10.7 Die Gruppenrichtlinienverwaltungswerkzeuge 

Mit Gruppenrichtlinien können auch das Verhalten und die Benutzeroberfläche eines einzelnen Computers, der nicht mit einem Netzwerk verbunden ist, definiert werden. Unter Windows XP starten Sie dazu über Start · Einstellungen · Systemsteuerung · Verwaltung den Menüpunkt Lokale Sicherheitsrichtlinie. Schneller geht das, indem Sie über Start · Ausführen den Befehl gpedit.msc absetzen.

Hier klicken, um das Bild zu Vergrößern

Über dieses Snap-In können Sie z.B. einen Laptop so absichern, dass der Anwender später nur wenige Einstellungen auf dem Laptop verändern und nur klar definierte Anwendungen starten kann. Sie minimieren durch diese Einschränkungen den Supportaufwand für Standalone-Computer.

Das typische Betätigungsfeld für Netzwerkadministratoren sind aber nicht die lokalen Gruppenrichtlinien, sondern die Richtlinien, die im Active Directory netzwerkweit implementiert werden und sich auf ganze Domänen, einzelne Standorte oder einzelne OUs auswirken. Diese Gruppenrichtlinien werden über die Snap-Ins Active Directory-Benutzer und –Computer, Active Directory-Standorte und –Dienste, Gruppenrichtlinien oder über das Verwaltungswerkzeug GPMC.MSI gesteuert.

Mit dem Snap-In Active Directory-Benutzer und –Computer erstellen Sie GPOs für eine Domäne oder eine OU. Sie klicken dazu entweder das Domänenobjekt oder ein Organisationseinheitenobjekt mit der rechten Maustaste an, wählen Eigenschaften, öffnen die Registerkarte Gruppenrichtlinien und klicken auf die Schaltfläche Neu.

Hier klicken, um das Bild zu Vergrößern

Dann wählen Sie einen Namen für das neue GPO aus und klicken auf Bearbeiten. Dadurch starten Sie den Gruppenrichtlinieneditor und können nun einzelne Richtlinien definieren.

Mit dem Snap-In Active Directory-Standorte und –Dienste erstellen Sie GPOs für einzelne Standorte. Die Vorgehensweise ist ähnlich der Vorgehensweise im Snap-In Active Directory-Benutzer und –Computer. Sie klicken das Standortsymbol mit der rechten Maustaste an, wählen Eigenschaften, öffnen die Registerkarte Gruppenrichtlinien und klicken auf die Schaltfläche Neu, um ein neues GPO für den ausgewählten Standort zu erstellen und ihm einen Namen zuzuweisen. Über die Schaltfläche Bearbeiten legen Sie anschließend die einzelnen Richtlinien des GPO fest.

Hier klicken, um das Bild zu Vergrößern

GPOs für Standorte ergeben nur dann Sinn, wenn sich eine Domäne über mehrere Standorte (Sites) ausbreitet und es Gruppenrichtlinien gibt, deren Einstellung sich von Standort zu Standort unterscheiden soll. Ein typisches Beispiel dafür ist die Richtlinie Ordnerumleitung, mit der Sie unter anderem den Ordner Eigene Dateien für jeden Benutzer auf eine Serverfreigabe umleiten können. Für Mitarbeiter am Standort X wird es sinnvoll sein, den Ordner Eigene Dateien auf einen Server am Standort X umzuleiten. Die Ordner Eigene Dateien der Mitarbeiter am Standort Y müssen hingegen auf einen Server am Standort Y umgeleitet werden.

Über Start · Verwaltung können Sie außerdem das Snap-In Gruppenrichtlinien starten, um alle Gruppenrichtlinien in allen erstellten GPOs mit dem Gruppenrichtlinieneditor zu definieren.

Wie Sie den obigen Abbildungen entnehmen, erscheint auf meinem Testserver beim Anklicken der Registerkarte Gruppenrichtlinien der Hinweis »Sie haben das Snap-In Gruppenrichtlinienverwaltung installiert. Daher wird diese Registerkarte nicht mehr verwendet. Klicken Sie auf Öffnen, um die Gruppenrichtlinienverwaltung zu öffnen.« Die erwähnten Schaltflächen Neu und Bearbeiten zum Erstellen einer neuen Gruppenrichtlinie und zum Bearbeiten vorhandener Gruppenrichtlinien erscheinen nicht mehr, weil zusätzlich das kostenlos auf www.microsoft.com erhältliche Gruppenrichtlinienverwaltungswerkzeug GPMC.MSI installiert wurde.

GPMC.MSI steht für ein neues Snap-In Group Policy Management Console. In der deutschen Version heißt es Gruppenrichtlinienverwaltungskonsole. Dieses Verwaltungswerkzeug wurde von Microsoft erst nach der Freigabe von Microsoft Windows Server 2003 entwickelt und steht zum kostenlosen Download in lokalisierten Sprachversionen bereit. Es kann nicht nur unter Windows Server 2003, sondern auch für Netzwerke unter Windows 2000 Active Directory eingesetzt werden, muss dann aber auf einem Windows-XP-Client installiert werden.

Hier klicken, um das Bild zu Vergrößern

Mit dem neuen Gruppenrichtlinienverwaltungsprogramm (Group Policy Management) GPMC.MSI ist es nun möglich, alle Verwaltungsarbeiten bezüglich Gruppenrichtlinien, die bisher über mehrere Snap-Ins erledigt werden mussten, über ein zentrales Werkzeug abzuwickeln. Es beinhaltet darüber hinaus viele Zusatzfunktionen wie den Gruppenrichtlinienergebnissatz, das Sichern, Zurücksichern und Importieren von ganzen GPOs inklusive aller darin definierten Richtlinien und die Verwaltung von WMI-Filtern. Die Installation von zusätzlichen Werkzeugen (Tools), um das daraus resultierende Ergebnis mehrerer Gruppenrichtlinien auf ein Benutzer- oder ein Computerobjekt zu analysieren und Fehler im Zusammenspiel vieler Gruppenrichtlinien zu finden, entfällt damit. Der Preis, den besonders Neulinge bezahlen, ist ein zumindest auf den ersten Blick sehr komplex wirkendes Werkzeug mit einer Fülle von Ansichten, Befehlen und Optionen, deren Bedeutung und Auswirkungen erschlagend wirken kann.

Für Neulinge deshalb folgender Tipp: Arbeiten Sie zuerst ohne das neue Werkzeug GPMC.MSI, um einen einfacheren Einstieg in den Gebrauch von Gruppenrichtlinien zu finden. Installieren Sie das neue GPMC-Werkzeug in einer separaten Testumgebung, z.B. in einer zusätzlichen virtuellen Umgebung, die Sie mit einer Software wie Microsoft Virtual PC oder VMware auf Ihrem Rechner installieren. Sie sollten die eingeschränkten Möglichkeiten ohne installierte GPMC.MSI allein aus zwei Gründen kennen: