• Artikel

Windows 7

Neuerungen bei den Gruppenrichtlinien unter Windows 7 und Windows Server 2008 R2

Jeremy Moskowitz

 

Kurz zusammengefasst:

  • Aktualisierte RSAT-Filter
  • Automatisierte Gruppenrichtlinienbearbeitung mit Windows PowerShell
  • Tabless Schnittstelle für ADM und ADMX
  • Integrierte Starter-Gruppenrichtlinienobjekte und neue Richtlinieneinstellungen

Inhalt

Aktualisierte Hauptfeatures der Gruppenrichtlinie
Außerhalb der Hauptfeatures
Weitere Informationen

Ich erhalte jeden Tag E-Mail-Nachrichten von Menschen, die mich fragen: „Was kommt anstelle der Gruppenrichtlinie in der neuen Version von Windows?“ Bei dieser Frage kann ich fühlen, wie groß das Interesse ist, zu erfahren, was die neuen Features und Änderungen für IT-Experten bedeuten.

Ich weiß, dass Änderungen manchmal stressig sein können, aber ich kann zuverlässig sagen, dass die Nachrichten alle gut sind: Einige leistungsfähige, praktische Gruppenrichtlinien-Änderungen sind in Windows 7 und Windows Server 2008 R2 integriert, aber nichts zu Radikales oder Andersartiges. IT-Experten profitieren z. B. von einigen Updates, einigen neuen Features und einigen Benutzerschnittstellenanpassungen, jedoch ohne die Kopfschmerzen von steilen Lernkurven.

Die Gruppenrichtlinien-Änderungen können in zwei Hauptkategorien unterteilt werden. Zuerst kommen die Elemente, das das Gruppenrichtlinienteam liefert: Kernfunktionen, einschließlich des Gruppenrichtlinienmoduls und die neuen und aktualisierten Funktionen im Gruppenrichtlinien-Bearbeitungssystem (Group Policy Management Console oder GPMC und Gruppenrichtlinienverwaltungs-Editor oder GPME). Dann kommen Elemente, die andere Teams bereitstellen, um Ihre Komponenten mithilfe von Gruppenrichtlinien zu verwalten: Aktualisierte Richtlinieneinstellungen und Funktionssteuerungen in GPME, mit denen wir alle die neuen und aktualisierten Funktionen auf unseren Zielcomputern verwalten. In diesem Artikel behandle ich beide Arten von Änderungen.

Aktualisierte Hauptfeatures der Gruppenrichtlinie

Für Windows 7 und Windows Server 2008 R2 hat das Gruppenrichtlinien-Team ein Sammelsurium von Features und Aktualisierungen ins Leben gerufen. Hier ist die nicht wissenschaftliche Aufteilung der Komponenten, die in der letzten Aktualisierung von Windows bereitgestellt werden: ein großes Fehlerbehebungsprogramm, ein großes Update, ein großes neues Feature, eine große Benutzeroberfläche und eine große in-the-Box Hinzufügung.

Das große Fehlerbehebungsprogramm: Aktualisierte Filter

Die aktualisierten Filter in der aktualisierten Gruppenrichtlinienkonsole (für Windows 7 und Windows Server 2008 R2 verfügbar) sind willkommene Änderungen. Die Fehlerbehebungsprogramme zerstören einen Fehler, der seit der Auslieferung von Windows Vista bestand. In Abbildung 1 können Sie eines meiner Lieblingsfeatures sehen, das seit der aktualisierten GPMC im Remote Server Administration Toolkit (RSAT) verfügbar ist: das Dialogfeld „Filteroptionen“.

fig1.gif

Abbildung 1 Filteroptionen-Dialogfeld. (Zum Vergrößern auf das Bild klicken)

Die Aufgabe von RSAT ist einfach: Ihnen einen Vista-Rechner (oder höher) zu bieten, der verschiedene Aspekte des Netzwerks auf dem Computer steuert, den Sie verwenden, und die Tools bereitzustellen, die Sie dazu benötigen, einschließlich der aktualisierten Gruppenrichtlinienkonsole. Diese aktualisierte Gruppenrichtlinienkonsole verfügt über einige praktische Features; eine davon ist die Möglichkeit, Filter zum Definieren von Kriterien zu verwenden, anhand derer Sie nur die administrativen Vorlagen Einstellungen finden. Das Problem war, dass als Vista und die entsprechende RSAT herauskam, die Filter nicht funktionierten, ein Fehler, der viele Administratoren plagte.

Lassen Sie mich den Fehler etwas ausführlicher erläutern. Abbildung 1 zeigt den Abschnitt Enable Requirements Filters des Dialogfelds Filter. Das Ziel dieses Abschnitts ist einfach: herausfinden, welche Administrative Vorlagen für bestimmte Betriebssysteme gültig sind.

Ein Modus in Enable Requirements Filters ist „Einschließen Einstellungen, die alle ausgewählten Plattformen entsprechen“. Der andere ist „einbeziehen-Einstellungen, die einer der ausgewählten Plattformen entsprechen.“ Die beiden Modi scheinen auf den ersten Blick sehr ähnlich. Doch der Unterschied zwischen „alle“ und „einer“ ist beträchtlich. Hier ist, was jeder Modus tun soll nach dem Wählen und Angeben einiger Kriterien:

  • „„Enthalten Sie Einstellungen, die alle ausgewählten Plattformen entspricht“ sollte Richtlinieneinstellungen anzeigen, die nur auf den angegebenen Computertypen gültig sind. Wenn Sie also Windows XP Service Pack 2 (SP) und Vista auswählen, sollte das Ergebnis Richtlinieneinstellungen sein, die nur unter Windows XP SP2 und Vista arbeiten.
  • „Enthalten Sie Einstellungen, die der ausgewählten Plattformen überein“ sollte Einstellungen anzeigen, die für eines der ausgewählten Betriebssysteme gelten. Wenn Sie also Windows XP SP2 und Vista auswählen, sollten alle Einstellungen für Windows XP SP2 und alle Einstellungen für Vista angezeigt werden.

Diese Filter sind so nützlich wie sie klingen. Das einzige Problem ist, das mit der Vista- und Windows Server 2008-Version von RSAT keines ordnungsgemäß funktionierte. Wenn Sie „Einstellungen, die alle den ausgewählten Plattformen erfüllen einbeziehen“ ausgewählt haben, das Ergebnis war häufig nur ein Bruchteil der gültigen Einstellungen, die tatsächlich auf Zielcomputern angewendet wurden. Und wenn Sie „Einstellungen, die der ausgewählten Plattformen überein“ ausgewählt haben, wurden gar keine Ergebnisse angezeigt.

Gemäß meiner Freunde im Gruppenrichtlinien-Team sollte dieser Fix Teil der endgültigen herunterladbaren Version von RSAT für Windows 7 und des in-the-Box-RSAT für Windows Server 2008 R2 sein.

Das große Update: Bereitstellen von Windows PowerShell-Skripts für Ziel-Computer

Sofern Sie nicht unter einem Stein Leben, wissen Sie, dass Windows PowerShell bei den Systemadministratoren immer beliebter wird. Aber ein Problem hat einige Administratoren von PowerShell Übernahme blockiert. Es gab keine einfache Möglichkeit, Ihren neuen PowerShell-Muskel über einem Bereich zu strecken, in dem Sie die meiste Kontrolle benötigen: Benutzer- und Computer-Skripts.

RSAT in Windows 7 und Windows Server 2008 R2 ermöglicht Administratoren, PowerShell-Skripts als Anmelde- oder Abmeldeskripts (für Benutzer) und Startskripts oder Skripts zum Herunterfahren (für den Computer) anzugeben. Abbildung 2 zeigt das Dialogfeld Starteigenschaften in den GPME, in dem der Administrator die Reihenfolge angeben kann, in der PowerShell-Skripts ausgeführt werden und welcher Skripttyp zuerst ausgeführt werden sollte: PowerShell-Skripts oder Nicht-PowerShell-Skripts (die nicht angezeigt werden, sich jedoch auf der Registerkarte Skripts im Dialogfeld Eigenschaften befinden).

fig2.gif

Abbildung 2 Windows PowerShell-Skripts im Dialogfeld Starteigenschaften. (Zum Vergrößern auf das Bild klicken)

Um dieses Feature verwenden zu können, müssen Sie zum Erstellen oder Bearbeiten Ihrer Group Policy Objects (GPOs) auf einem Windows 7- oder Windows Server 2008 R2-Computer mit den entsprechenden RSAT-Tools (die eine aktualisierte GPMC zur Unterstützung dieser neuen Funktionalität enthalten). Darüber hinaus muss auf dem Zielcomputer Windows 7 oder Windows Server 2008 R2 für die PowerShell-Skripts ausgeführt sein. Ältere Computer (auch mit PowerShell geladen) sind keine gültigen Ziele und führen keine PowerShell-Anmelde-, Abmelde-, Start- oder Herunterfahren-Skripts aus. Einige Fremdanbieter-Lösungen, die PowerShell-Skripts auf Nicht-Windows 7-Computern bereitstellen können, stehen zur Verfügung, wenn Sie diese Funktion benötigen.

Das große Feature: Bearbeiten von Registrierungseinstellungen mit PowerShell-Cmdlets

Viele Systemadministratoren möchten Ihre Welt automatisieren. Die ist eine gute Sache. Sie können sich in der Tat die Nutzung von Gruppenrichtlinien in Ihrer Umgebung als Masseautomatisierung Ihrer Clientcomputer vorstellen (sodass Sie nicht herumlaufen und auf Schaltflächen klicken müssen). Um die Verwaltung auf die nächste Ebene zu bringen, möchten Sie die Bearbeitung der GPOs eventuell selbst automatisieren.

Einige Administratoren haben die vorhandenen Gruppenrichtlinien GPMC-Beispielskripts für die Automatisierung der wichtigsten Gruppenrichtlinien-Aufgaben genutzt.

Windows 7 und Windows Server 2008 R2 ermöglichen die Verwendung von PowerShell, um viele dieser Funktionen auszuführen. Was in der Gruppenrichtlinienkonsole möglich war, ist jetzt mithilfe von PowerShell möglich: Erstellen, Verknüpfen, Umbenennen, Sichern, Kopieren und Löschen von Gruppenrichtlinienobjekten sowie Vieles mehr.

Die Möglichkeit, den Inhalt eines Gruppenrichtlinienobjekts mit einer skriptfähigen Methode zu konfigurieren ist jedoch völlig neu und jetzt nur verfügbar, wenn Sie PowerShell als die Scripting-Methode verwenden. Bevor Sie zu aufgeregt sind, sollte ich erwähnen, dass nicht alle 39 Bereiche von Gruppenrichtlinien skriptfähig sind. Tatsächlich sind es nur zwei: Registrierungsgruppenrichtlinie und Registrierungseinstellungen. Dennoch ist es ein großartiger Start.

In Abbildung 3 können Sie sehen, wie ich das integrierte PowerShell in Windows 7 verwende, um die erste Installation der Gruppenrichtlinien-spezifischen Cmdlets mithilfe der Cmdlets import-Modul-Gruppenrichtlinie durchzuführen und dann ein neues Gruppenrichtlinienobjekt mit dem neuen gpo-Cmdlet zu erstellen.

fig3.gif

Abbildung 3 Erstellen eines neuen Gruppenrichtlinienobjekts mit Gruppenrichtlinien-Cmdlets in Windows 7 integriert. (Zum Vergrößern auf das Bild klicken)

Das Gruppenrichtlinien-Teamblog hat ein Array von Elementen zur Integration von Windows PowerShell. Sie können alle auf einen Blick anzeigen, indem Sie den Gruppenrichtlinien-Teamblog auschecken.

Die große Benutzeroberflächenänderung: Aktualisierte ADM- und ADMX-Benutzeroberfläche

Eine der am herausragendsten Gruppenrichtlinien-Änderungen ist im Abschnitt Administrative Vorlagen der GPME enthalten.

Eine neue „tabless“-Schnittstelle, in Abbildung 4 dargestellt, fügt alle Inhalte, die Sie zum Erstellen oder Bearbeiten vorhandener Richtlinieneinstellungen benötigen, auf einer Seite eine-Stop-kaufen zusammen.

fig4.gif

Abbildung 4 Windows-Firewall: Dialogfeld ICMP-Ausnahmen zulassen. (Zum Vergrößern auf das Bild klicken)

Administratoren können jetzt eine Richtlinieneinstellung konfigurieren, wie Nicht konfiguriert, Aktiviert oder Deaktiviert, Kommentare über eine Richtlinieneinstellung erstellen, die Unterstützungsinformationen anzeigen, die Hilfe anzeigen (Erklärungstext) und alle konfigurierbaren Einstellungen in Optionen bearbeiten.

Das Ziel dieser Änderung ist, die Richtlinieneinstellungserfahrung intuitiver zu machen, Hilfe zu integrieren und alle Registerkarten zu entfernen, sodass die Administratoren nicht mehr von Ort zu Ort klicken müssen.

Groß in-the-Box-hinzufügen: Integrierte Starter-Gruppenrichtlinienobjekte

Die Fähigkeit zum Erstellen und Verwenden von Starter-Gruppenrichtlinienobjekten war erstmals in der Vista-Version der Gruppenrichtlinienkonsole verfügbar. Die Idee hinter einem Starter-Gruppenrichtlinienobjekt ist, dass ein Administrator einen Ausgangspunkt für andere Administratoren erstellen kann, den sie beim Erstellen von Gruppenrichtlinienobjekten verwenden. Die grundlegende Architektur und Funktionalität hat sich noch nicht viel in diesem neuen Update geändert, aber eine neue Unterscheidung ist beachtenswert.

Wenn Sie einen Computer mit Windows 7 oder Windows Server 2008 R2 verwenden, um den Container des Starter GPO zu erstellen, wird der Container automatisch mit einigen integrierten Starter-Gruppenrichtlinienobjekten aufgefüllt. Diese Starter-Gruppenrichtlinienobjekte folgen den Microsoft-Empfehlungen und werden dem Windows Server 2008-Sicherheitshandbuch zugeordnet. Z. B. eines dieser integrierten Starter-Gruppenrichtlinienobjekte ist für eine durchschnittliche Enterprise Client (EC) und eine andere mit einem gesperrten Ansatz, wird als spezielle Sicherheit eingeschränkte Funktionalität (SSLF) bezeichnet.

Windows 7 und Windows Server 2008 R2 umfassen Starter-Gruppenrichtlinienobjekte für die Benutzer- und Computer-Seite. Diese von Microsoft erstellten Starter-GPOs sind auch verfügbar (in etwas älterer Form) für Vista und Windows XP SP2.

Außerhalb der Hauptfeatures

Jetzt sprechen wir über einige der Bereiche der zusätzlichen Steuerung, die Sie erhalten, wenn Sie mit Windows 7 oder Windows Server 2008 R2 als Client arbeiten. Und wenn ich hier von „Client“ spreche, bedeutet das, „der Computer, der Gruppenrichtlinienanweisungen erhält“ (selbst wenn es sich um einen Windows Server 2008 R2-Computer handelt).

Eine großartige Ergänzung sind ungefähr 300 neue Richtlinieneinstellungen, von denen 90 oder so nur für Internet Explorer 8 vorgesehen sind (für Vista und Windows XP-Computer verfügbar). Weitere Änderungen sind beispielsweise neue und aktualisierte Einstellungsverwaltung für BitLocker, BitLocker To Go, eine aktualisierte Taskleiste, Desktop Remoteinstallationsdienste (früher Terminaldienste), BranchCache, Windows Remote Management (WinRM) und Heaps anderer Steuerelemente. Ich kann nicht alle neuen Steuerelemente in diesem Artikel erläutern, jedoch gebe ich Ihnen einen übersichtlichen und persönlichen Einblick in einige meiner Favoriten.

Aktualisierte Gruppenrichtlinieneinstellungen für Energieoptionen

Einer der wichtigsten Gründe, warum IT-Computerfreaks sich in Gruppenrichtlinien verlieben, ist der Umfang der Steuerungsmöglichkeiten, die auf den Desktops ausgeführt werden können. Wenn das Hauptziel von Gruppenrichtlinien die Einstellungenübermittlung ist, können jedoch diese IT-Steuerelementfreaks manchmal Schwierigkeiten haben, den Managern zu erklären, warum Gruppenrichtlinien Wert in „Dollar und Sinn“ hat. In einem Bereich der Gruppenrichtlinien können jedoch real Kosteneinsparungen zugesagt werden (falls ordnungsgemäß eingesetzt): Energieeinstellungen.

Indem sie die Energieeinstellungen von Desktops und Laptops ordnungsgemäß konfigurieren, können die IT-Administratoren normalerweise Ihren Unternehmen Tausende von Dollar jährlich speichern. Gruppenrichtlinien machen eine solche Konfiguration einfach.

Abbildung 5 zeigt die Energieoptionen, die in Windows 7 (und Windows Server 2008 R2) GPMC verfügbar sind.

fig5.gif

Abbildung 5 Dialogfeld Neue Energiesparplaneigenschaften (Windows Vista und höher). (Zum Vergrößern auf das Bild klicken)

Achten Sie auf den Titel des Dialogfelds in Abbildung 5. Sie werden feststellen, dass es Neue Energiesparplaneigenschaften heißt (Vista und höher). D. h., diese Einstellungen gelten für Vista und Windows 7. Hier ist der Nachteil: Windows 7 und Windows Server 2008 R2 Clientcomputer wissen, was mit diesen Direktiven zu tun ist; Vista nicht. Vista ignoriert die Direktiven einfach (obwohl das Feature wie Windows Vista und höher eindeutig gekennzeichnet ist). Das liegt daran, dass Vista ein bald freizugebendes Update für die clientseitigen Erweiterungen der zugrunde liegenden Gruppenrichtlinieneinstellungen benötigt. Sobald verfügbar und angewendet, nutzen Vista-Computer diese neu verfügbaren Direktiven.

Aktualisierte Gruppenrichtlinieneinstellungen für geplante Tasks

Ähnlich wie die gerade beschriebenen Energieplaneinstellungen ist die zusätzliche Vorgangsplanungsfunktion innerhalb der GPMC in Windows 7 und Windows Server 2008 R2. Abbildung 6 zeigt die neuen Optionen für das Planen von Tasks: Geplante Tasks (Windows Vista und höher) und unmittelbare Task (Windows Vista und höher).

fig6.gif

Abbildung 6 Neue GPMC-Vorgangsplanungsoptionen in Windows 7. (Zum Vergrößern auf das Bild klicken)

Wie die Energiesparplaneinstellungen sind Windows 7-Computer bereit, diese Einstellungen zu verwenden. Vista-Computer müssen auf ein Update warten, mit dem Sie diese Einstellungen nutzen können.

Aktualisierte Richtlinien für Softwareeinschränkung: AppLocker

Der interne Name für AppLocker ist Softwareeinschränkungsrichtlinien Version 2 oder SRPv2. In der Gruppenrichtlinien-Schnittstelle (und in der Dokumentation) sehen Sie jedoch diese neue Funktion, die einfach als AppLocker bezeichnet wird.

Kurz gesagt ist das Ziel von AppLocker, modernen IT-Organisationen zu diktieren, welche Software auf ihren Windows 7-Computern (und höher) ausgeführt werden sollte und welche nicht. Die ursprünglichen Software Einschränkungsrichtlinien (SRP) haben gute Arbeit geleistet, AppLocker bringt die Softwareeinschränkungen jedoch auf die nächste Ebene. Eine wichtige neue AppLocker Möglichkeit ist das Zulassen oder Einschränken von Software basierend auf dem Software-Herausgeber. Um dieses neue Feature zu nutzen, muss die Software, die Sie zulassen oder beschränken, digital signiert sein (Weitere Informationen zum AppLocker finden Sie in der Spalte Greg Shields Geek of All Trades „AppLocker: IT's First Panacea?”).

Dann richten Sie mit dem Dialogfeld „Create Executable Rules“ Regeln für verschiedene Herausgeber ein. Beispielsweise können Sie eine Regel erstellen, die angibt, dass es OK ist, Adobe Reader so lange wie Version 9.0 oder höher auszuführen. Sie können den vertikalen Schieberegler nach oben verschieben, um anzugeben, dass alle Versionen, Dateinamen und/oder Produkte oder Herausgeber auf Zielsystemen gültig sein können. Oder Sie können das Kontrollkästchen „Benutzerdefinierte Werte verwenden“ aktivieren.

Weitere Informationen

Wie Sie sehen können, bringen Windows 7 und Windows Server 2008 R2 zahlreiche Verbesserungen der Gruppenrichtlinie mit sich. Von den 300 neuen Richtlinieneinstellungen über die beiden aktualisierten Gruppenrichtlinieneinstellungen, bis hin zur Integration von Windows PowerShell – es gibt viel zu schätzen. Weitere Informationen über Gruppenrichtlinie in Windows 7 und Windows Server 2008 R2 finden Sie im Gruppenrichtlinien-Teamblog sowie mein Blog und Schulungsressourcen GPanswers.com.

Jeremy Moskowitz ist ein Gruppenrichtlinien-MVP. Er führt GPanswers.com, ein Community-Forum für die Gruppenrichtlinien und bildet Hunderte von Administratoren jedes Jahr in seinen Group Policy Master-Klassen aus. Jeremy ist darüber hinaus Gründer der PolicyPak-Software (PolicyPak.com), das ein innovatives Add-on für die Steuerung von Fremdanbieter-Anwendungen mithilfe von Gruppenrichtlinien anbietet.