11.5 Festlegen der Gruppenrichtlinien für den Standardbenutzer
 
Richten Sie nun eine neue XP-Gruppenrichtlinie für die Sub-OU Benutzer ein. Die Sub-OU Benutzer befindet sich unterhalb der OU Company. Wählen Sie die Eigenschaften der OU, dort die Registerkarte Gruppenrichtlinien und dann die Schaltfläche Neu. Als Namen für die neue Gruppenrichtlinie wählen Sie XP-Standardbenutzer, weil diese Richtlinie für den Standardanwender gelten soll. Wählen Sie die Schaltfläche Eigenschaften und aktivieren Sie die Option Konfigurationseinstellungen des Computers deaktivieren. Da diese Gruppenrichtlinie nur auf den Schlüssel HKEY_CURRENT_USER der Registrierdatenbank angewendet wird, führt die Deaktivierung der computerdefinierten Konfigurationseinstellungen dazu, dass die Gruppenrichtlinie schneller abgearbeitet wird.
Klicken Sie auf OK, dann auf Bearbeiten. Klicken Sie unter Benutzerkonfiguration die Administrativen Vorlagen mit der rechten Maustaste an und wählen Sie Vorlagedateien hinzufügen/entfernen. Entfernen Sie im neuen Fenster Vorlagen hinzufügen/entfernen zuerst die Windows-Server-2000/2003-Vorlagen conf, inetres und system. Danach fügen Sie die Vorlagen XP-inetres.adm, XP-system.adm und XP-wmplayer hinzu.
Nachfolgend werden alle Änderungen im Bereich Benutzerkonfiguration dieser Gruppenrichtlinie aufgeführt, die für unsere Testumgebung sinnvoll erscheinen. In einer komplexen Produktionsumgebung werden Sie jedoch weitere Gruppenrichtlinien aktivieren und die Möglichkeiten, die der Standardbenutzer hat, um sich seine Arbeitsumgebung einzustellen, mehr oder weniger einschränken.
Die Gruppenrichtlinien im Bereich Benutzerkonfiguration sind sehr umfangreich. Sie können die Arbeitsoberfläche eines Anwenders über Gruppenrichtlinien so stark einschränken, dass der Desktop und das Startmenü starr vorgeschrieben sind und nicht durch den Anwender verändert werden können, dass der Anwender nur ganz bestimmte Anwendungen (namentlich in einer Positivliste genannte ausführbare Dateien) starten kann und keinen Zugriff auf bestimmte lokale Laufwerke, Verzeichnisse oder die Registrierdatenbank erhält. Sie können jedoch ebenfalls die Anwender in Gruppen kategorisieren und bestimmten Powerusern mehr Manipulationsrechte zubilligen, indem Sie mehrere Gruppenrichtlinien definieren und durch eine geschickte Rechtevergabe steuern, welche Anwendergruppe von welcher Gruppenrichtlinie betroffen ist.
In unserem Testszenario wird später eine zweite Gruppenrichtlinie für fortgeschrittene Anwender wie Abteilungsleiter, Mitarbeiter der Benutzerbetreuung oder Mitarbeiter der IT-Entwicklungsabteilung eingerichtet und gezeigt, wie man mit nur zwei Gruppenrichtlinien ein überschaubares Richtlinienkonzept für alle Mitarbeiter erstellt, das auch nach einigen Monaten nicht nur von dem Systemverwalter, der es erdacht hat, verstanden wird, sondern auch von seinen Kollegen.
11.5.1 Aktivieren der Gruppenrichtlinie »Gruppenrichtlinienaktualisierungsintervall für Benutzer«
Um die Auswirkungen der Änderungen der Gruppenrichtlinie im Bereich Benutzerkonfiguration für einen Standardbenutzer zu sehen, melden Sie sich am Windows-XP-Computer unter der Kennung Testuser an. Standardmäßig werden Benutzerrichtlinien alle 90 Minuten im Hintergrund mit einer zufälligen Verzögerung zwischen 0 und 30 Minuten aktualisiert – und natürlich bei der Anmeldung des Benutzers. Da Sie sich aber sicherlich nicht ständig unter der Kennung Testuser ab- und wieder anmelden möchten oder 90 Minuten warten wollen, um die Auswirkung einer geänderten Richtlinie auf den Client testen zu können, können Sie das Aktualisierungsintervall von 90 auf 0 Minuten sowie das zufällige Verzögerungsintervall von 30 auf 0 Minuten heruntersetzen. Dies hat jedoch wahrscheinlich zur Folge, dass der Bildschirm jede Minute bei der Übernahme der Gruppenrichtlinie kurz flackert. Vergessen Sie also nicht, diese Werte später im Produktionsbetrieb wieder auf geeignete Werte (z.B. die Standardwerte) zurückzusetzen.
Hier klicken, um das Bild zu Vergrößern
Hier klicken, um das Bild zu Vergrößern
11.5.2 Richtlinien für Microsoft Internet Explorer
Unter Benutzerkonfiguration · Windows-Einstellungen · Internet-Explorer Wartung · Benutzeroberfläche können Sie mit der Richtlinie Browsertitel den Fenstertitel des Microsoft Internet Explorers ändern. Wenn Sie hier z.B. den Organisationsnamen Company einsetzen, erscheint als Titelleiste Microsoft Internet Explorer bereitgestellt von Company.
Unter Benutzerkonfiguration · Windows-Einstellungen · Internet-Explorer Wartung · Verbindung können Sie mit der Richtlinie Proxyeinstellungen den zu verwendenden Proxy-Server angeben, z.B. einen ISA-Server.
Unter Benutzerkonfiguration · Windows-Einstellungen · Internet-Explorer Wartung · URLs können Sie mit der Richtlinie Favoriten und Links wichtige Favoriten und Links für alle Anwender vorkonfigurieren. Wenn Sie die Option Vorhandene Favoriten und Links löschen markieren, werden nicht mehr die vom Microsoft Internet Browser voreingestellten Favoriten MSN und Radiostationsübersicht sowie die Links Kostenlose Hotmail, Links anpassen, Windows und Windows Media angezeigt.
Hier klicken, um das Bild zu Vergrößern
Unter Benutzerkonfiguration · Windows-Einstellungen · Internet Explorer-Wartung · URLs können Sie mit der Richtlinie Wichtige URLs die Startseite und den Suchdienst für alle Anwender vorgeben. Diese Seiten müssen mit dem Ausdruck http:// beginnen (siehe nächste Abbildung).
Die Möglichkeiten, die Sie mit den Richtlinien unter Benutzerkonfiguration · Windows-Einstellungen · Skripts (Anmelden/Abmelden) und unter Benutzerkonfiguration · Windows-Einstellungen · Ordnerumleitung haben, sind vielfältig und äußerst wichtig. Sie werden an anderer Stelle in diesem Buch detailliert beschrieben.
Hier klicken, um das Bild zu Vergrößern
Durch die Aktivierung der Richtlinien Assistenten für Internetzugang deaktivieren, Änderungen der Verbindungseinstellungen deaktivieren und Änderungen der Proxyeinstellungen deaktivieren können Sie sicherstellen, dass die von Ihnen vorgenommenen Voreinstellungen bezüglich des standardisierten Zugangs zum Internet durch den Anwender nicht manipuliert werden können. Wenn Sie z.B. einen ISA-Server einsetzen und für alle Anwender voreingestellt haben, dass der Zugang zum Internet über diesen ISA-Server, der gleichzeitig als Proxy-Server fungiert, erfolgen soll, können Sie mit dieser Richtlinie sicherstellen, dass Anwender nicht unbemerkt ein Modem oder eine ISDN-Karte anschließen und den ISA-Server umgehen.
Hier klicken, um das Bild zu Vergrößern
11.5.3 Richtlinien für Windows Explorer
Unter Administrative Vorlagen · Windows Explorer erscheint zumindest die Aktivierung folgender Richtlinien sinnvoll:
|
Klassische Shell aktivieren
Diese Einstellung ermöglicht das Entfernen der Funktionen Active Desktop und Webansicht. |
|
|
Blendet den Menüeintrag »Verwalten« im Windows Explorer-Kontextmenü aus
Nur der Administrator, nicht aber der Standardanwender soll den lokalen Computer verwalten können. |
|
|
Diese angegebenen Datenträger im Fenster »Arbeitsplatz« ausblenden
Sie können bestimmte Laufwerke wie die lokalen Laufwerke A: und B: ausblenden. Wenn in Ihrer Organisation bei den Anwendern in der Regel nur Computer ohne Disketten- oder CD-Laufwerke aufgestellt werden, müssen Sie diese Richtlinie nicht konfigurieren. |
|
|
Registerkarte »Hardware« entfernen
Nur der Administrator, nicht jedoch der Standardanwender soll die Hardware manipulieren können. |
|
|
Registerkarte »DFS« entfernen
Der Standardanwender soll keine Änderungen an DFS-Einstellungen vornehmen können. |
|
|
CD-Brennfunktionen entfernen
Sie möchten verhindern, dass ein Anwender interne Daten auf eine CD brennt. |
11.5.4 Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken
Durch die Aktivierung der Richtlinie Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken wird die Verwendung aller Snap-Ins für den Standardanwender verhindert. In einer großen Organisation werden Sie später bestimmte Mitarbeiter mit eingeschränkten Administrationsaufgaben betrauen. Vielleicht wird es Mitarbeiter geben, die nur neue Benutzerkennungen anlegen oder nur Kennwörter zurücksetzen dürfen. Für diese Mitarbeiter können Sie dann MMC-Konsolen im Autor-Modus erstellen und einschränken.
Über die Richtlinien unter Administrative Vorlagen · Microsoft Management Console · Eingeschränkte/Zugelassene Snap-Ins können Sie genau steuern, auf welche Snap-Ins diese Mitarbeiter zugreifen dürfen. Es wird dann sinnvoll sein, diese Mitarbeiter in einer Sicherheitsgruppe wie z.B. »Helpdesk« zusammenzufassen, in einer speziellen Gruppenrichtlinie die Einstellungen für die Richtlinie Eingeschränkte/Zugelassene Snap-Ins festzulegen und über die Rechte zu definieren, dass diese Gruppenrichtlinie nur von der definierten Sicherheitsgruppe verarbeitet wird.
Hier klicken, um das Bild zu Vergrößern
Aktivieren Sie die Richtlinien Ausführung von Windows Messenger nicht zulassen und Windows Messenger nicht automatisch starten unter Benutzerkonfiguration · Administrative Vorlagen · Windows Messenger, um die Verwendung des Windows Messengers zu unterbinden.
Hier klicken, um das Bild zu Vergrößern
11.5.5 Richtlinien für Windows Updates
Aktivieren Sie die Richtlinien Zugriff auf alle Windows Update-Funktionen entfernen, wenn alle Funktionen von Windows Update entfernt werden sollen. Dies umfasst auch die Blockierung des Zugangs zur Windows-Update-Website unter http://windowsupdate.microsoft.com über Windows Update im Startmenü und im Menü Extras des Internet Explorers. Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert. Der Endanwender wird weder über wichtige Aktualisierungen unterrichtet, noch werden Updates automatisch heruntergeladen und installiert. Durch diese Einstellung wird auch verhindert, dass der Geräte-Manager automatisch Treiberaktualisierungen von der Windows-Update-Website installiert.
Auf der Buch-DVD finden Sie Anleitungen zur Installation eines WSUS-Servers (WSUS = Windows Server Update Services) und andere Anleitungen, um in Ihrer Umgebung sorgfältig durchgetestete Windows-Updates gezielt zu verteilen.
Hier klicken, um das Bild zu Vergrößern
Wenn die Richtlinie Codec-Download verhindern unter Benutzerkonfiguration · Administrative Vorlagen · Windows Media Player aktiviert ist, werden Codecs nicht automatisch übertragen, und das Kontrollkästchen Codecs automatisch downloaden in der Registerkarte Player im Dialogfeld Optionen ist nicht verfügbar.
Hier klicken, um das Bild zu Vergrößern
11.5.6 Richtlinien für Startmenüs, Taskleiste und Desktops
Über die Richtlinien des Startmenüs und der Taskleiste und über die Richtlinien des Desktops können Sie das Aussehen der Arbeitsoberfläche des Betriebssystems Windows XP für den Standardanwender sehr stark einschränken. Die Frage, wie stark diese Funktionen für den Standardanwender eingeschränkt werden sollen und wie die Arbeitsoberfläche eines Standardarbeitsplatzes in einem Unternehmen aussehen soll, wird jeder Administrator unterschiedlich einschätzen. Meine Überlegungen zu diesem Thema sind folgende:
Microsoft bietet sowohl Unternehmen als auch Privatpersonen dasselbe Betriebssystem an, wenn auch in zwei verschiedenen Versionen: Windows XP Professional bzw. Windows XP Home Edition. Dabei steht Microsoft in Konkurrenz zu anderen Betriebssystemen wie Linux und muss den Kunden – speziell den Privatkunden – ständig neue Features und eine optisch attraktive Oberfläche bieten. Was für den Privatkunden verspielt, bunt und schön ist, ist jedoch für ein Unternehmen oft wenig interessant und verursacht erhöhte Supportkosten. Viele der Funktionen und speziell der Effekte des Betriebssystems belasten unnötig die Performance der Hardware. Im Unternehmen stehen in der Regel keine Multimediaanwendungen im Vordergrund, sondern eine kaufmännische Anwendung, CAD sowie Textverarbeitung, Tabellenkalkulation und E–Mail. Das Betriebssystem selbst ist in erster Linie ein Mittel zum Zweck.
Letzteres gilt z.B. für das Startmenü. In einem Unternehmen ist es wichtig, dass der Anwender schnell und unkompliziert die häufig benutzten Anwendungen starten kann und diese mit möglichst hoher Performance laufen. Während das Startmenü von Windows 2000 Professional ein schlankes Aussehen hatte, erscheint das neue Design des Startmenüs von Windows XP eher verspielt und unübersichtlich.
Hier klicken, um das Bild zu Vergrößern
Sie können jedoch das Klassische Startmenü von Windows 2000 auch unter Windows XP aktivieren, z.B. durch die Richtlinie Klassisches Startmenü erzwingen unter Administrative Vorlagen · Startmenü und Startleiste.
Wenn Sie nach der Installation der Standardanwendungen die vom Standardanwender jeden Tag benötigten Sinnbilder wie Outlook, Word, das kaufmännische Programm und den Dateimanager Windows-Explorer im Startmenü dann direkt über der Start-Schaltfläche anordnen, sind diese Anwendungen für den Anwender sofort auffindbar, und das Startmenü wirkt aufgeräumt und übersichtlich.
Hier klicken, um das Bild zu Vergrößern
Ein anderer Grund spricht ebenfalls für das klassische Startmenü: Wenn Sie möchten, dass das Icon einer häufig benutzten Anwendung, wie z.B. das Icon des Taschenrechners, nicht tief verschachtelt unter Start · Programme · Zubehör, sondern direkt über der Start-Schaltfläche erscheint, so kopieren oder verschieben Sie die Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Zubehör\Rechner.lnk einfach nach C:\Dokumente und Einstellungen\All Users\Startmenü. Haben Sie aber nicht das klassische Startmenü eingestellt, so hat diese Kopieraktion keine Auswirkung! Nur im klassischen Startmenü erscheint sofort das Symbol Rechner direkt über der Start-Schaltfläche.
Wenn Sie später von zentraler Stelle aus, z.B. über ein Anmeldeskript, Änderungen an den Startmenüs aller Clients vornehmen wollen, so wissen Sie bei Verwendung des klassischen Startmenüs, dass Sie im Verzeichnis C:\Dokumente und Einstellungen\Startmenü bzw. in Unterverzeichnissen dieses Verzeichnisses lediglich Verknüpfungsdateien hinzufügen oder löschen müssen. Derartige Operationen sind folglich durch einfache COPY- und DEL-Befehle im Anmeldeskript zu bewältigen.
Wie Sie derartige Manipulationen mit den nötigen lokalen Administratorrechten erreichen, wissen Sie, wenn Sie in Kapitel 15, Das Anmeldeskript, das Unterkapitel SU (Switch Users) nutzen, um mit beliebigen Rechten zu operieren durchgearbeitet haben. Ich schlage Ihnen daher vor, sowohl für das Startmenü als auch für den Desktop die klassische Darstellung einzustellen.
|
Bedenken Sie jedoch eines, bevor Sie über Richtlinien das Startmenü, den Desktop und besonders die sichtbaren Icons der Systemsteuerung zu stark einschränken! Wenn ein Benutzer später Probleme mit dem Betriebssystem hat und den Helpdesk anruft, so wird sich ein Helpdesk-Mitarbeiter auf den Computer des Anwenders remote aufschalten wollen, um das geschilderte Problem zu sehen und die Ursache zu erforschen. Dem Helpdesk-Mitarbeiter stehen in einer Remote-Sitzung aber auch nur die Möglichkeiten zur Verfügung, die dem Standardanwender durch Gruppenrichtlinien nicht verweigert werden. Wenn Sie z.B. alle Sinnbilder der Systemsteuerung über eine Gruppenrichtlinie ausgeblendet haben und der Mitarbeiter den Helpdesk-Mitarbeiter bittet, die Maus von Rechtshänder auf Linkshänder umzustellen, so kann auch der Helpdesk-Mitarbeiter diese Umstellung nicht vornehmen, weil er wie der Mitarbeiter selbst keinen Zugriff auf die Mauseinstellungen hat.
|
Wenn ein Mitarbeiter sich beim Helpdesk beklagt, dass sein Bildschirm flimmert, so kann der Helpdesk-Mitarbeiter die Einstellungen der Grafikkarte und des Monitors nicht remote überprüfen, wenn eine Richtlinie so eingestellt wurde, dass das Icon Anzeige beim Standardanwender ausgeblendet ist. Stellen Sie also die Gruppenrichtlinien nicht derart restriktiv ein, dass Sie den Helpdesk-Mitarbeitern die Fernwartung und Fehlersuche unmöglich machen!
Außerdem kann sich ein Anwender zu Recht bevormundet fühlen, wenn Sie die Möglichkeiten des Anwenders über Gruppenrichtlinien zu stark reglementieren. Die Behauptung, der Anwender sei bezüglich der IT unerfahren und überfordert, und es bestehe die Gefahr, dass er sich den Computer verstelle, gilt heute nicht mehr! Jeder Anwender hat in der Regel einen Computer zu Hause und hat bereits auf der Schule und später in der Berufsausbildung regelmäßig intensiv mit dem Computer gearbeitet. IT-mündige Anwender sollten auch als solche behandelt werden. Eins ist allerdings wahr, wie mir die Praxis Tag für Tag zeigt: In die IT-Fortbildung der Benutzer wird immer weniger Zeit und Energie gesteckt. Das ist allerdings kein Versäumnis der Benutzer, sondern der IT-Abteilung! Zu einer musterhaft durchgeplanten Einführung von Active Directory gehört deshalb immer ein Konzept für die Anwenderschulung. Und zu einer dauerhaft kostenminimierten IT-Struktur gehört eine permanente Schulung der Anwender.
Folgende Richtlinien sollten im Startmenü und in der Taskleiste aktiviert werden, um den Supportaufwand in Grenzen zu halten:
|
|
Netzverbindungen aus dem Startmenü entfernen |
|
|
Menüeintrag Ausführen aus dem Startmenü entfernen |
|
|
Symbol für Netzwerkumgebung aus dem Startmenü entfernen |
|
|
Option Abmelden dem Startmenü hinzufügen |
|
|
Drag & Drop-Kontexmenüs aus dem Startmenü entfernen |
|
|
Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern |
|
|
Persönlich angepasste Menüs deaktivieren |
|
|
Beim Zuordnen von Shellshortcuts nicht die suchbasierte Methode verwenden |
|
|
Beim Zuordnen von Shellshortcuts nicht die verfolgungsbasierte Methode verwenden |
|
|
Taskleiste fixieren |
|
|
Klassisches Startmenü erzwingen |
|
|
Keine benutzerdefinierten Symbolleisten in der Taskleiste anzeigen |
Sobald die gewünschten Standardanwendungen installiert sind und das Aussehen des Startmenüs vom Administrator auf dem Mustercomputer definiert ist, besteht keine Notwendigkeit, dass ein Standardanwender dieses Menü später verändert. Auch Manipulationen an der Taskleiste durch den Anwender erhöhen die Produktivität des Standardanwenders kaum, sie erhöhen jedoch den Supportaufwand.
Unter »Desktop« sollten Sie folgende Richtlinien aktivieren:
|
|
Desktopsymbol Netzwerkumgebung ausblenden |
|
|
Pfadänderung für den Ordner Meine Dateien nicht zulassen |
|
|
Hinzufügen, Verschieben und Schließen der Symbolleisten deaktivieren |
|
|
Anpassen der Desktopsymbolleisten nicht zulassen |
|
|
Desktopbereinigungs-Assistent entfernen |
Hier klicken, um das Bild zu Vergrößern
Außerdem sollten Sie den Active Desktop deaktivieren, wenn Sie keine Gründe kennen, die diese Funktionalität für den Standardanwender notwendig machen.
Hier klicken, um das Bild zu Vergrößern
11.5.7 Welche Sinnbilder der Systemsteuerung benötigt
der Anwender?
Bei der Konfiguration der Richtlinien für die Systemsteuerung sind folgende Überlegungen wichtig: Wie oben bereits erwähnt, müssen die Helpdesk-Mitarbeiter in der Lage sein, über die Fernwartung im Rechtekontext des Anwenders Fehler zu suchen und dabei zumindest die Einstellungen vorzunehmen, die notwendig sind, damit der Anwender komfortabel arbeiten kann.
Auch der Standardanwender muss Zugriff auf die Symbole der Systemsteuerung haben, mit denen er den Computerarbeitsplatz ergonomisch, d. h. bedienerfreundlich einstellen kann.
Ein Mitarbeiter mit schlechter Sehschärfe sollte die Auflösung der Grafikkarte von 1024 x 768 auf 800 x 600 umstellen können. Ein Mitarbeiter, der einen großen Bildschirm hat (19 Zoll oder 21 Zoll) und viel mit grafischen Anwendungen arbeitet, sollte sich eine höhere Auflösung einstellen können. Also sollte das Symbol Anzeige nicht komplett ausgeblendet werden, sondern bei Bedarf nur einzelne Optionen oder Registerkarten der Anzeige.
Wenn ein Benutzer sich selbst Netzdrucker einstellen muss, speziell wenn er den Arbeitsplatz manchmal ändert (Springer) und dann auf andere Netzdrucker zugreifen muss, sollte er auf das Symbol Drucker und Faxgeräte zugreifen können. Scanner und Kameras werden dagegen in der Regel lokal am Computer angeschlossen und können von einem Mitarbeiter des Helpdesks mit Administratorrechten konfiguriert werden. Der Standardanwender benötigt folglich keinen Zugriff auf das Symbol Scanner und Kameras.
Ein Mitarbeiter mit Behinderung sollte auf das Icon Eingabehilfe zugreifen können.
Linkshänder müssen in der Lage sein, die Maus von Rechtsbedienung auf Linksbedienung umzustellen. Ebenso sollte der Anwender die Geschwindigkeit der Maus und die Doppelklickgeschwindigkeit für sich optimal einstellen dürfen. Folglich darf das Symbol Maus nicht ausgeblendet werden.
Wenn Ihre Mitarbeiter mit anderen Sprachversionen als der deutschen arbeiten oder Briefe z.B. mit anderen Währungssymbolen als dem Eurosymbol schreiben oder andere Zahl- und Datumsformate als die in Europa gängigen Formate nutzen müssen, darf das Symbol Regions- und Sprachoptionen nicht ausgeblendet sein.
Auch die Verzögerung und Wiederholrate der Zeichenwiederholung muss sich der Anwender über das Icon Tastatur selbst einstellen können.
Es erscheint deshalb sinnvoll, für den Standardanwender bis auf weiteres nur folgende Symbole der Systemsteuerung über eine Richtlinie auszublenden:
|
|
Benutzerkonten |
|
|
Datum und Uhrzeit |
|
|
Energieoptionen |
|
|
Gamecontroller |
|
|
Geplante Tasks |
|
|
Hardware |
|
|
Internetoptionen |
|
|
Netzwerkverbindungen |
|
|
Ordneroptionen |
|
|
Scanner und Kameras |
|
|
Schriftarten |
|
|
Software |
|
|
Sounds- und Audiogeräte |
|
|
Sprachein-/ausgabe |
|
|
System |
|
|
Telefon- und Modemoptionen |
|
|
Verwaltung |
Diese Auswahl ist nur als ein Vorschlag zu werten. In Ihrer Produktivumgebung werden Sie wahrscheinlich zu anderen Ergebnissen kommen, und die optimale Auswahl stellt sich erst mit der Zeit heraus. Gruppenrichtlinien bieten Ihnen aber die Möglichkeit, derartige Einstellungen für alle oder eine Vielzahl von Benutzern zentral mit minimalem Aufwand jederzeit zu ändern.
Diese Einstellungen nehmen Sie über die Richtlinie Angegebene Systemsteuerungssymbole ausblenden unter Benutzerkonfiguration · Administrative Vorlagen · Systemsteuerung vor. Damit die verbleibenden Symbole der Systemsteuerung nicht – in meinen Augen umständlich – nach Kategorien geordnet angezeigt werden, schlage ich außerdem vor, die Richtlinie Klassischen Stil der Systemsteuerung erzwingen zu aktivieren.
Hier klicken, um das Bild zu Vergrößern
Hier klicken, um das Bild zu Vergrößern
Im Bereich Benutzerkonfiguration · Administrative Einstellungen · Freigegebene Ordner sollten Sie die Richtlinien Veröffentlichung freigegebener Ordner zulassen und Veröffentlichung von DFS-Stämmen zulassen deaktivieren. Wenn aus Datenschutz- und Datensicherungsgründen alle Dokumente auf den Servern und nicht auf lokalen Festplatten der Computer liegen sollten, gibt es keine Notwendigkeit, dass ein Anwender ein Verzeichnis auf der lokalen Festplatte veröffentlicht. Was ein DFS-Stamm ist und wie man ihn einrichtet, weiß ein Anwender in der Regel nicht.
Hier klicken, um das Bild zu Vergrößern
11.5.8 Richtlinien für Offlinedateien
Im Bereich Benutzerkonfiguration · Administrative Vorgaben · Netzwerk · Offlinedateien sollten Sie folgende Richtlinien aktivieren, um zu unterbinden, dass Dokumente vom in Bezug auf Datenschutz und Datensicherheit sicheren Server auf die lokale Festplatte gelangen:
|
|
Benutzerkonfiguration von Offlinedateien nicht zulassen |
|
|
»Offline verfügbar machen« entfernen |
|
|
Verwendung von Offlinedateiordnern verhindern |
|
|
Umgeleitete Ordner nicht automatisch offline verfügbar machen |
11.5.9 Laptop-Benutzer und Offline-Synchronisierung
Für Laptop-Benutzer, die berechtigt sind, Daten vom Server auf den Laptop zu überspielen und außerhalb des Betriebsgeländes zu verwenden, können Sie eine spezielle Richtlinie erstellen. Die Richtlinie unter Netzwerk · Offlinedateien finden Sie aber auch in der Computerkonfiguration. Es bietet sich alternativ an, unterhalb der Organisationseinheit Computer eine Organisationseinheit Laptops oder besser mobile Clients einzurichten, denn inzwischen gibt es neben Laptops und Portables auch noch Tablet-PCs. Wer weiß, was es morgen alles an mobilen Geräten gibt. Für die OU Computer können Sie dann eine Gruppenrichtlinie einrichten, in der die Verwendung von Offlineordnern verhindert wird. In der OU mobile Clients könnten Sie eine weitere Gruppenrichtlinie einrichten, in der die Benutzung von Offlineordnern wieder erlaubt wird. Nebenbei zur vielleicht verwirrenden Wahl meiner OU-Namen: Der Plural von »Computer« ist in der deutschen Sprache »Computer«, in der englischen jedoch »Computers«. Alternativ können Sie den OU-Namen Computer z.B. durch Clients ersetzen.
Der nachfolgende Hinweis gehört zwar eigentlich nicht zum Thema »Gruppenrichtlinien«, ist aber dennoch wichtig für Sie, wenn Sie Laptop-Benutzer betreuen: Offlinedateien werden nicht im lokalen Profilpfad Dokumente und Einstellungen\%Benutzername% gespeichert, sondern im versteckten Verzeichnis %SYSTEMROOT%\CSC, auf das nur die Gruppe Administratoren Zugriff hat. Mit dem Tool CACHEMOV aus dem Windows Server Resource Kit kann dieses Verzeichnis für Offlinedateien übrigens in ein anderes Verzeichnis oder eine andere Partition verschoben werden. Diese Verschiebung kann notwendig werden, wenn Benutzer große Datenmengen offline synchronisieren und die Systempartition zu wenig Speicherplatz hat. Jedoch muss für diesen Vorgang die Gruppe Administratoren in die US-amerikanische Bezeichnung Administrators umbenannt werden, da das Tool aufgrund eines Bugs lokalisierte Namen der Gruppe Administrators nicht akzeptiert. Lesen Sie dazu die Knowledge-Base-Artikel »216581 – How to Change the Location of Client Side Cache in Windows 2000« und »303256 – Cachemov Does Not Work on Localized Versions of Windows 2000«, die auch auf Windows XP zutreffen.
Im Bereich Benutzerkonfiguration · Administrative Vorlagen · Netzwerk · Netzwerkverbindungen müssen Sie die Richtlinien nicht mehr konfigurieren, da aufgrund der Richtlinieneinstellungen unter Systemsteuerung der Standardanwender auf das Icon Netzwerk- und DFÜ-Verbindungen keinen Zugriff mehr hat. Das Symbol wurde in der betreffenden Richtlinie ausgeblendet.
Im Bereich Benutzerkonfiguration · Administrative Vorlagen · System sollten folgende Richtlinien aktiviert werden:
|
|
Willkommenseite für »Erste Schritte« bei der Anmeldung nicht anzeigen |
|
|
Zugriff auf Eingabeaufforderung verhindern |
Hier klicken, um das Bild zu Vergrößern
11.5.10 Positiv- oder Negativlisten für ausführbare Dateien
Interessant sind an dieser Stelle auch die Richtlinien Nur zugelassene Windows-Anwendungen ausführen, Angegebene Windows-Anwendungen nicht ausführen sowie Zugriffe auf Programme zur Bearbeitung der Registrierung verhindern. Mit der zuletzt genannten Richtlinie wird aber nur der Start der Windows-XP-internen Programme Regedit.exe und Regedt32.exe unterbunden. Es gibt jedoch viele andere Tools im Internet, die den Zugriff auf die Registrierdatenbank ermöglichen. In Kapitel 15, Das Anmeldeskript, wird zu dieser Problematik ausführlich Stellung genommen.
Prinzipiell ist es möglich, über die Richtlinie Nur zugelassene Windows-Anwendungen ausführen eine Positivliste aller exe-Dateien anzugeben, die durch den Anwender gestartet werden dürfen. Es reicht aber z.B. nicht aus, die Dateien winword.exe, excel.exe, outlook.exe, msaccess.exe und powerpnt.exe anzugeben, da die Office-Hauptkomponenten weitere Unterkomponenten starten. Sie müssten also über eine Office-Installation einen Befehl wie dir *.exe /s /b > c:\exe.txt laufen lassen, um alle in der Positivliste aufzulistenden exe-Dateien anzugeben. Sie dürfen dann jedoch nicht vergessen, auch das Anmeldeskript, alle Unterroutinen des Anmeldeskripts (cmd-, bat- und vbs-Dateien) sowie alle Tools in die Positivliste aufzunehmen, die im Anmeldeskript des Standardanwenders genutzt werden. Mit einer Negativliste können Sie umgekehrt über die Richtlinie Angegebene Windows-Anwendungen nicht ausführen eine Liste von ausführbaren Dateien (exe-, com-, cmd-, bat-, vbs-Dateien) erzeugen, deren Ausführung unterbunden werden soll.
Sicherlich können Sie das Netzwerk dadurch sicherer machen, doch ist dieses sehr aufwändig, und sowohl die Positivliste als auch eine Negativliste müssen wahrscheinlich oft erweitert werden, da z.B. auch Peripheriegeräte wie Scanner, Drucker oder digitale Kameras bei der Installation dem System ausführbare exe- oder com-Dateien hinzufügen.
Bei der Verwendung von Anmeldeskripten sollten Sie die Richtlinien Anmeldeskripts gleichzeitig ausführen und Anmeldeskripts sichtbar ausführen aktivieren, damit der Anwender über Echo-Zeilen sieht, dass die Anmeldung sich verzögert, weil ein Skript abläuft. Aber auch für den Administrator selbst bzw. einen Helpdesk-Mitarbeiter ist es wichtig, beim Ablauf des Anmeldeskripts eventuell auftretende Fehlermeldungen sehen zu können.
Hier klicken, um das Bild zu Vergrößern
Damit sind alle für eine erste Testumgebung relevanten Gruppenrichtlinien behandelt, die Microsoft mit dem Betriebssystem Windows XP zur Verfügung stellt, mit Ausnahme derjenigen, die durch das Windows XP Service Pack 2 hinzukommen. Nicht alle gewünschten Optionen lassen sich mit diesen Richtlinien zentral über das Active Directory einstellen.
An späterer Stelle wird gezeigt, wie Sie einige interessante Einstellungen über eine selbst erstellte Gruppenrichtlinie definieren können. Andere Einstellungen können über das Anmeldeskript bewerkstelligt werden. Durch die Installation von Microsoft Office kommt noch einmal eine große Anzahl von weiteren Gruppenrichtlinien hinzu.
11.5.11 Speicherort der Benutzerkonfigurations-Richtlinien
Nun bleibt die Frage: An welcher Stelle im System sind eigentlich die im Bereich der Benutzerkonfiguration erstellten Richtlinien auf dem Server gespeichert worden?
Auf dem Domänencontroller finden Sie ein Verzeichnis %SystemRoot%\SYSVOL\sysvol\Test firma.de\Policies\{Eindeutiger Name der Gruppenrichtlinie}\User mit der Datei Registry.pol und den Unterverzeichnissen Applications, Documents & Settings, MICROSOFT und Scripts.
Hier klicken, um das Bild zu Vergrößern
Wenn Sie die Datei Registry.pol mit einem Hexeditor öffnen, sehen Sie in der rechten Spalte die Registry-Einträge, die durch die Richtlinien in der Benutzerkonfiguration der Gruppenrichtlinie erstellt werden. In folgenden Pfaden der Registrierdatenbank werden Veränderungen vorgenommen:
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies
|
