Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 11 Die Gruppenrichtlinien von Windows XP einsetzen
  gp 11.1 Gruppenrichtlinien aktualisieren
  gp 11.2 Die Windows-XP-Vorlagedateien für Gruppenrichtlinien nutzen
    gp 11.2.1 Gruppenrichtlinienvorlagedateien von Windows XP
    gp 11.2.2 Service Packs auf aktuellere adm-Dateien überprüfen
    gp 11.2.3 Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien
    gp 11.2.4 Windows-XP-Gruppenrichtlinien analysieren
    gp 11.2.5 adm-Dateien sind abwärtskompatibel
  gp 11.3 Festlegen der Windows-XP-Gruppenrichtlinien für den Standard-Computer
  gp 11.4 Wo werden die Einstellungen im Bereich »Computerkonfiguration« auf dem Domänencontroller gespeichert?
  gp 11.5 Festlegen der Gruppenrichtlinien für den Standardbenutzer
    gp 11.5.1 Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
    gp 11.5.2 Richtlinien für Microsoft Internet Explorer
    gp 11.5.3 Richtlinien für Windows Explorer
    gp 11.5.4 Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
    gp 11.5.5 Richtlinien für Windows Updates
    gp 11.5.6 Richtlinien für Startmenüs, Taskleiste und Desktops
    gp 11.5.7 Welche Sinnbilder der Systemsteuerung benötigt
der Anwender?
    gp 11.5.8 Richtlinien für Offlinedateien
    gp 11.5.9 Laptop-Benutzer und Offline-Synchronisierung
    gp 11.5.10 Positiv- oder Negativlisten für ausführbare Dateien
    gp 11.5.11 Speicherort der Benutzerkonfigurations-Richtlinien
  gp 11.6 Wenn zwei Gruppenrichtlinien sich streiten …


Galileo Computing

11.2 Die Windows-XP-Vorlagedateien für Gruppenrichtlinien nutzen  downtop

Nachdem in den vorangegangenen Kapiteln das Wissen zusammengetragen wurde, wie ein RIS-Server aufgesetzt und mit der RIS-Methode ein Computer mit Windows XP Professional eingerichtet wird, soll dieses Kapitel nun Klarheit verschaffen, welche Einstellungen des Betriebssystems Windows XP Professional über Gruppenrichtlinien zentral verwaltet werden können. In den folgenden Kapiteln werden Sie dann erfahren, welche fehlenden Einstellungen Sie über selbst erstellte Gruppenrichtlinien vornehmen können und wie Sie mit den Gruppenrichtlinien umgehen, die von Microsoft Office zur Verfügung gestellt werden. Bevor dann das Abbild eines Mustercomputers gezogen werden kann, müssen jedoch weitere Vorarbeiten geleistet werden, die entweder automatisiert oder mit Hilfe einer Checkliste manuell vorgenommen werden.

Bei der Beschreibung der Gruppenrichtlinien werden auch die Schlüsselwerte genannt, die durch die Konfiguration dieser Richtlinien in der Registrierdatenbank geändert werden. Da Sie ein Systemadministrator und nicht nur ein Mausadministrator sind (), sollte es Sie auch interessieren, welche Änderungen wo im Betriebssystem vorgenommen werden, wenn diese Gruppenrichtlinien konfiguriert werden.


Galileo Computing

11.2.1 Gruppenrichtlinienvorlagedateien von Windows XP  downtop

Wenn Sie Windows XP Professional mit dem neuesten Service Pack installiert haben, finden Sie im Verzeichnis C:\Windows\inf sieben adm-Dateien. Es handelt sich um die Gruppenrichtlinienvorlagedateien von Windows XP. Kopieren Sie diese Dateien in das Unterverzeichnis NETLOGON\adm oder ein anderes Verzeichnis des Servers S1, in dem Sie auch andere adm-Dateien wie diejenigen von Microsoft Office und die selbst erstellten Gruppenrichtlinienvorlagedateien sammeln. NETLOGON lautet die Freigabe auf einem Domänencontroller, der Anmeldeskripte aufnimmt.

Die Vorlagedateien, die später im Active Directory zum Zuge kommen, sind diejenigen, die Sie im Gruppenrichtlinien-Editor hinzuladen. Beim Vorgang des Hinzuladens von Gruppenrichtlinienvorlagedateien (adm-Dateien) werden im Gruppenrichtlinien-Editor alle adm-Dateien aus dem Verzeichnis %SystemRoot%\inf des Servers angezeigt. Nebenbei bemerkt: Dieses Verzeichnis enthält neben adm-Dateien auch noch eine Fülle von inf- und pnf-Dateien. Sicherlich wäre es übersichtlicher geworden, wenn man bei der Konstruktion von Active Directory für adm-Dateien ein separates Verzeichnis, z.B. %SystemRoot%\adm angedacht hätte.


Galileo Computing

11.2.2 Service Packs auf aktuellere adm-Dateien überprüfen  downtop

Wichtig zu wissen ist jedenfalls Folgendes: Die adm-Dateien von Windows XP waren umfangreicher und aktueller als die adm-Dateien von Windows 2000 Server, hatten aber dieselben Dateinamen. In der Erstauflage dieses Buches riet ich dazu, die adm-Dateien von Windows XP Professional in das Verzeichnis %SystemRoot%\inf des Windows-2000-Servers zu kopieren und dabei in XP-xyz.adm umzubenennen. Die Originaldateien von Windows 2000 Server sollten also nicht mit den Windows-XP-adm-Dateien überschrieben werden. Ich begründete dieses Vorgehen damit, dass so nicht die Gefahr bestünde, durch ein späteres Einspielen eines Windows 2000 Server Service Packs die aktuelleren Windows-XP-adm-Dateien mit Dateien des Service Packs zu überschreiben, welche die Besonderheiten von Windows XP wieder nicht berücksichtigten. Meine Befürchtungen sollten sich als richtig erweisen: Das später veröffentlichte Service Pack 4 zu Windows 2000 Server enthielt wiederum adm-Dateien mit einem alten Stand. Hätten Sie z.B. die Datei System.adm von Windows XP in das Verzeichnis %SystemRoot%\inf des Windows-2000-Servers kopiert und dabei nicht in XP-System.adm umbenannt, so wäre diese Datei beim späteren Einspielen des Windows 2000 Server Service Packs 4 durch eine system.adm ersetzt worden, die die Besonderheiten von Windows XP nicht berücksichtigt und eine viel geringere Anzahl von Richtlinien enthält, eben nur diejenigen, die von den Microsoft-Entwicklern für Windows 2000 Professional erstellt wurden. Man kann den Eindruck gewinnen, als wenn beim Hersteller des Service Packs die rechte Hand nicht weiß …


Galileo Computing

11.2.3 Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien  downtop

Wenn Sie die adm-Dateien von Windows Server 2003 mit denjenigen von Windows XP mit Service Pack 1 vergleichen, werden Sie feststellen, dass die adm-Dateien von Windows Server 2003 alle Richtlinien enthalten, um Windows XP zentral zu verwalten. Sie könnten also auf die Idee kommen, dass Sie mit den Windows-Server-2003-adm-Dateien arbeiten können. Doch mit dem Service Pack 2 zu Windows XP kommen auch neue Richtlinien hinzu. Die adm-Dateien im Verzeichnis %SystemRoot%\inf eines Windows-XP-Clients mit SP2 werden also einen aktuelleren Stand haben als die gleichnamigen Dateien im gleichnamigen Windows-Server-2003-Verzeichnis. Folglich werden Sie diese aktuelleren adm-Dateien in das Verzeichnis %SystemRoot%\inf des Servers übernehmen müssen. Wenn Sie den Dateien bei der Übernahme auf den Server keine neuen Namen geben, besteht dann wieder die Gefahr, dass beim Einspielen eines zukünftigen Service Packs zu Windows Server 2003 die aktuelleren Dateien durch alte Versionen überschrieben werden, weil die Microsoft-Entwickler vielleicht erneut vergessen haben, im Service Pack auch die adm-Dateien auf den neuesten Stand zu bringen. Deshalb mein dringender Rat:

Benennen Sie die adm-Dateien bei der Übernahme in das Serververzeichnis %SystemRoot%\inf um, z.B. in XP-xyz.adm. Ein zweiter Rat: Überprüfen Sie jedes Mal, wenn ein Service Pack zu Windows XP, Windows Server 2000/2003 oder Office XP/2003 erscheint, welche Version der gleichnamigen adm-Dateien die aktuellere ist. Verlassen Sie sich dabei nicht unbedingt auf das Erstellungsdatum der Datei. Überprüfen Sie vielmehr, ob alle benötigten Richtlinien enthalten sind. Die Größe der adm-Dateien ist ein erster Hinweis.

Wenn es mehrere Domänencontroller im Active Directory gibt, so müssen alle adm-Dateien auf allen Domänencontrollern auf demselben Stand sein. Das bedeutet, dass neuere adm-Dateien in die Verzeichnisse %SystemRoot%\inf aller Domänencontroller eingespielt werden müssen. Allein deshalb ist es sinnvoll, alle aktuellen adm-Dateien in einem zentralen Serververzeichnis zu sammeln und dort auf dem aktuellsten Stand zu halten. Liegt dieses Verzeichnis in der Freigabe Netlogon, so wird es automatisch auf alle anderen Domänencontroller repliziert. Aktualisierte adm-Dateien werden dann ebenfalls repliziert. Sie müssen sich lediglich nacheinander an den verschiedenen Domänencontrollern anmelden und dieselben neuen adm-Dateien aus der Freigabe Netlogon des Servers in dessen Verzeichnis %SystemRoot%\inf kopieren und dabei aus den angesprochenen Gründen umbenennen!

Nehmen Sie das Einspielen der jeweils aktuellen adm-Dateien in eine Checkliste für die Installation neuer Domänencontroller auf. Muss ein defekter oder unterdimensionierter Domänencontroller ausgetauscht werden, so besteht die Gefahr, dass dieser mit alten adm-Dateien bespielt wird.

Auch bezüglich der Installation weiterer Domänencontroller wäre es vorteilhaft, wenn adm-Dateien in einem Verzeichnis lägen, das wie die Freigabe Netlogon automatisch repliziert wird. Auf allen Domänencontrollern würden dann durch die Replikation immer dieselben Versionen von Gruppenrichtlinienvorlagedateien liegen.


Galileo Computing

11.2.4 Windows-XP-Gruppenrichtlinien analysieren  downtop

Um nun herauszufinden, welche Gruppenrichtlinien dieser Windows-XP-Vorlagedateien genutzt werden sollten, richten Sie eine Organisationseinheit Company unterhalb der Domäne Company.local ein. Unterhalb der OU (= Organization Unit) Company richten Sie zwei weitere Sub-OUs mit den Bezeichnungen Computer und Benutzer ein. Verschieben Sie den Computer MUSTERPC aus dem Container Computers bzw. RIS in die neue Sub-OU Computer unterhalb der OU Company, denn Gruppenrichtlinien wirken immer nur auf Objekte, die im zugehörigen Container liegen.

Erstellen Sie in der Sub-OU Benutzer eine neue Kennung Testuser mit dem vollen Namen Hugo Testuser. Wenn diese Kennung bereits existiert, weil Sie sie bereits beim Durcharbeiten eines anderen Kapitels benutzt haben, so löschen Sie zuerst sowohl die Kennung als auch ein eventuell vorhandenes Basisverzeichnis (Userhome Directory) und Profilverzeichnis (Roaming Profile Directory), um ohne Vorlasten zu testen.

Nachfolgend wird davon ausgegangen, dass Sie das neue Gruppenrichtlinienwerkzeug GPMC.MSI noch nicht installiert haben. Ist dies aber der Fall, so ist die Vorgehensweise ähnlich, jedoch stimmen dann die Abbildungen nicht mit Ihrer Testumgebung überein. Bei Windows Small Business Server 2003 wird die GPMC.MSI standardmäßig mitinstalliert.

Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Computer ein: Öffnen Sie die Eigenschaften der Sub-OU, dort die Registerkarte Gruppenrichtlinien und starten Sie die Schaltfläche Neu. Als Namen für die neue Gruppenrichtlinie wählen Sie XP-Standardcomputer, weil diese Richtlinie für den Standardcomputer gelten soll.

Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Benutzerdefinierte Konfigurationseinstellungen deaktivieren. Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_LOCAL_MACHINE der Registrierdatenbank angewendet wird, führt die Deaktivierung der benutzerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Wählen Sie OK und danach Bearbeiten. Wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/entfernen. Im neuen Fenster Vorlagen hinzufügen/entfernen sehen Sie die Standardvorlagedateien, die beim Erstellen einer neuen Gruppenrichtlinie geladen werden. Es handelt sich um die Dateien conf.adm, inetres.adm und system.adm.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Beim Erstellen einer neuen Gruppenrichtlinie wird im Verzeichnis %SystemRoot%\SYSVOL\sysvol\Company.local\Policies ein Unterverzeichnis generiert, dessen Name eine kryptische Aneinanderreihung von Buchstaben und Zahlen, eingeschlossen in geschweiften Klammern ist.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Wenn Sie die Eigenschaften der Gruppenrichtlinie aufrufen, finden Sie diesen Verzeichnisnamen in der Registerkarte Allgemein im Feld Eindeutiger Name.

Unterhalb dieses Verzeichnisses werden die Unterverzeichnisse ADM, Machine und User automatisch erzeugt und die Dateien conf.adm, inetres.adm und system.adm aus dem Verzeichnis %SYSTEMROOT%\inf in das generierte Verzeichnis ADM kopiert. Arbeiten Sie mit Windows 2000 Server, so handelt es sich um Vorlagedateien für Windows 2000 Server bzw. für Windows 2000 Professional. Arbeiten Sie mit Windows Server 2003, so sind diese Vorlagedateien bereits für Windows XP erweitert. Jedoch sind nicht die Erweiterungen eingearbeitet, die durch das Service Pack 2 von Windows XP hinzukommen.

Wenn Sie unter Windows 2000 Server die Vorlagedateien von Windows XP verwenden wollen, müssen Sie im Fenster Vorlagen hinzufügen/entfernen die drei Vorlagen conf, inetres und system zuerst über die Schaltfläche Entfernen entladen und dann über die Schaltfläche Hinzufügen die gewünschten XP-Vorlagen laden.


Da die Vorlagedateien von Windows XP dieselben Namen haben wie die Vorlagedateien von Windows Server 2000/2003, können Sie später in einer komplexeren Umgebung nicht mehr unterscheiden, ob in einer bestimmten Gruppenrichtlinie die Vorlagedateien von Windows 2000/2003 oder von Windows XP geladen wurden. Ich schlage Ihnen deshalb vor, zuerst alle von Windows XP übernommenen Dateien *.adm in XP-*.adm umzubenennen, in das Verzeichnis %SystemRoot%\inf des Servers einzuspielen und dann diese XP-*.adm-Vorlagedateien hinzuzufügen.


Da Sie später die Windows-XP-Gruppenrichtlinienvorlagedateien und auch selbst erstellte ADM-Vorlagedateien noch oft hinzuladen werden, bietet es sich an, die in XP-xyz.adm umbenannten Vorlagedateien von Windows XP in das Verzeichnis %SYSTEMROOT%\inf des Servers zu kopieren, denn dann werden diese wie die Original-Windows-2000/2003-Vorlagedateien sofort angezeigt, sobald Sie die Schaltfläche Hinzufügen im Fenster Vorlagen hinzufügen/entfernen anklicken.


Galileo Computing

11.2.5 adm-Dateien sind abwärtskompatibel  toptop

Die für Windows XP erweiterten adm-Dateien sind bezüglich Windows 2000 Professional abwärtskompatibel. Abwärtskompatibilität bedeutet in diesem Fall, dass die Vorlagedateien von Windows XP auch in einer Mischumgebung von Clients mit Windows 2000 Professional und Windows XP verwendet werden können. Die speziellen Erweiterungen dieser adm-Dateien um Richtlinien für Windows XP werden von Windows-2000-Professional-Clients ignoriert.


Wichtiger Hinweis Gruppenrichtlinienvorlagedateien (*.adm-Datei) erweitern nur die Kategorie Administrative Vorlagen. Diese Kategorie finden Sie sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration, wenn Sie eine Gruppenrichtlinie über die Schaltfläche Bearbeiten öffnen. Wenn Sie eine *.adm-Datei hinzufügen, werden jedoch die neuen Richtlinien nicht immer sofort angezeigt. Um sicher zu sein, dass Sie alle Richtlinien anschließend in beiden Kategorien Computerkonfiguration als auch Benutzerkonfiguration sehen, schließen Sie nach dem Hinzuladen einer adm-Datei die Gruppenrichtlinie und öffnen sie erneut über die Schaltfläche Bearbeiten.


Doch welche der XP-Gruppenrichtlinienvorlagedateien sollen geladen werden? Welche Funktionen haben die verschiedenen adm-Dateien? Sie können alle Windows-XP-ADM-Dateien mit Notepad.exe ansehen und bearbeiten. Ebenso können Sie alle Windows-XP-ADM-Dateien einzeln nacheinander laden, um zu sehen, welche Änderungen sich jeweils unter Computerkonfiguration und unter Benutzerkonfiguration ergeben. Dabei stellen Sie Folgendes fest:

gp  XP-conf.adm ist für Netmeeting-Richtlinien zuständig und stellt Richtlinien unter Computerkonfiguration und Benutzerkonfiguration zur Verfügung.
gp  XP-inetcorp.adm stellt unter Benutzerkonfiguration eine Richtlinie für die Wartung des Internet Explorers zur Verfügung, die sich aber nicht starten lässt.
gp  XP-inetres.adm ist ebenfalls für den Zugriff auf das Internet zuständig und stellt hierfür sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration Richtlinien bereit.
gp  XP-system.adm stellt sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration viele wichtige Richtlinien bereit.
gp  XP-wmplayer enthält nur benutzerbezogene Gruppenrichtlinieneinstellungen für den Windows Media Player.
gp  XP-wuau.adm enthält nur maschinenbezogene Gruppenrichtlinien für den Windows Update Service.

Solange Sie Netmeeting nicht einsetzen, sollten Sie die Gruppenrichtliniendatei XP-conf.adm nicht hinzuladen. Für die gerade in der OU Computer erstellte Gruppenrichtlinie XP-Standardcomputer sind die Richtliniendateien XP-inetres.adm, XP-system.adm und XP-wuau.adm interessant.

In der OU Benutzer werden wir später eine Gruppenrichtlinie mit dem Namen XP-Standardbenutzer erstellen. Für diese werden dann die Gruppenrichtliniendateien XP-inetres.adm, XP-system.adm und XP-wmplayer.adm geladen.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de