<html xmlns:MadCap="http://www.madcapsoftware.com/Schemas/MadCap.xsd" MadCap:tocPath="Windows Server 2008|Policy/Sicherheit|Systemrichtlinien und ADM">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252" /><title>Systemrichtlinien und Gruppenrichtlinien</title>
<!--sphider_noindex-->
<meta name="keywords" content="Windows Vista, windows xp, 2003, 2000, Tipp, ME, Millennium, 98, windows 95, windows nt, Registy, tuning, tweak ui, internet explorer, internet,ADM-Datei,GPC,GPO,GPT,Gruppenrichtlinien,MMC.EXE,Policies,Policy,Richtlinien,Sicherheit,Systemrichtlinien" />
<p><a name="kanchor3342"></a>Ab Windows 2000 k÷nnen Sie mit Active Directory Gruppenrichtlinien benutzen. Es besteht zwar auch die M÷glichkeit, unter 2000 mit den Systemrichtlinien zu arbeiten, aber der Einsatz von Gruppenrichtlinien ist fast nicht zu vermeiden und auch sinnvoll.</p>
<p> </p>
<p class="htmlfett">Was sind Richtlinien?</p>
<p>- Eine Richtliniendatei enthΣlt die Informationen fⁿr den Client mit EinschrΣnkungen fⁿr den Benutzer.</p>
<p>- Mit den Richtlinien k÷nnen Sie die Clients zentral und einheitlich konfigurieren und haben die M÷glichkeit, diese Einstellungen leicht zu verΣndern.</p>
<p>- Mit einer Richtliniendatei werden Werte ist der Registry gesetzt und verΣndert.</p>
<p>- Bei jeder Anmeldung an das Netzwerk werden diese Einstellungen der Richtliniendatei mit der aktuellen Computer/Anwendereinstellung verglichen und bei Unterschieden angepasst.</p>
<p><a name="kanchor3343"></a>- Die Richtlinien werden aus den Informationen einer Richtlinienvorlage (ADM-Datei) erstellt.</p>
<p>- Diese Richtlinienvorlage ist bei den System-/Gruppenrichtlinien weitgehend identisch.</p>
<p> </p>
<p>Informationen zum Aufbau finden Sie unter "<a href="tip1176.htm">Erstellen einer eigenen ADM-Datei</a>" und mit der neuen Version des <b>R</b>egistry <b>S</b>ystem <b>W</b>izard (RSW) k÷nnen Sie auch selber ADM-Dateien erstellen.</p>
<p> </p>
<p>Die Erstellung der Richtliniendatei erfolgt bei Windows NT mit dem <a href="../tip0500/tip0630.htm">Systemrichtlinien-Editor</a><a name="kanchor3344"></a>(Policy-Editor), der mit Hilfe der ADM-Dateien eine entsprechende Richtliniendatei erzeugt, unter Windows 2000 wird dazu die MMC mit dem Snap-In "Gruppenrichtlinie" verwendet.</p>
<p> </p>
<p class="htmlfett">Systemrichtlinien:</p>
<p>Die Systemrichtlinien wurden bei Windows NT eingesetzt und k÷nnen wie oben schon geschrieben auch noch unter Windows 2000 weiter benutzt werden. Aus diesem Grunde gibt es auch in einem 2000-Netzwerk noch die Freigabe "<b>Netlogon</b>", wo die Datei <b>NTCONFIG.POL</b> (bzw. <b>CONFIG.POL</b> fⁿr Windows 9x/ME Clients) bereitgestellt werden kann. Dieses Freigabeverzeichnis finden Sie aber nicht wie bei Windows NT unter "<b>%SYSTEMROOT%\System32\repl\import\scripts</b>", </p>
<p>sondern das Verzeichnis liegt bei Windows 2000 jetzt unter </p>
<p>Bei der Anmeldung an das Netzwerk suchen die NT Clients automatisch nach der Datei <b>NTCONFIG.POL</b>(bzw. Windows 9x sucht nach <b>CONFIG.POL</b>). Windows 2000 sucht im Gegensatz dazu automatisch nach einer Gruppenrichtlinie - wenn Sie das Σndern wollen, beachten Sie dazu den Tipp: "<a href="tip1106.htm">Windows 2000 Clients sollen auch in einer NT 4.x DomΣne/Workgroup eine Policy-Datei laden</a>". Aus diesem Grunde k÷nnen die Systemrichtlinien erst abgeschafft werden, wenn keine Clients mehr im Netzwerk vorhanden sind, die auf Windows NT/9x aufsetzen. Deshalb mⁿssen bei der Planung von 2000 Netzwerken beide Richtlinien berⁿcksichtigt werden.</p>
<p> </p>
<p class="htmlfett">Gruppenrichtlinien</p>
<p>Wie oben schon beschrieben, werden auch die Gruppenrichtlinien im Prinzip mit Richtlinienvorlagen erstellt. Der gro▀e Unterschied ist aber, dass nur der Bereich Computer- und Benutzerverwaltung unter "<b>Administrative Vorlagen</b>" auf diese Vorlagendateien zurⁿckgreift. Darum haben Sie auch nur hier die M÷glichkeit, ⁿber das Menⁿ "<b>Vorlagen hinzufⁿgen/entfernen</b>" eigene Vorlagendateien einzubinden. Alle anderen Bereiche k÷nnen vom Administrator praktisch nicht angepasst werden, da diese nur ⁿber das Ansprechen einer API erweitert werden k÷nnen.</p>
<p> </p>
<p>Durch diese Erweiterungen k÷nnen mit Gruppenrichtlinien nicht nur (wie bei Systemrichtlinien) "Registry-Werte" verΣndert und gesetzt, sondern auch noch andere Werte verΣndert werden:</p>
<ul>
<li value="1">
<p class="htmlaufz-">Registry-Werte setzen und verΣndern</p>
</li>
<li value="2">
<p class="htmlaufz-"><a name="kanchor3345"></a>Sicherheitseinstellungen und Zugriffsberechtigungen</p>
</li>
<li value="3">
<p class="htmlaufz-">Softwareinstallation/deinstallation und Softwareupdates</p>
<p class="htmlaufz-">Mappings: Hiermit k÷nnen jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung).</p>
</li>
</ul>
<p>Die Verteilung/Zuweisung von Gruppenrichtlinien erfolgt nicht ⁿber die Freigabe "Netlogon", sondern ⁿber das Active Directory. Hier werden die Gruppenrichtlinien den entsprechenden Sites bzw. organisatorischen Einheiten zugewiesen und gelten fⁿr die dort vorhandenen Computer und Benutzer.</p>
<p> </p>
<p>Die Gruppenrichtlinien sind in <u>drei Teile </u>aufgeteilt, die an unterschiedlichen Stellen abgelegt werden k÷nnen:</p>
<p><a name="kanchor3346"></a>Liegt im GPC (Group Policy Container) des Active Directory <br /><a name="kanchor3347"></a>Ort: cn=Policies,cn=System,dc=domΣne,dc=com</p>
<p><a name="kanchor3349"></a>Die Einstellungen in einer Gruppenrichtlinie werden in so genannten GPOs (<b>G</b>roup <b>P</b>olicy <b>O</b>bject) gespeichert.</p>
<p> </p>
<p>Wird einem Container im ADS ein GPO zugewiesen, wird nur ein Link auf das GPO im Container gespeichert und nicht das GPO selber. GPOs k÷nnen somit an mehreren Stellen gleichzeitig und sogar ⁿber DomΣnengrenzen hinweg benutzt werden. Dabei ist zu beachten, dass ein DomΣnenkontroller der DomΣne im lokalen Standort das GPO besitzt, ansonsten wird ⁿber die Standortverbindung auf das GPO zugegriffen, was aus Zeitgrⁿnden meist nicht wⁿnschenswert ist.</p>
<p> </p>
<p>StandardmΣ▀ig gibt es je DomΣne eine "Default Domain Policy", die fⁿr alle Computer und Benutzer in der DomΣne gilt. Alle Einstellungen werden auf die unteren Objekte vererbt, weshalb man sich vor der Konfiguration der Einstellungen Gedanken ⁿber den Wirkungsbereich machen sollte (Unterbrechung der Vererbung, Zugriffsberechtigungen). Aus Sicherheitsgrⁿnden gibt es fⁿr DomΣnencontroller eine extra Richtlinie.</p>
<p>Windows 2000 Clients, die in einem Netzwerk ohne Active Directory betrieben werden, arbeiten standardmΣ▀ig auch mit Gruppenrichtlinen, suchen diese aber lokal und k÷nnen so leider auch nur lokal konfiguriert werden.</p>
<p> </p>
<p>Diese lokalen Gruppenrichtlinien werden bei einer Anmeldung an einer DomΣne von den dort gesetzten Richtlinien ⁿberschrieben. Die lokalen Gruppenrichtlinien k÷nnen nicht ⁿber Gruppen zugeordnet werden, sondern gelten pauschal fⁿr <u>alle</u> Benutzer des lokalen Systems, die ein Leserecht auf diese Richtlinie haben.</p>
<p> </p>
<p>In der lokalen Gruppenrichtlinien stehen die Einstellungen nicht zu Verfⁿgung fⁿr:</p>
<ul>
<li value="1">
<p class="htmlaufz-">Softwareinstallation/deinstallation und Softwareupdates</p>
</li>
<li value="2">
<p class="htmlaufz-">Mappings: Hiermit k÷nnen jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung)</p>
</li>
</ul>
<p> </p>
<p>Die Gruppenrichtlinien werden im Verzeichnis "<b>%SYSTEMROOT%\System32\GroupPolicy</b>" abgelegt. Durch das Setzen von Dateizugriffberechtigungen k÷nnen Accounts von der Benutzung dieser Richtlinien ausgeschlossen werden (sinnvoll fⁿr Administrative Accounts); leider k÷nnen diese Accounts die Gruppenrichtlinien dann auch nicht mehr bearbeiten.</p>
<p> </p>
<p>Die lokalen Gruppenrichtlinien k÷nnen ⁿber "Verwaltung" -> "Lokale Sicherheitsrichtlinie" bearbeitet werden. Hier stehen aber nur die Sicherheitsrichtlinien zu Verfⁿgung. Wenn Sie alle Einstellungen bearbeiten wollen, mⁿssen Sie folgenderma▀en vorgehen:</p>
<ol>
<li value="1">
<p class="htmlaufz">Die MMC starten</p>
</li>
<li value="2">
<p class="htmlaufz">Datei -> "Snap-In hinzufⁿgen/entfernen" auswΣhlen und im Register "EigenstΣndig" -> "Hinzufⁿgen" auswΣhlen</p>
<img src="../icons/hand.png" alt="Info" />Wenn Richtlinienvorlagen (ADM-Dateien) fⁿr System-/Gruppenrichtlinien gemeinsam genutzt werden sollen, muss vorher ⁿberprⁿft werden, ob die angesprochenen RegistryeintrΣge auch in beiden Betriebssystemen noch vorhanden sind. Dies ist insbesondere bei Einstellungen zu prⁿfen, die das Betriebssystem betreffen.</p>
<p class="htmlinfo">
<img src="../icons/hand.png" alt="Info" />Siehe auch "<a href="tip1176.htm">Erstellen einer eigenen ADM-Datei</a>", "<a href="tip1106.htm">Windows 2000 Clients sollen auch in einer NT 4.x DomΣne/Workgroup eine Policy-Datei laden</a>", "<a href="../tip0500/tip0630.htm">Systemrichtlinien Editor</a>" und "<a href="tip1289.htm">Gruppenrichtlinien und deren Verarbeitung</a>".</p>
