Windows Server 2003 - Gruppenrichtlinien-Verwaltungskonsole (GPMC): Gruppenrichtlinien made easy (Gastbeitrag von Eric Tierling)
Veröffentlicht: 28. Jan 2004
Von Eric Tierling
Dieser Artikel, ein Auszug aus dem Buch "Windows Server 2003 - Einrichtung, Ver
waltung, Referenz" von Eric Tierling, beschreibt die Verwaltung von Active Directory-Umgebungen mit Hilfe von Gruppenrichtlinien. Für den effizienten Einsatz dieser Richtlinien hat Microsoft für Windows Server 2003 ein zusätzliches Programm entwickelt, das den MMC-Snap-Ins "Active Directory-Benutzer und -Computer" und "Active Directory-Standorte und -Dienste" unterstützend zur Seite steht. Die Rede ist von der Group Policy Management Console (kurz GPMC), die in der deutschen Ausführung Gruppenrichtlinien-Verwaltungskonsole heißt.
Eric Tierling ist vielen Administratoren und IT-Professionals als Experte für die Server- und Client-Betriebssysteme von Microsoft bekannt. Weitere Infos zu dem Buch und das ganze Inhaltsverzeichnis finden Sie auf der Website des Autors.
|
Auf dieser Seite |
Links zu verwandten Themen |
|---|---|
|
| |
|
Download Artikel im Word-Format Microsoft Word-Datei | |
|
Artikel im PDF-Format PDF-Datei |
.png "Dn308927.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png")
23.1 Installation
.png "Dn308927.8806D110EB18CD71B1CE323B89624167(de-de,TechNet.10).png")
.png "Dn308927.8B3D04996314173E7583D7C6B55A6BAC(de-de,TechNet.10).png")
Administratoren, die Erfahrungen mit einer auf Windows 2000 Server-basierten Active Directory-Umgebung besitzen, wissen, dass Gruppenrichtlinien ein gleichermaßen mächtiges wie unübersichtliches, umständlich zu handhabendes Verwaltungsinstrument darstellen. Denn obgleich sich die in einem Gruppenrichtlinien-Objekt enthaltenen Richtlinien mit dem grafischen Gruppenrichtlinienobjekt-Editor relativ bequem bearbeiten lassen[1], sieht es mit den zugehörigen Gruppenrichtlinien-Objekten anders aus: Die zu Windows 2000 Server gehörenden Active Directory-Tools zur Erstellung, Verknüpfung und Konfiguration von Gruppenrichtlinien-Objekten in Form der MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste spielen ihre Stärken bei der Konfiguration von Standorten, Domänen und Organisationseinheiten aus, wozu unter anderem auch die Verknüpfung (sowie die Erstellung und Konfiguration von Gruppenrichtlinien-Objekten) zählen.
Aus diesem Grund hat Microsoft für Windows Server 2003 ein zusätzliches Programm entwickelt, das den MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste unterstützend zur Seite steht. Die Rede ist von der Group Policy Management Console (kurz GPMC), die in der deutschen Ausführung Gruppenrichtlinien-Verwaltungskonsole heißt. Entgegengesetzt zu den Active Directory-Tools stellt dieses Programm jedoch Gruppenrichtlinien-Objekte - und alles, was mit diesen zusammenhängt (Sicherheits- und WMI-Filter, selektive oder vollständige Deaktivierung etc.) - in das Zentrum seines Interesses.
Hinweis
Die Entwicklung von GPMC war erst kurze Zeit nach Windows Server 2003 abgeschlossen, aus diesem Grund befindet sich GPMC auch nicht auf der Windows Server 2003-CD-ROM. Vielmehr steht GPMC auf der unter der Adresse www.microsoft.com/windowsserver2003/gpmc erreichbaren Website zum Download bereit. Da es sich um ein kostenloses Programm für Windows Server 2003 handelt, braucht GPMC nicht käuflich erworben zu werden.
Unter dem Dach der Gruppenrichtlinien-Verwaltungskonsole hat Microsoft alle Aufgaben zusammengefasst, die für Administratoren im Hinblick auf den Umgang mit Gruppenrichtlinien-Objekten Bedeutung besitzen:
- Die Gruppenrichtlinien-Verwaltungskonsole GPMC dient als einheitliche Anlaufstelle für alles, was mit Gruppenrichtlinien-Objekten zusammenhängt.
- GPMC gestattet nicht nur die Bearbeitung von Gruppenrichtlinien-Objekten (und WMI-Filtern) der eigenen bzw. einer einzelnen Domäne, sondern auch solcher Gruppenrichtlinien-Objekte, die in anderen Domänen oder Active Directory-Gesamtstrukturen gespeichert sind.
GPMC passt sich nahtlos in die MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste ein und ergänzt die übrigen, unter Windows Server 2003 existierenden Tools zur Verwaltung des Active Directory. Geht es beispielsweise darum, den Inhalt eines Gruppenrichtlinien-Objekts (also die darin enthaltenen Richtlinien bzw. deren Einstellungen) zu bearbeiten, veranlasst GPMC automatisch den Aufruf des Gruppenrichtlinienobjekt-Editors. Genauso nimmt sich GPMC der Erstellung (mit oder ohne Verknüpfung), Entfernung und Umbenennung von Gruppenrichtlinien-Objekten und WMI-Filtern, der Verknüpfung von Gruppenrichtlinien-Objekten mit Active Directory-Container bzw. von WMI-Filtern mit Gruppenrichtlinien-Objekten sowie der Bearbeitung der Berechtigungen zum Zugriff auf Gruppenrichtlinien und WMI-Filter an.
.png "Dn308927.548DA11B163C77FA2A92C1337F228202(de-de,TechNet.10).png")
Abbildung 23.1: Die Gruppenrichtlinien-Verwaltungskonsole GPMC ist einheitliche Anlaufstelle für Gruppenrichtlinien-Objekte
Darüber hinaus nimmt sich die Gruppenrichtlinien-Verwaltungskonsole GPMC weiterer Aufgaben an, die mit den anderen Active Directory-Tools nicht möglich sind. Dazu gehören zum Beispiel:
- Sichern und Wiederherstellen von Gruppenrichtlinien-Objekten
- Kopieren und Einfügen von Gruppenrichtlinien-Objekten
- Importieren der Einstellungen gesicherter Gruppenrichtlinien-Objekte
- Kopieren und Einfügen sowie Importieren und Exportieren von WMI-Filtern
Diese Features tragen zu einem erheblich leichteren Handling von Gruppenrichtlinien-Objekten bei - eröffnen sie doch Möglichkeiten, die sich vorher nicht realisieren ließen. Dazu zählt beispielsweise die Option, Gruppenrichtlinien-Objekte, die sich in anderen Domänen derselben oder einer anderen Active Directory-Gesamtstruktur befinden, mit wenigen Mausklicks in der eigenen Domäne als hier gespeichertes Gruppenrichtlinien-Objekt zu kreieren, wobei alle Einstellungen in das neue Gruppenrichtlinien-Objekt transferiert werden. Unterstützung beim Kopieren oder Importieren von Gruppenrichtlinien-Objekten aus der Quell- in die Ziel-Domäne leisten Migrationstabellen: Hierüber können Administratoren eine Umsetzung spezifischer Einstellungen, die (wie zum Beispiel die Ordnerumleitung oder der bei der richtlinienbasierten Software-Installation festzulegende Standardverteilungspunkt) - einen absoluten Bezug etwa zu Pfaden aufweisen, durchführen. Eine Migrationstabelle wird als XML-Datei mit der Namenserweiterung .MIGTABLE gespeichert und lässt sich mit dem bei GPMC mitgelieferten Migrationstabellen-Editor, über die Skripting-Schnittstelle von GPMC (siehe unten) sowie anderen XML-Editoren bearbeiten.
Tipp
Auf diese Weise ist es ein Leichtes, individuell konfigurierte Gruppenrichtlinien-Objekte aus einer Testumgebung in eine im Produktivbetrieb befindliche Active Directory-Umgebung zu überführen - unter Beibehaltung der in der Testumgebung vorgenommenen Einstellungen.
Zusätzlich kann GPMC die in einem Gruppenrichtlinien-Objekt vorgenommenen Einstellungen in übersichtlicher Form anzeigen oder Berichte über die in einem Gruppenrichtlinien-Objekt konfigurierten Einstellungen erstellen (und auf Wunsch ausdrucken), wobei das dabei verwendete HTML-Format eine bequeme Weiterverwendung ermöglicht. Die Erstellung einer aussagekräftigen Dokumentation verwendeter Gruppenrichtlinien wird hierüber in erheblichem Maße verbessert.
Passend dazu können Administratoren mit Hilfe von GPMC eine gezielte Suche nach solchen Gruppenrichtlinien-Objekten durchführen, die bestimmte Kriterien erfüllen. Herauszufinden, welche Gruppen die Berechtigung zur Anwendung von Gruppenrichtlinien-Objekten besitzen, welche Gruppenrichtlinien-Objekte bestimmte Erweiterungen verwenden oder aber mit einem bestimmten WMI-Filter verknüpft sind, ist somit sehr einfach möglich.
Als ebenso hilfreich erweist sich die Integration der aus Windows XP Professional bekannten Funktion Richtlinienergebnissatz - im englischen Original Resultant Set of Policy genannt, kurz RSoP - in GPMC. Diese bezieht sowohl den Protokollierungs- als auch den Planungsmodus - bei GPMC Gruppenrichtlinienergebnisse und Gruppenrichtlinienmodellierung genannt - mit ein, sodass eine separate Verwendung des MMC-Snap-Ins Richtlinienergebnissatz bei Verwendung der Gruppenrichtlinien-Verwaltungskonsole nicht mehr erforderlich ist. Somit eignet sich die Group Policy Management Console auch dazu, die Auswirkungen der auf einem bestimmten Computer oder Benutzer angewandten Gruppenrichtlinien-Objekte bequem ermitteln und darstellen zu können bzw. eine Planung für die Anwendung von Gruppenrichtlinien-Objekten auf Computer oder Benutzer in »Was-wäre-wenn«-Manier zu absolvieren.
Last, but not least gestattet die Gruppenrichtlinien-Verwaltungskonsole das Skripting von Operationen, die sich auf Gruppenrichtlinien-Objekte beziehen. Über 30 mitgelieferte Beispiel-Skripte - etwa zur Sicherung und Wiederherstellung sowie zum Kopieren oder Entfernen von Gruppenrichtlinien-Objekten - zeigen recht eindrucksvoll auf, welche weiter gehenden Verfahren zur Nutzung der von GPMC bereitgestellten Funktionen sich durch das Skripting eröffnen.
Hinweis
GPMC erlaubt das Skripting von Gruppenrichtlinien-Objekt-Operationen, nicht aber das Skripting von Gruppenrichtlinien-Einstellungen.
23.1 Installation
Die Entwicklung der Gruppenrichtlinien-Verwaltungskonsole fand im Hinblick auf Windows Server 2003 statt. Die Einsatzfähigkeit von GPMC ist jedoch keineswegs auf das Active Directory von Windows Server 2003 begrenzt: Genauso gut lässt sich GPMC auch zur Verwaltung von Gruppenrichtlinien-Objekten einer Windows 2000-Domäne verwenden. Einzige Voraussetzung ist, dass die Gruppenrichtlinien-Verwaltungskonsole auf einem Windows Server 2003- oder Windows XP Professional-Computer laufen muss, da ein Einsatz der GPMC auf einem Windows 2000-Computer nicht möglich ist.
Hinweis
Im Falle von Windows XP Professional müssen auf dem Computer zudem das Windows XP Service-Pack 1 oder höher sowie das Microsoft .NET Framework installiert sein.
.png "Dn308927.E800E8C55AC9B0C134C07AF75961411D(de-de,TechNet.10).png")
Abbildung 23.2: Die Gruppenrichtlinien-Verwaltungskonsole muss auf jedem Computer, auf dem sie zum Einsatz kommen soll, installiert werden
Um die Gruppenrichtlinien-Verwaltungskonsole auf einem Windows Server 2003- oder Windows XP Professional-Computer zu installieren, besorgen Sie sich zunächst die aktuelle GPMC-Version, die Microsoft im Internet unter der Adresse www.microsoft.com/windowsserver2003/gpmc offeriert. Dort lässt sich die Gruppenrichtlinien-Verwaltungskonsole wahlweise in Englisch, Deutsch und weiteren Sprachen herunterladen.
Zur Installation der GPMC melden Sie sich bei dem Computer als Benutzer an, der mit Administrator-Berechtigungen versehen ist. Anschließend können Sie das MSI-Paket GPMC.MSI öffnen. Alternativ ist es möglich, dieses MSI-Paket über die richtlinienbasierte Software-Installation (siehe Kapitel 22) automatisch über das Netz installieren zu lassen, sodass Administratoren diese unabhängig davon, welchen Computer sie zur Verwaltung des Active Directory verwenden, in ihrer Arbeitsumgebung zur Verfügung steht.
Die zur Gruppenrichtlinien-Verwaltungskonsole gehörenden Dateien werden standardmäßig im Ordner %systemdrive%\Programme\GPMC installiert. Die mitgelieferten Beispiel-Skripte sind dabei im Unterordner Scripts zu finden - genauso wie die Hilfedatei GPMC.CHM, die Details über die Skripting-Schnittstelle der Gruppenrichtlinien-Verwaltungskonsole bereithält.
Wichtig
Durch die Installation der Gruppenrichtlinien-Verwaltungskonsole auf einem Computer ändert sich auch der Inhalt der Registerkarte Gruppenrichtlinie im Eigenschaften-Dialogfeld eines mit den MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste bearbeiteten Active Directory-Containers (siehe Abbildung 23.3). So kann die Bearbeitung von Gruppenrichtlinien nun nicht mehr über die auf dieser Registerkarte sonst zur Verfügung stehenden Optionen, sondern nur noch über GPMC erfolgen - die sich aber direkt von hier aus aufrufen lässt. Um parallel zur GPMC Gruppenrichtlinien-Objekte auch auf die »altbekannte« Art und Weise bearbeiten zu können[2], benötigen Sie also eine weiteren Windows Server 2003- oder Windows XP Professional-Computer, auf dem zwar die MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste installiert sind, nicht aber die Gruppenrichtlinien-Verwaltungskonsole.
.png "Dn308927.8C85BE97F125058CB11359002764119C(de-de,TechNet.10).png")
Abbildung 23.3: Nach der Installation der Gruppenrichtlinien-Verwaltungskonsole lassen sich Gruppenrichtlinien-Objekte auch aus den MMC-Snap-Ins Active Directory-Benutzer und -Computer und Active Directory-Standorte und -Dienste heraus nur noch über GPMC bearbeiten
Obgleich die Installation der Gruppenrichtlinien-Verwaltungskonsole damit schon abgeschlossen ist, empfiehlt es sich, Folgendes zu prüfen:
- Sollen die Gruppenrichtlinien-Objekte einer Windows 2000-Domäne bearbeitet werden, kann es sein, dass GPMC eine Inkonsistenz zwischen den Berechtigungen für Gruppenrichtlinien-Objekte und dem SYSVOL-Ordner feststellt (wenn die Windows 2000-Domäne mit Domänencontrollern erstellt worden ist, auf denen das Windows 2000 Service-Pack 4 oder höher noch nicht installiert war). In diesem Fall zeigt die Gruppenrichtlinien-Verwaltungskonsole ein Dialogfeld an, über das Sie diese Berechtigungen einander angleichen können.
- Bei der Bearbeitung von Gruppenrichtlinien-Objekten einer auf Windows Server 2003 aktualisierten Windows Server 2003-Domäne sollten Sie das bei GPMC mitgelieferte Skript GrantPermissionOnAllGPOs.wsf ausführen. So lassen sich Berechtigungen für alle Gruppenrichtlinien-Objekte anpassen, die vor der Aktualisierung der Windows 2000-Domäne erstellt worden sind, um Probleme bei der Domänen-übergreifenden Bearbeitung von Gruppenrichtlinien-Objekten zu vermeiden.
.png "Dn308927.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png")
Zum Seitenanfang
23.2 Aufruf der Gruppenrichtlinien-Verwaltungskonsole
Um die Gruppenrichtlinien-Verwaltungskonsole GPMC in ihrem grafischem Gewand in Aktion treten zu lassen, bestehen mehrere Möglichkeiten:
- So können Sie wie zuvor beschrieben mit dem MMC-Snap-In Active Directory-Benutzer und -Computer oder dem MMC-Snap-In Active Directory-Standorte und -Dienste die Eigenschaften eines Standortes, einer Domäne oder einer Organisationseinheit bearbeiten und im Eigenschaften-Dialogfeld nach der GPMC-Installation dann die auf der Registerkarte Gruppenrichtlinie zu findende Schaltfläche Öffnen anklicken.
- Ein anderer Weg besteht darin, die Gruppenrichtlinien-Verwaltungskonsole durch Auswahl des Eintrags Gruppenrichtlinienverwaltung aus dem Menü Verwaltung zu starten.
- Alternativ dazu können Sie eine leere MMC-Konsole öffnen und dort das MMC-Snap-In Gruppenrichtlinienverwaltung hinzufügen. Auf Wunsch können Sie dieser MMC-Konsole dann auch weitere MMC-Snap-Ins hinzufügen und sich so eine Umgebung zusammenstellen, in der Sie alles für Sie Relevante jederzeit im Blick (und Zugriff) haben.
[1] Im Gruppenrichtlinienobjekt-Editor sorgt höchstens die hohe Anzahl der vorhandenen Richtlinien - die gleichzeitig aber zur hohen Flexibilität von Gruppenrichtlinien beiträgt - für eine gewisse Unübersichtlichkeit.
[2] So können Sie sich für eine Übergangszeit in Ruhe mit den Möglichkeiten der Gruppenrichtlinien-Verwaltungskonsole vertraut machen und bei Bedarf »nachsehen«, wie sich das GPMC-lose Vorgehen gestaltet.
|
Eric Tierling, Windows Server 2003 - Einrichtung, Verwaltung, Referenz |
.png "Dn308927.E57769FD57374CA06A01BBFD6793EC05(de-de,TechNet.10).png")
Zum Seitenanfang