Leitfaden zum Verständnis der Gruppenrichtlinienfunktionen

Veröffentlicht: 17.09.2004

Dieser Leitfaden bietet einen kurzen Überblick über Gruppenrichtlinien und zeigt, wie das Gruppenrichtlinien-Snap-In verwendet wird, um Richtlinieneinstellungen für Gruppen von Benutzern und Computern festzulegen.

Auf dieser Seite

Einführung

Übersicht

Gruppenrichtlinien und die Microsoft Management Console (MMC)

Anhang

Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory®. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Teil II: Installieren einer Arbeitsstation unter Windows XP Professional und Integration in eine Domäne

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Die Leitfäden zur Bereitstellung von Windows Server 2003 können in einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Mit VM-Technologie (Virtual Machine) sind Kunden in der Lage, mehrere Betriebssysteme parallel auf einem einzigen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die hierin verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name Service) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Zum Seitenanfang

Übersicht

Gruppenrichtlinieneinstellungen definieren die verschiedenen Komponenten der Desktopumgebung eines Benutzers, die ein Systemadministrator verwalten muss, z. B. die für Benutzer insgesamt verfügbaren Programme, die auf dem Desktop des Benutzers angezeigten Programme und Optionen für das Startmenü. Die von Ihnen festgelegten Gruppenrichtlinieneinstellungen werden in einem Group Policy Object (GPO – Gruppenrichtlinienobjekt) gespeichert, das wiederum ausgewählten Active Directory-Objekten – Standorten, Domänen oder Organizational Units (OUs – Organisationseinheiten) – zugeordnet ist.

Gruppenrichtlinien gelten nicht nur für Benutzer und Clientcomputer, sondern auch für Mitgliedsserver, Domänencontroller und andere Windows Server 2003-Computer innerhalb des Verwaltungsbereichs. Standardmäßig wirken sich Gruppenrichtlinien, die auf eine Domäne (und zwar die Domänenebene direkt über dem Stamm von Active Directory-Benutzer und Computer) angewendet werden, auf sämtliche Computer und Benutzer in der Domäne aus. Active Directory-Benutzer und Computer stellt auch die integrierte Organisationseinheit Domänencontroller bereit. Wenn Sie Ihre Domänencontrollerkonten dort speichern, können Sie Domänencontroller über das Gruppenrichtlinienobjekt Standard-Domänencontrollerrichtlinie getrennt von anderen Computern verwalten.

Gruppenrichtlinienobjekte werden mit Standort-, Domänen- und Organisationseinheitcontainern in Active Directory verknüpft. Dabei entspricht die Standardrangfolge der Active Directory-Hierarchie: zuerst Standorte, dann Domänen und anschließend die einzelnen Organisationseinheiten. Ein Gruppenrichtlinienobjekt kann mehreren Active Directory-Containern zugeordnet werden, oder mehrere Container können mit einem einzigen Gruppenrichtlinienobjekt verknüpft werden.

Mithilfe eines Gruppenrichtlinienobjekts können Objekte auf der Grundlage der Sicherheitsgruppenmitgliedschaft gefiltert werden. Dies bietet Administratoren die Möglichkeit, Computer und Benutzer zentral oder dezentral zu verwalten. Zu diesem Zweck können Administratoren eine Filterung nach Sicherungsgruppen durchführen, um den Bereich der Gruppenrichtlinienverwaltung zu definieren, damit Gruppenrichtlinien auf Domänenebene zentral angewendet werden können. Es ist aber auch möglich, Gruppenrichtlinien auf Organisationseinheitsebene dezentral anzuwenden und dann erneut nach Sicherheitsgruppen zu filtern. Administratoren können Sicherheitsgruppen in Gruppenrichtlinien für folgende Aufgaben verwenden:

• Filtern des Bereichs eines Gruppenrichtlinienobjekts: Damit wird definiert, auf welche Gruppen von Benutzern und Computern sich ein Gruppenrichtlinienobjekt auswirkt.
• Delegieren der Steuerung eines Gruppenrichtlinienobjekts: Beim Verwalten und Delegieren von Gruppenrichtlinien gibt es zwei Aspekte: Verwalten der Gruppenrichtlinienverknüpfungen und Verwalten der Personen, die Gruppenrichtlinienobjekte erstellen und bearbeiten dürfen.

Für die Verwaltung von Gruppenrichtlinieneinstellungen stehen mehrere Verwaltungstools zur Verfügung, darunter die folgenden:

• MMC-Snap-In (Microsoft Management Console) Gruppenrichtlinienobjekt-Editor
  • In Windows Server 2003 verfügbares MMC-Standard-Snap-In, das in diesem Leitfaden durchgängig verwendet wird.
• Group Policy Management Console (GPMC – Gruppenrichtlinien-Verwaltungskonsole) mit Service Pack 1
  • Die Gruppenrichtlinien-Verwaltungskonsole erweitert den standardmäßigen Gruppenrichtlinienobjekt-Editor, indem es die Verwaltung von Gruppenrichtlinien vereinfacht. Dies erleichtert das Verständnis, die Bereitstellung, die Verwaltung und Problembehandlung von Gruppenrichtlinienimplementierungen. Darüber hinaus ermöglicht die Gruppenrichtlinien-Verwaltungskonsole eine Automatisierung von Gruppenrichtlinienvorgängen über Skripterstellung. Weitere Informationen hierzu finden Sie unter Leitfaden zur Verwendung der Gruppenrichtlinien-Verwaltungskonsole (GPMC).
• Erweiterungen von Drittanbietern, die andere Richtlinieneinstellungen hosten

Gruppenrichtlinien enthalten Richtlinieneinstellungen für die Benutzerkonfiguration (mit Auswirkungen auf Benutzer) und für die Computerkonfiguration (mit Auswirkungen auf Computer).

Mit Gruppenrichtlinien können Sie folgende Aufgaben ausführen:

• Verwalten von registrierungsbasierten Richtlinien mit administrativen Vorlagen: Gruppenrichtlinien erstellen eine Datei mit Registrierungseinstellungen, die in den Abschnitt User oder Local Machine der Registrierungsdatenbank geschrieben werden.
• Zuweisen von Skripts: Hierzu zählen Skripts wie diejenigen für Computerstart, Herunterfahren, An- und Abmelden.
• Umleiten von Ordnern: Sie können Ordner, z. B. Eigene Dateien und Eigene Bilder, aus dem Ordner Dokumente und Einstellungen auf dem lokalen Computer in Netzwerkpfade umleiten.
• Verwalten von Anwendungen: Sie können Anwendungen über die Gruppenrichtlinien-Softwareinstallation zuweisen, veröffentlichen, aktualisieren oder reparieren.
• Angeben von Sicherheitsoptionen:

Dieses Dokument bietet einen kurzen Überblick über Gruppenrichtlinien und zeigt, wie das Gruppenrichtlinien-Snap-In verwendet wird, um Richtlinieneinstellungen für Gruppen von Benutzern und Computern festzulegen.

Voraussetzungen

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Leitfaden zur Verwaltung von Active Directory

Anforderungen des Leitfadens

Zum Seitenanfang

Gruppenrichtlinien und die Microsoft Management Console (MMC)

Gruppenrichtlinien sind über den Mechanismus der MMC-Snap-In-Erweiterung direkt in die Active Directory-Verwaltungstools integriert. Die Active Directory-Snap-Ins legen den Verwaltungsbereich für Gruppenrichtlinien fest. Das gebräuchlichste Verfahren für den Zugriff auf Gruppenrichtlinien besteht darin, den Verwaltungsbereich mithilfe des Snap-Ins Active Directory-Benutzer und –Computer auf Domänen und Organisationseinheiten festzulegen. Sie können den Verwaltungsbereich aber auch mithilfe des Snap-Ins Active Directory-Standorte und –Dienste auf einen Standort festlegen. Diese beiden Tools sind über die Programmgruppe Verwaltung zugänglich; die Gruppenrichtlinien-Snap-In-Erweiterung ist in beiden Tools aktiviert. Alternativ können Sie eine benutzerdefinierte MMC-Konsole entsprechend der Beschreibung im nächsten Abschnitt erstellen.

Konfigurieren einer benutzerdefinierten Konsole

Für die Beispiele in diesem Dokument wird die benutzerdefinierte MMC-Konsole verwendet, die Sie mit den in diesem Abschnitt beschriebenen Verfahren erstellen können. Sie müssen diese Konsole erstellen, bevor Sie die restlichen Verfahren in diesem Dokument ausführen können.

So konfigurieren Sie eine benutzerdefinierte Konsole

1. Melden Sie sich unter HQ-CON-DC-01 als administrator@contoso.com an.
2. Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
3. Klicken Sie im Fenster Console1 auf Datei und dann auf Snap-In hinzufügen/entfernen.
4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
5. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen im Listenfeld Verfügbare eigenständige Snap-Ins auf Active Directory-Benutzer und -Computer und dann auf Hinzufügen.
6. Doppelklicken Sie im Listenfeld Verfügbare eigenständige Snap-Ins auf Snap-In "Active Directory-Standorte und -Dienste".
7. Führen Sie einen Bildlauf nach unten durch, und doppelklicken Sie auf Gruppenrichtlinienobjekt-Editor.
8. Stellen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen sicher, dass unter Gruppenrichtlinienobjekt der Eintrag Lokaler Computer ausgewählt ist. Klicken Sie auf Fertig stellen und dann auf Schließen.
9. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf die Registerkarte Erweiterungen. Vergewissern Sie sich, dass das Kontrollkästchen Alle Erweiterungen hinzufügen für jede primäre Erweiterung aktiviert ist, die der MMC-Konsole hinzugefügt wurde (diese Erweiterungen sind standardmäßig ausgewählt). Klicken Sie auf OK.

So speichern Sie Konsolenänderungen

1. Klicken Sie in der MMC-Konsole auf Datei und dann auf Speichern.

2. Geben Sie im Dialogfeld Speichern unter im Textfeld Dateiname die Zeichenfolge GPWalkThrough ein, und klicken Sie auf Speichern. Die Konsole sollte wie in Abbildung 1 aussehen.

   

   Abbildung 1. MMC-Konsole für Gruppenrichtlinien

Zugreifen auf Gruppenrichtlinien

Wenn ein Standort, eine Domäne oder Organisationseinheit markiert ist, können Sie mithilfe der entsprechenden Active Directory-Tools auf Gruppenrichtlinien zugreifen.

So öffnen Sie die Gruppenrichtlinien mithilfe von Active Directory-Standorte und –Dienste

1. Klicken Sie im Stamm der MMC-Konsole GPWalkThrough auf das Pluszeichen (+) neben Active Directory-Standorte und -Dienste.
2. Klicken Sie im Konsolenstamm auf das Pluszeichen (+) neben Standorte, und klicken Sie dann mit der rechten Maustaste auf Standardname-des-ersten-Standorts.
3. Klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.
4. Klicken Sie auf Abbrechen.

So öffnen Sie die Gruppenrichtlinien mithilfe von Active Directory-Benutzer und –Computer

1. Klicken Sie im Stamm der MMC-Konsole GPWalkThrough auf das Pluszeichen (+) neben Active Directory-Benutzer und -Computer.
2. Klicken Sie im Konsolenstamm mit der rechten Maustaste auf contoso.com, um auf die Gruppenrichtlinien zuzugreifen.
3. Klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.
4. Klicken Sie auf Abbrechen.

Wenn Sie auf die Gruppenrichtlinien zugreifen möchten, deren Bereich auf einem bestimmten Computer (oder dem lokalen Computer) definiert wurde, müssen Sie das Gruppenrichtlinien-Snap-In in denjenigen Namespace der MMC-Konsole laden, dessen Ziel sich auf dem vorgesehenen Computer (oder dem lokalen Computer) befindet. Diese Unterschiede beruhen auf zwei Gründen:

• Standorte, Domänen und Organisationseinheiten können mit mehreren Gruppenrichtlinienobjekten verknüpft sein, für deren Verwaltung eine temporäre Eigenschaftenseite erforderlich ist.
• Ein Gruppenrichtlinienobjekt für einen bestimmten Computer ist auf diesem Computer und nicht in Active Directory gespeichert.

Erstellen eines Gruppenrichtlinienobjekts

Die Gruppenrichtlinieneinstellungen sind in Gruppenrichtlinienobjekten gespeichert, die mit ausgewählten Active Directory-Objekten wie Standorten, Domänen oder Organisationseinheiten einzeln verknüpft werden.

So erstellen und verknüpfen Sie ein neues Gruppenrichtlinienobjekt mit der Organisationseinheit "Headquarters"

1. Erweitern Sie in der MMC-Konsole GPWalkThrough unter Active Directory-Benutzer und -Computer das Objekt contoso.com.

2. Klicken Sie auf das Pluszeichen (+) neben Accounts, um die Struktur zu erweitern.

3. Klicken Sie mit der rechten Maustaste auf Headquarters, und klicken Sie dann auf Eigenschaften.

4. Klicken Sie auf der Seite Eigenschaften von Headquarters auf die Registerkarte Gruppenrichtlinie (Group Policy).

5. Klicken Sie auf Neu (New), geben Sie HQ Policy ein, und drücken Sie die EINGABETASTE. Die Seite Eigenschaften von Headquarters (Headquarters Properties) sieht wie in Abbildung 2 aus.

   

   Abbildung 2. Neues Gruppenrichtlinienobjekt, das mit der Organisationseinheit "Headquarters" verknüpft ist

In den vorherigen Schritten wurde gezeigt, wie ein Gruppenrichtlinienobjekt erstellt und mit einem Active Directory-Container, der Organisationseinheit Headquarters, automatisch verknüpft wird. Das Gruppenrichtlinienobjekt wirkt sich jedoch erst dann unmittelbar auf Benutzer oder Computer aus, nachdem seine verschiedenen Einstellungen definiert wurden. Im nächsten Abschnitt wird gezeigt, wie die Einstellungen des Gruppenrichtlinienobjekts HQ Policy bearbeitet werden.

Unter einem Active Directory-Container können mehrere Gruppenrichtlinienobjekte erstellt und/oder verknüpft werden. Wenn einem Active Directory-Container mehrere Gruppenrichtlinienobjekte zugeordnet sind, müssen Sie sicherstellen, dass diese Objekte die richtige Reihenfolge aufweisen. Gruppenrichtlinienobjekte an einer höheren Position der Liste, die die höchste Rangfolge aufweisen, werden zuletzt verarbeitet. (Auf diese Weise erhalten sie eine höhere Rangfolge.)

Genauso wie andere Objekte verfügen Gruppenrichtlinienobjekte über Kontextmenüs, über die die jeweiligen Eigenschaften angezeigt werden können. Kontextmenüs ermöglichen es Ihnen, allgemeine Informationen über ein Gruppenrichtlinienobjekt zu erhalten und diese Informationen zu ändern. Hierzu gehören Discretionary Access Control Lists (DACLs – freigegebene Zugriffssteuerungslisten) und Listen der anderen Standorte, Domänen oder Organisationseinheiten, mit denen das betreffende Gruppenrichtlinienobjekt verknüpft ist.

Best Practice: Sie können ein Gruppenrichtlinienobjekt über Benutzer- oder Computermitgliedschaft in Sicherheitsgruppen weiter verfeinern, indem Sie DACLs auf der Grundlage dieser Mitgliedschaft festlegen. Informationen zur Verwendung von DACLs finden Sie im Abschnitt "Sicherheitsgruppenfilterung".

Verwalten von Gruppenrichtlinien

So verwalten Sie Gruppenrichtlinien

• Greifen Sie auf das Kontextmenü eines Standorts, einer Domäne oder Organisationseinheit zu.

• Wählen Sie Eigenschaften aus, und klicken Sie auf die Registerkarte Gruppenrichtlinie. Damit wird die Seite Eigenschaften von Gruppenrichtlinie angezeigt.

  Beachten Sie die folgenden Punkte zur Seite Eigenschaften von Gruppenrichtlinie.

  • Auf dieser Seite werden alle Gruppenrichtlinienobjekte angezeigt, die dem momentan aktivierten Standort, der Domäne oder Organisationseinheit zugeordnet wurden. Die Verknüpfungen sind Objekte und verfügen über ein Kontextmenü, auf das Sie zugreifen können, indem Sie mit der rechten Maustaste auf das Objekt klicken. (Wenn Sie mit der rechten Maustaste auf die freie Fläche klicken, wird ein Kontextmenü zum Erstellen einer neuen Verknüpfung, Hinzufügen einer Verknüpfung oder Aktualisieren der Liste eingeblendet).

  • Diese Seite zeigt außerdem eine geordnete Gruppenrichtlinienobjekt-Liste an, an deren Anfang das Gruppenrichtlinienobjekt mit der höchsten Priorität steht. Sie können die Reihenfolge der Liste ändern, indem Sie ein Gruppenrichtlinienobjekt auswählen und es dann mit Hilfe der NACH-OBEN- oder NACH-UNTEN-TASTE an die gewünschte Position verschieben.

  • Klicken Sie auf die Schaltfläche Hinzufügen, um ein Gruppenrichtlinienobjekt zuzuordnen (zu verknüpfen).

  • Um ein vorhandenes Gruppenrichtlinienobjekt in der Liste zu bearbeiten, wählen Sie es aus, und klicken Sie dann auf die Schaltfläche Bearbeiten, oder doppelklicken Sie auf das Objekt. Daraufhin wird der Gruppenrichtlinienobjekt-Editor gestartet, in dem Sie das Gruppenrichtlinienobjekt ändern können. Weitere Informationen zum Ändern von Gruppenrichtlinienobjekten finden Sie unter "Bearbeiten eines Gruppenrichtlinienobjekts".

  • Um ein Gruppenrichtlinienobjekt unwiderruflich aus der Liste zu löschen, wählen Sie es aus, und klicken Sie dann auf die Schaltfläche Löschen. Wenn Sie dazu aufgefordert werden, wählen Sie Verknüpfung entfernen und das Gruppenrichtlinienobjekt unwiderruflich löschen aus. Seien Sie beim Löschen eines Gruppenrichtlinienobjekts vorsichtig, da es möglicherweise noch einem anderen Standort, einer anderen Domäne oder Organisationseinheit zugeordnet ist. Wenn Sie nur die Zuordnung des Gruppenrichtlinienobjekts zum aktuellen Container entfernen möchten, wählen Sie es aus der Verknüpfungsliste aus, klicken Sie auf Löschen, und wählen Sie dann bei der entsprechenden Eingabeaufforderung Verknüpfung aus der Liste entfernen aus.

  • Wenn Sie ermitteln möchten, welche anderen Standorte, Domänen oder Organisationseinheiten einem bestimmten Gruppenrichtlinienobjekt zugeordnet sind, klicken Sie mit der rechten Maustaste auf das Objekt, wählen Sie Eigenschaften aus dem Kontextmenü aus, und klicken Sie dann auf der Seite Eigenschaften des Objekts auf die Registerkarte Verknüpfungen. Klicken Sie auf Suche starten, um eine aktuelle Verknüpfungsliste für dieses Gruppenrichtlinienobjekt abzurufen.

  • Sie können die Option Kein Vorrang festlegen, indem Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt klicken. Diese Option kennzeichnet das ausgewählte Gruppenrichtlinienobjekt so, dass dessen Richtlinien durch ein anderes Gruppenrichtlinienobjekt nicht außer Kraft gesetzt werden können.

    Hinweis

    
    Sie können die Option Kein Vorrang für mehrere Gruppenrichtlinienobjekte aktivieren. Sämtliche mit Kein Vorrang gekennzeichneten Gruppenrichtlinienobjekte haben Vorrang vor allen anderen Gruppenrichtlinienobjekten, die nicht gekennzeichnet sind. Von diesen mit Kein Vorrang gekennzeichneten Gruppenrichtlinienobjekten wird dasjenige mit der höchsten Priorität nach allen anderen auf die gleiche Weise gekennzeichneten Gruppenrichtlinienobjekten angewendet.

  • Durch Klicken mit der rechten Maustaste auf das Gruppenrichtlinienobjekt können Sie es als Deaktiviert festlegen. Damit wird es lediglich deaktiviert und nicht aus der Liste entfernt.

    Hinweis

    
    Es ist auch möglich, nur den Abschnitt "Benutzer" oder "Computer" des Gruppenrichtlinienobjekts zu deaktivieren. Klicken Sie hierzu mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, klicken Sie auf Eigenschaften und dann auf der Registerkarte Allgemein entweder auf Konfigurationseinstellungen des Computers deaktivieren oder auf Benutzerdefinierte Konfigurationseinstellungen deaktivieren.

  • Auf der Eigenschaftenseite der Gruppenrichtlinie des Active Directory-Containers können Sie Richtlinienvererbung deaktivieren festlegen, um sämtliche Gruppenrichtlinienobjekte zu deaktivieren, die in der Hierarchie an einer höheren Position stehen. Auf diese Weise können Sie jedoch keine Gruppenrichtlinienobjekte deaktivieren, die durch Aktivieren des Kontrollkästchens Kein Vorrang durchgesetzt wurden; diese Objekte werden immer angewendet.

    Hinweis

    
    Richtlinieneinstellungen im lokalen Gruppenrichtlinienobjekt, die durch domänenbasierte Richtlinieneinstellungen nicht explizit außer Kraft gesetzt werden, werden ebenfalls immer angewendet. Durch Richtlinienvererbung deaktivieren auf einer beliebigen Ebene wird die lokale Richtlinie nicht entfernt.
    

Bearbeiten eines Gruppenrichtlinienobjekts

Sie können ein Gruppenrichtlinienobjekt über die zuvor erstellte benutzerdefinierte Konsole GPWalkThrough bearbeiten.

So bearbeiten Sie das Gruppenrichtlinienobjekt "HQ Policy"

1. Doppelklicken Sie in der MMC-Konsole GPWalkThrough auf das Gruppenrichtlinienobjekt HQ Policy (oder markieren Sie es, und klicken Sie dann auf Bearbeiten). Daraufhin wird der Gruppenrichtlinienobjekt-Editor zum Bearbeiten von HQ Policy geöffnet. Er sollte wie in Abbildung 3 aussehen.

   

   Abbildung 3. HQ Policy

   Bild maximieren

2. Schließen Sie den Gruppenrichtlinienobjekt-Editor für HQ Policy.

Hinzufügen eines Gruppenrichtlinienobjekts oder Suchen nach einem Gruppenrichtlinienobjekt

So fügen Sie ein Gruppenrichtlinienobjekt hinzu

1. Klicken Sie auf der Seite Eigenschaften von Headquarters auf der Registerkarte Gruppenrichtlinie auf Hinzufügen. Im Dialogfeld Gruppenrichtlinienobjekt-Verknüpfung hinzufügen (Add a Group Policy Object Link) werden die Gruppenrichtlinienobjekte, die momentan Domänen/Organisationseinheiten (Domains/OUs) oder Standorten (Sites) zugeordnet sind, oder aber alle Gruppenrichtlinienobjekte aufgelistet, die innerhalb der Active Directory-Struktur vorhanden sind. Dieses Dialogfeld wird in Abbildung 4 gezeigt.

   

   Abbildung 4. Gruppenrichtlinienobjekt-Verknüpfung hinzufügen

   Überprüfen Sie die folgenden Komponenten des Dialogfelds Gruppenrichtlinienobjekt-Verknüpfung hinzufügen, und schließen Sie es dann.

• Über das Dropdownfeld Suchen in können Sie in der gesamten Active Directory-Struktur bei der Suche nach einem Gruppenrichtlinienobjekt navigieren. Wenn Sie den Wert in diesem Feld ändern, werden die Gruppenrichtlinienobjekte mit allen untergeordneten Objekten im Ergebnisbereich angezeigt.
• Im Listenfeld auf der Registerkarte Domänen/Organisationseinheiten werden die untergeordneten Organisationseinheiten und Gruppenrichtlinienobjekte für die momentan ausgewählte Domäne bzw. Organisationseinheit angezeigt. Doppelklicken Sie auf eine untergeordnete Organisationseinheit oder verwenden Sie die Symbolleisten-Schaltfläche Aufwärts, um in der Hierarchie zu navigieren.
• Auf der Registerkarte Standorte werden alle Gruppenrichtlinienobjekte angezeigt, die dem ausgewählten Standort zugeordnet sind. In der Dropdownliste können Sie einen anderen Standort auswählen. Es gibt keine Hierarchie von Standorten.
• Auf der Registerkarte Alle wird eine einfache Liste aller Gruppenrichtlinienobjekte angezeigt, die in der ausgewählten Domäne gespeichert sind. Dies ist zweckmäßig, wenn Sie ein Ihnen dem Namen nach bekanntes Gruppenrichtlinienobjekt auswählen möchten, dessen momentane Zuordnung Sie nicht kennen. Diese Registerkarte ist außerdem der einzige Ort zum Erstellen eines Gruppenrichtlinienobjekts, das nicht mit einem Standort, einer Domäne oder Organisationseinheit verknüpft ist.
• Wenn Sie ein nicht verknüpftes Gruppenrichtlinienobjekt über die Registerkarte Alle erstellen möchten, klicken Sie auf die Symbolleisten-Schaltfläche Neues Gruppenrichtlinienobjekt erstellen, oder klicken Sie mit der rechten Maustaste auf die freie Fläche, und klicken Sie dann auf Neu. Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt ein, klicken Sie auf Eingabe und dann auf Abbrechen – klicken Sie nicht auf OK. Durch Klicken auf OK wird das neue Gruppenrichtlinienobjekt mit dem aktuellen Standort, der aktuellen Domäne oder Organisationseinheit verknüpft. Durch Klicken auf Abbrechen dagegen wird ein nicht verknüpftes Gruppenrichtlinienobjekt erstellt.
• Um der momentan ausgewählten Domäne oder Organisationseinheit ein Gruppenrichtlinienobjekt zuzuordnen, doppelklicken Sie auf das gewünschte Objekt.

Registrierungsbasierte Richtlinien

Die Benutzeroberfläche für registrierungsbasierte Richtlinien steht über ADM-Dateien (Administrative Template – Administrative Vorlage) zur Verfügung. In diesen Dateien wird die Benutzeroberfläche beschrieben, die im Knoten Administrative Vorlagen des Gruppenrichtlinien-Snap-Ins angezeigt wird. Das Format dieser Dateien ist mit dem Format der ADM-Dateien kompatibel, die vom Tool Systemrichtlinien-Editor (Poledit.exe) in Microsoft Windows NT® 4.0 verwendet werden. Bei Windows Server 2003 wurden die in registrierungsbasierten Richtlinien verfügbaren Optionen erweitert.

Standardmäßig werden nur die Richtlinieneinstellungen angezeigt, die in den geladenen ADM-Dateien in den genehmigten Gruppenrichtlinienstrukturen definiert wurden; diese Einstellungen werden als echte Richtlinien bezeichnet. Dies bedeutet, dass das Gruppenrichtlinien-Snap-In keine in der ADM-Datei beschriebenen Elemente anzeigt, die Registrierungsschlüssel außerhalb der Gruppenrichtlinienstrukturen festlegen; solche Elemente werden als bevorzugte Gruppenrichtlinieneinstellungen bezeichnet. Bevorzugte Einstellungen sind durch ein rotes Symbol gekennzeichnet, um sie von echten Richtlinien zu unterscheiden, die durch ein blaues Symbol gekennzeichnet sind. Es gibt folgende genehmigte Gruppenrichtlinienstrukturen:

• \Software\Policies
• \Software\Microsoft\Windows\CurrentVersion\Policies

Standardmäßig werden die Dateien conf.adm, inetres.adm, system.adm, wmplayer.adm und wuau.adm geladen und stehen für die Konfiguration zur Verfügung, wie in Abbildung 5 gezeigt wird.

Abbildung 5. Benutzerkonfiguration

Die ADM-Standarddateien bieten die folgenden Konfigurationsoptionen:

• Conf.adm: NetMeeting-Einstellungen
• Inetres.adm: Internet Explorer-Einstellungen
• System.adm: Betriebssystemeinstellungen
• wmplayer.adm: Windows Media Player-Einstellungen
• wuau.adm: Windows Update-Einstellungen

Hinzufügen administrativer Vorlagen

Administrative Vorlagen (ADM-Dateien) enthalten eine Hierarchie von Kategorien und Unterkategorien, die gemeinsam definieren, wie Optionen in der Benutzeroberfläche für Gruppenrichtlinien angeordnet werden sollen.

So fügen Sie eine administrative Vorlage (ADM-Dateien) hinzu

1. Doppelklicken Sie auf der Seite Eigenschaften von Headquarters auf das Gruppenrichtlinienobjekt HQ Policy.
2. Klicken Sie unter Benutzerkonfiguration bzw. Computerkonfiguration mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen. Daraufhin wird eine Liste der momentan aktiven Vorlagendateien für diesen Active Directory-Container angezeigt.
3. Klicken Sie auf Hinzufügen. Daraufhin wird eine Liste der verfügbaren ADM-Dateien im Verzeichnis %systemroot%\inf des Computers angezeigt, auf dem die Gruppenrichtlinie ausgeführt wird. Sie können eine ADM-Datei an einer anderen Position auswählen. Nachdem die ADM-Datei ausgewählt wurde, steht sie zur Konfiguration innerhalb des Gruppenrichtlinienobjekts zur Verfügung.
4. Klicken Sie auf Abbrechen und dann auf Schließen. (In diesen Übungen werden keine administrativen Vorlagen hinzugefügt.)

Konfigurieren administrativer Vorlagen

Die folgenden Schritte zeigen anhand eines einfachen Beispiels, wie administrative Vorlagen verwendet werden, um den Befehl Ausführen vom Desktop eines Benutzers zu entfernen. Sie sollten mit allen verfügbaren Einstellungen in den administrativen Vorlagen vertraut werden. In zusätzlichen Leitfäden dieser Reihe werden Einstellungen aus den administrativen Vorlagen verwendet.

So legen Sie registrierungsbasierte Einstellungen mithilfe administrativer Vorlagen fest

1. Klicken Sie im Gruppenrichtlinienobjekt-Editor für das Gruppenrichtlinienobjekt HQ im Knoten Benutzerkonfiguration auf das Pluszeichen (+) neben Administrative Vorlagen.

2. Klicken Sie auf Startmenü und Taskleiste. Im Detailbereich werden alle Richtlinien als Nicht konfiguriert angezeigt.

3. Doppelklicken Sie im rechten Bereich auf die Richtlinie Menüeintrag "Ausführen" aus dem Startmenü entfernen.

4. Klicken Sie im Dialogfeld Menüeintrag "Ausführen" aus dem Startmenü entfernen (Remove Run menu from Start menu) auf Aktiviert (Enabled), wie in Abbildung 6 gezeigt wird. Klicken Sie zum Fertigstellen auf OK.

   

   Abbildung 6. Menüeintrag "Ausführen" aus dem Startmenü entfernen

Beachten Sie die Schaltflächen Vorherige Einstellung und Nächste Einstellung im Dialogfeld. Über diese Schaltflächen können Sie im Detailbereich navigieren, um den Status anderer Richtlinien festzulegen. Sie können auch das Dialogfeld geöffnet lassen und auf eine andere Richtlinie im Detailbereich des Gruppenrichtlinien-Snap-Ins klicken. Nachdem der Detailbereich den Fokus erhalten hat, können Sie die NACH-OBEN- und NACH-UNTEN-TASTE verwenden und die EINGABETASTE drücken, um die Einstellungen (oder die Registerkarten Erklärung) für die einzelnen Richtlinien im ausgewählten Knoten schnell zu durchsuchen.

Beachten Sie in der Spalte Einstellung des Detailbereichs die Statusänderung auf Aktiviert. Diese Änderung erfolgt sofort und wurde im Gruppenrichtlinienobjekt gespeichert. Wenn Sie in einer replizierten Domänencontrollerumgebung arbeiten, wird durch diese Aktion ein Flag gesetzt, das einen Replikationszyklus auslöst.

Wenn Sie sich in der Domäne contoso.com mit einem Benutzer aus der Organisationseinheit Headquarters an einer Arbeitsstation anmelden, werden Sie sehen, dass das Menü Ausführen entfernt wurde.

Bereitstellen von Skripts über Gruppenrichtlinienobjekte

Sie können eine Gruppenrichtlinieneinstellung definieren, die Skripts ausführt, wenn sich Benutzer an- oder abmelden oder wenn das System startet oder heruntergefahren wird. Alle Skripts sind WSH-fähig (Windows Scripting Host). Deshalb können sie Java-Skripts oder Microsoft Visual Basic®-Skripts sowie BAT- und CMD-Dateien enthalten.

Erstellen eines Anmeldeskripts

So definieren Sie eine Gruppenrichtlinieneinstellung für ein Anmeldeskript

1. Schließen Sie den Gruppenrichtlinienobjekt-Editor für HQ Policy.

2. Klicken Sie im Dialogfeld Eigenschaften von Headquarters auf Schließen.

3. Klicken Sie in der Konsole GPWalkThrough mit der rechten Maustaste auf die Domäne contoso.com, klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.

4. Wählen Sie auf der Eigenschaftenseite Gruppenrichtlinie das Gruppenrichtlinienobjekt Standarddomänenrichtlinie aus der Liste Gruppenrichtlinienobjekt-Verknüpfungen aus. Klicken Sie dann auf Bearbeiten, um das Snap-In Gruppenrichtlinienobjekt-Editor zu öffnen.

5. Klicken Sie im Gruppenrichtlinien-Snap-In unter Benutzerkonfiguration auf das Pluszeichen (+) neben Windows-Einstellungen und dann auf den Knoten Skripts (Anmelden/Abmelden).

6. Doppelklicken Sie im Detailbereich auf Anmelden.

   Im Dialogfeld Anmeldeinformationen wird die Liste der Skripts angezeigt, die ausgeführt werden, wenn sich ein bestimmter Benutzer anmeldet. Am Anfang dieser geordneten Liste steht das Skript, das zuerst ausgeführt werden soll. Sie können die Reihenfolge der Liste ändern, indem Sie ein Skript auswählen und es dann mit Hilfe der NACH-OBEN- bzw. NACH-UNTEN-TASTE an die gewünschte Position verschieben.

   Klicken Sie auf die Schaltfläche Hinzufügen, um der Liste ein neues Skript hinzuzufügen. Daraufhin wird das Dialogfeld Hinzufügen eines Skripts angezeigt. Wenn Sie eine Suche in diesem Dialogfeld durchführen, können Sie den Namen eines vorhandenen Skripts angeben, das im aktuellen Gruppenrichtlinienobjekt gespeichert ist. Sie können aber auch zu einer anderen Position wechseln und diese zur Verwendung im Gruppenrichtlinienobjekt auswählen. Die Skriptdatei muss dem Benutzer bei der Anmeldung zugänglich sein; andernfalls wird sie nicht ausgeführt. Skripts im aktuellen Gruppenrichtlinienobjekt stehen dem Benutzer automatisch zur Verfügung. Zum Erstellen eines neuen Skripts klicken Sie mit der rechten Maustaste auf die freie Fläche, wählen Neu und dann eine neue Datei aus.

   Um den Namen oder die Parameter eines vorhandenen Skripts in der Liste zu bearbeiten, wählen Sie es aus, und klicken Sie auf die Schaltfläche Bearbeiten. Über diese Schaltfläche kann das Skript selbst nicht bearbeitet werden. Zum Bearbeiten des Skripts müssen Sie die Schaltfläche Dateien anzeigen verwenden. Um ein Skript aus der Liste zu entfernen, wählen Sie es aus, und klicken Sie auf Entfernen.

   Nach dem Klicken auf die Schaltfläche Dateien anzeigen wird eine Windows Explorer-Ansicht der Skripts für das Gruppenrichtlinienobjekt angezeigt. Damit wird es Ihnen ermöglicht, schnell auf die gewünschten Dateien oder auf den Ort zum Kopieren von Unterstützungsdateien zuzugreifen, wenn diese für die Skriptdateien erforderlich sind. Wenn Sie von hier aus einen Skriptdateinamen ändern, muss diese Änderung über die Schaltfläche Bearbeiten vorgenommen werden; andernfalls lässt sich das Skript nicht ausführen.

   Hinweis

   
   Wenn die Anzeigeoptionen für diesen Ordner auf Erweiterungen bei bekannten Dateitypen ausblenden festgelegt sind, besitzt die Datei möglicherweise eine unerwünschte Erweiterung, die die Dateiausführung verhindert.

7. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Programme, dann auf Zubehör, und klicken Sie auf Windows Explorer. Navigieren Sie im Ordner Included Items zur Datei welcomejs, klicken Sie mit der rechten Maustaste auf die Datei, und klicken Sie dann auf Kopieren.

8. Schließen Sie Windows Explorer.

9. Klicken Sie im Dialogfeld Anmeldeinformationen (Logon Properties) auf die Schaltfläche Dateien anzeigen, und fügen Sie das Skript welcome.js in den Standarddateipfad ein. Er sollte wie in Abbildung 7 aussehen.

   

   Abbildung 7. Skript "Welcome.js" in der Standarddomänenrichtlinie

   Bild maximieren

10. Schließen Sie das Fenster mit welcome.js.

11. Klicken Sie im Dialogfeld Anmeldeinformationen auf Hinzufügen.

12. Klicken Sie im Dialogfeld Hinzufügen eines Skripts auf Durchsuchen. Doppelklicken Sie im Dialogfeld Durchsuchen auf die Datei welcome.js.

13. Klicken Sie im Dialogfeld Hinzufügen eines Skripts auf OK (es sind keine Skriptparameter erforderlich) und dann erneut auf OK.

14. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

15. Klicken Sie auf der Seite Eigenschaften von contoso.com auf Abbrechen.

Weil dieses Skript im Rahmen der Standarddomänenrichtlinie definiert wurde, steht es jedem Mitglied von contoso.com sofort zur Verfügung. Sie können sich an einer Clientarbeitsstation anmelden und so überprüfen, ob das Skript ausgeführt wird, wenn sich ein Benutzer anmeldet.

Definieren eines Skripts zum Abmelden, Starten oder Herunterfahren des Computers

Mit dem im Abschnitt "Erstellen eines Anmeldeskripts" beschriebenen Verfahren können Sie auch Skripts einrichten, die ausgeführt werden, wenn sich ein Benutzer abmeldet oder aber wenn ein Computer gestartet oder heruntergefahren wird. Bei Abmeldeskripts würden Sie in Schritt 6 von "Erstellen eines Anmeldeskripts" Abmelden auswählen. Bei Skripts zum Starten oder Herunterfahren des Computers wechseln Sie im Gruppenrichtlinienobjekt-Editor zu Computerkonfiguration – Windows-Einstellungen – Skripts (Start/Herunterfahren).

Weitere Überlegungen zu Skripts

Standardmäßig werden Gruppenrichtlinienskripts (z. B. BAT- oder CMD-Dateien) in einem Befehlsfenster im Hintergrund ausgeführt; Legacyskripts (die im Benutzerobjekt definiert wurden) sind während ihrer Verarbeitung standardmäßig sichtbar. Es gibt allerdings eine Gruppenrichtlinieneinstellung, die eine Änderung dieser Sichtbarkeit erlaubt. Die Richtlinie für Benutzer hat die Bezeichnung Anmeldeskripts sichtbar ausführen bzw. Abmeldeskripts sichtbar ausführen. Der Zugriff darauf erfolgt auf dem Knoten Benutzerkonfiguration\Administrative Vorlagen unter System\Scripts. Die Richtlinie für Computer hat die Bezeichnung Anmeldeskripts sichtbar ausführen bzw. Abmeldeskripts sichtbar ausführen. Der Zugriff darauf erfolgt auf dem Knoten Computerkonfiguration\Administrative Vorlagen unter System\Scripts.

Sicherheitsgruppenfilterung

Sie können die Auswirkungen eines Gruppenrichtlinienobjekts auf Benutzer oder Computer verfeinern, indem Sie festlegen, wie ein ausgewähltes Gruppenrichtlinienobjekt auf Sicherheitsgruppen angewendet werden soll. Zu diesem Zweck verwenden Sie die Registerkarte Sicherheit auf der Seite Eigenschaften eines Gruppenrichtlinienobjekts zum Festlegen von DACLs (Discretionary Access Control Lists – freigegebene Zugriffssteuerungslisten). Obwohl DACLs eine enorme Flexibilität beim Entwerfen und Bereitstellen von Gruppenrichtlinienobjekten und der darin enthaltenen Richtlinien erlauben, wird dieses Feature hauptsächlich aus Leistungsgründen verwendet.

Standardmäßig wirken sich Gruppenrichtlinienobjekte auf alle Benutzer und Computer im verknüpften Standort, in der verknüpften Domäne oder Organisationseinheit aus. Durch die Verwendung von DACLs können die Auswirkungen eines Gruppenrichtlinienobjekts so geändert werden, dass die Mitglieder einer Sicherheitsgruppe aus- oder eingeschlossen werden.

So filtern Sie die Anwendung eines Gruppenrichtlinienobjekts auf der Grundlage der Sicherheitsgruppenmitgliedschaft

1. Klicken Sie in der Konsole GPWalkThrough unter der Organisationseinheit Accounts mit der rechten Maustaste auf die Organisationseinheit Headquarters, und klicken Sie dann auf Eigenschaften.

2. Klicken Sie im Dialogfeld Eigenschaften von Headquarters auf die Registerkarte Gruppenrichtlinie.

3. Klicken Sie in der Liste Gruppenrichtlinienobjekt-Verknüpfungen auf das Gruppenrichtlinienobjekt HQ Policy, und wählen Sie dann Eigenschaften aus dem Kontextmenü aus.

4. Klicken Sie auf der Seite Eigenschaften auf die Registerkarte Sicherheit (Security).

5. Klicken Sie auf der Eigenschaftenseite Sicherheit (Security) auf Hinzufügen (Add).

6. Geben Sie im Dialogfeld zur Auswahl von Benutzern, Computern oder Gruppen im Feld Geben Sie die verwendenden Objektnamen ein die Zeichenfolge Management ein, und klicken Sie dann auf OK.

7. Wählen Sie auf der Seite Eigenschaften von HQ Policy (HQ Policy Properties) auf der Registerkarte Sicherheit (Security) die Gruppe Management aus, und zeigen Sie die Berechtigungen an.

   Hinweis

   
   Standardmäßig ist nur der Access Control Entry (ACE – Zugriffssteuerungseintrag) Lesen für die Gruppe Management auf Zulassen (Allow) festgelegt. Dies bedeutet, dass dieses Gruppenrichtlinienobjekt nur dann auf die Mitglieder der Gruppe Management angewendet wird, wenn sie auch Mitglieder einer anderen Gruppe sind (standardmäßig sind sie auch authentifizierte Benutzer), für die der Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen (Apply Group Policy) ausgewählt wurde.

   Hier wurde das Gruppenrichtlinienobjekt auf jeden in der Gruppe Authentifizierte Benutzer (Authenticated Users), einschließlich Mitglieder der Sicherheitsgruppe Management, angewendet (siehe Abbildung 8).

   

   Abbildung 8. Authentifizierte Benutzer

So konfigurieren Sie das Gruppenrichtlinienobjekt, damit es nur auf Mitglieder der Gruppe "Management" angewendet wird

1. Aktivieren Sie das Kontrollkästchen Zulassen für den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen für die Gruppe Management.

2. Deaktivieren Sie das Kontrollkästchen Zulassen für den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen für die Gruppe Authentifizierte Benutzer.

   Hinweis

   
   Durch Ändern der auf verschiedene Gruppen angewendeten Zugriffssteuerungseinträge können Administratoren festlegen, wie sich ein Gruppenrichtlinienobjekt auf die zugehörigen Benutzer oder Computer auswirkt. Für diese Änderungen ist Schreibzugriff erforderlich; die Zugriffssteuerungseinträge Lesen und Gruppenrichtlinie übernehmen sind erforderlich, damit eine Richtlinie auf die Gruppe angewendet werden kann.
   

So verweigern Sie die Anwendung eines Gruppenrichtlinienobjekts auf Mitglieder der Gruppe "Management"

1. Deaktivieren Sie das Kontrollkästchen Zulassen (Allow), und aktivieren Sie das Kontrollkästchen Verweigern (Deny) für den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen (Apply Group Policy) für die Gruppe Management.

2. Aktivieren Sie das Kontrollkästchen Zulassen (Allow) für den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen (Apply Group Policy) für die Gruppe Authentifizierte Benutzer (Authenticated Users).

   In Abbildung 9 wird ein Beispiel der Sicherheitseinstellungen gezeigt, die es zulassen, dass sich dieses Gruppenrichtlinienobjekt auf jeden auswirkt, mit Ausnahme der Mitglieder der Gruppe Management, denen die Berechtigung für das Objekt explizit verweigert wird. Wenn ein Mitglied der Gruppe Management auch Mitglied einer Gruppe wäre, die über eine explizite Einstellung Zulassen für den Zugriffssteuerungseintrag Gruppenrichtlinie übernehmen verfügte, hätte die Einstellung Verweigern Vorrang, und das Gruppenrichtlinienobjekt würde sich auf den Benutzer nicht auswirken.

   

   Abbildung 9. Verweigern der Zuweisung des Gruppenrichtlinienobjekts auf der Grundlage der Gruppenmitgliedschaft

3. Klicken Sie auf OK und dann auf Ja, um die Warnung zur Verwendung der Zugriffssteuerungslisten Verweigern zu bestätigen.

4. Klicken Sie auf OK, um die Eigenschaftenseite Headquarters zu schließen.

An diesem Verfahren können die folgenden Änderungen vorgenommen werden:

• Hinzufügen zusätzlicher Gruppenrichtlinienobjekte mit verschiedenen Richtliniensätzen und deren Anwenden nur auf andere Gruppen als die Gruppe Management
• Erstellen einer anderen Gruppe mit darin enthaltenen Mitgliedern der vorhandenen Gruppen und Verwenden dieser Gruppen als Filter für ein Gruppenrichtlinienobjekt

Die Sicherheitsgruppenfilterung bietet zwei Funktionen: Die erste Funktion ist das Ändern der Gruppe, auf die sich ein bestimmtes Gruppenrichtlinienobjekt auswirkt; die zweite Funktion besteht im Festlegen der Gruppe von Administratoren, an die der Inhalt des Gruppenrichtlinienobjekts delegiert werden kann, indem der Vollzugriff auf eine begrenzte Reihe von Administratoren (durch eine Gruppe) eingeschränkt wird. Dieses Vorgehen wird empfohlen, weil es die Möglichkeit einschränkt, dass mehrere Administratoren gleichzeitig Änderungen vornehmen.

Richtlinienvererbung

Gruppenrichtlinien werden im Allgemeinen von übergeordneten an untergeordnete Container innerhalb einer Domäne übergeben. Sie werden nicht von übergeordneten an untergeordnete Domänen vererbt. Wenn Sie eine bestimmte Gruppenrichtlinieneinstellung einem übergeordneten Container der oberen Ebene zuweisen, gilt diese Einstellung für alle Container unter dem übergeordneten Container, einschließlich der Benutzer- und Computerobjekte in den einzelnen Containern. Wenn Sie eine Gruppenrichtlinieneinstellung jedoch explizit für einen untergeordneten Container angeben, setzt die Gruppenrichtlinieneinstellung des untergeordneten Containers die Einstellung des übergeordneten Containers außer Kraft.

Wenn eine übergeordnete Organisationseinheit über nicht konfigurierte Richtlinieneinstellungen verfügt, werden diese von der untergeordneten Organisationseinheit nicht geerbt. Deaktivierte Richtlinieneinstellungen werden als deaktiviert vererbt. Wenn eine Richtlinieneinstellung (als aktiviert oder deaktiviert) für eine übergeordnete Organisationseinheit konfiguriert ist und dieselbe Richtlinieneinstellung für eine untergeordnete Organisationseinheit nicht konfiguriert ist, erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung aktiviert oder deaktiviert von der übergeordneten Organisationseinheit.

Wenn eine auf eine übergeordnete Organisationseinheit angewendete Richtlinieneinstellung und eine auf eine untergeordnete Organisationseinheit angewendete Richtlinieneinstellung kompatibel sind, erbt die untergeordnete Organisationseinheit die übergeordnete Richtlinieneinstellung, und außerdem wird die Einstellung der untergeordneten Organisationseinheit angewendet.

Wenn eine für eine übergeordnete Organisationseinheit konfigurierte Richtlinieneinstellung mit derselben Richtlinieneinstellung inkompatibel ist, die für eine untergeordnete Organisationseinheit konfiguriert ist (weil die Einstellung in einem Fall aktiviert und im anderen Fall deaktiviert ist), erbt die untergeordnete Organisationseinheit die Richtlinieneinstellung nicht von der übergeordneten Organisationseinheit. Angewendet wird die Richtlinieneinstellung der untergeordneten Organisationseinheit.

Deaktivieren der Vererbung und "Kein Vorrang"

Die Option Richtlinienvererbung deaktivieren deaktiviert Gruppenrichtlinienobjekte, die in der Active Directory-Hierarchie von Standorten, Domänen und Organisationseinheiten auf einer höheren Ebene angewendet werden. Gruppenrichtlinienobjekte werden nicht deaktiviert, wenn Kein Vorrang aktiviert ist. Die Option Richtlinienvererbung deaktivieren wird nur für Standorte, Domänen und Organisationseinheiten, nicht für einzelne Gruppenrichtlinienobjekte, festgelegt. Diese Einstellungen bieten Vollzugriff auf die Standardvererbungsregeln.

Im folgenden Abschnitt richten Sie ein Gruppenrichtlinienobjekt in der Organisationseinheit Accounts ein, das standardmäßig für die Benutzer (und Computer) in allen untergeordneten Objekten innerhalb dieser Organisationseinheit gilt. Anschließend richten Sie ein anderes Gruppenrichtlinienobjekt in der Organisationseinheit Accounts ein und legen dafür die Option Kein Vorrang fest. Diese Einstellungen gelten für alle untergeordneten Objekte sogar dann, wenn es bei ihnen zu einem Konflikt mit anderen über ein Gruppenrichtlinienobjekt angewendeten Einstellungen kommt. Anschließend verwenden Sie das Feature Vererbung deaktivieren, um zu verhindern, dass die in einem übergeordneten Standort, einer übergeordneten Domäne oder Organisationseinheit (in diesem Fall in der Organisationseinheit Accounts) festgelegten Gruppenrichtlinien auf die Organisationseinheit Production angewendet werden.

So erstellen Sie neue Gruppenrichtlinienobjekte

1. Klicken Sie in der MMC-Konsole GPWalkThrough unter contoso.com mit der rechten Maustaste auf die Organisationseinheit Accounts.

2. Klicken Sie auf Eigenschaften und dann auf die Registerkarte Gruppenrichtlinie.

3. Klicken Sie auf Neu (New), geben Sie Default User Policies (Standardbenutzerrichtlinien) für den Namen des Gruppenrichtlinienobjekts ein, und drücken Sie die EINGABETASTE.

4. Klicken Sie erneut auf Neu (New), geben Sie Enforced User Policies (Erzwungene Benutzerrichtlinien) für den Namen des Gruppenrichtlinienobjekts ein, und drücken Sie die EINGABETASTE.

5. Klicken Sie auf das Gruppenrichtlinienobjekt Enforced User Policies und dann auf die Schaltfläche Nach oben, um das Objekt an den Anfang der Liste zu verschieben.

   Hinweis

   
   Das Gruppenrichtlinienobjekt Enforced User Policies sollte den höchsten Vorrang haben. Beachten Sie, dass mit diesem Schritt nur die Funktionalität der Schaltfläche Nach oben veranschaulicht werden soll; ein erzwungenes Gruppenrichtlinienobjekt hat immer Vorrang vor den nicht erzwungenen Gruppenrichtlinienobjekten.

6. Wählen Sie die Einstellung Kein Vorrang für das Gruppenrichtlinienobjekt Enforced User Policies aus, indem Sie auf die Spalte Kein Vorrang doppelklicken oder die Schaltfläche Optionen verwenden. Die Seite Eigenschaften von Accounts sollte nun wie in Abbildung 10 aussehen.

   

   Abbildung 10. "Enforced User Policies" mit "Kein Vorrang"

So aktivieren Sie Einstellungen in den Gruppenrichtlinienobjekten "Enforced User Policies" und "Default User Policies"

1. Doppelklicken Sie auf der Seite Eigenschaften von Accounts auf das Gruppenrichtlinienobjekt Enforced User Policies.

2. Erweitern Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration (User Configuration) den Ordner Administrative Vorlagen (Administrative Templates).

3. Erweitern Sie System, und klicken Sie dann auf Strg+Alt+Entf-Optionen (Ctrl+Alt+Del Options).

4. Doppelklicken Sie im Detailbereich auf die Richtlinie Task-Manager entfernen (Remove Task Manager), klicken Sie im Dialogfeld Task-Manager entfernen (Remove Task Manager) auf Aktiviert (Enabled) und dann auf OK. Klicken Sie auf die Registerkarte Erklärung (Explain), um weitere Informationen zur Richtlinie zu erhalten. Die Einstellung lautet nun Aktiviert (Enabled), wie in Abbildung 11 gezeigt wird.

   

   Abbildung 11. Deaktivieren der Verwendung von Task Manager

5. Klicken Sie auf Datei und dann auf Beenden, um den Gruppenrichtlinienobjekt-Editor zu schließen.

6. Doppelklicken Sie im Dialogfeld Eigenschaften von Accounts auf der Registerkarte Gruppenrichtlinie in der Liste Gruppenrichtlinienobjekt-Verknüpfungen auf das Gruppenrichtlinienobjekt Default User Policies.

7. Erweitern Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration den Ordner Administrative Vorlagen, dann Desktop, und klicken Sie auf Active Desktop.

8. Doppelklicken Sie im Detailbereich auf die Richtlinie Active Desktop deaktivieren .

9. Klicken Sie auf Aktiviert, dann auf OK und erneut auf OK.

10. Klicken Sie auf Datei und dann auf Beenden, um den Gruppenrichtlinienobjekt-Editor zu schließen.

Bei der Anmeldung an einer Clientarbeitsstation als beliebiger Benutzer unter der Organisationseinheit Accounts, einschließlich der untergeordneten Organisationseinheiten, werden die beiden Gruppenrichtlinienobjekte Default User und Enforced User angewendet. Task Manager und Active Desktop sind deaktiviert.

Erhöhen der Leistung von Gruppenrichtlinienobjekten

Weil diese Gruppenrichtlinienobjekte ausschließlich für die Benutzerkonfiguration verwendet werden, kann der Computerabschnitt der Gruppenrichtlinie deaktiviert werden. Durch Deaktivieren der Computerkonfigurationseinstellungen wird die Startzeit des Zielcomputers verkürzt, weil dessen Gruppenrichtlinienobjekte nicht ausgewertet werden müssen.

Wenn innerhalb der Organisationseinheit Accounts oder beliebiger untergeordneter Organisationseinheiten keine Computer vorhanden sind, bietet ein Deaktivieren des Computerabschnitts für das Gruppenrichtlinienobjekt keinen unmittelbaren Vorteil. Da diese Gruppenrichtlinienobjekte später mit einem anderen Container, der Computer umfasst, verknüpft werden könnten, ist es möglicherweise dennoch sinnvoll, den Computerabschnitt der Objekte zu deaktivieren.

So deaktivieren Sie den Computerabschnitt eines Gruppenrichtlinienobjekts

1. Klicken Sie im Dialogfeld Eigenschaften von Accounts mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Enforced User Policies, und wählen Sie dann Eigenschaften aus.

2. Klicken Sie im Dialogfeld Eigenschaften von Enforced User Policies auf die Registerkarte Allgemein (Standard), und aktivieren Sie das Kontrollkästchen Konfigurationseinstellungen des Computers deaktivieren. Klicken Sie im Dialogfeld Deaktivieren bestätigen auf Ja und anschließend auf OK, um den Vorgang abzuschließen.

   Beachten Sie, dass die Eigenschaftenseite Allgemein zwei Kontrollkästchen zum Deaktivieren eines Abschnitts des Gruppenrichtlinienobjekts enthält.

3. Wiederholen Sie die Schritte 1 und 2 für das Gruppenrichtlinienobjekt Default User Policies.

Deaktivieren der Vererbung

Sie können die Vererbung deaktivieren, damit ein Gruppenrichtlinienobjekt von einem anderen Gruppenrichtlinienobjekt in der Hierarchie nicht erben kann. Im folgenden Beispiel wird gezeigt, wie die Vererbung deaktiviert wird, damit sich nur die Einstellungen in Enforced User Policies auf die Benutzer in der Organisationseinheit auswirken.

So deaktivieren Sie die Vererbung von Gruppenrichtlinien für die Organisationseinheit "Production"

1. Klicken Sie im Dialogfeld Eigenschaften von Accounts auf Schließen.
2. Klicken Sie in der Konsole GPWalkThrough unter der Organisationseinheit Accounts mit der rechten Maustaste auf die Organisationseinheit Production, wählen Sie Eigenschaften im Kontextmenü aus, und klicken Sie dann auf die Registerkarte Gruppenrichtlinie.
3. Aktivieren Sie das Kontrollkästchen Richtlinienvererbung deaktivieren, und klicken Sie auf OK.

Wenn Sie überprüfen möchten, ob die vererbten Einstellungen jetzt deaktiviert sind, können Sie sich als beliebiger Benutzer an der Organisationseinheit Production anmelden. Der Active Desktop ist verfügbar, der Task Manager bleibt jedoch deaktiviert, da für dessen deaktivierendes Gruppenrichtlinienobjekt Kein Vorrang in der übergeordneten Organisationseinheit festgelegt wurde.

Verknüpfen eines Gruppenrichtlinienobjekts mit mehreren Standorten, Domänen und Organisationseinheiten

In diesem Abschnitt wird gezeigt, wie Sie ein Gruppenrichtlinienobjekt mit mehreren Containern (Standort, Domäne oder Organisationseinheit) in Active Directory verknüpfen können. Je nach der genauen Konfiguration der Organisationseinheit können Sie mithilfe anderer Methoden ähnliche Gruppenrichtlinienwirkungen erzielen. So können Sie beispielsweise die Sicherheitsgruppenfilterung verwenden oder die Vererbung deaktivieren. In einigen Fällen führen diese Methoden jedoch nicht zu den gewünschten Ergebnissen. Verwenden Sie deshalb die folgende Methode immer dann, wenn Sie explizit festlegen müssen, für welche Standorte, Domänen oder Organisationseinheiten derselbe Richtliniensatz erforderlich ist.

So verknüpfen Sie ein Gruppenrichtlinienobjekt mit mehreren Standorten, Domänen und Organisationseinheiten

1. Klicken Sie in der Konsole GPWalkThrough unter der Organisationseinheit Accounts mit der rechten Maustaste auf die Organisationseinheit Headquarters, wählen Sie Eigenschaften im Kontextmenü aus, und klicken Sie dann auf die Registerkarte Gruppenrichtlinie.
2. Klicken Sie im Dialogfeld Eigenschaften von Headquarters auf der Registerkarte Gruppenrichtlinie auf Neu, um ein neues Gruppenrichtlinienobjekt namens Linked Policies (Verknüpfte Richtlinien) zu erstellen.
3. Wählen Sie das Gruppenrichtlinienobjekt Linked Policies aus, und klicken Sie auf Bearbeiten.
4. Klicken Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration und Administrative Vorlagen auf Systemsteuerung und dann auf Anzeige.
5. Doppelklicken Sie im Detailbereich auf die Richtlinie Ändern des Hintergrundes verhindern, und klicken Sie dann auf Aktiviert. Klicken Sie auf OK, um den Vorgang fortzusetzen.
6. Klicken Sie auf Datei und dann auf Beenden, um den Gruppenrichtlinienobjekt-Editor zu schließen.
7. Klicken Sie auf der Seite Eigenschaften von Headquarters auf Schließen.
8. Klicken Sie in der Konsole GPWalkThrough unter Accounts mit der rechten Maustaste auf die Organisationseinheit Production, klicken Sie im Kontextmenü auf Eigenschaften und dann im Dialogfeld Eigenschaften von Production auf die Registerkarte Gruppenrichtlinie.
9. Klicken Sie auf Hinzufügen, oder klicken Sie mit der rechten Maustaste auf den leeren Bereich der Liste Gruppenrichtlinienobjekt-Verknüpfungen, und wählen Sie Hinzufügen im Kontextmenü aus.
10. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt-Verknüpfung hinzufügen im Feld Suchen in auf den Pfeil nach unten, und wählen Sie die Organisationseinheit Accounts.contoso.com aus.
11. Doppelklicken Sie in der Liste Domänen, Organisationseinheiten und verknüpfte Gruppenrichtlinienobjekte auf die Organisationseinheit Headquarters.Accounts.contoso.com.
12. Klicken Sie auf das Gruppenrichtlinienobjekt Linked Policies und dann auf OK.
13. Klicken Sie zum Fertigstellen auf OK.

Damit haben Sie ein einzelnes Gruppenrichtlinienobjekt mit zwei Organisationseinheiten verknüpft. Wenn Sie Änderungen am Gruppenrichtlinienobjekt an einem der beiden Speicherorte vornehmen, werden beide Organisationseinheiten entsprechend geändert.

Loopbackverarbeitung

Loopback bietet Alternativen zur Standardmethode zum Abrufen der geordneten Liste von Gruppenrichtlinienobjekten, deren Benutzerkonfigurationseinstellungen Auswirkungen auf einen Benutzer haben. Standardmäßig stammen die Einstellungen für einen Benutzer aus einer Gruppenrichtlinienobjekt-Liste, die vom Pfad des Benutzers in Active Directory abhängt. Die Liste ist ist nach der Verknüpfung der Gruppenrichtlinienobjekte (mit Standorten, Domänen und Organisationseinheiten) geordnet. Dabei wird die Vererbung durch den Pfad des Benutzers in Active Directory in der vom Administrator auf jeder Ebene festgelegten Reihenfolge bestimmt.

Der Wert für Loopback kann wie bei jeder anderen Gruppenrichtlinieneinstellung auf Nicht konfiguriert, Aktiviert oder Deaktiviert festgelegt werden. Im Status Aktiviert kann für Loopback Zusammenführen oder Ersetzen festgelegt werden.

• Loopback mit Ersetzen Die Gruppenrichtlinienobjekt-Liste für den Benutzer wird komplett ersetzt durch die Gruppenrichtlinienobjekt-Liste, die für den Computer bereits beim Start abgerufen wird. Die Benutzerkonfigurationseinstellungen aus dieser Liste werden auf den Benutzer angewendet.
• Loopback mit Zusammenführen Die Gruppenrichtlinienobjekt-Liste besteht aus einer Verkettung. Dabei werden die Standard-Gruppenrichtlinienobjekte für Computer an die Standard-Gruppenrichtlinienobjekte für Benutzer angefügt, und der Benutzer erhält die Benutzerkonfigurationseinstellungen in der verketteten Liste. Weil die für den Computer abgerufene Liste später angewendet wird, hat sie Vorrang, wenn es zu einem Konflikt mit Einstellungen in der Liste des Benutzers kommt.

So aktivieren Sie die Loopbackverarbeitung

1. Erweitern Sie in der Konsole GPWalkThrough die Organisationseinheit Resources, klicken Sie mit der rechten Maustaste auf die Organisationseinheit Desktop, klicken Sie im Kontextmenü auf Eigenschaften und dann im Dialogfeld Eigenschaften von Desktop auf die Registerkarte Gruppenrichtlinie.
2. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt namens Loopback Policies (Loopbackrichtlinien) zu erstellen.
3. Wählen Sie das Gruppenrichtlinienobjekt Loopback Policies aus, und klicken Sie auf Bearbeiten.
4. Erweitern Sie im Gruppenrichtlinienobjekt-Editor im Knoten Computerkonfiguration die Ordner Administrative Vorlagen und System, und klicken Sie dann auf Gruppenrichtlinie.
5. Doppelklicken Sie im Detailbereich auf die Richtlinie Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie.
6. Klicken Sie im Dialogfeld Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie auf Aktiviert, wählen Sie in der Dropdownliste Modus den Eintrag Ersetzen (Standard) aus, und klicken Sie dann auf OK.

Im nächsten Abschnitt werden einschränkende Einstellungen für die Benutzerumgebungen Startmenü und Taskleiste und Desktop definiert, die in einem Kioskszenario angewendet werden könnten. Verwenden Sie die Navigationsschaltfläche Nächste Einstellung in den Dialogfeldern für Richtlinien, um in den Richtlinien effizient zu navigieren.

So definieren Sie eine einschränkende Umgebung für Startmenü und Taskleiste

1. Erweitern Sie im Gruppenrichtlinienobjekt-Editor im Knoten Benutzerkonfiguration den Ordner Administrative Vorlagen, und klicken Sie dann auf Startmenü und Taskleiste.
2. Legen Sie in den Dialogfeldern der folgenden Richtlinien den Richtlinienstatus entsprechend den Angaben in der Tabelle fest.

   Container	Richtlinie	Einstellung
   Startmenü und Taskleiste	Benutzerordner aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Verknüpfungen und Zugriff auf Windows Update entfernen	Aktiviert
   Startmenü und Taskleiste	Standardprogrammgruppen aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Symbol "Eigene Dateien" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Dokumente" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Programme im Menü "Einstellungen" entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Netzwerkverbindungen" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Favoriten" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Suchen" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Hilfe" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Menüeintrag "Ausführen" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Symbol "Eigene Bilder" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Symbol "Eigene Musik" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Symbol "Netzwerkumgebung" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Option "Abmelden" dem Startmenü hinzufügen	Aktiviert
   Startmenü und Taskleiste	Option "Abmelden" aus dem Startmenü entfernen	Nicht konfiguriert
   Startmenü und Taskleiste	Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern	Aktiviert
   Startmenü und Taskleiste	Drag&Drop-Kontextmenüs aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern	Aktiviert
   Startmenü und Taskleiste	Zugriff auf Kontextmenüs für die Taskleiste deaktivieren	Aktiviert
   Startmenü und Taskleiste	Liste der zuletzt geöffneten Dokumente nicht beibehalten	Aktiviert
   Startmenü und Taskleiste	Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren	Aktiviert
   Startmenü und Taskleiste	Persönlich angepasste Menüs deaktivieren	Aktiviert
   Startmenü und Taskleiste	Benutzerüberwachung deaktivieren	Aktiviert
   Startmenü und Taskleiste	Kontrollkästchen "In getrenntem Speicherbereich ausführen" im Dialogfeld "Ausführen" hinzufügen	Nicht konfiguriert
   Startmenü und Taskleiste	Beim Zuordnen von Shellshortcuts nicht die suchbasierte Methode verwenden	Nicht konfiguriert
   Startmenü und Taskleiste	Beim Zuordnen von Shellshortcuts nicht die verfolgungsbasierte Methode verwenden	Nicht konfiguriert
   Startmenü und Taskleiste	Nicht verfügbare Windows Installer-Programme in den Verknüpfungen des Startmenüs deaktivieren	Nicht konfiguriert
   Startmenü und Taskleiste	Gruppierung von Taskleistenelementen verhindern	Aktiviert
   Startmenü und Taskleiste	Bereinigung des Infobereichs deaktivieren	Nicht konfiguriert
   Startmenü und Taskleiste	Taskleiste fixieren	Aktiviert
   Startmenü und Taskleiste	Klassisches Startmenü erzwingen	Nicht konfiguriert
   Startmenü und Taskleiste	Infosymbole für Startmenüeinträge entfernen	Aktiviert
   Startmenü und Taskleiste	Liste angehefteter Programme aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Liste häufig verwendeter Programme aus dem Startmenü entfernen	Nicht konfiguriert
   Startmenü und Taskleiste	Liste "Alle Programme" aus dem Startmenü entfernen	Nicht konfiguriert
   Startmenü und Taskleiste	Schaltfläche "Abdocken" aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Benutzernamen aus dem Startmenü entfernen	Aktiviert
   Startmenü und Taskleiste	Uhr aus dem Infobereich des Systems entfernen	Nicht konfiguriert
   Startmenü und Taskleiste	Infobereich ausblenden	Nicht konfiguriert
   Startmenü und Taskleiste	Keine benutzerdefinierten Symbolleisten in der Taskleiste anzeigen	Aktiviert
   Startmenü und Taskleiste	Symbol "Programmzugriff und -standards" aus dem Startmenü entfernen	Aktiviert

So definieren Sie eine einschränkende Desktopumgebung

1. Klicken Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration und Administrative Vorlagen auf Desktop.

2. Legen Sie in den Dialogfeldern der folgenden Richtlinien den Richtlinienstatus entsprechend den Angaben in der Tabelle fest.

   Container	Richtlinie	Einstellung
   Desktop	Alle Desktopsymbole ausblenden und deaktivieren	Nicht konfiguriert
   Desktop	Symbol "Eigene Dateien" vom Desktop entfernen	Aktiviert
   Desktop	Symbol "Arbeitsplatz" vom Desktop entfernen	Aktiviert
   Desktop	Papierkorbsymbol vom Desktop entfernen	Aktiviert
   Desktop	Eintrag "Eigenschaften" aus dem Kontextmenü von "Eigene Dateien" entfernen	Aktiviert
   Desktop	Eintrag "Eigenschaften" aus dem Kontextmenü von "Arbeitsplatz" entfernen	Aktiviert
   Desktop	Eintrag "Eigenschaften" aus dem Kontextmenü des Papierkorbs entfernen	Aktiviert
   Desktop	Desktopsymbol "Netzwerkumgebung" ausblenden	Aktiviert
   Desktop	Internet Explorer-Symbol auf dem Desktop ausblenden	Nicht konfiguriert
   Desktop	Freigaben von zuletzt geöffneten Dateien nicht in Netzwerkumgebung hinzufügen	Aktiviert
   Desktop	Pfadänderung für den Ordner "Meine Dateien" nicht zulassen	Aktiviert
   Desktop	Hinzufügen, Verschieben und Schließen der Symbolleisten der Taskleiste nicht zulassen	Nicht konfiguriert
   Desktop	Anpassen der Desktopsymbolleisten nicht zulassen	Aktiviert
   Desktop	Einstellungen nicht beim Beenden speichern	Aktiviert
   Desktop	Desktopbereinigungs-Assistent entfernen	Aktiviert

3. Nachdem Sie alle Richtlinien festgelegt haben, klicken Sie auf OK.

4. Navigieren Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration\Administrative Vorlagen\Desktops zum Knoten Active Desktop, legen Sie die Richtlinie Active Desktop deaktivieren auf Aktiviert fest, und klicken Sie dann auf OK.

5. Navigieren Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration\Administrative Vorlagen zum Knoten Systemsteuerung, und klicken Sie auf Software. Doppelklicken Sie auf die Richtlinie Software deaktivieren, legen Sie sie auf Aktiviert fest, und klicken Sie auf OK.

6. Navigieren Sie im Gruppenrichtlinienobjekt-Editor unter Benutzerkonfiguration\Administrative Vorlagen zum Knoten Systemsteuerung, und klicken Sie auf den Knoten Anzeige. Doppelklicken Sie auf die Richtlinie Symbol "Anzeige" aus der Systemsteuerung entfernen, legen Sie sie auf Aktiviert fest, und klicken Sie auf OK.

7. Klicken Sie im Gruppenrichtlinienobjekt-Editor auf Datei und dann auf Beenden.

8. Klicken Sie im Dialogfeld Eigenschaften von Desktops auf OK.

Benutzer, die sich an Computern in der Organisationseinheit Desktop anmelden, verfügen über keine Richtlinien, die normalerweise auf sie angewendet würden; stattdessen verfügen sie über die im Gruppenrichtlinienobjekt Loopback Policies definierten Benutzerrichtlinien. Bei Bedarf können Sie die im Abschnitt "Sicherheitsgruppenfilterung" beschriebenen Verfahren anwenden, um dieses Verhalten auf bestimmte Computergruppen zu beschränken. Zu diesem Zweck erstellen Sie eine Sicherheitsgruppe und verweigern dann dieser Gruppe die Anwendung der Richtlinie.

Zum Seitenanfang

Anhang

Beispielskript "Welcome.js"

// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION  = 0x40;
var MB_ICONQUESTION     = 0x20;
var MB_ICONYESNO        = 0x04
var IDYES               = 6;
var IDTIMEOUT           = -1;

var POPUP_WAIT          = 5;   // close popup after 5 seconds.

//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")

//
// Set greeting message.
//
var strTitle = "Sample Login Script";

var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"


Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);

//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;

strURL = "https://www.microsoft.com/windowsserversystem/default.mspx";

var intAnswer = Shell.Popup(strMsg,
                POPUP_WAIT,
                strTitle,
                MB_ICONQUESTION | MB_ICONYESNO );

if (intAnswer == IDYES) {
Shell.Run(strURL);

}

Zum Seitenanfang

Weitere Ressourcen

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Gruppenrichtlinien unter https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/gp/default.mspx (nur auf Englisch verfügbar)
• Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 unter https://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887\&displaylang=de
• Windows Scripting unter https://msdn.microsoft.com/library/default.asp?url=/nhp/default.asp?contentid=28001169 (nur auf Englisch verfügbar)
• Aktuelle Informationen zu Windows Server 2003 unter https://www.microsoft.com/germany/windowsserver2003/.

Zum Seitenanfang

| Home | Technische Artikel | Community