GPO erstellen und bearbeiten

Wir werden jetzt ein GPO erstellen, das die grundlegenden Richtlinien für die Nutzung von Roaming-Profilen für alle Nutzer und Computer grundlegend definiert.

Das zentrale Werkzeug zur Administration von GPO ist die Gruppenrichtlinienverwaltung, die sich im Verwaltungsmenü der Systemsteuerung befindet:

gpo_1.png

Neues GPO erstellen

Unterhalb des Astes ad.example.com (oder wie auch immer die Domäne genannt wurde) finden wir im Knoten Gruppenrichtlinienobjekte bereits das standardmäßig erzeugte Objekt Default Domain Policy. Auch hierin könnten wir Richtlinien erstellen; wir werden aber stattdessen für jede sinnvoll abzugrenzende Anfordung ein separates GPO anlegen. Dazu markieren wir den oben genannten Eintrag und klicken im Menü auf Aktion > Neu:

Das Objekt, das wir jetzt erstellen, braucht einen passenden Namen. Wir nennen es Roaming-Profile:

Nach dem Speichern wird das neue Objekt im Gruppenrichtliniencontainer der Domäne angelegt und kann dort bearbeitet werden. Hier könnten wir jetzt auch die Gruppen, auf die es angewendet wird, bearbeiten. Da unsere Beispielrichtlinie für alle authentifizierten Benutzer gelten soll, können wir jedoch gleich auf die Seite Einstellungen wechseln:

Auf dieser Seite sind bisher natürlich noch keine effektiven Richtlinien konfiguriert. Das machen wir jetzt, indem wir mit der rechten Maustaste das Kontextmenü aufrufen und auf Bearbeiten… klicken.

Richtlinien konfigurieren

In früheren AD- und Windows-Versionen musste die Festlegung des Benutzerprofils auf einen Serverpfad direkt im Profil jedes einzelnen Benutzers gemacht werden. Heute ist das einfacher. Die erste Richtlinie, an deren Beispiel wir die Erstellung von Richtlinien und GPO jetzt demonstrieren, ist daher die globale Festlegung von servergespeicherten Profilen und deren Pfad für alle Benutzer, die sich an einem Domänencomputer anmelden.

Im eben geöffneten Gruppenrichtlinienverwaltungs-Editor wechseln wir dazu auf den Pfad Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Benutzerprofile und öffnen die Eigenschaften der Richtlinie Pfad des servergespeicherten Profils für alle Benutzer festlegen mit einem Doppelklick zum Bearbeiten:

gpedit1.png

In diesem Dialog legen wir den Basisordner für alle Benutzerprofile so fest, dass diese in der bereits vorbereiteten Users$-Freigabe vom System automatisch erstellt werden können. Wir aktivieren also die Richtlinie und tragen den entsprechenden Pfad ein, erweitert um die Windows-Systemvariable %USERNAME% und einen standardisierten Profilordnernamen. Im Beispiel ist der komplette Pfad also: \\qnapnas\Users$\%USERNAME%\profile:

Unmittelbar nach dem Speichern wird diese Richtlinie übernommen und ist in unserem GPO auch sofort aktiviert:

Die eben bearbeitete Richtlinie wird im Editor gleich nach dem Speichern als "akiviert" angezeigt.

Auch im Hauptfenster der Gruppenrichtlinienverwaltung hat sich, nach einem Klick im Menü auf Aktion > Aktualisieren, bereits etwas getan. Zum Prüfen unserer Konfiguration klappen wir den Pfad zur Richtlinie aus, genau wie zuvor im Editor:

Richtlinienobjekt verknüpfen

Das Aktivieren einer Richtlinie in ihrem Objektcontainer legt lediglich fest, dass die Richtlinie mit dem gesamten Objekt angewendet wird. Damit das Objekt selbst in unserer Domäne aktiv wird, muss es noch „verknüpft“ werden. Dazu markieren wir im Strukturbaum links wieder unsere Domäne. Daraufhin sehen wir im rechten Fenster bereits die aktuell verknüpften Objekte und deren Reihenfolge:

gpedit5.png

Wenn wir im Menü jetzt Aktion > Vorhandenes Gruppenrichtlinienobjekt verknüpfen… auswählen:

Können wir anschließend das gerade erstellte Objekt auswählen und mit OK eine Verknüpfung hinzufügen:

Anschließend ist das Objekt aktiv mit unserer Domäne verknüpft:

Abschließend kann nun noch die Anwendungsreihenfolge der einzelnen Objekte mit Hilfe der Pfeile justiert werden. Da wir nur zwei Richtlinien haben und die Standard-Richtlinien ganz am Anfang stehen, ist das hier und jetzt aber nicht nötig.