen dieses Whitepapers sind unkompliziert:

  • Das Netzwerk muss auf AD DS basieren (d. h., auf mindestens einem Server muss die AD DS-Rolle installiert sein). Weitere Informationen zu AD DS finden Sie auf TechNet im Artikel zur Übersicht über Active Directory-Domänendienste.

  • Computer, die Sie verwalten möchten, müssen der Domäne angehören, und Benutzer, die Sie verwalten möchten, müssen sich an ihren Computern mithilfe von Domänenanmeldeinformationen anmelden.

  • Sie benötigen Berechtigungen zur Bearbeitung von Gruppenrichtlinien in der Domäne.

Dieses Whitepaper beschäftigt sich zwar in erster Linie mit der Verwendung von Gruppenrichtlinien in AD DS. Sie können Gruppenrichtlinieneinstellungen jedoch auch lokal auf den einzelnen Computern konfigurieren. Diese Möglichkeit eignet sich optimal für einmalige Szenarios oder Arbeitsgruppencomputer. Die Verwendung lokaler Gruppenrichtlinien wird jedoch für AD DS-basierte Unternehmensnetzwerke nicht empfohlen. Der Grund hierfür ist einfach: Durch domänenbasierte Gruppenrichtlinien wird die Verwaltung zentralisiert, sodass Sie viele Computer von einem einzigen Ort aus ansprechen können. Bei Verwendung lokaler Gruppenrichtlinien muss jeder einzelne Computer angesprochen werden – kein ideales Szenario in einer großen Umgebung. Weitere Informationen zum Konfigurieren lokaler Gruppenrichtlinien finden Sie im Artikel zum Editor für lokale Gruppenrichtlinien auf TechNet.

Die mithilfe von Gruppenrichtlinien definierten Richtlinieneinstellungen werden unter Windows 7 erzwungen. In den meisten Fällen wird die Benutzeroberfläche dieser Einstellungen deaktiviert. Da Gruppenrichtlinieneinstellungen unter Windows 7 an sicheren Orten in der Registrierung gespeichert werden, können Standardbenutzerkonten diese Einstellungen außerdem nicht ändern. Durch das einmalige Ansprechen einer Einstellung können Sie diese Einstellung also auf vielen Computern konfigurieren und erzwingen. Wenn eine Einstellung für einen Computer oder Benutzer nicht mehr zutrifft, wird die Richtlinieneinstellung durch die Gruppenrichtlinie entfernt. Die ursprüngliche Einstellung wird wiederhergestellt und die zugehörige Benutzeroberfläche wieder aktiviert. Dies ist eine ganz erstaunliche und zudem ausgesprochen leistungsstarke Funktion.

noteHinweis
Standardbenutzerkonten sind Benutzerkonten, die Mitglieder der lokalen Benutzergruppe und nicht der lokalen Administratorengruppe sind. Sie verfügen über eingeschränkte Möglichkeiten zum Konfigurieren der Systemeinstellungen. Windows 7 bietet eine bessere Unterstützung für Standardbenutzerkonten als frühere Windows-Versionen. Die Benutzer dieser Konten können nun u.a. die Zeitzone ändern, Drucker installieren und Netzwerkverbindungen reparieren. Die Bereitstellung von Standardbenutzerkonten ist eine bewährte Methode. Zu diesem Zweck fügen Sie Benutzerkonten einfach nicht der lokalen Administratorengruppe hinzu. Unter Windows 7 wird die Benutzergruppe der Domäne automatisch der lokalen Benutzergruppe hinzugefügt, wenn Sie den Computer der Domäne hinzufügen.

Wesentliche Gruppenrichtlinienkonzepte

Sie können alle Aspekte von Gruppenrichtlinien über die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwalten. Abbildung 1 zeigt die Gruppenrichtlinien-Verwaltungskonsole. In diesem Whitepaper wird bei der Erläuterung wichtiger Gruppenrichtlinienkonzepte häufig auf diese Abbildung Bezug genommen.

Screenshot

Abbildung 1. Gruppenrichtlinien-Verwaltungskonsole

Sie starten die Gruppenrichtlinien-Verwaltungskonsole über das Startmenü: Klicken Sie auf Start, Alle Programme, Verwaltung, Gruppenrichtlinienverwaltung. Sie können auch auf Start klicken, Gruppenrichtlinienverwaltung eingeben und dann im Abschnitt Programme des Startmenüs auf Gruppenrichtlinienverwaltung klicken. Windows Server 2008 und Windows Server 2008 R2 enthalten die Gruppenrichtlinien-Verwaltungskonsole, wenn die AD DS-Rolle ausgeführt wird. Andernfalls können Sie die Gruppenrichtlinien-Verwaltungskonsole unter Windows Server 2008, Windows Server 2008 R2 oder Windows 7 mithilfe der weiter unten in diesem Whitepaper enthaltenen Anweisungen im Abschnitt "Installieren der Gruppenrichtlinien-Verwaltungskonsole unter Windows 7" installieren.

Gruppenrichtlinienobjekte

Gruppenrichtlinienobjekte enthalten Richtlinieneinstellungen. Sie können sich Gruppenrichtlinienobjekte als Richtliniendokumente vorstellen, deren Einstellungen auf die Computer und Benutzer angewendet werden, die ihrer Kontrolle unterliegen. Wenn Gruppenrichtlinienobjekte Richtliniendokumente sind, entspricht die Gruppenrichtlinien-Verwaltungskonsole Windows-Explorer. Sie verwenden die Gruppenrichtlinien-Verwaltungskonsole zum Erstellen, Verschieben und Löschen von Gruppenrichtlinienobjekten auf die gleiche Weise, wie Sie Windows-Explorer zum Erstellen, Verschieben und Löschen von Dateien nutzen.

In der Gruppenrichtlinien-Verwaltungskonsole werden alle Gruppenrichtlinienobjekte der Domäne im Ordner Gruppenrichtlinienobjekte angezeigt. In Abbildung 1 werden unter Beschriftung 1 drei Gruppenrichtlinienobjekte für die Domäne corp.contoso.com angezeigt. Es handelt sich um die folgenden Gruppenrichtlinienobjekte:

  • Accounting Security (Buchhaltungsscherheit). Dies ist ein speziell für Contoso, Ltd. erstelltes benutzerdefiniertes Gruppenrichtlinienobjekt.

  • Default Domain Controller Policy (Standarddomänencontroller-Richtlinie). Beim Installieren der AD DS-Serverrolle wird diese Richtlinie standardmäßig erstellt. Sie enthält Richtlinieneinstellungen, die speziell für Domänencontroller gelten.

  • Default Domain Policy (Standarddomänenrichtlinie). Beim Installieren der AD DS-Serverrolle wird diese Richtlinie standardmäßig erstellt. Sie enthält Richtlinieneinstellungen, die für alle Computer und Benutzer in der Domäne gelten.

Gruppenrichtlinienverknüpfungen

Auf der obersten Ebene von AD DS befinden sich Standorte und Domänen. Einfache Implementierungen verfügen über einen einzelnen Standort und eine einzelne Domäne. Innerhalb einer Domäne können Sie Organisationseinheiten (OE) erstellen. Organisationseinheiten entsprechen Ordnern in Windows-Explorer. Statt Dateien und Unterordner können sie jedoch Computer, Benutzer und andere Objekte enthalten.

Abbildung 1 enthält beispielsweise eine Organisationseinheit namens Departments (Abteilungen). Unter der Organisationseinheit Departments befinden sich vier Unterordner: Accounting, Engineering, Management und Marketing. Dies sind die untergeordneten OEs. Außer der Organisationseinheit Domain Controllers gibt es in Abbildung 1 keine weitere Organisationseinheit.

Was hat das mit Gruppenrichtlinienverknüpfungen zu tun? Gruppenrichtlinienobjekte im Ordner Group Policy Objects (Gruppenrichtlinienobjekte) wirken sich nur dann aus, wenn Sie sie mit einem Standort, einer Domäne oder einer Organisationseinheit verknüpfen. Wenn Sie ein Gruppenrichtlinienobjekt mit einem Container verknüpfen, werden die Einstellungen des Gruppenrichtlinienobjekts durch die Gruppenrichtlinie auf die Computer und Benutzer in diesem Container angewendet. In Abbildung 1 verweist die Beschriftung 1 auf zwei Gruppenrichtlinienobjekte, die mit zwei Organisationseinheiten verknüpft sind:

  • Das erste Gruppenrichtlinienobjekt hat die Bezeichnung Default Domain Policy und ist mit der Domäne corp.contoso.com verknüpft. Dieses Gruppenrichtlinienobjekt gilt für jeden Computer und jeden Benutzer in der Domäne.

  • Das zweite Gruppenrichtlinienobjekt hat den Namen Accounting Security und ist mit der Organisationseinheit Accounting verknüpft. Dieses Gruppenrichtlinienobjekt wird auf jeden Computer und Benutzer in der Organisationseinheit Accounting angewendet.

In der Gruppenrichtlinien-Verwaltungskonsole können Sie Gruppenrichtlinienobjekte im Ordner Group Policy Objects erstellen und anschließend in zwei Schritten verknüpfen. Sie können ein Gruppenrichtlinienobjekt auch in einem einzigen Schritt erstellen und verknüpfen. Meistens erstellen und verknüpfen Sie ein Gruppenrichtlinienobjekt einfach in einem einzigen Schritt. Dies wird weiter unten in diesem Whitepaper unter "Erstellen eines Gruppenrichtlinienobjekts" beschrieben.

Gruppenrichtlinienvererbung

Wie im vorherigen Abschnitt bereits erwähnt, wird ein Gruppenrichtlinienobjekt, das Sie mit der Domäne verknüpfen, auf die Computer und Benutzer in jeder Organisationseinheit und jeder untergeordneten Organisationseinheit in der Domäne angewendet. Ebenso wird ein Gruppenrichtlinienobjekt, das Sie mit einer Organisationseinheit verknüpfen, auf die Computer und Benutzer in jeder untergeordneten Organisationseinheit angewendet. Dieses Konzept wird als Vererbung bezeichnet.

Wenn Sie beispielsweise ein Gruppenrichtlinienobjekt namens Windows Firewall Settings (Windows-Firewalleinstellungen) erstellen und mit der Domäne corp.contoso.com in Abbildung 1 verknüpfen, werden die Einstellungen in diesem Gruppenrichtlinienobjekt auf alle Organisationseinheiten in der Abbildung angewendet: Departments, Accounting, Engineering, Management, Marketing und Domain Controllers. Wenn Sie das Gruppenrichtlinienobjekt stattdessen mit der Organisationseinheit Departments verknüpfen, werden die Einstellungen des Gruppenrichtlinienobjekts nur auf die Organisationseinheiten Departments, Accounting, Engineering, Management und Marketing angewendet. Es wird nicht auf die gesamte Domäne oder die Organisationseinheit Domain Controllers angewendet. Wenn Sie eine Ebene tiefer dasselbe Gruppenrichtlinienobjekt mit der Organisationseinheit Accounting in Abbildung 1 verknüpfen, werden die Einstellungen im Gruppenrichtlinienobjekt nur auf die Organisationseinheit Accounting angewendet, da diese nicht über untergeordnete Organisationseinheiten verfügt. In der Gruppenrichtlinien-Verwaltungskonsole wird angezeigt, welche Gruppenrichtlinienobjekte ein Container erbt, indem Sie auf die Registerkarte Group Policy Inheritance (Gruppenrichtlinienvererbung) (Beschriftung 1 in Abbildung 2) klicken.

Screenshot

Abbildung 2. Gruppenrichtlinienvererbung und Rangfolge

Was geschieht, wenn mehrere Gruppenrichtlinienobjekte dieselbe Einstellung enthalten? Nun kommt die Rangfolge ins Spiel. Grundsätzlich bestimmt die Reihenfolge, in der die Gruppenrichtlinienobjekte durch die Gruppenrichtlinie angewendet werden, die Rangfolge. Die Reihenfolge ist Standort, Domäne, Organisationseinheit und untergeordnete Organisationseinheiten. Daher haben Gruppenrichtlinienobjekte in untergeordneten Organisationseinheiten Vorrang vor mit übergeordneten Organisationseinheiten verknüpften Gruppenrichtlinienobjekten. Diese wiederum haben Vorrang vor mit der Domäne verknüpften Gruppenrichtlinienobjekten, die Vorrang vor mit dem Standort verknüpften Gruppenrichtlinienobjekten haben. Stellen Sie sich einfach vor, dass Gruppenrichtlinienobjekte durch Gruppenrichtlinien "von oben nach unten" angewendet werden, wobei die Einstellungen jeweils überschrieben werden. In anspruchsvolleren Szenarios können Sie die Rangfolge jedoch außer Kraft setzen.

In einer einzelnen Organisationseinheit können auch mehrere Gruppenrichtlinienobjekte vorhanden sein, die dieselbe Einstellung enthalten. Auch hier bestimmt die Reihenfolge, in der die Gruppenrichtlinienobjekte durch die Gruppenrichtlinie angewendet werden, die Rangfolge. In Abbildung 2 werden zwei mit der Domäne corp.contoso.com verknüpfte Gruppenrichtlinienobjekte angezeigt: Windows Firewall Settings (Windows-Firewalleinstellungen) und Default Domain Policy (Standarddomänenrichtlinie). Die Gruppenrichtlinie wendet Gruppenrichtlinienobjekte mit einer niedrigeren Verknüpfungsreihenfolge an, nachdem Gruppenrichtlinienobjekte mit einer höheren Verknüpfungsreihenfolge angewendet wurden. In diesem Fall wird also Windows Firewall Settings (Windows-Firewalleinstellungen) nach Default Domain Policy (Standarddomänenrichtlinie) angewendet. Beachten Sie, dass die Verknüpfungsreihenfolge 1 oberste Priorität bedeutet, während es sich bei der Verknüpfungsreihenfolge 2 um sekundäre Priorität handelt. Sie können die Verknüpfungsreihenfolge für einen Container ändern, indem Sie auf die nach oben oder unten weisenden Pfeile klicken (siehe Beschriftung 2 in Abbildung 2).

noteHinweis
Sicher haben Sie inzwischen festgestellt, dass es sich bei Gruppenrichtlinien um ein äußerst vielseitiges Tool handelt. Allerdings können Gruppenrichtlinien auch dazu verleiten, die Dinge zu kompliziert zu gestalten. In einfachen Umgebungen wie Schulungsumgebungen und kleinen Unternehmen können Ihre sämtlichen Gruppenrichtlinienobjekte problemlos mit der Domäne verknüpft werden. Gestalten Sie Ihre Umgebung einfach. Kompliziertere Einstellungen sollten begründet sein. Wenn Sie unter Zugrundelegung der Konfiguration in Abbildung 1 ein Gruppenrichtlinienobjekt erstellen und es nur mit den Organisationseinheiten Engineering und Marketing verknüpfen möchten, sollte der Grund hierfür sein, dass das Gruppenrichtlinienobjekt Einstellungen enthält, die nur für diese beiden Abteilungen gelten und die nicht auf eine andere Abteilung angewendet werden sollten. Wenn dieser Grund nicht vorliegt, sollten Sie Ihre Umgebung einfach gestalten, indem Sie das Gruppenrichtlinienobjekt einmal mit der Domäne verknüpfen.

Gruppenrichtlinieneinstellungen

Sie haben nun einige Informationen zu Gruppenrichtlinienobjekten erhalten. Sie haben erfahren, dass sich die Gruppenrichtlinien-Verwaltungskonsole (GPMC) zu Gruppenrichtlinienobjekten und Organisationseinheiten so verhält, wie Windows-Explorer zu Dateien und Ordnern. Die Gruppenrichtlinienobjekte sind die Richtliniendokumente. Irgendwann wird der Fall eintreten, dass Sie eines dieser Dokumente bearbeiten müssen. Der hierfür verwendete Editor ist der Gruppenrichtlinienverwaltungs-Editor (Group Policy Management Editor, GPME), der in Abbildung 3 dargestellt ist. Sie öffnen ein Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor, indem Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste darauf klicken und dann auf Edit (Bearbeiten) klicken. Anschließend schließen Sie einfach das Fenster. Der Gruppenrichtlinienverwaltungs-Editor speichert Ihre Änderungen automatisch.

Screenshot

Abbildung 3. Group Policy Management Editor (Gruppenrichtlinienverwaltungs-Editor)

In Abbildung 3 verweisen die Beschriftungen 1 und 2 auf Computer Configuration und User Configuration. Der Ordner Computer Configuration enthält Einstellungen, die für Computer gelten, unabhängig davon, welche Benutzer sich an den Computern anmelden. In der Regel sind dies System- und Sicherheitseinstellungen, mit denen der Computer konfiguriert und gesteuert wird. Der Ordner User Configuration enthält Einstellungen, die für Benutzer gelten, unabhängig davon, welchen Computer die Benutzer verwenden. In der Regel wirken sich diese Einstellungen auf die Benutzeroberfläche aus.

Die Ordner Computer Configuration und User Configuration enthalten zwei Unterordner (Beschriftungen 3 und 4 in Abbildung 3):

  • Policies (Richtlinien). Der Ordner Policies enthält durch Gruppenrichtlinien erzwungene Richtlinieneinstellungen.

  • Preferences (Einstellungen). Der Ordner Preferences enthält Einstellungen, mit denen Sie fast alle Registrierungseinstellungen, Dateien, Ordner oder sonstigen Elemente ändern können. Mithilfe der Einstellungen können Sie Anwendungen und Windows-Funktionen konfigurieren, die nicht gruppenrichtlinienfähig sind. Sie können beispielsweise eine Einstellung erstellen, mit der ein Registrierungswert für die Anwendung eines Drittanbieters konfiguriert, der Ordner Sample Pictures (Beispielbilder) aus Benutzerprofilen gelöscht oder eine INI-Datei konfiguriert wird. Sie können auswählen, ob jede Einstellung durch Gruppenrichtlinien erzwungen wird oder nicht. Mit Standardbenutzerkonten können jedoch die meisten Einstellungen geändert werden, die Sie im Ordner User Configuration zwischen Gruppenrichtlinienaktualisierungen definieren. Weitere Informationen zu Einstellungen finden Sie im Artikel zu Gruppenrichtlinieneinstellungen.

Wenn Sie Ihre ersten Erfahrungen mit Gruppenrichtlinien machen, befinden sich die meisten Einstellungen, die Sie konfigurieren, in den Ordnern mit administrativen Vorlagen. Dies sind registrierungsbasierte Richtlinieneinstellungen, die von Gruppenrichtlinien erzwungen werden. Sie unterscheiden sich in zweierlei Hinsicht von anderen Richtlinieneinstellungen. Erstens speichern Gruppenrichtlinien diese Einstellungen in bestimmten, als Richtlinienverzweigungen bezeichneten Registrierungspfaden, die von Standardbenutzerkonten nicht geändert werden können. Gruppenrichtlinienfähige Windows-Funktionen und -Anwendungen suchen nach diesen Einstellungen in der Registrierung. Wenn sie diese Richtlinieneinstellungen finden, verwenden Sie die Richtlinieneinstellungen anstelle der regulären Einstellungen. Häufig deaktivieren sie auch die Benutzeroberfläche für diese Einstellungen.

Zweitens werden mithilfe administrativer Vorlagendateien mit der Dateierweitung ADMX Vorlagen für diese Einstellungen definiert. Mit diesen Vorlagen wird nicht nur definiert, wo sich Richtlinieneinstellungen in der Registrierung befinden, sondern auch wie im Gruppenrichtlinienverwaltungs-Editor nach ihnen gefragt wird. In der in Abbildung 4 dargestellten Gruppenrichtlinieneinstellung definiert eine administrative Vorlage u.a. Hilfetext, verfügbare Optionen und unterstützte Betriebssysteme.

Screenshot

Abbildung 4. Gruppenrichtlinieneinstellung

Wenn Sie eine Richtlinieneinstellung bearbeiten, müssen Sie normalerweise die Optionen auswählen, die in Abbildung 4 mit 1 bis 3 gekennzeichnet sind. Beim Klicken auf die entsprechende Option geschieht Folgendes:

  • Enabled (Aktiviert): Die Richtlinieneinstellung wird mit einem Wert in die Registrierung geschrieben, der sie aktiviert.

  • Disabled (Deaktiviert): Die Richtlinieneinstellung wird mit einem Wert in die Registrierung geschrieben, der sie deaktiviert.

  • Not Configured (Nicht konfiguriert): Die Richtlinieneinstellung ist nicht definiert. Die Richtlinieneinstellung wird von der Gruppenrichtlinie nicht in die Registrierung geschrieben und hat so keinerlei Auswirkungen auf Computer oder Benutzer.

Es lässt sich nicht generell sagen, was "aktiviert" und "deaktiviert" bei jeder Richtlinieneinstellung bedeutet. Sie können normalerweise den Hilfetext (Beschriftung 5) lesen, um die genaue Bedeutung der Optionen zu ermitteln. Lesen Sie den Namen der Richtlinieneinstellung unbedingt auch sorgfältig. Es gibt beispielsweise Richtlinieneinstellungen mit der Bezeichnung "Turn on feature X" (Funktion X aktivieren) oder "Turn off feature Y" (Funktion Y deaktivieren). "Enabled" und "Disabled" haben dann von Fall zu Fall eine andere Bedeutung. Lesen Sie unbedingt den Hilfetext zu den einzelnen Richtlinieneinstellungen, die Sie konfigurieren, bis Sie sich gut auskennen.

Bei manchen Richtlinieneinstellungen können zusätzliche Optionen konfiguriert werden. Beschriftung 4 in Abbildung 4 zeigt die Optionen, die für die Richtlinieneinstellung für das Gruppenrichtlinien-Aktualisierungsintervall verfügbar sind. In den meisten Fällen entsprechen die Standardwerte den Standardwerten für Windows. Der Hilfetext enthält außerdem normalerweise detaillierte Informationen zu den Optionen, die Sie konfigurieren können.

Aktualisieren von Gruppenrichtlinien

Wie im vorherigen Abschnitt erläutert wurde, enthalten Gruppenrichtlinienobjekte sowohl Computer- als auch Benutzereinstellungen. Mithilfe von Gruppenrichtlinien wird Folgendes angewendet:

  • Computereinstellungen beim Start von Windows.

  • Benutzereinstellungen, nachdem sich Benutzer am Computer angemeldet haben.

Die Gruppenrichtlinienobjekte der Gruppenrichtlinie werden regelmäßig aktualisiert. Dadurch wird sichergestellt, dass neue und geänderte Gruppenrichtlinienobjekte von der Gruppenrichtlinie angewendet werden, ohne dass auf einen Neustart des Computers oder die Abmeldung des Benutzers gewartet wird. Der Zeitraum zwischen diesen Aktualisierungen wird als Gruppenrichtlinien-Aktualisierungsintervall bezeichnet. Dies sind standardmäßig 90 Minuten, wobei eine gewisse Zufälligkeit vorgesehen ist, um zu verhindern, dass alle Computer gleichzeitig aktualisiert werden. Wenn Sie ein Gruppenrichtlinienobjekt in der Mitte des Tages ändern, wendet die Gruppenrichtlinie die Änderungen innerhalb von ca. 90 Minuten an. Sie müssen nicht bis zum Ende des Tages warten, wenn sich die Benutzer abgemeldet oder ihre Computer neu gestartet haben. In anspruchsvolleren Szenarios können Sie das standardmäßige Aktualisierungsintervall ändern.

noteHinweis
Sie können Gruppenrichtlinien jederzeit manuell mit dem Befehl Gpupdate.exe aktualisieren. Zum Beispiel möchten Sie möglicherweise nach dem Aktualisieren eines Gruppenrichtlinienobjekts die Gruppenrichtlinie auf einem Computer aktualisieren, um die Änderungen zu testen, ohne auf das Gruppenrichtlinien-Aktualisierungsintervall zu warten. Schrittweise Anleitungen finden Sie im Abschnitt "Aktualisieren von Clients" weiter unten in diesem Whitepaper.

Wesentliche Aufgaben im Zusammenhang mit Gruppenrichtlinien

Sie haben nun die wesentlichen Gruppenrichtlinienkonzepte kennengelernt. Sie wissen, dass ein Gruppenrichtlinienobjekt einem Dokument ähnelt, das Richtlinieneinstellungen enthält. Sie verwalten Gruppenrichtlinienobjekte in der Gruppenrichtlinien-Verwaltungskonsole und bearbeiten sie im Gruppenrichtlinienverwaltungs-Editor.

Außerdem wissen Sie, dass Sie Gruppenrichtlinienobjekte mit AD DS-Standorten, Domänen und Organisationseinheiten verknüpfen, um die Einstellungen der Gruppenrichtlinienobjekte auf diese Container anzuwenden. Domänen, Organisationseinheiten und untergeordnete Organisationseinheiten erben Einstellungen von ihren übergeordneten Elementen. Doppelte Einstellungen in Gruppenrichtlinienobjekten, die mit untergeordneten Organisationseinheiten verknüpft sind, haben jedoch Vorrang vor denselben Einstellungen in Gruppenrichtlinienobjekten, die mit übergeordneten Organisationseinheiten verknüpft sind. Diese haben wiederum Vorrang vor Gruppenrichtlinienobjekten, die mit der Domäne verknüpft sind usw.

Sie wissen außerdem, dass innerhalb eines Standorts, einer Domäne oder einer Organisationseinheit die Verknüpfungsreihenfolge die Rangfolge bestimmt (je kleiner die Zahl um so höher der Rang). Schließlich haben Sie nun im Wesentlichen gelernt, wie Gruppenrichtlinienobjekte bearbeitet werden und welche Arten von Einstellungen sie enthalten.

Nachdem Sie nun die wesentlichen Konzepte kennen, können Sie sich mit den wichtigen Aufgaben beschäftigen. In diesem Abschnitt wird beschrieben, wie Gruppenrichtlinienobjekte erstellt, bearbeitet und gelöscht werden. Außerdem werden hier auch zahlreiche weitere Aufgaben beschrieben. Für jede Aufgabe finden Sie eine Erläuterung ihres Zwecks und schrittweise Anleitungen mit Screenshots zu jedem Schritt.

noteHinweis
Eine Funktion des Microsoft Desktop Optimization Pack (MDOP) mit der Bezeichnung "Erweiterte Gruppenrichtlinienverwaltung (AGPM)" erweitert Gruppenrichtlinien um neue Möglichkeiten wie die Offlinebearbeitung, Versionskontrolle und die rollenbasierte Delegierung. Jede Organisation kann bei der Verwaltung von Gruppenrichtlinien von der erweiterten Gruppenrichtlinienverwaltung profitieren. Weitere Informationen zur erweiterten Gruppenrichtlinienverwaltung finden Sie im Artikel zum Verbessern von Gruppenrichtlinien durch die Änderungsverwaltung.

Erstellen eines Gruppenrichtlinienobjekts

Sie erstellen ein Gruppenrichtlinienobjekt in der Gruppenrichtlinien-Verwaltungskonsole. Gruppenrichtlinienobjekte können auf zwei Arten erstellt werden:

  • Erstellen und Verknüpfen eines Gruppenrichtlinienobjekts in einem Schritt.

  • Erstellen eines Gruppenrichtlinienobjekts im Ordner Group Policy Objects und anschließendes Verknüpfen mit der Domäne oder Organisationseinheit.

In den Anweisungen in diesem Abschnitt wird beschrieben, wie ein Gruppenrichtlinienobjekt in einem Schritt erstellt und verknüpft wird.

Sie können mit einem leeren Gruppenrichtlinienobjekt beginnen (wie in den Anweisungen erläutert), oder Sie können ein Starter-Gruppenrichtlinienobjekt verwenden. Wie Starter-Gruppenrichtlinienobjekte verwendet werden, wird im Artikel zur Verwendung von Starter-Gruppenrichtlinienobjekten für fortgeschrittene Benutzer beschrieben.

So erstellen und verknüpfen Sie ein Gruppenrichtlinienobjekt in der Domäne oder einer Organisationseinheit

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, in der Sie ein Gruppenrichtlinienobjekt erstellen und verknüpfen möchten, und klicken Sie dann auf Create a GPO in this domain, and Link it here (Gruppenrichtlinienobjekt hier erstellen und verknüpfen).

Screenshot

2

Geben Sie im Dialogfeld New GPO (Neues Gruppenrichtlinienobjekt) im Feld Name einen beschreibenden Namen für das Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.

Screenshot

Bearbeiten eines Gruppenrichtlinienobjekts

In der Gruppenrichtlinien-Verwaltungskonsole können Sie Gruppenrichtlinienobjekte im Gruppenrichtlinienverwaltungs-Editor öffnen, um sie in einem beliebigen Container zu bearbeiten. Verwenden Sie zum Anzeigen aller Gruppenrichtlinienobjekte, unabhängig davon, womit diese verknüpft werden, den Ordner Group Policy Objects, um sie zu bearbeiten.

So bearbeiten Sie ein Gruppenrichtlinienobjekt in der Domäne, einer Organisationseinheit oder dem Ordner "Group Policy Objects"

 

1

Klicken Sie im linken Fensterbereich der Gruppenrichtlinien-Verwaltungskonsole auf Group Policy Objects, um alle Gruppenrichtlinienobjekte der Domäne im rechten Fensterbereich anzuzeigen. Alternativ können Sie auf die Domäne oder eine beliebige Organisationseinheit klicken, um die Gruppenrichtlinienobjekte dieses Containers im rechten Fensterbereich anzuzeigen.

Screenshot

2

Klicken Sie im rechten Fensterbereich der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie bearbeiten möchten, und klicken Sie dann auf Edit, um das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor zu öffnen.

Screenshot

3

Bearbeiten Sie im Gruppenrichtlinienverwaltungs-Editor die Gruppenrichtlinieneinstellungen, die Sie ändern möchten, und schließen Sie danach das Fenster des Gruppenrichtlinienverwaltungs-Editors. Sie müssen Ihre Änderungen nicht speichern, da die Änderungen im Gruppenrichtlinienverwaltungs-Editor automatisch gespeichert werden.

Screenshot

Verknüpfen eines Gruppenrichtlinienobjekts

Wenn Sie Gruppenrichtlinienobjekte in einem Schritt erstellen und verknüpfen, müssen Sie sie nicht manuell mit den Domänen oder Organisationseinheiten verknüpfen. Falls Sie jedoch ein Gruppenrichtlinienobjekt im Ordner Group Policy Objects erstellen oder die Verknüpfung eines Gruppenrichtlinienobjekts aufheben und dann wiederherstellen möchten, müssen Sie das Gruppenrichtlinienobjekt manuell verknüpfen. Am unkompliziertesten können Sie ein Gruppenrichtlinienobjekt verknüpfen, indem Sie es einfach aus dem Ordner Group Policy Objects ziehen und in der Domäne oder der Organisationseinheit ablegen, mit der Sie es verknüpfen möchten.

So verknüpfen Sie ein Gruppenrichtlinienobjekt mit einer Domäne oder einer Organisationseinheit

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf die Domäne oder die Organisationseinheit, mit der Sie das Gruppenrichtlinienobjekt verknüpfen möchten. Klicken Sie dann auf Link an Existing GPO (Vorhandenes Gruppenrichtlinienobjekt verknüpfen).

Screenshot

2

Klicken Sie im Dialogfeld Select GPO (Gruppenrichtlinienobjekt auswählen) auf das Gruppenrichtlinienobjekt, das Sie mit der Domäne oder der Organisationseinheit verknüpfen möchten, und klicken Sie dann auf OK.

Screenshot

Aufheben der Verknüpfung eines Gruppenrichtlinienobjekts

Sie heben die Verknüpfung eines Gruppenrichtlinienobjekts auf, wenn Sie es nicht mehr auf die Domäne oder die Organisationseinheit (oder die untergeordneten Organisationseinheiten) anwenden möchten. Sie können die Verknüpfung später wiederherstellen, wie im Abschnitt "Verknüpfen eines Gruppenrichtlinienobjekts" beschrieben.

Durch das Aufheben der Verknüpfung zwischen einem Gruppenrichtlinienobjekt und einer Domäne oder einer Organisationseinheit wird das Gruppenrichtlinienobjekt nicht gelöscht. Nur die Verknüpfung wird gelöscht. Nachdem Sie die Verknüpfung mit einem Gruppenrichtlinienobjekt aufgehoben haben, wird es weiterhin im Ordner Group Policy Objects in der Gruppenrichtlinien-Verwaltungskonsole angezeigt.

So heben Sie die Verknüpfung eines Gruppenrichtlinienobjekts mit einer Domäne oder einer Organisationseinheit auf

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf die Domäne oder die Organisationseinheit, die das Gruppenrichtlinienobjekt enthält, dessen Verknüpfung Sie aufheben möchten.

Screenshot

2

Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, dessen Verknüpfung mit der Domäne oder der Organisationseinheit Sie aufheben möchten, und klicken Sie dann auf Delete (Löschen).

Screenshot

3

Klicken Sie im Dialogfeld Group Policy Management auf OK.

Screenshot

Löschen eines Gruppenrichtlinienobjekts

Das Löschen eines Gruppenrichtlinienobjekts ist nicht dasselbe wie das Aufheben der Verknüpfung eines Gruppenrichtlinienobjekts mit einer Domäne oder einer Organisationseinheit. Sie löschen Gruppenrichtlinienobjekte im Ordner Group Policy Objects. Dadurch wird nur die Verknüpfung und nicht das Gruppenrichtlinienobjekt selbst entfernt.

noteHinweis
Es empfiehlt sich, das Gruppenrichtlinienobjekt vor dem Löschen zu sichern. Im Abschnitt "Sichern von Gruppenrichtlinienobjekten" wird erläutert, wie Gruppenrichtlinienobjekte gesichert werden. Im Abschnitt "Wiederherstellen von Gruppenrichtlinienobjekten" wird erklärt, wie Gruppenrichtlinienobjekte aus einer Sicherung wiederhergestellt werden.

So löschen Sie ein Gruppenrichtlinienobjekt aus dem Ordner "Group Policy Objects"

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf den Ordner Group Policy Objects.

Screenshot

2

Klicken Sie im rechten Fensterbereich der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie löschen möchten, und klicken Sie auf Delete.

Screenshot

3

Klicken Sie im Dialogfeld Group Policy Management auf Yes, um zu bestätigen, dass Sie das Gruppenrichtlinienobjekt und die zugehörigen Verknüpfungen löschen möchten.

Screenshot

4

Bestätigen Sie im Dialogfeld Delete, dass der Löschvorgang erfolgreich war, und klicken Sie auf OK.

Screenshot

Aktualisieren von Clients

Während Sie Gruppenrichtlinienobjekte bearbeiten oder testen oder Probleme im Zusammenhang mit Gruppenrichtlinienobjekten beheben, müssen Sie nicht auf das Gruppenrichtlinien-Aktualisierungsintervall warten (standardmäßig alle 90 Minuten). Sie können Gruppenrichtlinien mit dem Befehl Gpupdate.exe auf jedem Clientcomputer manuell aktualisieren. Gpupdate.exe unterstützt zahlreiche Befehlszeilenoptionen, über die Sie sich informieren können, indem Sie in einem Eingabeaufforderungsfenster gpupdate.exe /? eingeben. In den meisten Fällen können Sie Gruppenrichtlinien jedoch mithilfe der Anweisungen in diesem Abschnitt aktualisieren.

So aktualisieren Sie Gruppenrichtlinien manuell mit dem Befehl Gpupdate.exe

 

1

Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE, um ein Eingabeaufforderungsfenster zu öffnen.

Screenshot

2

Geben Sie an der Eingabeaufforderung gpupdate ein, und drücken Sie die EINGABETASTE. Gpupdate.exe aktualisiert alle geänderten Einstellungen. Sie können erzwingen, dass Gpupdate.exe unabhängig davon, ob diese vor kurzem geändert wurden, alle Einstellungen aktualisiert, indem Sie gpupdate /force eingeben und die EINGEABETASTE drücken.

Screenshot

Sichern von Gruppenrichtlinienobjekten

Das Sichern von Dateien ist ein wichtiger Vorgang. Gruppenrichtlinienobjekte stellen hierbei keine Ausnahme dar. Wenn Sie ein Gruppenrichtlinienobjekt versehentlich geändert oder gelöscht haben, können Sie es anhand einer Sicherung schnell wiederherstellen. In der Gruppenrichtlinien-Verwaltungskonsole können Sie Gruppenrichtlinienobjekte an jedem Speicherort sichern.

So sichern Sie ein Gruppenrichtlinienobjekt in einem Ordner

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf den Ordner Group Policy Objects.

Screenshot

2

Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie sichern möchten, und klicken Sie dann auf Back Up.

Screenshot

3

Geben Sie im Dialogfeld Back Up Group Policy Object im Feld Location (Ort) den Pfad des Ordners ein, in dem Sie das Gruppenrichtlinienobjekt sichern möchten. Sie können auch auf Browse klicken, um einen Ordner auszuwählen. Geben Sie außerdem im Feld Description (Beschreibung) eine kurze Beschreibung des Gruppenrichtlinienobjekts ein, und klicken Sie dann auf Back Up.

Screenshot

4

Bestätigen Sie im Dialogfeld Backup die Ergebnisse, und klicken Sie auf OK.

Screenshot

Wiederherstellen von Gruppenrichtlinienobjekten

In der Gruppenrichtlinien-Verwaltungskonsole können Sie verschiedene Versionen eines gesicherten Gruppenrichtlinienobjekts wiederherstellen. In den Anweisungen in diesem Abschnitt wird erläutert, wie ein oder mehrere Gruppenrichtlinienobjekte aus einem Sicherungsordner wiederhergestellt werden.

So stellen Sie ein zuvor gesichertes Gruppenrichtlinienobjekt wieder her

 

1

Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf den Ordner Group Policy Objects, um die Gruppenrichtlinienobjekte in der Domäne anzuzeigen.

Screenshot

2

Klicken Sie mit der rechten Maustaste auf den Ordner Group Policy Objects, und klicken Sie dann auf Manage Backups.

Screenshot

3

Klicken Sie im Dialogfeld Manage Backups in der Liste Backup location (Sicherungsverzeichnis) auf das zuvor verwendete Sicherungsverzeichnis. Sie können auch auf Browse klicken, um einen Ordner auszuwählen, der Gruppenrichtlinienobjekt-Sicherungen enthält.

Screenshot

4

Wählen Sie in der Liste Backed up GPOs (Gesicherte Gruppenrichtlinienobjekte) ein oder mehrere Gruppenrichtlinienobjekte aus, die Sie wiederherstellen möchten, und klicken Sie dann auf Restore (Wiederherstellen). Wenn mehrere Versionen jedes Gruppenrichtlinienobjekts angezeigt werden und Sie nur die zuletzt gesicherte Version anzeigen möchten, aktivieren Sie das Kontrollkästchen Show only the latest version of each GPO (Für jedes Gruppenrichtlinienobjekt nur die neueste Version anzeigen).

Screenshot

5

Bestätigen Sie im Dialogfeld Restore, dass der Vorgang erfolgreich durchgeführt wurde, und klicken Sie auf OK.

Screenshot

Installieren der Gruppenrichtlinien-Verwaltungskonsole unter Windows 7

Windows Server 2008 und Windows Server 2008 R2 enthalten die Gruppenrichtlinien-Verwaltungskonsole, wenn die AD DS-Rolle ausgeführt wird. Andernfalls können Sie die Gruppenrichtlinien-Verwaltungskonsole unter Windows Server 2008, Windows Server 2008 R2 oder Windows 7 installieren. Laden Sie hierfür die Remoteserver-Verwaltungstools für Windows 7 mit Service Pack 1 (SP1) herunter, und installieren Sie eine der folgenden Dateien auf dem Computer:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu. Installieren Sie dieses Paket auf x64-Computern, einschließlich Computern unter Windows Server 2008 R2.

  2. Windows6.1-KB958830-x86-RefreshPkg.msu. Installieren Sie dieses Paket auf x86-Computern.

Durch die Installation des Updates wird die Funktion unter Windows hinzugefügt. Sie müssen außerdem in der Systemsteuerung unter Programme und Funktionen die Funktion Tools für die Gruppenrichtlinienverwaltung aktivieren. In den Anweisungen in diesem Abschnitt wird erläutert, wie das Update installiert wird und wie die Tools für die Gruppenrichtlinienverwaltung aktiviert werden.

So installieren Sie die Remoteserver-Verwaltungstools für Windows 7 mit SP1

 

1

Führen Sie eine der folgenden zuvor heruntergeladenen Dateien aus:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu

  2. Windows6.1-KB958830-x86-RefreshPkg.msu

Klicken Sie dann auf Yes, um das Update zu installieren.

Screenshot

2

Lesen Sie auf der Seite Read these license terms (1 of 1) (Lesen Sie die Lizenzbedingungen (1 von 1) die Lizenzbedingungen, und klicken Sie auf I Accept (Ich stimme zu), wenn Sie die Bedingungen akzeptieren.

Screenshot

3

Klicken Sie auf der Seite Installation complete auf Close.

Screenshot

So aktivieren Sie die Funktion "Tools für die Gruppenrichtlinienverwaltung"

 

1

Klicken Sie auf Start, geben Sie Windows-Funktionen ein, und klicken Sie dann im Abschnitt Systemsteuerung des Startmenüs auf Windows-Funktionen aktivieren oder deaktivieren.

Screenshot

2

Aktivieren Sie im Dialogfeld Windows Features das Kontrollkästchen Group Policy Management Tools (Tools für die Gruppenrichtlinienverwaltung), und klicken Sie auf OK. Group Policy Management Tools ist unter Remote Service Administration Tools (Remoteserver-Verwaltungstools), Feature Administration Tools (Featureverwaltungstools) zu finden.

Screenshot

Schlussfolgerung

Sie haben nun wichtige Gruppenrichtlinienkonzepte wie Gruppenrichtlinienobjekte, Verknüpfungen, Vererbung usw. kennengelernt. Außerdem haben Sie erfahren, wie Sie mit der Gruppenrichtlinien-Verwaltungskonsole und dem Gruppenrichtlinienverwaltungs-Editor wesentlich Aufgaben wie Erstellen, Bearbeiten und Löschen von Gruppenrichtlinienobjekten durchführen.

Wenn Sie mehr über Gruppenrichtlinien erfahren und Ihre Kenntnisse ausdehnen möchten, bietet Ihnen Microsoft hierfür zahlreiche Ressourcen. Zunächst ist die Ressourcenseite für Gruppenrichtlinien im Windows Server TechCenter eine umfangreiche Fundgrube für technische Inhalte im Zusammenhang mit Gruppenrichtlinien. Sie enthält zahlreiche "Erste Schritte"-Handbücher sowie Videos. Anleitungen zu Gruppenrichtlinien speziell für Windows 7 finden Sie auf der Seite zur Sicherheit und Kontrolle bei Windows-Clients.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft