Kernnetzwerk-Begleithandbuch: Bereitstellung von Gruppenrichtlinien
Gilt für: Windows Server 2012
Dies ist ein Begleithandbuch zum Windows Server® 2012-Hauptnetzwerkhandbuch, das im Microsoft Office Word-Format im Microsoft Download Center (https://go.microsoft.com/fwlink/?LinkId=255199) und im HTML-Format in der technischen Bibliothek zu Windows Server 2012 zum Download zur Verfügung steht (https://technet.microsoft.com/library/hh911995.aspx).
Das Hauptnetzwerkhandbuch für Windows Server 2012 bietet Anweisungen zum Planen und Bereitstellen der Kernkomponenten, die für eine einwandfreie Verwendung des Netzwerks und eine neue Active Directory-Domäne in einer neuen Gesamtstruktur erforderlich sind.
In diesem Handbuch wird erläutert, wie das Hauptnetzwerk durch Anweisungen zum Bereitstellen von Gruppenrichtlinienobjekten (GPOs) ausgebaut wird, indem Mitgliedschaftsgruppen anstelle der Organisationseinheiten (OUs), aus denen eine Hierarchie von Active Directory-Domäne besteht, verwendet werden.
Dieses Handbuch enthält die folgenden Abschnitte:
Informationen zum Handbuch
Anforderungen
Nicht in diesem Handbuch enthaltene Informationen
Technologieübersicht zu Gruppenrichtlinien
Hinweis
Dieses Handbuch finden Sie unter den folgenden Speicherorten.
- Das Windows Server 2012 Kernnetzwerk-Begleithandbuch: Bereitstellung von Gruppenrichtlinien im Word-Format im Microsoft Download Center.
- Das Windows Server 2012 Core Network Companion Guide: Group Policy Deployment steht im HTML-Format in der Technischen Bibliothek zu Windows Server 2012 zur Verfügung.
Informationen zum Handbuch
Dieses Handbuch enthält eine Anleitung für die Bereitstellung von Einstellungen für Gruppenrichtlinien für einen Satz von Clientcomputern oder Benutzern mithilfe von Mitgliedschaftsgruppen anstelle des Kontospeicherorts in der Hierarchie der Organisationseinheiten einer Domäne.
Die in diesem Handbuch beschriebene Methode veranschaulicht das Erstellen einer einzelnen Mitgliedschaftsgruppe, in der die Benutzer- oder Computerkonten hinzugefügt werden können, die eine Konfiguration durch die Verwendung von GPOs erhalten sollen. Die Mitgliedschaft in der Gruppe bestimmt anstelle des Kontospeicherorts in der Hierarchie der Organisationseinheiten, ob der Computer eines der GPOs erhält, die dieser Mitgliedschaftsgruppe zugeordnet sind. Darüber hinaus werden Filter für Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) verwendet, um sicherzustellen, dass nur das GPO mit den Einstellungen, die der auf dem Computer ausgeführten Windows-Version entsprechen, angewendet wird.
Es gibt zwei Hauptvorteile der Verwendung dieser Methode zum Bereitstellen von Gruppenrichtlinienobjekten:
Die Methode ist völlig unabhängig von der Struktur der Organisationseinheiten der Domäne. Das Anwenden einer GPO auf einen Computer bedeutet nicht länger, Computer in eine andere Organisationseinheit verschieben oder die Hierarchie der Organisationseinheiten neu strukturieren zu müssen.
Es ist sehr einfach, diese Einstellungen in einem GPO anzuwenden bzw. nicht länger anzuwenden. Entfernen Sie hierzu einfach das Benutzer- oder Computerkonto von der Mitgliedschaftsgruppe. Dadurch wird der Benutzer oder Computer aus dem Bereich des Gruppenrichtlinienobjekts entfernt, ohne andere GPOs, die für den Benutzer oder Computer gelten, zu betreffen.
Dieses Handbuch richtet sich an Netzwerk- und Systemadministratoren, die die Anleitungen im Windows Server 2012-Hauptnetzwerkhandbuch zum Bereitstellen eines Hauptnetzwerks befolgt haben, oder an diejenigen, die zuvor die im Hauptnetzwerkhandbuch erwähnten Kerntechnologien bereitgestellt haben, einschließlich Active Directory-Domänendienste (AD DS), Domain Name Services (DNS), Dynamic Host Configuration-Protokoll (DHCP), TCP/IP und Windows Internet Name Services (WINS) (optional).
Sie sollten die Entwurfs- und Bereitstellungshandbücher für jede der Technologien einsehen, die in diesem Bereitstellungsszenario verwendet werden. Mit diesen Handbüchern können Ihnen ermitteln, ob dieses Bereitstellungsszenario die Dienste und Konfigurationen bietet, die Sie zur Organisation des Netzwerks benötigen.
Anforderungen
Warnung
Es wird empfohlen, dass Sie die in diesem Handbuch dokumentierten Methoden nur für Gruppenrichtlinienobjekte verwenden, die für die Mehrzahl der Computer in Ihrer Organisation bereitgestellt werden müssen, und nur, wenn die Hierarchie der Organisationseinheiten Ihrer Active Directory-Domäne nicht gut mit den Anforderungen dieser Gruppenrichtlinienobjekte übereinstimmt. Sofern die Hierarchie der Organisationseinheiten dies unterstützt, stellen Sie ein Gruppenrichtlinienobjekt bereit, indem Sie es mit der untersten Ebene der Organisationseinheit verknüpfen, die alle Konten enthält, für die das Gruppenrichtlinienobjekt gelten soll.
In der Umgebung eines Großunternehmens mit Hunderten oder Tausenden von Gruppenrichtlinienobjekten kann diese Methode sonst dazu führen, dass Benutzer- oder Computerkonten Mitglied zu vieler Gruppen werden. Dies kann zu Netzwerkverbindungsproblemen führen, wenn die Beschränkungen von Netzwerkprotokollen überschritten werden. Weitere Informationen zu Problemen im Zusammenhang mit übermäßigen Gruppenmitgliedschaften finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
- „Neues bei der Kerberos-Authentifizierung“ (Windows Server 2012) enthält Informationen zu Verbesserungen zum Reduzieren der Authentifizierungsfehler aufgrund von großen Diensttickets. Sie finden die Informationen unter https://technet.microsoft.com/library/hh831747.aspx
- Artikel 327825, „Probleme mit Kerberos-Authentifizierung, wenn ein Benutzer zu sehr vielen Gruppen gehört“ (https://go.microsoft.com/fwlink/?LinkId=23044)
- Artikel 263693 “Group Policy may not be applied to users belonging to many groups” („Gruppenrichtlinie kann nicht angewendet werden, Benutzern, die vielen Gruppen angehören“) (https://go.microsoft.com/fwlink/?LinkId=126293)
- Artikel 328889, „Mitglieder von mehr als 1015 Gruppen möglicherweise Anmeldeauthentifizierung“ (https://go.microsoft.com/fwlink/?LinkId=115213)
Es folgen Anforderungen für die Verwendung von Gruppenrichtlinien:
Zum Bereitstellen von Gruppenrichtlinien benötigen Sie einen Active Directory-Domänencontroller, der eine Domäne und die Computer hostet, die mit der Domäne verknüpft sind.
Erstellen Sie zum Konfigurieren von Gruppenrichtlinienobjekten Mitgliedschaftsgruppen, denen Sie Mitglieder zuweisen. Dazu müssen Sie als Mitglied der Domänenadministratorengruppe angemeldet sein.
Nicht in diesem Handbuch enthaltene Informationen
Dieses Handbuch bietet keine umfassende Informationen zum Entwerfen und Bereitstellen einer Infrastruktur für Gruppenrichtlinien mithilfe von AD DS. Es wird empfohlen, vor der Bereitstellung der Technologien in diesem Handbuch die AD DS- und Gruppenrichtliniendokumentation zu lesen. Weitere Informationen finden Sie unter Weitere Ressourcen.
Technologieübersicht zu Gruppenrichtlinien
Die Gruppenrichtlinie ist eine Verwaltungstechnik, die Benutzern einen einheitlichen Zugriff auf Anwendungen, Anwendungseinstellungen, Roamingbenutzerprofile und Benutzerdaten von jedem verwalteten Computer aus ermöglicht, selbst wenn sie vom Netzwerk getrennt sind. Einstellungen für Gruppenrichtlinien sind Bestandteil von Gruppenrichtlinienobjekten, die mit Standorten, Domänen oder Organisationseinheiten innerhalb einer Active Directory-Domäne verknüpft sind. Die Einstellungen in GPOs werden dann ausgewertet und von den betreffenden Computern und Benutzern angewendet. Gruppenrichtlinien sind einer der wichtigsten Gründe für die Bereitstellung von Active Directory Domain Services (AD DS), da sie Ihnen die Verwaltung von Benutzer- und Computerobjekten ermöglichen.
Die meisten Administratoren verbinden die GPO-Bereitstellung mit einer Hierarchie von Organisationseinheiten einer Active Directory-Domäne. Sie können ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpfen, und alle Computer oder Benutzer in dieser Organisationseinheit oder in untergeordneten Elementen erhalten dann die Richtlinie und wenden sie an. Eine Active Directory-Domäne kann jedoch nur eine einzige Hierarchie von Organisationseinheiten enthalten, und Computer- und Benutzerkonten können nur in eine einzelne Organisationseinheit platziert werden. Aus diesem Grund ist in manchen Fällen eine gegebene Organisationseinheit zwar für eine bestimmte Problemstellung geeignet, jedoch nicht für eine andere. Beispielsweise entwerfen viele Organisationen die Hierarchie der Organisationseinheiten so, dass delegierte Administration unterstützt wird. Computer- und Benutzerkonten werden in Organisationseinheiten platziert, die dem Verantwortlichkeitsbereich eines IT-Teams entsprechen. Durch Erteilen der Administratorberechtigungen an das IT-Team für die OU-Container kann das Team die Computer und Benutzer verwalten, deren Konten sich in der Organisationseinheit befinden. Dieselbe Hierarchie ist vielleicht nicht effektiv für die Bereitstellung von Einstellungen für Gruppenrichtlinien, die Auswirkung auf Computer in der gesamten Organisation haben, beispielsweise bei der Bereitstellung von IPsec-Einstellungen (Internet Protocol Security) für Server- und Domänenisolationsszenarios.
Zudem erfordert das Konfigurieren einer bestimmten Windows-Version möglicherweise andere Richtlinieneinstellung als eine andere Version von Windows. Beispielsweise werden IPsec-Regeln in Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 und Windows Vista von einem anderen Teil des Gruppenrichtlinienobjekts verwaltet, als IPsec-Regeln für Windows Server 2003 und frühere Windows-Versionen. Daher benötigen Sie eventuell sechs verschiedene Gruppenrichtlinienobjekte, die alle dieselbe Funktion ausführen, jeweils eine für Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 und Windows Vista. Das Windows Server 2003-Gruppenrichtlinienobjekt gilt auch für frühere Versionen von Windows.