• Artikel

Sicherheit

Verwalten von Hardwareeinschränkungen über Gruppenrichtlinien

Jeremy Moskowitz

 

Kurz zusammengefasst:

  • Einschränken von Hardwareinstallationen
  • Einschränken bestimmter Geräte
  • Einschränken von Geräteklassen

Tatsache ist: USB-Sticks und Wechselmedien bieten privat viele Vorteile, erschweren jedoch das Arbeitsleben. Sie müssen kontrollieren können,

welche Hardwaregeräte installiert werden können und welche nicht. Erfreulicherweise haben Sie mit der Gruppenrichtlinie in Windows Vista™ und der nächsten Version von Windows Server® mit dem Codenamen „Longhorn“ die Option, USB-Mäuse zuzulassen, aber die Verwendung von USB-Sticks zu unterbinden, CD-ROM-Lesegeräte zuzulassen, aber DVD-Schreibgeräte zu unterbinden, oder Bluetooth zuzulassen, aber PCMCIA zu unterbinden.

Zwei Abschnitte in der Gruppenrichtlinie können Ihnen beim Sichern Ihrer Hardware behilflich sein: Computerkonfiguration | Administrative Vorlagen | System | Wechselmedienzugriff (siehe Abbildung 1) und Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation (siehe Abbildung 2).

Abbildung 1 Vordefinierte Hardwareeinschränkungen in der Gruppenrichtlinie

Abbildung 1** Vordefinierte Hardwareeinschränkungen in der Gruppenrichtlinie **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 2 Anpassen der einzuschränkenden Hardwaretypen

Abbildung 2** Anpassen der einzuschränkenden Hardwaretypen **(Klicken Sie zum Vergrößern auf das Bild)

Der erste Abschnitt (Wechselmedienzugriff) erklärt sich praktisch von selbst: Wenn Sie eine Richtlinie für diese Art von Wechselmedien aktivieren (CD/DVD, Diskette usw.), können Sie das Lesen bzw. Schreiben nach Wunsch auf den gesamten Gerätetyp einschränken. Diese Funktion bietet jedoch keine so umfassende Leistung wie die Einschränkungen bei der Geräteinstallation.

Unter Wechselmedienzugriff gibt es die beiden Richtlinieneinstellungsgruppen „Benutzerdefinierte Klassen: Lesezugriff verweigern“ und „Benutzerdefinierte Klassen: Schreibzugriff verweigern“. Das klingt zwar gut, doch die Richtlinie „Wechselmedienzugriff“ verhindert im Grunde nicht, dass die Treiber installiert werden. Der Treiber für die Klasse ist bereits installiert, wenn die Hardware erkannt wird. Die Richtlinie verhindert einen Lese- oder Schreibvorgang auf dem Treiber. Im nächsten Abschnitt, in dem die Richtlinieneinstellungen für die Geräteinstallationseinschränkungen behandelt werden, wird die Verwendung des gesamten Treibers an sich gesperrt.

Abrufen eines Handles für Klassen und IDs

Zunächst einmal gilt: Sie müssen wissen, was Sie einschränken wollen. Sie können dies im Großen oder im Kleinen angehen. Das heißt, Sie können eine bestimmte „Klasse“ von Geräten einschränken oder sehr spezifisch vorgehen und einen einzigen Hardwaretyp einschränken. Umgekehrt können Sie beispielsweise lediglich bestimmte Geräteklassen, wie USB-Mäuse, zulassen. Hier ist der Trick dabei: Für eine wirklich effektive Vorgehensweise müssen Sie die einzuschränkende Hardware finden.

Wenn Sie also festlegen wollen, dass keine Joysticktreiber und nur USB-Mäuse installiert werden können, müssen ein Joystick und eine USB-Maus vorliegen. Die Alternative besteht darin, entweder die Hardware-ID, die kompatible ID oder die Geräteklasse über das Internet zu ermitteln. Es ist jedoch viel leichter, wenn Sie eines der entsprechenden Geräte vor Augen haben. So können Sie es an Ihren Computer anschließen und die Hardware-ID, die kompatible ID oder die Geräteklasse selbst feststellen. Wenn diese Informationen vorliegen, ist es einfach, Geräte einzuschränken oder zuzulassen.

Im folgenden Beispiel wird die Verwendung einer bestimmten Soundkartenfamilie unterbunden: Creative AutoPCI ES1371/ES1373. Wenn Sie andere Geräte einschränken möchten (z. B. bestimmte USB-Geräte, USB-Anschlüsse usw.), müssen Sie die folgenden Schritte einfach nur auf das entsprechende Gerät anwenden.

Starten Sie den Geräte-Manager auf einem Computer, auf dem bereits die Hardwareelemente installiert sind. Navigieren Sie zum gewünschten Gerät, klicken Sie mit der rechten Maustaste darauf, und wählen Sie „Eigenschaften“ und anschließend die Registerkarte „Details“ aus. Standardmäßig wird eine „Gerätebeschreibung“ angezeigt. Dies ist zwar interessant, aber nicht sehr hilfreich. Wählen Sie die Dropdownliste „Eigenschaften“ aus, und wählen Sie „Hardware-IDs“ aus, wie in Abbildung 3 dargestellt.

Abbildung 3 Die Registerkarte „Details“ des Geräts

Abbildung 3** Die Registerkarte „Details“ des Geräts **(Klicken Sie zum Vergrößern auf das Bild)

Auf der Seite „Hardware-IDs“ werden in absteigender Reihenfolge die spezifischsten bis hin zu den unspezifischsten Geräte-IDs angezeigt. Wenn Sie das oberste Element in der Liste der Hardware-IDs betrachten, sehen Sie, dass diese Soundkarte eine spezielle Rev 2 der ES1371-Soundkarte ist. Spezifischer geht es kaum mehr. Je weiter Sie in der Liste nach unten gehen, umso unspezifischer wird die Beschreibung, um die ganze Familie einzuschließen.

Außerdem können Sie die Eigenschaft auf kompatible IDs setzen. Diese beschreiben ebenfalls die Hardware und sind weniger spezifisch als das, was in Hardware-IDs zu finden ist. Sie könnten die Informationen in den kompatiblen IDs dazu verwenden, weitere ähnliche Hardware zu ermitteln und sie in die Liste der nicht zu verwendenden Elemente einzufügen. Diese Informationen sind nämlich weniger spezifisch und erzielen eventuell bessere Ergebnisse. Der Nachteil dabei ist natürlich, dass es zu unbeabsichtigten Einschränkungen kommen könnte.

Die am wenigsten spezifische Kategorie lässt sich durch Auswählen der Geräteklasse in der Dropdownliste „Eigenschaft“ ermitteln. In meinem Fall erscheint die Soundkarte einfach als Medien. Viele verschiedene Elemente können jedoch als Medien angesehen werden. Und auch hier gilt, je unspezifischer das Ganze wird, desto vorsichtiger müssen Sie vorgehen.

Wenn Sie sich für einen Wert entschieden haben, klicken Sie mit der rechten Maustaste darauf, wählen Sie „Kopieren“ aus, und fügen Sie den Wert zur sicheren Verwahrung in Editor ein. Es ist wichtig, den Wert genau zu kopieren, da er in den nächsten Schritten genau eingegeben werden muss. Die Groß- und Kleinschreibung aller Zeichen im Wert muss korrekt übertragen werden.

Wenn Sie statt des Geräte-Managers einen Befehl über die Befehlszeile verwenden wollen, um die Hardware-IDs oder Geräteklassen zu erfassen, werfen Sie einen Blick auf das Devcon-Befehlszeilen-Dienstprogramm unter support.microsoft.com/kb/311272. Beachten Sie, dass Microsoft eine Anzahl von Kennungen für gemeinsame Klassen hat, die hilfreich sein können, wenn Sie keinen physischen Zugriff auf das Gerät haben. Weitere Informationen finden Sie unter go.microsoft.com/fwlink/?LinkId=52665.

Hardwarezugriffssteuerung über die Gruppenrichtlinie

Im Folgenden werden zwar alle Richtlinieneinstellungen untersucht, die sich unter Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation (siehe Abbildung 2) befinden, doch um das anfängliche Beispiel abzuschließen, ist lediglich eine Richtlinieneinstellung erforderlich.

Erstellen Sie zunächst ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), und verknüpfen Sie es mit einer Organisationseinheit (oder Domäne usw.), die die Computer unter Windows Vista enthält, die Sie kontrollieren wollen. Bearbeiten Sie jetzt das GPO, und navigieren Sie zu Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation | Installation von Geräten mit diesen Geräte-IDs verhindern. Wählen Sie in der Richtlinieneinstellung die Option „Aktiviert“ aus, klicken Sie auf „Anzeigen“ (ebenfalls in der Richtlinieneinstellung), und wählen Sie im Dialogfeld „Inhalt anzeigen“ die Option „Hinzufügen“ aus. Fügen Sie anschließend im Dialogfeld „Element hinzufügen“ die zuvor gespeicherten Geräteinformationen ein, wie in Abbildung 4 dargestellt.

Abbildung 4 Einfügen der Geräte-ID zur genauen Erfassung der Beschreibung

Abbildung 4** Einfügen der Geräte-ID zur genauen Erfassung der Beschreibung **(Klicken Sie zum Vergrößern auf das Bild)

Hierbei gibt es allerdings einen Haken. Wenn das Gerät bereits auf einem Computer installiert ist, deinstalliert der Computer es nicht ohne weiteres und schränkt auch den Zugriff nicht ein. Wenn Sie also Hardware einschränken wollen, muss dies frühzeitig in der Windows Vista-Bereitstellung erfolgen. Beachten Sie jedoch, dass Windows Vista dies jedes Mal, wenn ein Gerät entfernt und wieder neu installiert wird, nachkontrolliert. Elemente, wie USB-Sticks (die entfernt und später wieder eingesetzt werden), eignen sich deshalb hervorragend für diesen Prozess. Da Windows Vista nur dann nachkontrolliert, wenn das Gerät wieder eingeführt wird, wird das Gerät zu der Zeit eingeschränkt (selbst wenn der Gerätetreiber anfänglich auf dem Computer geladen wurde). Schwieriger wird es bei Geräten, die mit einem Computer geliefert werden und somit nicht entfernt und wieder eingeführt werden. Für diese Geräte gibt es keine sofort erkennbare Lösung.

Wenn Sie einen Computer einschalten, der ein Hardwaregerät zum ersten Mal erkennt, versucht Windows, den Treiber zu installieren, und stellt die laufenden Statusinformationen bereit. Wenn Sie eine Richtlinie festgelegt haben, um das Gerät einzuschränken, sieht das Ergebnis wie in Abbildung 5 aus.

Abbildung 5 Eine Geräteinstallation, die verhindert wird

Abbildung 5** Eine Geräteinstallation, die verhindert wird  **(Klicken Sie zum Vergrößern auf das Bild)

Weitere Hardwareeinschränkungen

Im Beispiel oben wurde nur ein Gerät nicht zugelassen. Auf Wunsch könnten Sie auch umgekehrt vorgehen und alle Hardware standardmäßig einschränken, um dann nur bestimmte Hardware zuzulassen. Die Liste für diese Richtlinieneinstellungen sehen Sie in Abbildung 2, in der der folgende Zweig der Gruppenrichtlinie dargestellt wird: Computerkonfiguration | Administrative Vorlagen | System | Geräteinstallation | Einschränkungen bei der Geräteinstallation. Sie können aus einer Reihe verfügbarer Einstellungen auswählen.

Zunächst einmal gibt es die Einstellung „Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlauben“. Standardmäßig müssen lokale Administratoren, die unter Windows Vista arbeiten, die eingerichteten Einschränkungen beachten. Wenn Sie diese Einstellung aktivieren, können lokale Administratoren die Einschränkung außer Kraft setzen und beliebige Hardware installieren.

Als Nächstes gibt es die Einstellung „Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen“. Durch Eingabe der Gerätebeschreibungen in dieser Richtlinieneinstellung erlauben Sie ausdrücklich, dass die Hardwaregeräte auf dem System installiert werden können. Beachten Sie, dass diese Richtlinieneinstellung nur Setupklassen berücksichtigt, nicht Geräte-IDs (wie die im Beispiel verwendeten).

Um die gegenteilige Wirkung zu erzielen, können Sie die Einstellung „Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen“ festlegen.

Die beiden Einstellungen „Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine Richtlinie verhindert wird (Hinweistext)“ und „Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine Richtlinie verhindert wird (Hinweistitel)“ unterstützen Sie beim Anpassen der Meldung (siehe Abbildung 5).

Wie bereits erwähnt, lässt sich Hardware am unspezifischsten über die Hardwareklasse beschreiben. Beachten Sie dabei, dass die Richtlinie „Installation von Geräten mit diesen Geräte-IDs zulassen“ die Klassen-ID-Beschreibungen nicht berücksichtigt. Für Klassen-ID-Beschreibungen müssen Sie entweder „Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen“ oder „Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen“ verwenden. Letzteres wird am besten mit der Richtlinieneinstellung „Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind“ verwendet. Wenn alles verhindert (Standardeinstellung) und dann diese Einstellung verwendet wird, können Sie genau festlegen, welche Geräte Sie zulassen wollen.

Im Beispiel wurde die Richtlinie „Installation von Geräten mit diesen Geräte-IDs verhindern“ verwendet, um aufgrund der Geräte-IDs einen bestimmten Hardwaretyp einzuschränken. Wenn Sie Einschränkungen mithilfe von Geräteklassen implementieren wollten, müssten Sie andere spezifische Richtlinieneinstellungen, wie „Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen“ oder „Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen“, einsetzen.

„Installation von Wechselgeräten verhindern“ ist eine schnelle, generische Möglichkeit, um ein beliebiges Hardwaregerät einzuschränken, das als Wechselmedium gilt. Dazu gehören auch USB-Geräte. Diese Einstellung ist sehr allgemein. Deshalb ist es ratsam, sie nicht zu oft zu verwenden. Verwenden Sie stattdessen die weiter oben beschriebenen Verfahren, mit denen Sie mäßig beschränkte Geräte-IDS erhalten und dann spezifisch sperren.

Schließlich stellt „Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind“ die umfassende Richtlinie dar, mit der die gesamte Hardware eingeschränkt wird, es sei denn, Sie haben eine Installation ausdrücklich zugelassen. In Verbindung mit den verschiedenen Zulassungsrichtlinien (z. B. „Installation von Geräten mit diesen Geräte-IDs zulassen“) bietet diese Richtlinie ein wirklich leistungsfähiges Tool, mit dem nur die in Ihrer Umgebung gewünschte Hardware zugelassen wird.

Schlussbemerkung

Die Gruppenrichtlinie in Windows Vista verfügt über eine Reihe neuer, extrem leistungsfähiger Funktionen, mit denen in Ihrer Umgebung nur bestimmte Hardware zulassen werden kann. Achten Sie nur darauf, dass Sie die Richtlinieneinstellungen frühzeitig im Bereitstellungsvorgang installieren, damit die auf dem Netzwerk unerwünschte Hardware erst gar nicht die Möglichkeit erhält, eine Verbindung herzustellen.

Interview mit Michael Dennis, dem leitenden Microsoft-Programmmanager für Gruppenrichtlinien

Ich hatte kürzlich die Gelegenheit, Michael Dennis zu interviewen, der das Gruppenrichtlinienprojekt bei Microsoft von Anfang an geleitet hat. Michael verlässt nun das Gruppenrichtlinienteam, um eine andere Rolle bei Microsoft einzunehmen. Ich habe mich mit ihm über die letzten neun Jahre des Projekts „Gruppenrichtlinie“ unterhalten, um zu erfahren, wie es sich entwickelt hat und wie die Zukunft aussieht.

Jeremy Moskowitz Viele Leute möchten sicherlich wissen, was Sie als Ihre größten Erfolge während Ihrer Zeit als Leiter des Gruppenrichtlinienteams bei Microsoft ansehen.

Michael Dennis Die größten Erfolge gab es in der Phase, in der die später so genannte Gruppenrichtlinie schwerpunktmäßig entwickelt wurde. Die Systemrichtlinie in Windows NT® 4.0 lag bereits vor. Wir entschieden uns dafür, die Vorteile und Probleme dieser Richtlinie genauer unter die Lupe zu nehmen. Da dies in die Entwicklungsphase von Active Directory® fiel, untersuchten wir, an welchen Stellen die Verwaltbarkeit von Clients und Servern verbessert werden konnte.

Die völlig neue Idee, dass eine Gruppenrichtlinie in eine Hierarchie integriert werden konnte, war eine große Entdeckung für uns. Also konzentrierten wir uns auf die Kerninfrastruktur, die Clientprozesse und die Integration in Active Directory.

Das Nebenprodukt unseres größten Erfolgs war gleichzeitig auch unser größter Misserfolg. Die grafische Benutzeroberfläche, die in Windows 2000 geliefert wurde, war nämlich problematisch. Die effektive Verwendung der Gruppenrichtlinie erforderte praktisch einen eigenen Studiengang, da Administratoren wissen mussten, wie alles funktioniert. Ich wünschte, wir hätten die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) und den Richtlinienergebnissatz (Resultant Set of Policy, RSoP) schon damals erstellen und bereitstellen können. Das Konzept bestand damals bereits.

JM Welche Elemente hätten Sie damals gern in die Gruppenrichtlinie eingebaut?

MD Die gute Neuigkeit ist, dass alles, was ich mir seit der Freigabe von Windows 2000 vorgenommen hatte, jetzt in Windows Vista vorliegt. Dazu gehört beispielsweise RSoP, die GPMC, die größere Anzahl von Einstellungen, und so weiter. Ich wünschte, wir hätten all dies schon viel früher erreicht.

Außerdem hatte ich mir vorgestellt, dass die Gruppenrichtlinieninfrastruktur leichter nach Partnern erweitert werden kann. Das server-/clientseitige Erweiterungsmodell erfordert viel Arbeit seitens der Entwickler. Andererseits lässt sich einwenden, dass die ADM/ADMX-Vorlagenstruktur ein leicht erweiterbares Framework bereitstellt. Noch besser wäre es, wenn dieser Teil des Systems die Erweiterung von weiteren Einstellungstypen ermöglicht.

Es wäre auch wünschenswert, die GPMC-Berichterstattung so zu gestalten, dass sie für Partner und Entwickler von Drittanbietertools in höherem Maße erweiterbar ist. Dies ist ein Bereich, auf den Hersteller von Drittanbietertools oft und deutlich hingewiesen haben.

JM Gibt es Dinge, die wir über das Gruppenrichtlinienteam wissen sollten?

MD Manchmal ist es schwer, das Team für Gruppenrichtlinien in das Gesamtbild einzuordnen. Aufgabe des Teams ist es, die Infrastruktur, den Transport, den Server und die clientbasierten Teile zu erstellen. Doch allein für Windows Vista haben wir mit etwa 120 verschiedenen Microsoft-Teams zusammengearbeitet, um die neuen Einstellungen für diese Veröffentlichung fertig zu stellen.

Benutzer sollten sich vor Augen halten, dass es nicht an der Gruppenrichtlinie liegt, wenn die Systemleistung beim Starten oder Anmelden abfällt. Diese Probleme treten aufgrund der Gruppenrichtliniennutzlast auf. Wenn Sie die Gruppenrichtlinie anweisen, eine schwierige Aufgabe auszuführen, führt sie sie aus. Die Anweisung, Microsoft Office auf einer computerspezifischen Basis zu installieren, ist beispielsweise kein Problem. Sie müssen sich nur darüber im Klaren sein, dass die Richtlinie genau das ausführt, was verlangt wird. Also installiert sie das gesamte Office-System, bevor eine Anmeldeaufforderung ausgegeben wird. Ist das eine Verlangsamung? Zweifelsohne, aber es ist genau das, was der Administrator, der die Richtlinie bereitstellte, verlangt hat.

JM Was führen Sie am liebsten mithilfe der Gruppenrichtlinie vor?

MD Derzeit zeige ich gern einige der neuen Einstellungen vor, die in Windows Vista eingeführt wurden. Die Wechselmedieneinstellungen beispielsweise (Einschränkungen von USB-Sticks usw.) wurden schon seit langem von den Benutzern verlangt. Es gibt ungefähr 2.400 Einstellungen in Windows Vista, die Administratoren bemerkenswerte Kontrollmöglichkeiten bieten. Ich frage Kunden gern, was sie kontrollieren wollen, und führe dann vor, wie dies gemacht wird.

JM Weshalb haben Sie von ADM- zu ADMX-Dateien gewechselt?

MD Technisch gesehen war dies nicht unbedingt erforderlich, um das neue zentrale Speicherfeature in Windows Vista zu erhalten. Die Konvertierung in ADMX, war dadurch begründet, dass mehrere Sprachen entsprechend unterstützt werden sollten.

Vorher kam es in mehrsprachigen Umgebungen oft vor, dass der Inhalt der ADM-Dateien innerhalb eines GPO versehentlich von einer anderen Sprache geschrieben wurde. Historisch gesehen haben wir das ADM-Format von Windows NT 4.0 verwendet, was Windows NT von Windows 98 und Windows 98 wiederum von Windows 95 übernommen hatte. Wenn XML damals schon existiert hätte, wäre es ein idealer Anwärter für das Dateiformat gewesen.

Aber jetzt haben wir XML, und es ist leichter geworden, mehrere Sprachen zu unterstützen. Außerdem bietet es Möglichkeiten, künftig Registrierungs- und Einstellungsverbesserungen mit unserer jetzt schematisierten Sprache vorzunehmen.

JM Was war die größte interne Herausforderung in Ihrer Zeit im Gruppenrichtlinienteam?

MD Das größte Problem für das Team besteht immer noch darin, andere Komponenten von Windows dazu zu bringen, ihre Features durch eine Richtlinie zu aktivieren.

Team X könnte beispielsweise entgegnen: „Wir haben dieses großartige neue Feature entwickelt. Es besteht wirklich kein Grund, es jemals deaktivieren zu wollen.“ Das können wir natürlich nachvollziehen. Doch wir haben schon viele derartige Probleme durchgearbeitet.

Es gibt auch technische Herausforderungen, was das Aktivieren über eine Richtlinie angeht. Dazu gehört zum Beispiel die neue Windows-Firewall mit erweiterter Sicherheit (Windows Firewall with Advanced Security, WFAS). Die Entwicklung von WFAS war zäh. Es ist nicht leicht, sie über eine Richtlinie ordnungsgemäß zu aktivieren. Die vom WFAS-Team für Windows Vista erstellte Oberfläche ist hervorragend, doch der Entwicklungsprozess war ganz schön hart.

In den Windows-Versionen vor Windows Vista haben die Produktteams nicht immer daran gedacht, ihre Komponenten über eine Richtlinie aktivieren zu lassen. Doch im Laufe der Windows Vista-Entwicklung haben uns relativ viele Teams gefragt, wie dies vor sich geht. Das war schon beachtlich!

JM Was steht für Sie als Nächstes an?

MD Ich werde zum Team „Mobile Information Worker“ wechseln, das für Smartphones, Pocket PCs usw. zuständig ist. Zu meinen Aufgaben gehört dann das Erweitern der Verwaltungstechnologien in Windows Server System auf Windows Mobile®-Geräte.

Ich werde versuchen, die gleichen Zielsetzungen im Bereich Verwaltbarkeit sowie meine persönliche Leidenschaft für dieses Gebiet auch auf meine neue Tätigkeit zu übertragen. Das Gruppenrichtlinienteam befindet sich zurzeit in einer hervorragenden Position für eine weitere erfolgreiche Entwicklung.

JM Möchten Sie unseren Lesern sonst noch etwas mitteilen?

MD Während der gesamten Entwicklung der Gruppenrichtlinie bestand ein wichtiger Schritt darin, sich persönlich mit Kunden auszutauschen und wirklich zu verstehen, wie sie arbeiten und was sie erreichen möchten. Wenn Kunden ihre Meinung zu Szenarios, die von der Gruppenrichtlinie abgedeckt werden sollten, auf strukturierte Weise darlegen können und ein Geschäftsmodell dafür vorliegt, freuen wir uns, wenn sie uns kontaktieren.

Hierfür steht ein guter Feedbackmechanismus unter WindowsServerFeedback.com zur Verfügung. Suchen Sie nach der Schaltfläche „Gruppenrichtlinie“.

Informationen wie „Ich habe folgendes Problem, so sieht mein Geschäftsmodell aus, ich brauche ein System, um dies und jenes ausführen zu können, und zwar aus diesem Grund“ sind äußerst wertvoll für uns. Jeder Eingang aus dieser Quelle wird von den künftigen Entscheidungsträgern für die Gruppenrichtlinie gelesen.

Teilen Sie uns also auf jeden Fall Ihre Anforderungen für die Gruppenrichtlinie mit. Allerdings reicht „Wir brauchen eine Richtlinieneinstellung, die X kann“ allein nicht aus. Sie müssen uns schon den Grund für die Anforderung mitteilen. Das „Wie“ ist unsere Aufgabe. Was das Gruppenrichtlinienteam wirklich wissen muss, ist das „Warum“.

JM Danke, dass Sie sich die Zeit genommen haben, uns über Ihre Erfahrungen im Gruppenrichtlinienteam bei Microsoft zu berichten. Alles Gute!

MD Vielen Dank, Jeremy.

Jeremy Moskowitz ist MCSE und MVP für Gruppenrichtlinien und leitet GPanswers.com, ein Gemeinschaftsforum zum Thema Gruppenrichtlinien. Außerdem organisiert er Intensivseminare zum Thema Gruppenrichtlinien. Sein aktuelles Buch heißt „Group Policy: Management, Troubleshooting, and Security“ (Sybex, 2007). Sie erreichen Jeremy Moskowitz unter www.GPanswers.com.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.