Gruppenrichtlinien
Mit Gruppenrichtlinien kann man u.a. folgendes steuern:
Elemente des Benutzerdesktops (Und Startmenüs)
Registry Einträge für Betriebssysteme und Applikationen
Sicherheitseinstellungen
(z.B. Wer darf sich wann und wo einloggen)
Applicationen, die auf den Client installiert werden sollen
(Geht mit allen Produkten die ein msi-File besitzen. Dies kann ggf. auch selbst erzeugt werden. Sie können entweder automatisch oder z.B. beim Anklicken im Startmenü installiert werden.)
Skripte für das An- und Abmelden, sowie Herauf- und Herunterfahren des Computers.
(Ersetzt das login-Script von Windows NT. Hier ist ebenfalls Script Hosting möglich)
Gruppenrichtlinien werden immer Organisationseinheiten (OU) zugewiesenen
Um Gruppenrichtlinien zu verwalten kann man in der MMC einen Snap in hinzufügen.
Gruppenrichtlinien bestehen aus
-Computerbezogenen Richtlinien und
-Benutzerbezogenen Richtlinien.
Jede dieser Einstellungen ist wiederum in
Softwareeinstellungen
Windowseinstellungen
und Administrative Vorlagen
unterteilt.
Beispielstruktur ST:
EIT
FH
I
MN
ST Servers
ST Users
ST Admins
ST-Admin1
ST Installers
ST 0(Mitarbeiter)
ST0 Computers
ST0 Users
ST0 Admins
ST0 Installers
ST1 (Pool)
ST1 Computers
ST1-23
ST1 Users
ST1 Admins
ST1 Installers
....
ST9 Test
RZ
S
....
Reihenfolge der Gruppenrichtlinien
Welche Richtlinien werden beim Einloggen des ST-Admin1 auf ST1-23 druchgeführt?
Start des Rechners
Hierbei werden die Computerspezifischen Richtlinien abgearbeitet. (Gelb hinterlegt)
Und zwar zuerst MN => ST1 => ST1 Computers
Dabei kann es vorkommen das Werte überschrieben werden.
Einloggen des Benutzers
Es werden alle Benutzerspezifischen Richtlinien ausgeführt
Standard: die Reihenfolge MN=>ST users
Dies ist für die FH schlecht, da die Benutzer zentral vom Rechenzentrum verwaltet werden, und somit die Fachbereiche den einzelnen Benutzern keine Gruppenrichtlinien zuordnen können.
FH-Spezifisch: Es werden die benutzerspezifischen Richtlinien des Rechners abgearbietet. Und zwar zuerst MN => ST1 => ST1 Computers. (Hierzu muß eine entsprechende Loop-Back Funktion als Gruppenrichtlinie definiert werden)
Damit man den Überblick behält sollte man sich die Gültigkeit für die einzelnen Gruppenrichlinien in einer Tabelle,
(evtl. Vorlage Rechenzentrum, File: GRP-Richlinienhierachie.doc)
Workstationbezogene Gruppenrichtlinen:
OU
|
Ads.FH-
karlsruhe.de
|
Domain
Controllers
|
RZ Servers
|
RZ0
Computers
|
RZ1
Computers
|
RZ2
Computers
|
RZ9
Computers
|
Bemerkung
|
Gruppenrichtlinien
|
|
|
|
RZ0
Computers
|
RZ1
Computers
|
RZ2
Computers
|
RZ9
Computers
|
|
Domain
|
Domain
Controllers
|
RZ Servers
|
RZ Computers
|
|
|
FH Security
SecureDC
|
FH Security SecureWS
|
Importierte Standard- Richtlinien von Microsoft.
|
|
FH Security
BasicDC
|
FH Security BascicSV
|
FH Security BasicWS
|
Default Domain
Policy
|
Default Domain Controllers
Policy
|
|
Unveränderte Default Policies von Microsoft.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
RZ Servers Software
|
RZ Computers Software
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Folgendes ist zu beachten:
Richtlinien sollten von unten nach oben ausgeführt werden. Dabei kann es zum überschreiben kommen! Die entsprechende Reihenfolge kann definiert werden.
Immer erst die Basis, dann die Secure Richtlinien von Microsoft ausführen
Gelb hinterlegt sind Microft-Richtlinien. Diese niemals ganz löschen, sondern nur aus der Liste entfernen.
Der Übersichtlichkeit wegen Microsoft Richtlinien und eigene Richtlinien trennen
Vor jeder selbst definierten Richtlinie stets die OU angeben
Gruppenrichtlinien sollten immer auf die einzelnen Untergruppen RZ0, RZ1,... gesetzt werden und nicht vererbt werden. Dies erhöht die Übersichtlichkeit.
Besonderheit Gruppe RZ9. Sie sollte stets eine Testgruppe sein. Wobei dort die Untergruppen aktiv und passiv sein sollten.
Aktiv: mit ausführen der Gruppenrichtlinien
Passiv: Ohne Gruppenrichtlinien, z.B: vor dem Klonen
Das Selbe gilt für Benutzer-Richtlinien
Administrative Vorlagen
Administrative Vorlagen beinhalten Registry-Werte. Sie werden temporär beim Anmelden gesetzt und beim Abmelden wieder zurückgesetzt. Um einen Teil der Werte löschen /setzten zu können muß man zuvor unter Ansicht => Filterung gehen.
Dort dann den Haken bei „Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen“ entfernen
Folgende Administrative Vorlage sollte hinzugefügt werden:
\\ads\dfs\FH\Software\Microsoft\AdminFiles\RZ.adm
Rechte Maustaste auf „Administrative Vorlagen“ „Hinzufügen/entfernen“
Hinzufügen wählen
unter: \\ads\dfs\FH\Software\Microsoft\ADM\
Dir Richlinie RZ.adm auswählen und hinzufügen.
Anschliessend sind neue Vorlagen unter „Rechenzentrum“ hinzugekommen.
Hier sollte man dann unter:
Rechenzentrum=>Microsoft=>System=>DNS Client
„Disable Dynamic update“ aktivieren.
| 