(0) exportieren Drucken
Alle erweitern

Planen von Gruppenrichtlinien bei Verwendung von Windows Intune

Letzte Aktualisierung: November 2013

Betrifft: Windows Intune

Da einige von Windows Intune verwaltete Konfigurationen außerdem von der Gruppenrichtlinie verwaltet werden, können auf Computern, die von beiden Systemen angesteuert werden, Konflikte bei der Richtlinienanwendung auftreten. In diesem Thema werden empfohlene Methoden zur Vermeidung von Richtlinienkonflikten beschrieben.

Planung der Bereitstellung in Unternehmen, die mithilfe einer Gruppenrichtlinie verwaltet werden

Im Arbeitsbereich Richtlinie von Windows Intune stehen Funktionen zum Verwalten von Richtlinien zur Verfügung. Die in dieser Version von Windows Intune implementierte Richtlinienverwaltung steht in keinem Zusammenhang mit der Gruppenrichtlinie. Beide Richtlinienverwaltungssysteme dienen zwar dem gleichen Zweck, jedoch unterscheiden sie sich in ihrem Verwaltungsumfang und arbeiten in dieser Version von Windows Intune unabhängig voneinander.

In der Regel hat die Gruppenrichtlinie auf Domänenebene Vorrang vor der Windows Intune-Richtlinie, es sei denn, ein der Domäne hinzugefügter Clientcomputer kann keine Verbindung zum Domänencontroller herstellen. Wenn keine Verbindung zum Domänencontroller besteht, wird die Windows Intune-Richtlinie für den Clientcomputer angewendet.

ImportantWichtig
Um sicherzustellen, dass Windows Intune-Computer die vom Administrator in der Windows Intune-Verwaltungskonsole genehmigten Updates erhalten, werden die Windows Server Update Services-Gruppenrichtlinieneinstellungen Internen Pfad für den Microsoft Updatedienst angeben auf die in Windows Intune registrierten Computern nicht angewendet.

Konkurrierende Richtlinienverwaltungssysteme können zu Richtlinienkonflikten führen. Um dies zu vermeiden, wird empfohlen, dass Administratoren bei der Bereitstellung der Windows Intune-Clientsoftware sicherstellen, dass von der Windows Intune-Richtlinie verwaltete Clientcomputer nicht auch Anweisungen von der Gruppenrichtlinie für die gleichen Konfigurationseinstellungen erhalten.

Die folgenden drei Bereitstellungsoptionen können Ihnen helfen, Probleme mit der Richtlinienverwaltung auf mithilfe von Windows Intune verwalteten Clientcomputern zu vermeiden.

Option 1: Isolieren Sie für den Dienst registrierte Computer von der Gruppenrichtlinie, indem Sie sie in eine neue Organisationseinheit verschieben.

Wenn möglich, restrukturieren Sie die Hierarchie der Organisationseinheit (OE), um für Windows Intune registrierte Computer in einer oder mehreren separaten OEs zu isolieren, die nicht durch in Konflikt stehende Gruppenrichtlinieneinstellungen veränderbar sind. Ein derartiges Organisieren der OE-Hierarchie vereinfacht die Richtlinienverwaltung und ermöglicht, dass Windows Intune-OEs lediglich von bestimmten Richtlinieneinstellungen angesteuert werden.

Bevor Sie die Windows Intune-Clientsoftware in Ihrem Unternehmen installieren, müssen Sie die Clientcomputer, die mit Windows Intune verwaltet werden sollen, erstellen oder in eine Organisationseinheit verschieben, die die in diesem Abschnitt beschriebenen Bedingungen erfüllt.

Weitere Informationen zur Erstellung einer Organisationseinheit auf Domänencontrollern, auf denen Windows Server 2003 ausgeführt wird, finden Sie unter Erstellen einer neuen Organisationseinheit auf der Microsoft-Website. Weitere Informationen zur Erstellung einer Organisationseinheit auf Domänencontrollern, auf denen Windows Server 2008 ausgeführt wird, finden Sie unter Erstellen einer neuen Organisationseinheit auf der Microsoft-Website.

Deaktivieren Sie die Vererbung der Gruppenrichtlinie für OEs, die in Windows Intune registrierte Computer enthalten, für die die Gruppenrichtlinieneinstellungen nicht angewendet werden sollen. Stellen Sie dann sicher, dass die Einstellung Erzwingen für die Gruppenrichtlinienobjekte der übergeordneten OE oder Domäne deaktiviert ist.

So deaktivieren Sie die Vererbung der Gruppenrichtlinie in einer OE

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erweitern Sie in der Konsolenstruktur die Gesamtstruktur, die die OE der Clientcomputer enthält, die Sie mithilfe von Windows Intune verwalten möchten.

  3. Erweitern Sie die Domäne und eventuelle untergeordnete Knoten, um die OE zu finden.

  4. Klicken Sie mit der rechten Maustaste auf die OE, und klicken Sie dann auf Vererbung blockieren.

Option 2: Filtern Sie vorhandene Gruppenrichtlinienobjekte, um Konflikte mit für den Dienst registrierten Computern zu vermeiden.

Ermitteln Sie Gruppenrichtlinienobjekte mit Einstellungen, die einen Konflikt mit Windows Intune verursachen können, und wenden Sie für die betreffenden Gruppenrichtlinienobjekte dann eine der folgenden Filtermethoden an, um diese Gruppenrichtlinienobjekte auf Computer zu beschränken, die nicht mit Windows Intune verwaltet werden.

  • Verwenden Sie WMI-Filter. WMI-Filter wenden GPOs selektiv für Computer an, die die Bedingungen einer Anforderung erfüllen. Stellen Sie zum Anwenden eines WMI-Filters für alle Computer im Unternehmen eine WMI-Klasseninstanz bereit, bevor Sie Computer bei dem Windows Intune-Dienst registrieren.

    So wenden Sie WMI-Filter auf eine GPO an

    1. Erstellen Sie eine Verwaltungsobjektdatei, indem Sie Folgendes kopieren und in eine Textdatei einfügen und diese dann an einem geeigneten Speicherort unter dem Namen WIT.mof speichern. Die Datei enthält die WMI-Klasseninstanz, die Sie für Computer, die Sie für den Windows Intune-Dienst registrieren möchten, bereitstellen.

      //Beginning of MOF file.
      #pragma classflags("forceupdate")
      #pragma namespace ("\\\\.\\Root")
      instance of __Namespace
      {
         Name = "WindowsIntune";
      };
      
      #pragma namespace ("\\\\.\\Root\\WindowsIntune")
      [ 
         Description("This class defines Windows Intune common properties")
      ]
      class WindowsIntune_ManagedNode
      {
         [ read, Description("This defines whether Windows Intune Policy is enabled"): DisableOverride ToSubClass ]
         boolean WindowsIntunePolicyEnabled;
         [ read, key, Description("This property defines the version." "Example: 1.0"): ToSubClass ]
         string Version;
      };
      
      instance of WindowsIntune_ManagedNode
      {
         Version = "1.0";
         WindowsIntunePolicyEnabled = 1;
      };
      
    2. Verwenden Sie zum Bereitstellen der Datei entweder ein Startskript oder eine Gruppenrichtlinie. Das Folgende ist der Bereitstellungsbefehl für das Startskript. Der Befehl MOFCOMP befindet sich normalerweise in C:/Windows/System32/Wbem. Bevor Sie Clientcomputer für den Windows Intune-Dienst registrieren, muss die WMI-Klasseninstanz bereitgestellt werden.

      MOFCOMP <Pfad zur MOF-Datei>\wit.mof

    3. Führen Sie einen der nachstehenden Befehle aus, um die folgenden WMI-Filter zu erstellen. Welchen Befehl Sie ausführen, hängt davon ab, ob das Gruppenrichtlinienobjekt, das Sie filtern möchten, für alle über Windows Intune verwalteten Computer oder für Computer, die nicht über Windows Intune verwaltet werden, gilt.

      • Verwenden Sie für Gruppenrichtlinienobjekte, die für nicht über Windows Intune verwaltete Computer gelten, den folgenden Befehl:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0
        
      • Verwenden Sie für Gruppenrichtlinienobjekte, die für über Windows Intune verwaltete Computer gelten, den folgenden Befehl:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1
        
    4. Bearbeiten Sie das GPO in der Gruppenrichtlinien-Verwaltungskonsole so, dass der im vorangegangenen Schritt erstellte WMI-Filter zur Anwendung kommt.

      • Für GPOs, die nur für über Windows Intune verwaltete Computer gelten sollen, wenden Sie den Filter WindowsIntunePolicyEnabled=1 an.

      • Für GPOs, die nur für nicht über Windows Intune verwaltete Computer gelten sollen, wenden Sie den Filter WindowsIntunePolicyEnabled=0 an.

    Weitere Informationen zum Anwenden von WMI-Filtern in der Gruppenrichtlinie finden Sie unter Security Filtering, WMI Filtering, and Item-level Targeting in Group Policy Preferences (Sicherheitsfilterung, WMI-Filterung und Zielgruppenadressierung auf Elementebene in Gruppenrichtlinieneinstellungen).

  • Verwenden Sie Sicherheits-Gruppenfilter. Mit einer Gruppenrichtlinie können Sie GPOs für nur diejenigen Sicherheitsgruppen anwenden, die im Bereich Sicherheitsfilterung der Gruppenrichtlinien-Verwaltungskonsole für ein ausgewähltes GPO festgelegt sind. Standardmäßig gelten GPOs für Authentifizierte Benutzer. Erstellen Sie im Snap-In Active Directory-Benutzer und -Computer eine neue Sicherheitsgruppe, die Computer und Benutzerkonten enthält, die nicht über Windows Intune verwaltet werden sollen. Diese Gruppe kann beispielsweise Nicht in Windows Intune benannt werden. Klicken Sie auf der Registerkarte Delegierung in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf die neue Sicherheitsgruppe, um den Benutzern und Computern in der Sicherheitsgruppe die geeigneten Berechtigungen Lesen und Gruppenrichtlinie übernehmen zu delegieren. (Die Berechtigungen Gruppenrichtlinie übernehmen befinden sich im Dialogfeld Erweitert.) Wenden Sie dann den neuen Sicherheits-Gruppenfilter auf ein ausgewähltes Gruppenrichtlinienobjekt an, und entfernen Sie den Standardfilter Authentifizierte Benutzer. Die neue Sicherheitsgruppe muss in den Windows Intune-Dienständerungen als Registrierung verwaltet werden.

Option 3: Ändern Sie bestehende Gruppenrichtlinienobjekte, um zueinander in Konflikt stehende Einstellungen zu entfernen.

Anstatt für Windows Intune registrierte Computer zu isolieren, neue Gruppenrichtlinienobjekte zu erstellen oder Gruppenrichtlinienobjekte zu filtern, können Sie bestimmte Gruppenrichtlinienobjekte (oder Einstellungen innerhalb von Gruppenrichtlinienobjekten), die Konflikte mit Richtlinieneinstellungen für Windows Intune verursachen, manuell deaktivieren. Setzen Sie GPOs, die mit den Einstellungen für über Windows Intune verwaltete Computer in Konflikt stehen, auf Nicht konfiguriert. Definieren Sie dann eine Windows Intune-Richtlinie, und stellen Sie diese für die Gruppenrichtlinienobjekte bereit, die auf Nicht konfiguriert gesetzt sind,.

noteHinweis
Wenn Sie diese Option zum Verwalten von Richtlinienkonflikten verwenden, müssen die GPOs analysiert und regelmäßig geändert werden, um Richtlinienkonflikte zu vermeiden.

Siehe auch

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft