Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 11 Die Gruppenrichtlinien von Windows XP einsetzen
  gp 11.1 Gruppenrichtlinien aktualisieren
  gp 11.2 Die Windows-XP-Vorlagedateien für Gruppenrichtlinien nutzen
    gp 11.2.1 Gruppenrichtlinienvorlagedateien von Windows XP
    gp 11.2.2 Service Packs auf aktuellere adm-Dateien überprüfen
    gp 11.2.3 Service Packs zu Windows Server enthalten oft nicht aktuelle adm-Dateien
    gp 11.2.4 Windows-XP-Gruppenrichtlinien analysieren
    gp 11.2.5 adm-Dateien sind abwärtskompatibel
  gp 11.3 Festlegen der Windows-XP-Gruppenrichtlinien für den Standard-Computer
  gp 11.4 Wo werden die Einstellungen im Bereich »Computerkonfiguration« auf dem Domänencontroller gespeichert?
  gp 11.5 Festlegen der Gruppenrichtlinien für den Standardbenutzer
    gp 11.5.1 Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
    gp 11.5.2 Richtlinien für Microsoft Internet Explorer
    gp 11.5.3 Richtlinien für Windows Explorer
    gp 11.5.4 Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
    gp 11.5.5 Richtlinien für Windows Updates
    gp 11.5.6 Richtlinien für Startmenüs, Taskleiste und Desktops
    gp 11.5.7 Welche Sinnbilder der Systemsteuerung benötigt
der Anwender?
    gp 11.5.8 Richtlinien für Offlinedateien
    gp 11.5.9 Laptop-Benutzer und Offline-Synchronisierung
    gp 11.5.10 Positiv- oder Negativlisten für ausführbare Dateien
    gp 11.5.11 Speicherort der Benutzerkonfigurations-Richtlinien
  gp 11.6 Wenn zwei Gruppenrichtlinien sich streiten …


Galileo Computing

11.6 Wenn zwei Gruppenrichtlinien sich streiten   toptop

Nachfolgend wird gezeigt, wie Sie mit einer zweiten Gruppenrichtlinie die für den Standardanwender erzeugten Beschränkungen wieder lockern können. An diesem Beispiel soll außerdem vorgeführt werden, wie Sie mit Berechtigungen auf Gruppenrichtlinien steuern können, auf welche Objekte (einzelne Benutzer, Sicherheitsgruppen von Benutzern, einzelne Computer, Sicherheitsgruppen von Computern) eine Richtlinie angewendet werden kann, in welcher Reihenfolge mehrere Gruppenrichtlinien abgearbeitet werden und welche Richtlinie den Vorrang erhält, wenn mehrere Richtlinien auf ein Objekt angewendet werden und sich widersprechen.

In den vorangegangenen Ausführungen wurde beschrieben, wie mittels einer Richtlinie XP-Standardbenutzer die Benutzeroberfläche von Windows XP für einen Standardbenutzer voreingestellt und damit verhindert werden kann, dass der Standardbenutzer durch Manipulationen das Betriebssystem selbst negativ verändert oder seine Arbeitsumgebung durch mangelnde Kenntnisse in einen Zustand versetzt, der zu erhöhtem Aufwand für die Anwenderbetreuung führt. Dieser Standardanwender soll nur eine begrenzte Anzahl ausgewählter Anwendungen starten können und arbeitet in der Regel nicht mit Multimedia-Anwendungen. Er hat in der Regel einen Computer ohne Diskettenlaufwerk, ohne CD-Laufwerk oder CD-Brenner und ohne Multimedia-Equipment.

Daneben gibt es aber so genannte Poweruser wie IT-Entwickler, die Mitarbeiter des Helpdesks, die neue Anwendungen durchtesten müssen, Abteilungsleiter oder Außendienstler, die mit zahlreicheren und komplexeren Peripheriegeräten (Anschluss für Organizer, Scanner, digitale Kamera usw.) oder einem mobilen Computer ausgestattet sind und auf weitere Anwendungen zugreifen müssen.

Spätestens, nachdem Sie die von Microsoft Office XP/2003 bereitgestellten Gruppenrichtliniendateien eingesehen haben, wird Ihnen jedoch bald bewusst werden, dass das Netzwerk sehr schnell undurchsichtig wird, wenn Sie für alle möglichen Sonderfälle eigene Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien einführen. Schnell gerät das Geflecht aus ineinander geschachtelten Gruppenrichtlinien außer Kontrolle, und die Suche danach, welche Gruppenrichtlinie nun welche andere Gruppenrichtlinie überschreibt, wird zum Fluch. Bei der Fehlersuche werden dann irgendwo Gruppenrichtlinien deaktiviert. Wenn der Fehler danach nicht beseitigt ist, wird an anderer Stelle etwas verändert, ohne zu notieren, was bei der Fehlersuche alles in welcher Reihenfolge angefasst wurde. Auch eine bei der Erstinstallation sauber erstellte Dokumentation der installierten Richtlinien wird so über die Zeit hinweg zur Makulatur. Ein neuer IT-Mitarbeiter findet später ein unüberschaubares und fehlerhaftes System vor.

Die KISS-Methode: Keep It Simple And Smart

Um dieser Undurchsichtigkeit vorzubeugen, hilft nur die KISS-Methode: Keep It Simple And Smart. Erstellen Sie möglichst wenige Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien. Vermeiden Sie, jeden Sonderfall über eine neue Gruppenrichtlinie abbilden zu wollen. Gehen Sie das Risiko ein, dass ein Anwender tatsächlich einmal aufgrund zu vieler Rechte einen Computer oder seine Benutzereinstellungen »ruiniert«. Wenn Sie eine Methode haben, mit der ein fehlerhafter Computer in kurzer Zeit wieder neu eingerichtet werden kann, und wenn Sie sicherstellen, dass dabei keine Anwenderdaten verloren gehen, da diese Daten alle auf dem Server liegen, ist das nicht tragisch. Für Poweruser können Sie eine Sicherheitsgruppe und eine zweite Gruppenrichtlinie einrichten, die nur durch diese Sicherheitsgruppe ausgelesen wird. In dieser Gruppenrichtlinie deaktivieren Sie nun einfach die Einschränkungen, die für den Standardanwender gelten sollen, aber nicht für den Poweruser.

Richten Sie in der Organisationseinheit Benutzer einen neuen Benutzer Paul Poweruser ein. Legen Sie in der Organisationseinheit Benutzergruppen eine Sicherheitsgruppe Hauptbenutzer an und nehmen Sie den neuen Anwender Paul Poweruser in diese Sicherheitsgruppe auf. Sie können auch die Gruppe Helpdesk oder eine Gruppe IT-Entwickler erstellen und in die Gruppe Hauptbenutzer aufnehmen.

Nun erzeugen Sie für die Sub-OU Benutzer eine weitere Gruppenrichtlinie mit dem Namen XP-Hauptbenutzer, öffnen danach die Eigenschaften dieser neuen Richtlinie und aktivieren wie bei der Richtlinie XP-Standardbenutzer die Option Konfigurationseinstellungen des Computers deaktivieren. Denn auch in dieser Gruppenrichtlinie werden nur Richtlinien in der Kategorie Benutzerkonfiguration geändert, und die Abarbeitung der Richtlinie wird beschleunigt, wenn nur die Benutzerkonfiguration ausgelesen werden muss.

Öffnen Sie nun unter den Eigenschaften der Gruppenrichtlinie XP-Hauptbenutzer die Registerkarte Sicherheitseinstellungen. Sie sehen als Erstes in den Standardeinstellungen, dass es eine Gruppe Authentifizierte Benutzer gibt, die die Rechte Lesen und Gruppenrichtlinie übernehmen besitzt. Zur Gruppe der Authentifizierten Benutzer gehören aber nicht nur alle Domänenbenutzer, sondern darüber hinaus alle Computer, die zur Domäne gehören. Die Bezeichnung Authentifizierte Benutzer ist hier ein wenig irreführend. Denken Sie daran, dass man eine Gruppenrichtlinie nicht nur für eine Sicherheitsgruppe aktivieren kann, die nur Benutzer als Mitglieder hat.

Sie können auch eine Sicherheitsgruppe erstellen, die z.B. nur Laptops aufnimmt, und für diese Sicherheitsgruppe eine Gruppenrichtlinie anlegen. Sie können aber auch eine gemischte Sicherheitsgruppe erstellen, bestehend aus bestimmten Computern und bestimmten Benutzern der Domäne. In welchen Situationen so etwas sinnvoll wäre, überlasse ich Ihrer Fantasie.

Sehen Sie sich einmal die Standardrechte der Gruppen Domänen-Admins und der Gruppe Organisations-Admins an. Mitglieder dieser beiden Gruppen dürfen laut Standardeinstellung die Gruppenrichtlinie verändern, haben aber nicht das Recht Gruppenrichtlinie übernehmen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Das ist gut so, denn anderenfalls würden Einschränkungen, die man über eine Gruppenrichtlinie vornimmt, sofort auch für die Administratoren wirksam. Schnell hätte dann ein Administrator durch eine Aktivierung einer Richtlinie alle Administratoren eingeschränkt und vielleicht sich selbst die Rechte entzogen, um die Aktivierung der Richtlinie wieder rückgängig zu machen.


Bei Richtlinien, die auch für Domänen-Administratoren wirken sollen, muss also der Gruppe Domänen-Admins explizit das Recht Gruppenrichtlinie übernehmen gegeben werden.


Unsere neu erstellte Richtlinie XP-Hauptbenutzer soll jedoch nicht für alle Domänenbenutzer wirken und schon gar nicht für Computer, sondern nur für die Sicherheitsgruppe Hauptbenutzer. Löschen Sie also die Gruppe Authentifizierte Benutzer und fügen Sie die soeben erstellte Sicherheitsgruppe Hauptbenutzer über die Schaltfläche Hinzufügen hinzu. Erteilen Sie der Gruppe Hauptbenutzer die Rechte Lesen und Gruppenrichtlinie übernehmen. Um es gleich vorweg zu sagen: Sie müssen die Reihenfolge der zwei Richtlinien anschließend mit den Schaltflächen Nach unten oder Nach oben so vertauschen, dass die Sicherheitsgruppe XP-Hauptbenutzer über der Gruppe XP-Standardbenutzer steht.

Abbildung
Hier klicken, um das Bild zu Vergrößern

  

Abbildung
Hier klicken, um das Bild zu Vergrößern

Wenn mehrere Gruppenrichtlinien untereinander stehen, werden die Gruppenrichtlinien in der Reihenfolge von unten nach oben abgearbeitet. Enthalten zwei Gruppenrichtlinien, die nacheinander abgearbeitet werden, Einstellungen, die sich widersprechen, so gewinnt die zuletzt abgearbeitete Richtlinie. Genau dies wollen wir erreichen: In der Gruppenrichtlinie XP-Hauptbenutzer sollen für eine kleine Gruppe von Anwendern bestimmte (nicht alle!) Einschränkungen wieder deaktiviert werden, die für alle Anwender in der Gruppenrichtlinie XP-Standardbenutzer getroffen wurden.

In der Gruppenrichtlinie XP-Standardbenutzer hatten wir unter vielen anderen Einschränkungen eingestellt, dass ein Standardbenutzer den Befehl Start · Ausführen nicht durchführen darf, dass er den Befehl Start · Programme · Zubehör · Eingabeaufforderung nicht starten darf und dass in der Systemsteuerung nur eine Auswahl von Icons angezeigt werden soll. Diese Einschränkungen sollen nun exemplarisch für die Gruppe Hauptbenutzer wieder aufgehoben werden.

Melden Sie sich unter der Kennung Poweruser zuerst am Windows XP-Client an und überprüfen Sie, dass diese Einschränkungen tatsächlich auf die Kennung wirken, bevor wir sie aufheben. Klicken Sie nun die Gruppenrichtlinie XP-Hauptbenutzer mit der Maus an und wählen Sie die Schalfläche Bearbeiten. Nehmen Sie die nachfolgenden Änderungen vor:

Aktivieren Sie zuerst die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Benutzer und setzen Sie sowohl das Aktualisierungsintervall als auch die zufällige Verzögerung der Aktualisierung auf 0 Minuten, damit Sie die Auswirkungen der Änderungen, die Sie am Server an der Gruppenrichtlinie XP-Hauptbenutzer vornehmen, ohne Verzögerung auf dem Windows-XP-Client sehen können. Das Heruntersetzen des Aktualisierungsintervalls ist, wie bereits erwähnt wurde, nur für das Testen von Gruppenrichtlinien hilfreich. Vergessen Sie später im Produktivbetrieb nicht, das Aktualisierungsintervall wieder heraufzusetzen! Alternativ können Sie den Befehl gpupdate /force auf dem Client absetzen, um geänderte Gruppenrichtlinien sofort zu übernehmen.

Deaktivieren Sie die Richtlinie Menüeintrag »Ausführen« aus dem Startmenü entfernen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Der Anwender Poweruser sieht nun im Startmenü wieder den Befehl Ausführen. Deaktivieren Sie die Richtlinie Befehlszeilenaufforderung deaktivieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Der Anwender Poweruser erhält nun beim Aufruf der Eingabeaufforderung unter Start · Programme · Zubehör nicht mehr die Meldung Die Eingabeaufforderung ist vom Administrator deaktiviert worden.

Um die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen der Gruppenrichtlinie XP-Standardbenutzer durch die Gruppenrichtlinie XP-Hauptbenutzer außer Kraft zu setzen und wieder alle Symbole der Systemsteuerung anzuzeigen, reicht es jedoch nicht aus, in der Gruppenrichtlinie XP-Hauptbenutzer die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen zu deaktivieren. Testen Sie es und melden Sie sich als Poweruser am XP-Computer an. Es werden weiterhin nur die Symbole in der Systemsteuerung angezeigt, die in der Richtlinie Nur angegebene Systemsteuerungssymbole der Gruppenrichtlinie XP-Standardbenutzer hinzugefügt wurden. Hier hilft folgender Trick: Aktivieren Sie die Richtlinie Angegebene Systemsteuerungssymbole ausblenden. Sie können nun in einem weiteren Fenster die Symbole angeben, die ausgeblendet werden. Wenn Sie aber in dieser Liste nur einen Eintrag wie XXX vornehmen und damit ein nicht existierendes Symbol eintragen, so erscheinen beim Anwender Poweruser wieder alle Symbole in der Systemsteuerung.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Ich hoffe, Sie haben aufgrund dieser drei Beispiele für das Zurücksetzen von aktivierten Richtlinien für eine bestimmte Gruppe von Mitarbeitern das Prinzip der Idee verstanden: Sie erstellen eine Richtlinie für den Standardbenutzer und schränken die Möglichkeiten des Standardbenutzers so stark ein, dass die Fehlerquellen durch ungewollte Manipulationen bei der Großzahl der Anwender beseitigt werden und damit der Supportaufwand minimiert wird.

Diejenigen Mitarbeiter, für die diese starke Reduzierung der Manipulationsmöglichkeiten auf das für die tägliche Arbeit unbedingt Benötigte nicht akzeptabel ist, fassen Sie in einer Sicherheitsgruppe wie Hauptanwender zusammen. Sie erstellen eine weitere Gruppenrichtlinie, z.B. mit dem Namen XP-Hauptanwender, die nur für Mitglieder der Gruppe Hauptanwender angewendet wird. In dieser Richtlinie deaktivieren Sie diejenigen durch die Richtlinie XP-Standardanwender ausgelösten Einschränkungen, die Sie den Powerusern nicht zumuten wollen.

Achten Sie darauf, dass die beiden Richtlinien in der richtigen Reihenfolge untereinander stehen: Untereinander stehende Richtlinien werden nacheinander von unten nach oben und nicht von oben nach unten abgearbeitet!

Dieses Modell von zwei Anwendertypen und zwei zugehörigen Gruppenrichtlinien ist sehr vereinfacht. Wenn Ihr Unternehmen komplex ist, werden Sie sagen, dass sich Ihre Anwender nicht nur in die Typen Standardanwender und Poweruser untergliedern lassen, sondern, dass es einfache Standardanwender gibt, Abteilungsleiter mit weitergehenden Ansprüchen, die Mitarbeiter der IT-Entwicklungsabteilung, die wiederum andere Berechtigungen benötigen als die Abteilungsleiter, und die Mitarbeiter des Helpdesks. Schnell sind Sie bei vier oder mehr Gruppenrichtlinien, deren Zusammenspiel dann entsprechend komplizierter wird.

Nach dem vorgestellten Prinzip lassen sich auch mehr als zwei Typen von Anwendern abbilden. Dennoch: Halten Sie sich, wann immer es möglich ist, an das KISS-Prinzip: Keep It Simple And Smart. Vermeiden Sie unnötige Komplexitäten! Active Directory ist im Zusammenspiel von Windows Server mit Windows XP Professional, Microsoft Office und Exchange Server kompliziert genug. Machen Sie Ihr Active-Directory-Modell nicht komplizierter, als es erforderlich ist.

Das Tool gpresult.exe zeigt übrigens die Gruppenrichtlinieneinstellungen eines Computers oder Benutzers und den Ergebnissatz aller wirksamen Gruppenrichtlinien an. Im neuen Gruppenrichtlinienverwaltungswerkzeug GPMC.MSI können Sie sich den auf einen bestimmten Computer und den dort angemeldeten Benutzer wirkenden Gruppenrichtlinienergebnissatz komfortabel anzeigen lassen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de