• Artikel

Windows Vista

Verbesserungen an der Gruppenrichtlinie in Windows Vista

Jeremy Moskowitz

 

Kurz zusammengefasst:

  • Die Infrastruktur der Gruppenrichtlinie
  • Verbesserte Netzwerk-Awareness
  • Neue Funktionen der Gruppenrichtlinie

Die Infrastruktur der Gruppenrichtlinie wurde in Windows Vista grundlegend aktualisiert. Während Windows Vista weltweit bereitgestellt wird, werden viele Administratoren wahrscheinlich keine großen Unterschiede in ihrer Arbeitsweise feststellen, weil viele Änderungen an den Funktionen der Gruppenrichtlinie

im Inneren stattfinden. Die Administratoren werden jedoch feststellen, dass die Gruppenrichtlinie aus Windows Vista™ sehr viel leistungsfähiger ist als in früheren Versionen.

Vor Windows Vista wurde die Gruppenrichtlinie von einem Prozess mit der Bezeichnung „winlogon“ verarbeitet. Winlogon war für Vieles verantwortlich, u. a. war der Prozess dafür verantwortlich, dass sich Benutzer an den Desktops anmelden konnten, und verschiedene andere Routinearbeiten gehörten zum Aufgabenbereich der Gruppenrichtlinie. Die Gruppenrichtlinie ist jetzt ein eigener Windows®-Dienst. Darüber hinaus wurde sie sicherer und zuverlässiger gestaltet, d. h. sie kann nicht gestoppt werden, und es ist auch nicht möglich, dass ein Administrator die Berechtigungen für die Gruppenrichtlinie als Besitz deklariert, um sie auszuschalten. Diese Änderungen verbessern die allgemeine Zuverlässigkeit des Gruppenrichtlinienmoduls.

Das war nur eine Kostprobe. Im Weiteren werden einige der größten Änderungen behandelt, die an der neuen Gruppenrichtlinie vorgenommen wurden.

Verbesserte Netzwerk-Awareness

Vor Windows Vista hätte das Gruppenrichtlinienmodul versucht zu ermitteln, ob Sie über eine langsame oder eine schnelle Verbindung hereinkommen. Das Modul würde dann diese Informationen heranziehen, um die Richtlinieneinstellungen zu bestimmen, die angewendet werden. Bei einer langsamen Verbindung würde die Gruppenrichtlinie nicht die gesamten Richtlinieneinstellungen an ihr System übertragen, da dies eine verhältnismäßig lange Downloadzeit beanspruchen würde. Diese Unterstützung wurde aus der neuen Gruppenrichtlinie entfernt. Geändert hat sich jedoch, wie die aktuelle Netzwerkbandbreite berechnet wird.

Diese Geschwindigkeitsbestimmung wurde durchgeführt, indem ICMP-Ping-Pakete (Internet Control Message Protocol) an Domänencontroller gesendet wurden. Dieser Ansatz brachte in der Praxis viele Probleme mit sich. Erstens haben viele Administratoren ICMP auf ihren Routern deaktiviert. Zweitens waren die Berechnungen sehr unzuverlässig, wenn die Verbindung über High-Latency-Links erfolgte (wie Satelliten). In diesen Situationen gab es für die Gruppenrichtlinie keine garantierte Möglichkeit, um festzustellen, ob es sich um eine wirklich schnelle Verbindung handelte oder nicht.

Darüber hinaus konnte die Gruppenrichtlinie nicht feststellen, ob der Computer aus einem Ruhezustand oder Standbymodus wiederhergestellt wurde. Die Grupperichtlinie konnte auch nicht feststellen, ob Sie sich plötzlich angemeldet haben, nachdem Sie das Netzwerk sechs Monate lange nicht besucht haben. Bei einem Computer mit Windows XP oder Windows 2000 würde sich ein Benutzer einwählen, überprüfen, ob E-Mails warten, und die Verbindung trennen. Dabei würde es zu keiner Aktualisierung der Gruppenrichtlinie kommen. Die meisten Administratoren würden gern bei Bedarf eine Aktualisierung der Gruppenrichtlinie durchführen, wenn ein System aus dem Ruhezustand oder Standbymodus wiederhergestellt wird oder ein Computer nach längerer Abwesenheit wieder anmeldet.

Die aktualisierte Gruppenrichtlinie von Windows Vista ist intelligent genug, um Daten zur Netzwerkkonnektivität in Echtzeit zu erfassen. Die Hauptänderung besteht daraus, dass das Modul der Gruppenrichtlinie jetzt den NLA2-Handler (Network Location Awareness 2.0) aus Windows Vista verwendet. Der NLA2-Dienst sendet immer dann eine Warnung an das Gruppenrichtlinienmodul, wenn ein Domänencontroller verfügbar ist. In einem solchen Fall wird die Gruppenrichtlinie bei Bedarf aktualisiert.

Mehrere lokale Gruppenrichtlinienobjekte

Vor Windows Vista wurde nur ein lokales Gruppenrichtlinienobjekt unterstützt. Wenn an der Eingabeaufforderung GPEDIT.MSC eingegeben und einige Änderungen an den Einstellungen vorgenommen wurden, dann wirkten sich die Änderungen auf alle Benutzer und Administratoren aus, die diesen Computer verwendeten. Dies stellte sich häufig als Problem heraus, wenn Sie z. B. aus dem Menü „Start“ den Befehl „Ausführen“ für Standardbenutzer entfernen, für Administratoren jedoch weiterhin belassen wollten.

Die neuen Funktionen zur Unterstützung mehrerer lokaler Gruppenrichtlinienobjekte löst dieses Problem mithilfe von Gruppenrichtlinienobjektschichten. Diese Fähigkeit wird wahrscheinlich hauptsächlich auf Systemen eingesetzt, die nicht in einer Active Directory-Domäne zusammengefasst sind. Aber auch Benutzer in Unternehmensumgebungen werden u. U. von dieser Funktion profitieren.

Die neuen Funktionen zur Unterstützung mehrerer lokaler Gruppenrichtlinienobjekte, die auf Schichten basiert, kann ein wenig kompliziert werden (siehe Abbildung 1). Es gibt immer noch ein lokales Standardgruppenrichtlinienobjekt, das für den Kontext des lokalen Computersystems gibt und alle Benutzer auf dem System betrifft. Dieses Gruppenrichtlinienobjekt definiert sowohl die Computereinstellungen als auch die Benutzereinstellungen.

Figure 1 Lokale Benutzergruppenrichtlinien

Figure 1** Lokale Benutzergruppenrichtlinien **

Die zweite Schicht betrifft entweder die Mitglieder der lokalen Administratorgruppe oder die Gruppe der Benutzer auf dem lokalen System, bei denen es sich nicht um Administratoren handelt. Per Definition kann sich ein Benutzerkonto nicht in beiden Gruppen befinden. Die Schicht ermittelt, ob es sich beim Benutzer um einen lokalen Systemadministrator oder einen regulären Benutzer handelt. Anschließend wird das entsprechende Gruppenrichtlinienobjekt (entweder Administratoren oder Nicht-Administratoren) angewendet. Die dritte Schicht betrifft das lokale Systembenutzerkonto mit einem bestimmten Namen.

Das bedeutet, es gibt drei potenzielle lokale Gruppenrichtlinienobjekte, die einen bestimmten Benutzer betreffen können, der am Computer sitzt. Sie können z. B. drei Schichten verwenden, um für alle Benutzer, die an einem bestimmten Computer arbeiten, Einstellungen festzulegen, um mehr Einstellungen für die Nicht-Administratoren an diesem Computer und schließlich um Einstellungen festzulegen, die nur einen einzelnen Benutzer betreffen, der diesen Computer verwendet.

Wenn das System jedoch an einer Active Directory®-Domäne teilnimmt, haben die Active Directory-Gruppenrichtlinienobjekte Priorität vor den lokalen Richtlinien. Sie sollten außerdem beachten, dass Domänenadministratoren die gesamte Verarbeitung der lokalen Gruppenrichtlinienobjekte für Windows Vista ausschalten können.

Fehlermeldungen und Problembehandlung

Windows Vista verfügt über ein völlig neues Ereignisprotokollsystem. Das Gruppenrichtliniemodul nutzt das neue Windows Eventing 6.0-System (das allgemein Ereignisprotokoll genannt wird) und teilt Ereignisse in zwei besondere Protokolle auf. Das vertraute Systemprotokoll (das nun als ein administratives Protokoll betrachtet wird) enthält die Probleme der Gruppenrichtlinie. Falls im Gruppenrichtlinienmodul ein Fehler auftritt, sollte er im Systemprotokoll erscheinen und als sein Ursprung der Gruppenrichtliniendienst (nicht der Userenv-Prozess) angezeigt werden.

Ein neues Protokoll für Anwendungen und Dienste (bei dem es sich um ein Betriebsprotokoll handelt) wurde speziell für die Gruppenrichtlinie eingerichtet und speichert operative Ereignisse. Dieses Protokoll ersetzt im Wesentlichen die unhandliche Problembehandlungsdatei userenv.log, da jeder Schritt des Gruppenrichtlinienmoduls hier aufgeführt wird und leicht nachvollzogen werden kann.

ADM und ADMX

Ab Windows NT® 4.0 wurden die zugrunde liegenden Definitionsvorlagen für alles, was in der Gruppenrichtlinie möglich war, in Form von ADM-Dateien bereitgestellt. Der Inhalt der Gruppenrichtlinie wird nicht vollständig durch ADM-Dateien gesteuert. Sie sind jedoch für alles Nützliche unter „Benutzerkonfiguration | Administrative Vorlagen“ und „Computerkonfiguration | Administrative Vorlagen“ verantwortlich.

Funktionell betrachtet, haben diese ADM-Dateien einige Schönheitsfehler. In den Windows-Versionen vor Windows Vista haben Sie jedes Mal, wenn Sie ein neues Gruppenrichtlinienobjekt erstellt haben, eine Vielzahl dieser ADM-Dateien in den Ordner des Gruppenrichtlinienobjekts (der sich in SYSVOL befindet) kopiert. Pro Gruppenrichtlinienobjekt waren das ca. 5 MB. Bei vielen Gruppenrichtlinienobjekten befinden sich viele duplizierte Systemvorlagendateien auf SYSVOL, und das wiederum erzeugt eine Menge Replikation aus jedem dieser 5 MB-Brocken.

Darüber hinaus sind ADM-Dateien nicht sprachneutral. Eine ADM-Datei wird in einer Sprache erstellt und jeder Benutzer, der diese Datei verwendet, muss dies mit der entsprechenden Sprachauswahl tun.

Die Gruppenrichtlinie in Windows Vista stellt durch das neue XML-basierte Format für Richtliniendefinitionsdateien, genannt ADMX, eine Lösung für diese Probleme bereit. Die ADMX-Dateien sind sprachneutral. Sie müssen jedoch mit einer sprachspezifischen ADML-Datei verbunden sein. Sie können bequem weitere Sprachen hinzufügen, indem Sie einfach weitere ADML-Dateien einer ADMX-Datei hinzufügen.

Das ADMX-Format unterstützt einen zentralen Speicher. Auf diese Weise wird die Replikation duplizierter Informationen vollständig eliminiert und die Aktualisierung einer ADMX-Datei vereinfacht. Angenommen eine ADMX-Datei wird, z. B. über ein Service Pack, aktualisiert. Dann müssen Sie nichts weiter tun, als die aktualisierte Datei im zentralen Speicher zu sichern. Alle Administratoren von Gruppenrichtlinien in der Domäne, die Windows Vista-Arbeitsstationen verwenden, haben Zugriff auf die aktualisierte ADMX-Datei. In der Vergangenheit mussten Sie sicherstellen, dass sich auf jedem Computer eines Administrators die korrekte Kopie einer aktualisierten ADM-Datei befand. Dies stellte im besten Fall eine Herausforderung dar.

Ein Domänenadministrator muss den zentralen Speicher einmal für jede Active Directory-Domäne auf SYSVOL manuell anlegen. Nachdem der zentrale Speicher erstellt wurde, verwenden alle Administratoren, die Computer mit Windows Vista verwenden, um Gruppenrichtlinienobjekte zu erstellen und zu verwalten, automatisch den zentralen Speicher. Beachten Sie, dass es sich dabei um eine spezielle Funktion von Windows Vista handelt. Nur Computer mit Windows Vista, die einer Active Directory-Domäne beigetreten sind, überprüfen das Vorhandensein eines zentralen Speichers. Sie müssen nicht auf die nächste Version von Windows Server® mit dem Codenamen „Longhorn“ warten oder alle Benutzerrechner auf Windows Vista umrüsten. Dies geschieht unabhängig davon, ob die Domäne auf Windows Server Longhorn, Windows Server 2003 oder sogar Windows 2000 basiert. Um die Vorteile eines zentralen Speichers zu nutzen, müssen Sie nur einen zentralen Speicher anlegen und anschließend Computer mit Windows Vista zum Erstellen und Verwalten der Gruppenrichtlinienobjekte einsetzen.

Wie bereits erwähnt, basieren ADMX- und ADML-Dateien auf XML. Der primäre Vorteil von XML besteht in der Verwendung einer Standardsprache. Es sollte jedoch erwähnt werden, dass es keinen grafischen ADMX-Editor gibt (und Microsoft keine Veröffentlichung plant). Es gibt auch kein Konvertierungstool von ADM nach ADMX für benutzerdefinierte ADM-Vorlagen, über die Sie möglicherweise schon verfügen.

Zum Umfang von Windows Vista werden ca. 130 ADMX-Dateien gehören, die die 6 bis 8 ADM-Dateien ersetzen, die zum Umfang früherer Windows-Versionen gehörten. Diese Dateien befinden sich im Verzeichnis „\Windows\PolicyDefinitions“ (siehe Abbildung 2). Beachten Sie, dass die ADML-Dateien in sprachspezifischen Unterverzeichnissen gespeichert sind, wie das Verzeichnis „en-US“ für English (USA).

Figure 2 ADMX-Dateien befinden sich im Verzeichnis „\Windows\PolicyDefinitions“

Figure 2** ADMX-Dateien befinden sich im Verzeichnis „\Windows\PolicyDefinitions“ **(Klicken Sie zum Vergrößern auf das Bild)

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole oder GPMC war als Download für Windows XP und Windows Server 2003 verfügbar. Als Skript-fähige Microsoft Verwaltungskonsole stellt GPMC ein einzelnes Dienstprogramm zur Verwaltung von Gruppenrichtlinien bereit.

GPMC wurde nur direkt in Windows Vista integriert. Wann immer Sie bereit sind, Gruppenrichtlinienobjekte zu erstellen oder zu bearbeiten, haben Sie direkten Zugang zu dem Tool, das für diese Aufgabe am besten geeignet ist. Geben Sie an der Windows Vista-Eingabeaufforderung Start | Suchen GPMC.MSC ein, und Sie können loslegen.

Neue Steuerfunktionen

In Windows Vista wurde die Tabelle um ca. 800 neue Richtlinieneinstellungen erweitert. Diese Einstellungen sind über viele Kategorien verstreut, von denen Sie bereits viele kennen und auf die Sie sich verlassen. Mit Windows Vista werden jedoch auch einige hervorragende neue Kategorien eingeführt, die bisher nicht vorhanden waren oder nicht unter der Kontrolle der Gruppenrichtlinie standen.

Zu den verbesserten Bereichen in der Gruppenrichtlinie gehören die Netzwerkrichtlinie für verkabelte und drahtlose Netzwerke, die Windows Firewall und IPsec, die Druckverwaltung, die Desktop-Shell, Remoteunterstützung und Tablet-PC. Beachten Sie, dass die aktualisierten Richtlinien für verkabelte und drahtlose Netzwerke eine die gesamte Struktur umfassende Schemaaktualisierung erfordern (weitere Informationen zu diesem Thema finden Sie unter microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx).

Zu den neuen Bereichen in der Gruppenrichtlinie von Windows Vista gehören die Verwaltung von Wechseldatenträgern, die Energieverwaltung, die Benutzerkontensteuerung (UAC), die Windows-Fehlerberichterstattung, der Netzwerkzugriffsschutz und Windows Defender.

Wenn Sie die Bereiche regeln möchten, die sich speziell auf Computer mit Windows Vista auswirken, müssen Sie einen Computer mit Windows Vista (oder Windows Server „Longhorn“) verwenden, wenn Sie Gruppenrichtlinienobjekte erstellen oder bearbeiten. Der Grund dafür liegt in den älteren Betriebssystemen, die diese neuen spezifischen Windows Vista-Einstellungen nicht kennen.

Eine eingehende Beschäftigung mit diesen Bereichen würde genug Stoff für einen eigenen Artikel liefern. Deshalb reicht der Platz für eine tiefergehende Behandlung nicht aus. Sie sollten jedoch die Funktionen zur Verwaltung von Wechseldatenträgern und zur Energieverwaltung (siehe Abbildung 3) besondere Beachtung widmen. Meiner Meinung nach werden sich diese Funktionen als ein wahrer Segen für Administratoren erweisen. Kurzgefasst erhalten Sie durch diese Bereiche eine angemessene und genau abgestimmte Steuerung für die Geräte, die mit Windows Vista verbunden werden können und darüber, welche Art von Stromspareinstellungen für Laptops, Desktops und Bildschirme verwendet werden kann, um dem Unternehmen Geld zu sparen.

Figure 3 Energieverwaltung durch Gruppenrichtlinien durchsetzen

Figure 3** Energieverwaltung durch Gruppenrichtlinien durchsetzen **(Klicken Sie zum Vergrößern auf das Bild)

Durch die zusätzlichen Einstellungen für die Energieverwaltung in Windows Vista kann ein inaktiver Monitor von einem Administrator wahlweise ausgeschaltet oder in einen energiesparenden Ruhezustand geschaltet werden. Untersuchungen, die auf der Energy Star-Webseite der US-amerikanischen Umweltschutzbehörde veröffentlich wurden, haben gezeigt, dass die Energiekontrolle bei Bildschirmen alleine pro Jahr und Bildschirm Einsparungen zwischen 10 und 30 US-Dollar möglich machen. Diese Einsparungen summieren sich, wenn es in Ihrem Unternehmen hunderte oder tausende Bildschirme gibt.

Stellen Sie sich hinsichtlich der Verwaltung von Wechseldatenträgern folgendes Szenario vor: Ein Administrator möchte Studenten erlauben, mit den eigenen USB-Flash-Laufwerken auf schriftliche Prüfungen, Hausaufgaben und andere Dokumente über eine Kiosk-Arbeitsstation auf dem Campus zuzugreifen. Aufgrund des potenziellen Missbrauchs und möglicher Sicherheitsrisiken sollten die Studenten keinen Schreibzugriff auf die USB-Datenträger an der Kiosk-Arbeitsstation auf dem Campus haben, es sei denn, es handelt sich um ein von der Hochschule genehmigtes USB-Laufwerk. Diese Art der angepassten Geräteverwaltung kann über die Einstellungen der Gruppenrichtlinie aus Windows Vista bewerkstelligt werden.

Zusammenfassung

Wie Sie sehen können, sind die Verbesserungen an der Verwaltung von Windows Vista im Inneren angesiedelt. Administratoren werden feststellen, dass durch die Gruppenrichtlinie in Windows Vista eine leistungsfähige und flexible Konfigurationsverwaltung mit einer erheblichen Erhöhung der konfigurierbaren Einstellungen und neuen Ressourcen zur Verbesserung der Systemsicherheit (und einer potenziellen Kosteneinsparung) möglich ist.

Künftige Pläne für die Gruppenrichtlinie

Die in diesem Artikel beschriebenen Funktionen sind mehr oder weniger das, was Sie in der endgültigen Version von Windows Vista vorfinden werden. Das Entwicklerteam für die Gruppenrichtlinie denkt jedoch bereits darüber nach, was als Nächstes kommen soll. Weitere Funktionen der Gruppenrichtlinie werden aller Wahrscheinlichkeit nach im Zeitrahmen für den Windows Server „Longhorn“ veröffentlicht. Auch wenn diese Funktionen bei der Produkteinführung von Windows Vista noch nicht verfügbar sind, werden sie über Service-Packs oder andere Erweiterungsmechanismen für Windows Vista verfügbar gemacht. Während bei den kommenden Funktionen noch alles offen ist, wurden diese drei wichtigen Verbesserungsbereiche für die Zukunft festgelegt. Damit keine Missverständnisse aufkommen: Für keine dieser Funktionen wird der Windows Server „Longhorn“ vorausgesetzt.

Kommentare Bei einer häufig angeforderten Funktion geht es darum, Kommentare zur Funktionsweise der einzelnen Gruppenrichtlinienobjekte bzw. Kommentare, die die Aufgabe der jeweiligen Gruppenrichtlinie beschreiben, hinzufügen zu können. Derzeit können Kommentare nur hinzugefügt werden, wenn die Gruppenrichtlinienobjekte und Einstellungen in einer Tabelle verfolgt werden umd die Kommentare anschließend in diese Tabelle eingegeben werden. Die Möglichkeit, Kommentare hinzuzufügen, wird eine willkommene Erweiterung sein.

Vorlagen Manchmal möchte ein Administrator anderen Administratoren einen Ausgangspunkt zum Erstellen eigener Gruppenrichtlinienobjekte bereitstellen. Die Gruppenrichtlinienvorlagen stellen diese Funktionsfähigkeit bereit. Mit einer Vorlage als Ausgangspunkt sind Administratoren in der Lage, eigene angepasste Gruppenrichtlinienobjekte zu erstellen. Microsoft wird wahrscheinlich den ursprünglichen Vorlagensatz durch allgemeine Szenarios erweitern, die spezielle Anweisungen zur Steuerung bestimmter Maschinenarten bereitstellen. (Weitere Informationen zu diesem Thema finden Sie unter Allgemeine Szenarios – Dokumentation und Dateien, möglicherweise in englischer Sprache.)

Suchen und Filtern Bei sehr großen Installationen mit einer unüberschaubaren Zahl von Richtlinieneinstellungen ist es manchmal schwierig, die benötigte Richtlinie zu finden. Glücklicherweise werden die kommenden Suchfunktionen die Suche im Titel, Erklärungstext und den Kommentaren der Richtlinieneinstellungen erleichtern. Sie erkennen auf einen Blick, welche Richtlinieneinstellungen innerhalb des Gruppenrichtlinienobjekts aktiv und welche inaktiv sind. Auf diese Weise werden schnelle Änderungen an fehlerhaften Gruppenrichtlinienobjekten vereinfacht.

Sie können weitere Wünsche im Zusammenhang mit den Funktionen der Gruppenrichtlinie einreichen. Besuchen Sie dazu das Windows Server Feedback Portal unter windowsserverfeedback.com.

Jeremy Moskowitz, MCSE und MVP in Group Policy, leitet GPanswers.com, ein Gemeinschaftsforum zum Thema Gruppenrichtlinien. Ferner leitet er auch einen zweitägigen Intensivschulungskurs über Gruppenrichtlinien. Der Titel seines letzten Buches lautet „Group Policy, Profiles and IntelliMirror“, 3. Auflage (Sybex, 2005). Sie erreichen Jeremy unter www.GPanswers.com. Ich möchte mich bei Mark Lawrence aus dem Group Policy Team bei Microsoft für seine Hilfe mit diesem Artikel bedanken.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.