Tutorial: Die Freuden der Gruppenrichtlinien von Windows Server

Als Microsoft vor fast 17 Jahren Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) zusammen mit Windows Server 2000 einführte, waren sie ein aufregender neuer Ansatz für die Verwaltung von Benutzer- und Systemberechtigungen. Heutzutage sind sie einfach Teil der administrativen Holzarbeit, und einige IT-Administratoren haben daher vergessen, wie leistungsfähig diese Einstellungen sein können und wann sie zur Lösung von Problemen verwendet werden können.

Wenn Windows Server 2016 später im Herbst veröffentlicht wird, bleiben diese ach so praktischen Gruppenrichtlinienobjekte erhalten, und sie bleiben unverändert, mit Ausnahme einiger Einstellungen, die für Windows Server 2016 und Windows 10 spezifisch sind. Wenn sie nicht kaputt sind ...

Die Tools der Gruppenrichtlinien-Verwaltungskonsole werden mit Active Directory installiert. Sie benötigen jedoch ADFS (Active Directory-Domänendienste), damit Gruppenrichtlinien tatsächlich funktionieren. Um Server oder Workstations zu steuern, müssen sie mit der Domäne verbunden (auch als "verbunden" bezeichnet) sein. Obwohl lokale Richtlinien für einzelne PCs (ohne Domänenbeitritt) konfiguriert werden können, handelt es sich um ein einmaliges Szenario, bei dem der Kernwert der Implementierung von Gruppenrichtlinien zur gleichzeitigen Steuerung mehrerer Systeme und Benutzer nicht berücksichtigt wird.

Es gibt Tausende potenzieller Konfigurationseinstellungen und Optionen für Gruppenrichtlinienobjekte. Der einfachste Weg, um zu einer Einstellung zu gelangen, besteht darin, ihren Standortpfad im GPMC-Tool (Group Policy Management Console) zu identifizieren (siehe Abbildung 1). Der Standortpfad zeigt Ihnen den vollständigen Pfad zu den gewünschten Einstellungen in der Auf die gleiche Weise können Sie nach einer Datei suchen, die in mehreren Ordnern vergraben ist.

Drei Verwendungen von Gruppenrichtlinien sind ein guter Ausgangspunkt sowohl für den Neuling-Administrator als auch für den erfahrenen Administrator, der Gruppenrichtlinien als selbstverständlich angesehen hat und nicht mehr nach Möglichkeiten sucht, sie für neue Anforderungen zu verwenden. (Wenn Sie bereit sind, tiefer zu graben, bietet Microsoft ein gutes, detailliertes Tutorial, das sich mit den Feinheiten von Gruppenrichtlinien befasst.)

GPO-Beispiel 1: Erzwingen Sie die Komplexität von Kennwörtern

Führen Sie die folgenden Schritte aus, um eine Kennwortkomplexitätsrichtlinie zu erstellen, die für alle Benutzer in einer Domäne gilt:

  1. Öffnen Sie Ihre Gruppenrichtlinien-Verwaltungskonsole.
  2. Erweitern Sie den Domänencontainer und wählen Sie Ihren Domänennamen aus.
  3. Klicken Sie mit der rechten Maustaste auf den Domänennamen und wählen Sie die Option Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen.
  4. Geben Sie dem neuen Gruppenrichtlinienobjekt einen Namen (z. B. Richtlinie zur Kennwortkomplexität) und klicken Sie auf OK.
  5. Sobald die Richtlinie in Ihrer Domain sichtbar ist, klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen Sie Bearbeiten. Dies öffnet den Group Policy Management Editor (GPME).
  6. Führen Sie einen Drilldown zum Positionspfad in der GPME durch, wie in Abbildung 2 dargestellt : GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Klicken Sie mit der rechten Maustaste auf die Option Kennwort muss die Komplexitätsanforderungen erfüllen, und klicken Sie auf Eigenschaften (siehe Abbildung 3).
  8. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellung definieren, aktivieren Sie Aktiviert und klicken Sie auf OK. Hinweis: Sie können auch auf die Registerkarte Erklären klicken, um eine vollständige Erläuterung der Funktionsweise dieser Einstellung zu erhalten.

Es gibt natürlich andere Einstellungen, die Sie in dieses Gruppenrichtlinienobjekt aufnehmen können. Sie können beispielsweise die Komplexitätsanforderungen aktivieren und die Mindestkennwortlänge auf beispielsweise acht Zeichen festlegen.

GPO-Beispiel 2: Deaktivieren Sie USB-Laufwerke

Einige Richtlinien müssen situativ angewendet werden (auf eine Organisationseinheit, auch als Organisationseinheit bezeichnet), z. B. das Deaktivieren von USB-Geräten. Beispielsweise haben Sie möglicherweise Straßenkämpfer, die USB-Zugang auf ihren Laptops benötigen, während Sie möglicherweise die USB-Anschlüsse der internen PCs sperren möchten.

So erstellen Sie eine solche Situationsrichtlinie:

  1. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole den Domänennamen und suchen Sie nach dem Container Gruppenrichtlinienobjekte. In diesem Container befinden sich normalerweise zwei Standardrichtlinien (Standarddomänencontroller und Standarddomänenrichtlinie). Wenn Sie jedoch die Kennwortkomplexitätsrichtlinie konfiguriert haben, wird diese ebenfalls angezeigt.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte, und klicken Sie auf Neu.
  3. Geben Sie dem neuen Gruppenrichtlinienobjekt einen Namen wie USB Restriction und klicken Sie auf OK.
  4. Wählen Sie die Richtlinie aus und klicken Sie auf Bearbeiten, um den Gruppenrichtlinienverwaltungs-Editor zu öffnen.
  5. Navigieren Sie zu GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, wie in Abbildung 4 dargestellt.
  6. Doppelklicken Sie auf die Einstellung, aktivieren Sie Aktiviert und klicken Sie dann auf OK oder Übernehmen.

Wie Abbildung 4 zeigt, stehen verschiedene Einstellungen zur Auswahl. Hier habe ich die Option Alle entfernbaren Speicherklassen: Alle Zugriffe verweigern ausgewählt, um sie zu konfigurieren. Sie können eine Beschreibung einer ausgewählten Einstellung im Beschreibungsbereich anzeigen, wenn Sie auf die Registerkarte Erweitert klicken.

Beachten Sie, dass Sie zu diesem Zeitpunkt nur die Richtlinieneinstellung erstellt haben. Sie haben es mit nichts verknüpft. Um es zu verlinken:

  1. Wählen Sie entweder die Domäne in der Gruppenrichtlinien-Verwaltungskonsole oder die Organisationseinheit aus, die Sie eingerichtet haben.
  2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit (siehe Abbildung 5) und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen.
  3. Wählen Sie das Gruppenrichtlinienobjekt für USB-Einschränkungen aus und klicken Sie auf OK.
  4. Klicken Sie mit der rechten Maustaste auf das jetzt verknüpfte Gruppenrichtlinienobjekt, und aktivieren Sie die Option Erzwungen, um es über dieses Gruppenrichtlinienobjekt zu erzwingen.

Es dauert einige Zeit, bis Gruppenrichtlinien auf Systeme und Benutzer angewendet werden. Sie können die Anwendung der Änderungen jedoch erzwingen, indem Sie eine Eingabeaufforderung öffnen und eingeben gpupdate /force.

Sobald diese Richtlinie angewendet wird, sollte ein Benutzer, der versucht, ein USB-Gerät einzuführen, die Meldung "Zugriff verweigert" erhalten.

GPO-Beispiel 3: Deaktivieren Sie die Erstellung von PST-Dateien

Wir haben uns alle mit dem Compliance-Albtraum befasst, der durch die Verwendung von PST-Postfachdateien entsteht. Wie verhindern Sie also, dass Benutzer sie erstellen? Natürlich mit einer Gruppenrichtlinie. (Ja, es gibt Änderungen an der Registrierungskonfiguration, mit denen Sie dies tun können, aber eine Gruppenrichtlinie ist viel einfacher und schneller.)

Um die Änderungen vorzunehmen, müssen Sie zuerst die Gruppenrichtlinien-Verwaltungsvorlagen für die Office-Version herunterladen, für die Sie Einstellungen festlegen. Sobald diese Vorlagen installiert sind (was möglicherweise eine gewisse Feinabstimmung erfordert), wenden Sie zusätzliche Einstellungen an (siehe Abbildung 6), um diese Office-Version über Gruppenrichtlinien zu steuern.

Navigieren Sie zu, nachdem Sie die Site-, Domänen- oder Organisationseinheitsebene ausgewählt haben, auf die die Richtlinie angewendet werden soll, und den Gruppenrichtlinienverwaltungs-Editor geöffnet haben GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Möglicherweise möchten Sie zwei Einstellungen konfigurieren. Das erste ist, Benutzer daran zu hindern, neuen Inhalten zu vorhandenen PST-Dateien hinzuzufügen, was (wie der Name schon sagt) verhindert, dass Benutzer den bereits vorhandenen PSTs mehr E-Mails hinzufügen. Die zweite Einstellung ist das Verhindern, dass Benutzer PSTs zu Outlook-Profilen hinzufügen und / oder das Verwenden von PSTs mit exklusiver Freigabe verhindern, wodurch die Erstellung neuer PST-Dateien durch Ihre Benutzer blockiert wird.