Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 11 Die Gruppenrichtlinien von Windows XP einsetzen
  gp 11.1 Gruppenrichtlinien aktualisieren
  gp 11.2 Die Windows-XP-Vorlagedateien für Gruppenrichtlinien nutzen
    gp 11.2.1 Gruppenrichtlinienvorlagedateien von Windows XP
    gp 11.2.2 Service Packs auf aktuellere adm-Dateien überprüfen
    gp 11.2.3 Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien
    gp 11.2.4 Windows-XP-Gruppenrichtlinien analysieren
    gp 11.2.5 adm-Dateien sind abwärtskompatibel
  gp 11.3 Festlegen der Windows-XP-Gruppenrichtlinien für den Standard-Computer
  gp 11.4 Wo werden die Einstellungen im Bereich »Computerkonfiguration« auf dem Domänencontroller gespeichert?
  gp 11.5 Festlegen der Gruppenrichtlinien für den Standardbenutzer
    gp 11.5.1 Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
    gp 11.5.2 Richtlinien für Microsoft Internet Explorer
    gp 11.5.3 Richtlinien für Windows Explorer
    gp 11.5.4 Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
    gp 11.5.5 Richtlinien für Windows Updates
    gp 11.5.6 Richtlinien für Startmenüs, Taskleiste und Desktops
    gp 11.5.7 Welche Sinnbilder der Systemsteuerung benötigt
der Anwender?
    gp 11.5.8 Richtlinien für Offlinedateien
    gp 11.5.9 Laptop-Benutzer und Offline-Synchronisierung
    gp 11.5.10 Positiv- oder Negativlisten für ausführbare Dateien
    gp 11.5.11 Speicherort der Benutzerkonfigurations-Richtlinien
  gp 11.6 Wenn zwei Gruppenrichtlinien sich streiten …


Galileo Computing

11.3 Festlegen der Windows-XP-Gruppenrichtlinien für den Standard-Computer  toptop

Wählen Sie nun die Eigenschaften der Gruppenrichtlinie XP-Standardcomputer in der OU Computer an, klicken Sie auf Bearbeiten, wählen Sie unter Computerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und klicken Sie auf Vorlagedateien hinzufügen/ entfernen. Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows-Server-2000/2003-Vorlagen conf, inetres und system. Danach fügen Sie die Windows-XP-Vorlagen XP-inetres.adm, XP-system.adm und XP-wuau.adm hinzu.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Jetzt werden alle Richtlinien in der Kategorie Computerkonfiguration durchgesehen und wichtige Richtlinien aktiviert bzw. konfiguriert.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Die Aktivierung der Richtlinie Periodische Überprüfung auf Softwareaktualisierungen von Internet Explorer deaktiviert die Überprüfung, ob eine neue Version des Browsers verfügbar ist. Wenn Sie diese Richtlinie aktivieren, werden die Überprüfung, ob die aktuellste verfügbare Browserversion installiert ist, und die Benachrichtigung über eine verfügbare neue Version deaktiviert. Ohne Aktivierung dieser Richtlinie wird standardmäßig im Abstand von 30 Tagen überprüft, ob eine neue Version verfügbar ist.

Die Aktivierung der Richtlinie Anzeigen des Begrüßungsbildschirms beim Programmstart deaktiviert die Anzeige des Internet-Explorer-Begrüßungsbildschirms beim Browserstart.

In der Kategorie Windows Installer können Sie die Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren, wodurch ein einfacher Benutzer keine neuen Systemwiederherstellungspunkte über Start · Programme · Zubehör · Systemprogramme · Systemwiederherstellung mehr erzeugen kann.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Standardmäßig erstellt Windows Installer bei jeder Installation einer Anwendung automatisch einen Systemwiederherstellungsprüfpunkt. Dadurch können Benutzer ihren Computer wieder in den Zustand versetzen, den er vor der Installation der Anwendung aufwies. Durch die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren kann nur noch ein Administrator über Start · Programme · Zubehör · Systemprogramme · Systemwiederherstellung einen neuen Prüfpunkt erstellen. Jeder andere Anwender erhält bei dem Versuch folgende Fehlermeldung.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Beachten Sie bitte, dass es zwei weitere Richtlinien in der Kategorie Computerkonfiguration · Administrative Vorlagen · System · Systemwiederherstellung gibt:

Systemwiederherstellung deaktivieren und Konfiguration deaktivieren.

Die Richtlinie Systemwiederherstellung deaktivieren legt fest, ob die Systemwiederherstellung ein- oder ausgeschaltet ist. Standardmäßig ist sie eingeschaltet. Wenn der Administrator auf einem Windows-XP-Computer über die Systemsteuerung das Icon System startet und die Registerkarte Systemwiederherstellung anwählt, stellt er fest, dass per Standardeinstellung der Maximalwert für Systemwiederherstellungsprüfpunkte 12  % der Systempartition beträgt.

Abbildung
Hier klicken, um das Bild zu Vergrößern

In der Registrierdatenbank finden Sie unter KHEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore den Schlüssel DiskPercent. Bei aktivierter Systemwiederherstellung hat er den Wert 12, bei deaktivierter Systemwiederherstellung den Wert c. Hier finden Sie auch den Schlüssel DisableSR, der bei Deaktivierung von 0 auf 1 umgestellt wird. Wird eine der Richtlinien Systemwiederherstellung deaktivieren oder Konfiguration deaktivieren eingestellt, so finden Sie nach dem nächsten Start des Windows-XP-Computers unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore die Schlüssel DisableRestore und DisableConfig mit entsprechenden Werten.

Die Aktivierung der Richtlinie Erstellung von Systemwiederherstellungsprüfpunkten deaktivieren erzeugt unter HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer den Schlüssel LimitSystemRestoreCheckpointing.

Durch die Aktivierung der Richtlinie Systemwiederherstellung deaktivieren wird auch für den Administrator unter Systemsteuerung · System die Registerkarte Systemwiederherstellung vollständig ausgeblendet.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Die Beschreibung der zweiten Richtlinie Konfiguration deaktivieren ist ein wenig verwirrend:

Die Systemwiederherstellung ermöglicht es dem Benutzer bei Vorliegen eines Problems den Computer auf einen vorherigen Zustand zurückzusetzen, ohne persönliche Dateien zu verlieren. Das Verhalten dieser Einstellung ist abhängig von der Einstellung von »Systemwiederherstellung deaktivieren«.

Wenn Sie diese Einstellung aktivieren, verschwindet die Möglichkeit, die Systemwiederherstellung auf der Konfigurationsschnittstelle zu konfigurieren. Wenn die Einstellung »Konfigurationseinstellung deaktivieren« deaktiviert ist, ist die Konfigurationsschnittstelle noch sichtbar, es werden jedoch alle Standardwerte der Systemwiederherstellungskonfiguration erzwungen. Wenn Sie sie nicht konfigurieren, bleibt die Konfigurationsschnittstelle für die Systemwiederherstellung, und der Benutzer kann die Systemwiederherstellung konfigurieren.

Alles verstanden? Gemeint ist Folgendes: Wenn die Richtlinie Systemwiederherstellung deaktivieren nicht konfiguriert ist und die Richtlinie Konfiguration deaktivieren deaktiviert ist, kann der Administrator die Registerkarte Systemwiederherstellung zwar über Systemsteuerung · System aufrufen und sieht darin auch, dass die Systemwiederherstellung über eine Gruppenrichtlinie deaktiviert wurde, er kann diese Einstellung aber nicht verändern. Ein einfacher Benutzer sieht die Registerkarte Systemwiederherstellung auch weiterhin nicht.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Da Sie in Ihrer Organisation nur durchgetestete und mit Ihrer Umgebung kompatible Anwendungen einsetzen werden und der einfache Anwender keine weiteren Anwendungen oder Hardwaretreiber installieren darf, können Sie wahrscheinlich auf das Windows-XP-Feature Systemwiederherstellung verzichten, auf jeden Fall aber unterbinden, dass der Standardanwender neue Systemwiederherstellungspunkte erstellen darf. Die Systemwiederherstellungspunkte speichern auf der lokalen Festplatte den Zustand des Systems vor der Installation einer neuen Anwendung. Dadurch geht Speicherplatz verloren. Da Sie noch einige Standardanwendungen wie Microsoft Office, den Adobe Reader und vielleicht eine kaufmännische Anwendung installieren werden, bevor Sie ein Abbild ziehen, können Sie zumindest für diese vorher durchgetesteten Anwendungen die Erstellung von Systemwiederherstellungspunkten deaktivieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Falls die Richtlinie Automatische Updates konfigurieren deaktiviert ist, müssen alle verfügbaren Updates vom Administrator auf der Windows-Update-Website manuell heruntergeladen, getestet und zur Installation freigegeben werden. Dazu kann später auch ein Server mit den SUS-Diensten (SUS = Software Update Service) installiert werden. Die Clients versuchen also nicht, selbstständig und ohne Ihre Kontrolle Updates zu installieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Über die Aktivierung der Richtlinien Windows-Installationsdateipfad angeben und Windows Service Pack-Installationspfad angeben können Sie erreichen, dass die Quelldateien von nachzuinstallierenden Komponenten im Verzeichnis Install\WindowsXP des Servers gesucht werden statt vom CD-ROM-Laufwerk bzw. aus der Freigabe RemoteInstall eines Servers, von dem ursprünglich mittels RIS der Client aufgesetzt wurde. In Kapitel 15, Das Anmeldeskript, lesen Sie, dass es sinnvoll ist, für alle Anwender im Anmeldeskript das Laufwerk U: oder ein anderes fest für diesen Zweck definiertes Laufwerk über den Befehl net use u: \\Servername\Install mit dem Softwarearchiv des Servers am jeweiligen Standort zu verbinden. Wenn Sie diese beiden Richtlinien aktivieren und als Pfad jeweils U:\WindowsXP eintragen, können Komponenten von Windows XP jederzeit nachinstalliert werden, vorausgesetzt, der angemeldete Anwender hat die Berechtigungen zur Installation von Komponenten.

In der Kategorie Computerkonfiguration · Administrative Vorlagen · System · Benutzerprofile sollten Sie auf jeden Fall die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen aktivieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Der Hintergrund ist folgender: Wenn Sie auf dem Server ein Verzeichnis mit dem Namen Profiles erstellen und unter demselben Namen freigeben, so können Sie für bestimmte Anwender so genannte servergespeicherte Benutzerprofile (Roaming Profiles) anlegen. Wenn Sie anschließend für die Kennung Testuser in der Registerkarte Profil als Profilpfad \\s1\profiles\%Username% eintragen, wird bei der nächsten Anmeldung des Anwenders Testuser automatisch unterhalb der Freigabe Profiles ein Verzeichnis mit der Anmeldekennung des sich anmeldenden Anwenders erzeugt und das Profil der Kennung von C:\Dokumente und Einstellungen\Testuser dorthin kopiert. Jedoch erhält nur das System und der Anwender Testuser selbst Vollzugriff auf das generierte Profilverzeichnis \\s1\profiles\Testuser, der Administrator kann es nicht einmal einsehen. Durch die Aktivierung der Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen erhält auch der Administrator Vollzugriff auf neu erstelle Profilverzeichnisse des Servers. Ohne dieses Recht ist aber der Administrator z.B. nicht berechtigt, dieses Serververzeichnis zu löschen, wenn die Kennung Testuser nicht mehr benötigt wird und damit auch das servergespeicherte Benutzerprofil gelöscht werden soll.

Durch die Aktivierung der Richtlinie Benutzer bei Fehlschlag des servergespeicherten Profils abmelden können Sie verhindern, dass ein Benutzer sich mit der unter C:\Dokumente und Einstellungen vorhandenen lokalen Kopie des servergespeicherten Profils auch dann lokal anmelden kann, wenn kein Anmeldeserver antwortet bzw. der Server mit dem servergespeicherten Profil nicht antwortet.

Diese Richtlinie sollten Sie nicht für Laptops aktivieren, denn Laptop-Besitzer sollen sich ja gerade auch dann anmelden können, wenn ihr Laptop nicht mit dem Netzwerk verbunden ist! Für andere Clients ist es durchaus sinnvoll, diese Richtlinie zu aktivieren. Denn wenn das servergespeicherte Profil nicht zur Verfügung steht, sind oftmals auch andere wichtige Verzeichnisse wie das Gruppenablageverzeichnis, das Basisverzeichnis des Anwenders, die Netzwerkdrucker oder der Exchange Server nicht verfügbar, zumindest dann, wenn sich diese Verzeichnisse und Dienste auf dem Server befinden, zu dem der Client keine Verbindung aufbauen kann. Kann der Benutzer sich trotzdem mit einem lokalen temporären Profil anmelden, so findet er anschließend nicht seine durchkonfigurierte Arbeitsumgebung vor. Er beginnt zu arbeiten, kann aber anschließend seine neuen Dokumente nicht an gewohnter Stelle speichern oder drucken. Entweder schickt er Ihnen eine E–Mail oder bittet Sie telefonisch um Hilfe. Nur werden Sie gerade jetzt fürchterlich im Stress sein, weil wahrscheinlich ein Serverausfall all diese Probleme verursachte.

Das Aktivieren der Richtlinie Willkommenseite für Erste Schritte bei der Anmeldung nicht anzeigen blendet die Willkommenseite aus, die bei jeder ersten Benutzeranmeldung auf Windows 2000 Professional und Windows XP Professional angezeigt wird.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Durch das Aktivieren der Richtlinie Immer klassische Anmeldung verwenden wird der Benutzer gezwungen, sich mit dem klassischen Anmeldefenster am Computer anzumelden. Dieses Anmeldefenster hat das alte Design von Windows 2000 Professional. Bei einem Windows-XP-Computer, der nicht an eine Domäne angebunden ist, werden im Anmeldefenster standardmäßig die lokal eingerichteten Benutzerkennungen angezeigt. Über Systemsteuerung · Benutzerkonten · Art der Benutzeranmeldung ändern können Sie aber auch unter Windows XP die Option Willkommenseite verwenden deaktivieren und das klassische Anmeldefenster erzwingen, das die Eingabe eines Kontonamens erfordert. Bei Windows-XP-Clients, die Mitglieder einer Domäne sind, wird immer das klassische Anmeldefenster angezeigt.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Die Aktivierung der Richtlinie Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten wird in der Erklärung der Richtlinie wie folgt beschrieben und sollte deshalb aktiviert werden:

Legt fest, ob Windows XP beim Start des Computers und bei der Benutzeranmeldung auf das Netzwerk wartet. Standardmäßig wartet Windows XP beim Start und bei der Benutzeranmeldung nicht, bis das Netzwerk vollständig konfiguriert ist. Vorhandene Benutzer werden angemeldet, indem zwischengespeicherte Zugangsberechtigungen verwendet werden, was zu kürzeren Anmeldezeiten führt. Wenn das Netzwerk verfügbar wird, werden im Hintergrund Gruppenrichtlinien angewendet.

Man beachte, dass dies eine Aktualisierung im Hintergrund ist, Erweiterungen wie Softwareinstallation und Ordnerumleitung zwei Anmeldungen benötigen, damit die Änderungen wirksam werden. Um sicher arbeiten zu können, erfordern diese Erweiterungen, dass keine Benutzer angemeldet sind. Daher müssen sie im Vordergrund bearbeitet werden, bevor Benutzer den Computer aktiv verwenden. Zusätzlich dazu kann es sein, dass für Änderungen am Benutzerobjekt, wie z.B. Hinzufügen eines Pfades eines servergespeicherten Profils, eines Basisverzeichnisses oder eines Benutzerobjekt-Anmeldeskripts, das Erkennen von bis zu zwei Anmeldungen erforderlich ist


Wenn Sie die Anwendung der Ordnerumleitung, Softwareinstallation oder der Einstellungen von servergespeicherten Profilen in nur einem Anmeldevorgang garantieren wollen, aktivieren Sie diese Einstellung, um sicherzustellen, dass Windows darauf wartet, dass das Netzwerk zur Verfügung steht, bevor die Richtlinien angewendet werden.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung
Hier klicken, um das Bild zu Vergrößern

Über die Aktivierung der Richtlinie Remoteunterstützung anbieten können Sie einzelne Mitarbeiter oder eine Gruppe von Mitarbeitern angeben, die die Steuerung eines anderen Computers übernehmen darf, um vom eigenen Arbeitsplatz aus einem Mitarbeiter Hilfe anzubieten (Fernwartung). Dazu muss dann auch die Richtlinie Angeforderte Remoteunterstützung aktiviert werden. In der Richtlinie Remoteunterstützung anbieten müssen Sie außerdem einzelne Helpdesk-Benutzer oder besser eine Sicherheitsgruppe wie z.B. Helpdesk-Mitarbeiter und die Gruppe Domänen-Admins als berechtigte Helfer einsetzen. Beachten Sie dabei das zu verwendende Format:

<Domänen-NetBIOS-Name>\<Sicherheitsgruppe>

Wenn die Richtlinien Fehlerbenachrichtigung anzeigen und Fehler melden deaktiviert sind, werden Meldungen über Programmfehler nicht an Microsoft gesendet. Wenn derartige Programmfehler wiederholt auftreten, wird es Ihr Job sein, diese zu beheben. Hoffen Sie nicht, dass Microsoft-Mitarbeiter Ihnen diese Arbeit abnehmen. Sie können die Richtlinie also deaktivieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Durch die verschiedenen Richtlinien unter Offlinedateien können Sie verhindern, dass sensible Unternehmensdaten durch die Offline-Synchronisation auf lokale Festplatten geraten. Wenn in Ihrem Unternehmen alle Daten nur auf den Servern liegen sollen und es keine Mitarbeiter gibt, die mit Laptops arbeiten und auf Dokumente auch offline zu Hause oder beim Kunden zugreifen können sollen, so können Sie über diese Richtlinien bereits in der Computerkonfiguration verhindern, dass Daten zwischen dem Server und dem Client synchronisiert werden oder der Anwender an den Einstellungen der Offline-Synchronisation manipulieren kann. Überlegenswert ist es, in einer speziellen OU alle Laptops und Tablet-PCs zusammenzufassen und dort über geeignete Richtlinien die Nutzung von Offlinedateien wieder zuzulassen.

Sie können jedoch dieselben Einstellungen auch unter Benutzerkonfiguration vornehmen. Wenn es also eine Benutzer-Sicherheitsgruppe gibt, die offline mit Firmendaten arbeiten können muss, so sollten Sie diese Einstellungen nicht unter Computerkonfiguration vornehmen, sondern spezielle Offline-Gruppenrichtlinien für bestimmte Anwendergruppen erstellen und die Richtlinien in der Benutzerkonfiguration einrichten.

Abbildung
Hier klicken, um das Bild zu Vergrößern


Einstellungen in der Kategorie Computerkonfiguration überschreiben in der Regel gleichnamige Einstellungen in der Kategorie Benutzerkonfiguration!


Das Thema »mobile Anwender« gewinnt immer mehr an Bedeutung und ist nicht nur technisch komplex. Wenn Sie darüber hinaus Windows Terminal einsetzen, potenziert sich die Komplexität. Dieses Thema und die damit verbundenen Probleme (Sicherheit der Daten, Synchronisation der Daten mit dem Server usw.) müssen Sie deshalb separat behandeln. Erstellen Sie zuerst eine funktionierende Konfiguration für einen Arbeitsplatzcomputer, der ständig online ist. Haben Sie diese Konfiguration im Griff, so können Sie in einer speziellen Testumgebung Schritt für Schritt herausfinden, wie Sie die Skripte, die Installationsroutinen und die Gruppenrichtlinien modifizieren und verfeinern müssen, um auch spezielle Arbeitsplätze wie Laptops, Tablet-PC oder Terminalserver-Clients zu beherrschen.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de