11.6 Wenn zwei Gruppenrichtlinien sich streiten …
Nachfolgend wird gezeigt, wie Sie mit einer zweiten Gruppenrichtlinie die für den Standardanwender erzeugten Beschränkungen wieder lockern können. An diesem Beispiel soll außerdem vorgeführt werden, wie Sie mit Berechtigungen auf Gruppenrichtlinien steuern können, auf welche Objekte (einzelne Benutzer, Sicherheitsgruppen von Benutzern, einzelne Computer, Sicherheitsgruppen von Computern) eine Richtlinie angewendet werden kann, in welcher Reihenfolge mehrere Gruppenrichtlinien abgearbeitet werden und welche Richtlinie den Vorrang erhält, wenn mehrere Richtlinien auf ein Objekt angewendet werden und sich widersprechen.
In den vorangegangenen Ausführungen wurde beschrieben, wie mittels einer Richtlinie XP-Standardbenutzer die Benutzeroberfläche von Windows XP für einen Standardbenutzer voreingestellt und damit verhindert werden kann, dass der Standardbenutzer durch Manipulationen das Betriebssystem selbst negativ verändert oder seine Arbeitsumgebung durch mangelnde Kenntnisse in einen Zustand versetzt, der zu erhöhtem Aufwand für die Anwenderbetreuung führt. Dieser Standardanwender soll nur eine begrenzte Anzahl ausgewählter Anwendungen starten können und arbeitet in der Regel nicht mit Multimedia-Anwendungen. Er hat in der Regel einen Computer ohne Diskettenlaufwerk, ohne CD-Laufwerk oder CD-Brenner und ohne Multimedia-Equipment.
Daneben gibt es aber so genannte Poweruser wie IT-Entwickler, die Mitarbeiter des Helpdesks, die neue Anwendungen durchtesten müssen, Abteilungsleiter oder Außendienstler, die mit zahlreicheren und komplexeren Peripheriegeräten (Anschluss für Organizer, Scanner, digitale Kamera usw.) oder einem mobilen Computer ausgestattet sind und auf weitere Anwendungen zugreifen müssen.
Spätestens, nachdem Sie die von Microsoft Office XP/2003 bereitgestellten Gruppenrichtliniendateien eingesehen haben, wird Ihnen jedoch bald bewusst werden, dass das Netzwerk sehr schnell undurchsichtig wird, wenn Sie für alle möglichen Sonderfälle eigene Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien einführen. Schnell gerät das Geflecht aus ineinander geschachtelten Gruppenrichtlinien außer Kontrolle, und die Suche danach, welche Gruppenrichtlinie nun welche andere Gruppenrichtlinie überschreibt, wird zum Fluch. Bei der Fehlersuche werden dann irgendwo Gruppenrichtlinien deaktiviert. Wenn der Fehler danach nicht beseitigt ist, wird an anderer Stelle etwas verändert, ohne zu notieren, was bei der Fehlersuche alles in welcher Reihenfolge angefasst wurde. Auch eine bei der Erstinstallation sauber erstellte Dokumentation der installierten Richtlinien wird so über die Zeit hinweg zur Makulatur. Ein neuer IT-Mitarbeiter findet später ein unüberschaubares und fehlerhaftes System vor.
Die KISS-Methode: Keep It Simple And Smart
Um dieser Undurchsichtigkeit vorzubeugen, hilft nur die KISS-Methode: Keep It Simple And Smart. Erstellen Sie möglichst wenige Organisationseinheiten, Sicherheitsgruppen und Gruppenrichtlinien. Vermeiden Sie, jeden Sonderfall über eine neue Gruppenrichtlinie abbilden zu wollen. Gehen Sie das Risiko ein, dass ein Anwender tatsächlich einmal aufgrund zu vieler Rechte einen Computer oder seine Benutzereinstellungen »ruiniert«. Wenn Sie eine Methode haben, mit der ein fehlerhafter Computer in kurzer Zeit wieder neu eingerichtet werden kann, und wenn Sie sicherstellen, dass dabei keine Anwenderdaten verloren gehen, da diese Daten alle auf dem Server liegen, ist das nicht tragisch. Für Poweruser können Sie eine Sicherheitsgruppe und eine zweite Gruppenrichtlinie einrichten, die nur durch diese Sicherheitsgruppe ausgelesen wird. In dieser Gruppenrichtlinie deaktivieren Sie nun einfach die Einschränkungen, die für den Standardanwender gelten sollen, aber nicht für den Poweruser.
Richten Sie in der Organisationseinheit Benutzer einen neuen Benutzer Paul Poweruser ein. Legen Sie in der Organisationseinheit Benutzergruppen eine Sicherheitsgruppe Hauptbenutzer an und nehmen Sie den neuen Anwender Paul Poweruser in diese Sicherheitsgruppe auf. Sie können auch die Gruppe Helpdesk oder eine Gruppe IT-Entwickler erstellen und in die Gruppe Hauptbenutzer aufnehmen.
Nun erzeugen Sie für die Sub-OU Benutzer eine weitere Gruppenrichtlinie mit dem Namen XP-Hauptbenutzer, öffnen danach die Eigenschaften dieser neuen Richtlinie und aktivieren wie bei der Richtlinie XP-Standardbenutzer die Option Konfigurationseinstellungen des Computers deaktivieren. Denn auch in dieser Gruppenrichtlinie werden nur Richtlinien in der Kategorie Benutzerkonfiguration geändert, und die Abarbeitung der Richtlinie wird beschleunigt, wenn nur die Benutzerkonfiguration ausgelesen werden muss.
Öffnen Sie nun unter den Eigenschaften der Gruppenrichtlinie XP-Hauptbenutzer die Registerkarte Sicherheitseinstellungen. Sie sehen als Erstes in den Standardeinstellungen, dass es eine Gruppe Authentifizierte Benutzer gibt, die die Rechte Lesen und Gruppenrichtlinie übernehmen besitzt. Zur Gruppe der Authentifizierten Benutzer gehören aber nicht nur alle Domänenbenutzer, sondern darüber hinaus alle Computer, die zur Domäne gehören. Die Bezeichnung Authentifizierte Benutzer ist hier ein wenig irreführend. Denken Sie daran, dass man eine Gruppenrichtlinie nicht nur für eine Sicherheitsgruppe aktivieren kann, die nur Benutzer als Mitglieder hat.
Sie können auch eine Sicherheitsgruppe erstellen, die z.B. nur Laptops aufnimmt, und für diese Sicherheitsgruppe eine Gruppenrichtlinie anlegen. Sie können aber auch eine gemischte Sicherheitsgruppe erstellen, bestehend aus bestimmten Computern und bestimmten Benutzern der Domäne. In welchen Situationen so etwas sinnvoll wäre, überlasse ich Ihrer Fantasie.
Sehen Sie sich einmal die Standardrechte der Gruppen Domänen-Admins und der Gruppe Organisations-Admins an. Mitglieder dieser beiden Gruppen dürfen laut Standardeinstellung die Gruppenrichtlinie verändern, haben aber nicht das Recht Gruppenrichtlinie übernehmen.
Hier klicken, um das Bild zu Vergrößern
Das ist gut so, denn anderenfalls würden Einschränkungen, die man über eine Gruppenrichtlinie vornimmt, sofort auch für die Administratoren wirksam. Schnell hätte dann ein Administrator durch eine Aktivierung einer Richtlinie alle Administratoren eingeschränkt und vielleicht sich selbst die Rechte entzogen, um die Aktivierung der Richtlinie wieder rückgängig zu machen.
|
Bei Richtlinien, die auch für Domänen-Administratoren wirken sollen, muss also der Gruppe Domänen-Admins explizit das Recht Gruppenrichtlinie übernehmen gegeben werden.
|
Unsere neu erstellte Richtlinie XP-Hauptbenutzer soll jedoch nicht für alle Domänenbenutzer wirken und schon gar nicht für Computer, sondern nur für die Sicherheitsgruppe Hauptbenutzer. Löschen Sie also die Gruppe Authentifizierte Benutzer und fügen Sie die soeben erstellte Sicherheitsgruppe Hauptbenutzer über die Schaltfläche Hinzufügen hinzu. Erteilen Sie der Gruppe Hauptbenutzer die Rechte Lesen und Gruppenrichtlinie übernehmen. Um es gleich vorweg zu sagen: Sie müssen die Reihenfolge der zwei Richtlinien anschließend mit den Schaltflächen Nach unten oder Nach oben so vertauschen, dass die Sicherheitsgruppe XP-Hauptbenutzer über der Gruppe XP-Standardbenutzer steht.
Hier klicken, um das Bild zu Vergrößern
Hier klicken, um das Bild zu Vergrößern
Wenn mehrere Gruppenrichtlinien untereinander stehen, werden die Gruppenrichtlinien in der Reihenfolge von unten nach oben abgearbeitet. Enthalten zwei Gruppenrichtlinien, die nacheinander abgearbeitet werden, Einstellungen, die sich widersprechen, so gewinnt die zuletzt abgearbeitete Richtlinie. Genau dies wollen wir erreichen: In der Gruppenrichtlinie XP-Hauptbenutzer sollen für eine kleine Gruppe von Anwendern bestimmte (nicht alle!) Einschränkungen wieder deaktiviert werden, die für alle Anwender in der Gruppenrichtlinie XP-Standardbenutzer getroffen wurden.
In der Gruppenrichtlinie XP-Standardbenutzer hatten wir unter vielen anderen Einschränkungen eingestellt, dass ein Standardbenutzer den Befehl Start · Ausführen nicht durchführen darf, dass er den Befehl Start · Programme · Zubehör · Eingabeaufforderung nicht starten darf und dass in der Systemsteuerung nur eine Auswahl von Icons angezeigt werden soll. Diese Einschränkungen sollen nun exemplarisch für die Gruppe Hauptbenutzer wieder aufgehoben werden.
Melden Sie sich unter der Kennung Poweruser zuerst am Windows XP-Client an und überprüfen Sie, dass diese Einschränkungen tatsächlich auf die Kennung wirken, bevor wir sie aufheben. Klicken Sie nun die Gruppenrichtlinie XP-Hauptbenutzer mit der Maus an und wählen Sie die Schalfläche Bearbeiten. Nehmen Sie die nachfolgenden Änderungen vor:
Aktivieren Sie zuerst die Richtlinie Gruppenrichtlinien-Aktualisierungsintervall für Benutzer und setzen Sie sowohl das Aktualisierungsintervall als auch die zufällige Verzögerung der Aktualisierung auf 0 Minuten, damit Sie die Auswirkungen der Änderungen, die Sie am Server an der Gruppenrichtlinie XP-Hauptbenutzer vornehmen, ohne Verzögerung auf dem Windows-XP-Client sehen können. Das Heruntersetzen des Aktualisierungsintervalls ist, wie bereits erwähnt wurde, nur für das Testen von Gruppenrichtlinien hilfreich. Vergessen Sie später im Produktivbetrieb nicht, das Aktualisierungsintervall wieder heraufzusetzen! Alternativ können Sie den Befehl gpupdate /force auf dem Client absetzen, um geänderte Gruppenrichtlinien sofort zu übernehmen.
Deaktivieren Sie die Richtlinie Menüeintrag »Ausführen« aus dem Startmenü entfernen.
Hier klicken, um das Bild zu Vergrößern
Der Anwender Poweruser sieht nun im Startmenü wieder den Befehl Ausführen. Deaktivieren Sie die Richtlinie Befehlszeilenaufforderung deaktivieren.
Hier klicken, um das Bild zu Vergrößern
Der Anwender Poweruser erhält nun beim Aufruf der Eingabeaufforderung unter Start · Programme · Zubehör nicht mehr die Meldung Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Um die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen der Gruppenrichtlinie XP-Standardbenutzer durch die Gruppenrichtlinie XP-Hauptbenutzer außer Kraft zu setzen und wieder alle Symbole der Systemsteuerung anzuzeigen, reicht es jedoch nicht aus, in der Gruppenrichtlinie XP-Hauptbenutzer die Richtlinie Nur angegebene Systemsteuerungssymbole anzeigen zu deaktivieren. Testen Sie es und melden Sie sich als Poweruser am XP-Computer an. Es werden weiterhin nur die Symbole in der Systemsteuerung angezeigt, die in der Richtlinie Nur angegebene Systemsteuerungssymbole der Gruppenrichtlinie XP-Standardbenutzer hinzugefügt wurden. Hier hilft folgender Trick: Aktivieren Sie die Richtlinie Angegebene Systemsteuerungssymbole ausblenden. Sie können nun in einem weiteren Fenster die Symbole angeben, die ausgeblendet werden. Wenn Sie aber in dieser Liste nur einen Eintrag wie XXX vornehmen und damit ein nicht existierendes Symbol eintragen, so erscheinen beim Anwender Poweruser wieder alle Symbole in der Systemsteuerung.
Hier klicken, um das Bild zu Vergrößern
Ich hoffe, Sie haben aufgrund dieser drei Beispiele für das Zurücksetzen von aktivierten Richtlinien für eine bestimmte Gruppe von Mitarbeitern das Prinzip der Idee verstanden: Sie erstellen eine Richtlinie für den Standardbenutzer und schränken die Möglichkeiten des Standardbenutzers so stark ein, dass die Fehlerquellen durch ungewollte Manipulationen bei der Großzahl der Anwender beseitigt werden und damit der Supportaufwand minimiert wird.
Diejenigen Mitarbeiter, für die diese starke Reduzierung der Manipulationsmöglichkeiten auf das für die tägliche Arbeit unbedingt Benötigte nicht akzeptabel ist, fassen Sie in einer Sicherheitsgruppe wie Hauptanwender zusammen. Sie erstellen eine weitere Gruppenrichtlinie, z.B. mit dem Namen XP-Hauptanwender, die nur für Mitglieder der Gruppe Hauptanwender angewendet wird. In dieser Richtlinie deaktivieren Sie diejenigen durch die Richtlinie XP-Standardanwender ausgelösten Einschränkungen, die Sie den Powerusern nicht zumuten wollen.
Achten Sie darauf, dass die beiden Richtlinien in der richtigen Reihenfolge untereinander stehen: Untereinander stehende Richtlinien werden nacheinander von unten nach oben und nicht von oben nach unten abgearbeitet!
Dieses Modell von zwei Anwendertypen und zwei zugehörigen Gruppenrichtlinien ist sehr vereinfacht. Wenn Ihr Unternehmen komplex ist, werden Sie sagen, dass sich Ihre Anwender nicht nur in die Typen Standardanwender und Poweruser untergliedern lassen, sondern, dass es einfache Standardanwender gibt, Abteilungsleiter mit weitergehenden Ansprüchen, die Mitarbeiter der IT-Entwicklungsabteilung, die wiederum andere Berechtigungen benötigen als die Abteilungsleiter, und die Mitarbeiter des Helpdesks. Schnell sind Sie bei vier oder mehr Gruppenrichtlinien, deren Zusammenspiel dann entsprechend komplizierter wird.
Nach dem vorgestellten Prinzip lassen sich auch mehr als zwei Typen von Anwendern abbilden. Dennoch: Halten Sie sich, wann immer es möglich ist, an das KISS-Prinzip: Keep It Simple And Smart. Vermeiden Sie unnötige Komplexitäten! Active Directory ist im Zusammenspiel von Windows Server mit Windows XP Professional, Microsoft Office und Exchange Server kompliziert genug. Machen Sie Ihr Active-Directory-Modell nicht komplizierter, als es erforderlich ist.
Das Tool gpresult.exe zeigt übrigens die Gruppenrichtlinieneinstellungen eines Computers oder Benutzers und den Ergebnissatz aller wirksamen Gruppenrichtlinien an. Im neuen Gruppenrichtlinienverwaltungswerkzeug GPMC.MSI können Sie sich den auf einen bestimmten Computer und den dort angemeldeten Benutzer wirkenden Gruppenrichtlinienergebnissatz komfortabel anzeigen lassen.
Hier klicken, um das Bild zu Vergrößern
|
