GPO erstellen und bearbeiten

Posted by DH an Wednesday, 12 February 2014

Wir werden jetzt ein GPO erstellen, das die grundlegenden Richtlinien für die Nutzung von Roaming-Profilen für alle Nutzer und Computer grundlegend definiert.

Das zentrale Werkzeug zur Administration von GPO ist die Gruppenrichtlinienverwaltung, die sich im Verwaltungsmenü der Systemsteuerung befindet:

Hinweis

Wer zuvor bereits mit Windows-Servern gearbeitet hat, wird an dieser Stelle eventuell Vorlagen für die einzelnen Richtlinien (ADMX-Dateien) vermissen. Diese Vorlagen dienen dazu, alle unterstützten Richtlinien bereitzustellen und diese ggf. auch sinnvoll vorzukonfigurieren. Da wir dergleichen nicht haben, erstellt Windows die Dateien beim Anlegen eines Objekts selbst anhand der auch auf jedem Windows-Client vorliegenden Richtlinienpakete.

In älteren Windows-Versionen ist das nicht immer der Fall gewesen, sodaß man die nötigen Vorlagen hier ggf. erst von Microsoft organisieren muß.

Neues GPO erstellen

Unterhalb des Astes ad.example.com (oder wie auch immer die Domäne genannt wurde) finden wir im Knoten Gruppenrichtlinienobjekte bereits das standardmäßig erzeugte Objekt Default Domain Policy. Auch hierin könnten wir Richtlinien erstellen; wir werden aber stattdessen für jede sinnvoll abzugrenzende Anfordung ein separates GPO anlegen. Dazu markieren wir den oben genannten Eintrag und klicken im Menü auf Aktion > Neu:

Das Objekt, das wir jetzt erstellen, braucht einen passenden Namen. Wir nennen es Roaming-Profile:

Hinweis

Zur „richtigen“ Namenskonvention für Gruppenrichtlinienobjekte finden sich gefühlt mehr unterschiedliche Meinungen als es Richtlinien gibt. Alle verfolgen jedoch den gleichen Zweck: Den Überblick auch dann zu behalten, wenn die Zahl der GPO wächst.

Sinnvoll ist es in jedem Fall, bereits am Namen jedes Objekts eindeutig zu erkennen, wofür es gut ist und auf welche Organisationseinheiten, Gruppen oder Filter es ggf. zutrifft.

Nach dem Speichern wird das neue Objekt im Gruppenrichtliniencontainer der Domäne angelegt und kann dort bearbeitet werden. Hier könnten wir jetzt auch die Gruppen, auf die es angewendet wird, bearbeiten. Da unsere Beispielrichtlinie für alle authentifizierten Benutzer gelten soll, können wir jedoch gleich auf die Seite Einstellungen wechseln:

Auf dieser Seite sind bisher natürlich noch keine effektiven Richtlinien konfiguriert. Das machen wir jetzt, indem wir mit der rechten Maustaste das Kontextmenü aufrufen und auf Bearbeiten… klicken.

Richtlinien konfigurieren

In früheren AD- und Windows-Versionen musste die Festlegung des Benutzerprofils auf einen Serverpfad direkt im Profil jedes einzelnen Benutzers gemacht werden. Heute ist das einfacher. Die erste Richtlinie, an deren Beispiel wir die Erstellung von Richtlinien und GPO jetzt demonstrieren, ist daher die globale Festlegung von servergespeicherten Profilen und deren Pfad für alle Benutzer, die sich an einem Domänencomputer anmelden.

Im eben geöffneten Gruppenrichtlinienverwaltungs-Editor wechseln wir dazu auf den Pfad Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Benutzerprofile und öffnen die Eigenschaften der Richtlinie Pfad des servergespeicherten Profils für alle Benutzer festlegen mit einem Doppelklick zum Bearbeiten:

In diesem Dialog legen wir den Basisordner für alle Benutzerprofile so fest, dass diese in der bereits vorbereiteten Users$-Freigabe vom System automatisch erstellt werden können. Wir aktivieren also die Richtlinie und tragen den entsprechenden Pfad ein, erweitert um die Windows-Systemvariable %USERNAME% und einen standardisierten Profilordnernamen. Im Beispiel ist der komplette Pfad also: \\qnapnas\Users$\%USERNAME%\profile:

Hinweis

Die tatsächlichen individuellen Benutzerordner werden später, bei der Anmeldung des jeweiligen Benutzers, automatisch mit den nötigen Rechten erstellt. Die Voraussetzungen dafür haben wir bereits beim Erstellen der Users$-Freigabe geschaffen.

Unmittelbar nach dem Speichern wird diese Richtlinie übernommen und ist in unserem GPO auch sofort aktiviert:

Auch im Hauptfenster der Gruppenrichtlinienverwaltung hat sich, nach einem Klick im Menü auf Aktion > Aktualisieren, bereits etwas getan. Zum Prüfen unserer Konfiguration klappen wir den Pfad zur Richtlinie aus, genau wie zuvor im Editor:

Richtlinienobjekt verknüpfen

Das Aktivieren einer Richtlinie in ihrem Objektcontainer legt lediglich fest, dass die Richtlinie mit dem gesamten Objekt angewendet wird. Damit das Objekt selbst in unserer Domäne aktiv wird, muss es noch „verknüpft“ werden. Dazu markieren wir im Strukturbaum links wieder unsere Domäne. Daraufhin sehen wir im rechten Fenster bereits die aktuell verknüpften Objekte und deren Reihenfolge:

Wenn wir im Menü jetzt Aktion > Vorhandenes Gruppenrichtlinienobjekt verknüpfen… auswählen:

Können wir anschließend das gerade erstellte Objekt auswählen und mit OK eine Verknüpfung hinzufügen:

Anschließend ist das Objekt aktiv mit unserer Domäne verknüpft:

Abschließend kann nun noch die Anwendungsreihenfolge der einzelnen Objekte mit Hilfe der Pfeile justiert werden. Da wir nur zwei Richtlinien haben und die Standard-Richtlinien ganz am Anfang stehen, ist das hier und jetzt aber nicht nötig.

Hinweis

Die Reihenfolge der GPO ist, wie schon zuvor geschrieben, sehr wichtig. Wenn etwa eine grundlegende Richtlinie allen Benutzern den Zugriff auf bestimmte Objekte verbietet, und eine weitere Richtlinie einigen ausgewählten Nutzern genau diesen Zugriff erlaubt, muss das GPO mit der Erlaubnis nach dem GPO mit dem Verbot ausgeführt werden, da immer die zuletzt angewendete Richtlinie auch „das letzte Wort“ hat.

Windows

Active Directory

Gruppenrichtlinien