Gruppenrichtlinien
Windows - Quick & Dirty
Donnerstag, den 02. Oktober 2008 um 00:00 Uhr

Gruppenrichtlinien

Ab Ab Windows 7 hat jeder Client lokale Gruppenrichtlinien maximal 1 Gruppenrichtlinenobjekt

lokale Sicherheitsrichtlinie ist eine Teilmenge der lokalen Gruppenrichtlinie

Domainengruppenrichtlinie können mehrere Gruppenrichtlinienobjekte (GPO)verarbeiten

Gruppenrichtlinienobjekte können verknüpft werden mit


- Standorten
- Domänen
- Organisationseinheiten


Reihenfolge der Abbarbeitung von Gruppenrichtlinien:

1. lokale Richtlinie
2. Standortrichtlinie
3. Domänenrichtlinie
4. Organisationeeinheit


- GPs werden standardmäßig vererbt
- Vererbung kann abgeschaltet werden
- GBO wird verrebt wenn erzwungen

- Loopbackeinstellung


Gruppenrichtlinien werden auf dem Client unter C:\Windows\System32\GroupPolicyUsers abgespeichert.
Gruppenrichtlinien-Verwaltungskonsole (GPMC) für Server2003 (in Server2008 enthalten)

Gruppenrichtlinienergebnisse anzeigen: gpresult.exe
Defaultpolicys wiederherstellen: dcgpofix.exe

Gruppenrichtlinien haben drei Hauptkomponenten:

- Gruppenrichtlinienvorlagen
- Gruppenrichtliniencontainer (Standorte, Domänen, Organisationseinheiten)
- Gruppenrichtlinienobjekte



Gruppenrichtlinienvorlagen

bis Windows 2003 ADM (gespeichert in C:\Windows\inf)
ab Windows 2008 ADMX ( gespeichert in C:\Windows\PolicyDefinitions)

ADM Vorlagen können mit dem ADMX Migrator in ADMX Vorlagen konvertiert werden.


Administrative Vorlagen

Computerabschnitt
- wirkt auf auf Computer
- wird vor der Anmeldung des Benutzers abgearbeitet
- verändert in der Registry HKEY_LOCAL_MASCHINE

Benutzerabschnitt
- wirkt auf Benutzer
- wird nach der Anmeldung des Benutzers abgearbeitet
- verändert in der Registry HKEY_CURENT_USER


Richtlinien werden erzwungen und können vom Benutzer nicht verändert werden.
Einstellungen (Gruppenrichtlinienvorgaben) können vom vom Benutzer verändert werden.


redircmp Computer bei Eintritt in die Domäne in eine OU erstellen
redirusr Domänenbenutzer beim Anlegen automatisch in eine OU erstellen


Eingeschränkte Gruppen
Benutzer über Gruppenrichtlinien einer Gruppe zuordnen.

 

 

Problembehandlungstools

- gpresult

- gpotool

- gpupdate

- dcgpofix

- gpologview

 


Sicherheitskonfigurations-Assistent


erstellt eine Sicherheitsvorlage mit Sicherheitseinstellungen als XML Datei.

scwcmd.exe - kann genutzt werden um eine Sicherheitsvorlage in ein Gruppenrrichtlinienobjekt umzuwandeln.

scwcmd transform /p:C.windows\security\msscw\policys\meinevorlafe.xml /g:neuegpo


Überwachung der ADS Domänendienste mit auditpol.exe


Links:
http://www.educahelp.ch/docs/de_gruppenrichtlinien.pdf
http://www.msxfaq.de/verschiedenes/gpo.htm