Gruppenrichtlinien können für Windows 2000/XP-Arbeitsstationen (Benutzer- und Arbeitsstationspaket) und für Windows 2000/2003 Terminal Server (nur Benutzerpaket) festgelegt und bearbeitet werden.
HINWEIS:Die Windows-Gruppenrichtlinie ist sowohl im Benutzerpaket als auch im Arbeitsstationspaket enthalten. Wenn Sie die Windows-Gruppenrichtlinie im Benutzerpaket konfigurieren, gilt die Richtlinie für alle verknüpften Benutzer, unabhängig davon, welche Arbeitsstation sie verwenden. Wenn Sie die Windows-Gruppenrichtlinie im Arbeitsstationspaket konfigurieren, gilt die Richtlinie für alle Benutzer, die sich an einer verknüpften Arbeitsstation anmelden.
Folgende Abschnitte enthalten zusätzliche Informationen:
Diese Windows-Gruppenrichtlinie stellt eine Erweiterung für erweiterbare Windows 2000/XP- und Active Directory-Richtlinien dar. Es gibt einige Überschneidungen in den Richtlinieneinstellungen der Windows-Gruppenrichtlinien und der erweiterbaren Desktop Management-Richtlinien, beispielsweise bei Abschnitt 15.2, Erweiterte Computer/Benutzerrichtlinien (Arbeitsstations-/Benutzerpakete).
. Weitere Informationen zu erweiterbaren Richtlinien finden Sie inHINWEIS:Konfigurieren Sie Gruppenrichtlinien auf einem Windows 2000-Domänencontroller nicht mit ConsoleOne. Um Gruppenrichtlinien über ConsoleOne zu bearbeiten, sollten Sie Windows 2000-Gruppenrichtlinien auf einer Windows 2000-Arbeitsstation und Windows XP-Gruppenrichtlinien auf einer Windows XP-Arbeitsstation bearbeiten.
Wenn eine Arbeitsstation zwar Mitglied einer Active Directory-Domäne ist, jedoch nicht mit der Domäne verbunden ist, gelten die im Benutzer- und im Arbeitsstationspaket enthaltenen Windows-Gruppenrichtlinien nicht.
Die Verteilung der Gruppenrichtlinien mithilfe von ZENworks Desktop Management an Arbeitsstationen oder Benutzer, an die bereits Gruppenrichtlinien über Active Directory verteilt wurden (oder umgekehrt), wird nicht unterstützt, da das Ergebnis nicht vorhersehbar ist. ZENworks Desktop Management unterstützt die Verteilung von Active Directory-Einstellungen. Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.
Sie müssen UNC-Pfade anstelle zugeordneter Laufwerke verwenden, um diese Richtlinie in Desktop Management zu importieren. Dies hat folgende Gründe:
Bei Verwendung von UNC-Pfaden wird die Richtlinie gefunden, solange der Server verfügbar ist.
Die Gruppenrichtlinien haben sich seit der ersten Version von ZENworks for Desktops 3 wesentlich geändert. Weitere Informationen hierzu finden Sie in folgenden Abschnitten:
Gruppenrichtlinien sind jetzt additiv. Dies bedeutet, dass Einstellungen von mehreren Windows-Gruppenrichtlinien kumulativ statt einzeln wirksam sind. Einstellungen von mehrere Windows-Gruppenrichtlinien können Benutzer und Arbeitsstationen beeinflussen. Richtlinien beginnen mit den lokalen Einstellungen für Windows-Gruppenrichtlinien und werden in der umgekehrten Richtlinien-Suchreihenfolge angewendet. Dies bedeutet, dass die Einstellung einer Richtlinie, die zuerst erscheint, die niedrigste Priorität aufweist und deren Wert von allen anderen Richtlinien mit der gleichen Einstellung überschrieben wird.
Sicherheitseinstellungen sind nicht additiv und werden somit von der letzten effektiven Richtlinie festgelegt.
Windows-Gruppenrichtlinien verfolgen jetzt die Revisionen von aktiven Richtlinien. Solange die Liste der effektiven Richtlinien und der Revisionen unverändert bleibt, werden Windows-Gruppenrichtlinien nicht verarbeitet, verwenden aber die im Cache abgelegte Gruppenrichtlinie.
HINWEIS:Wenn auf die Schaltfläche
geklickt wird, ändert sich die Revision einer Windows-Gruppenrichtlinie. Die Richtlinien müssen dann neu verarbeitet werden.Die letzte verarbeitete Windows-Gruppenrichtlinie wird lokal im Cache gespeichert. Dadurch wird der Netzwerkverkehr vermindert, weil Windows-Gruppenrichtlinien nur bei Bedarf ausgeführt werden. Wenn sich BenutzerA bei einem neuen Computer anmeldet, werden die effektiven Gruppenrichtlinien ausgeführt und anschließend im Cache gespeichert.
Wenn sich BenutzerA abmeldet und sich BenutzerB mit den gleichen effektiven Gruppenrichtlinien wie BenutzerA anmeldet, wird die lokal im Cache gespeicherte Gruppenrichtlinie wiederhergestellt. Die Windows-Gruppenrichtlinien werden nicht neu verarbeitet. Wenn es sich um eine abweichende Liste der effektiven Richtlinien handelt oder die Revision einer beliebigen Richtlinie geändert wurde, werden die Windows-Gruppenrichtlinien neu verarbeitet.
Der Windows-Gruppenrichtlinienimplementierung von Desktop Management wurde eine neue Funktionalität hinzugefügt. Die Einstellungen der Windows-Gruppenrichtlinie im Benutzerpaket und im Arbeitsstationspaket können selbst dann wirksam bleiben, wenn die Arbeitsstation vom Netzwerk getrennt wird.
Der Verwalter bestimmt, ob Windows-Gruppenrichtlinien dauerhaft oder temporär sind. Dauerhafte Einstellungen zeigen an, dass die Windows-Gruppenrichtlinien nach ihrer Festlegung selbst dann gültig bleiben, wenn sich ein Benutzer nur bei einer Arbeitsstation und nicht im Netzwerk anmeldet.
Temporäre Einstellungen zeigen an, dass die ursprünglichen lokalen Einstellungen für Windows-Gruppenrichtlinien in folgenden Fällen wiederhergestellt werden:
Windows-Gruppenrichtlinien können in einem Benutzerpaket für Windows 2000 und Windows 2003 Terminal Server konfiguriert werden. Zur Vereinfachung der Verwaltung von Terminalservern können Sie auch die Plattformseite "Windows 2000/2003 Terminal Server" verwenden, wenn Sie Richtlinien festlegen möchten, die auf beide Plattformen angewendet werden sollen.
Beim Konfigurieren von Windows-Gruppenrichtlinien für Terminalserver sollten Sie Folgendes beachten:
Angewandte Einstellungstypen: Auf Terminalserver werden nur die Einstellungen unter
unter angewendet. Die Optionen und stehen für Terminalserver nicht zur Verfügung.Abmeldeskripten: In einer Terminalserverumgebung werden Abmeldeskripten nicht unterstützt.
Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzerpaket. Klicken Sie auf Plattformseite.
und dann auf die gewünschteBei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:
Windows NT:
Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie in Interoperabilität mit Windows NT 4-Arbeitsstationen
im Novell ZENworks 7 Desktop Management-Installationshandbuch.
Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.
In ZENworks 7 wurde die Option
der Plattformseite "Windows NT-2000-XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.Aktivieren Sie in der Spalte
das Kontrollkästchen für die Windows-Gruppenrichtlinie.Dadurch wird die Richtlinie ausgewählt und aktiviert.
Klicken Sie auf
, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.
Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.
Falls Sie im Feld
eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, denen die Gruppenrichtlinie zugeteilt wird. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.(Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf
.Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.
(Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf
.Weitere Informationen hierzu finden Sie in Abschnitt 15.9.4, Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.
(Optional) Aktivieren Sie das Kontrollkästchen
, um festzulegen, dass die übertragenen Gruppenrichtlinien nach dem Abmelden des Benutzers auf dem Windows-Desktop wirksam bleiben.WICHTIG:Die Einstellungen
und sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.(Optional) Aktivieren Sie das Kontrollkästchen
.Das Ablegen von Benutzerkonfigurations-Einstellungen im Cache unterscheidet sich vom Aktivieren des Kontrollkästchens
.Die Option
bietet Verwaltern die Möglichkeit, die Gruppenrichtlinieneinstellungen des letzten angemeldeten Benutzers beizubehalten. Diese Einschränkung hat zur Folge, dass jeder Benutzer, der sich lokal anmeldet (nur Arbeitsstation), die Gruppenrichtlinieneinstellungen der letzten Person erhält, die sich auf dieser Arbeitsstation im Netzwerk angemeldet hat. Wenn sich ein Verwalter als letzter Benutzer auf einer bestimmten Arbeitsstation im Netzwerk angemeldet hat, erhält jeder Benutzer, der sich danach anmeldet, die Richtlinieneinstellungen des Verwalters.Um dies zu vermeiden, können Sie das Kontrollkästchen
aktivieren, damit alle Benutzereinstellungen in den Cache übernommen werden.Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Benutzerpakets aktivieren:
Wird das Kontrollkästchen registry.pol im Profil des jeweiligen Benutzers gelesen und dann angewendet. Es werden nur die in der Datei registry.pol im Ordner \user gespeicherten Einstellungen in den Cache übernommen. Andere Einstellungen werden nicht in den Cache übernommen, einschließlich Anmelde-/Abmeldeskripten, Computer- und Sicherheitseinstellungen.
aktiviert, werden die Benutzerkonfigurationseinstellungen der gültigen Windows-Gruppenrichtlinien jedes Benutzers im lokalen Profil der jeweiligen Benutzer gespeichert. Wenn sich die Benutzer lokal anmelden, werden die Benutzereinstellungen aus der im Cache abgelegten Kopie der DateiWICHTIG:Die Einstellungen
und sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.Aktivieren Sie im Feld
die gewünschten Optionen.Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.
Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter
über die Windows-Gruppenrichtlinie durch.Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter
(ausgenommen ) über die Windows-Gruppenrichtlinie durch.Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter
aktiviert, einschließlich der folgenden: , , und . Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.Auf Terminalserver werden nur die Einstellungen unter
unter angewendet. Die Optionen und stehen für Terminalserver nicht zur Verfügung.Klicken Sie auf die Registerkarte
und wählen Sie einen Zeitplantyp aus:Sie können auf
klicken, um zusätzliche Einstellungen festzulegen, beispielsweise , , , und . Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche auf jeder Registerkarte.Klicken Sie zum Speichern der Richtlinie auf
.Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten in Abschnitt 15.13, Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.
Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Arbeitsstationspaket, klicken Sie auf Plattformseite.
und dann auf die gewünschteBei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:
Windows NT:
Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie in Interoperabilität mit Windows NT 4-Arbeitsstationen
im Novell ZENworks 7 Desktop Management-Installationshandbuch.
Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.
In ZENworks 7 wurde die Option
der Plattformseite "Windows NT-2000-XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.Aktivieren Sie in der Spalte
das Kontrollkästchen für die Windows-Gruppenrichtlinie.Dadurch wird die Richtlinie ausgewählt und aktiviert.
Klicken Sie auf
, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.
Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.
Falls Sie im Feld
eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, die die Gruppenrichtlinie erhalten. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.(Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf
.Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.
(Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf
.Weitere Informationen hierzu finden Sie in Abschnitt 15.9.4, Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.
(Optional) Aktivieren Sie das Kontrollkästchen
.Hiermit geben Sie an, dass in der Windows-Gruppenrichtlinie des Arbeitsstationspakets unabhängig von der Netzwerkverbindung alle von Desktop Management unterstützten Arbeitsstationseinstellungen (Benutzer-, Computer- und Sicherheitseinstellungen) gültig bleiben können (im Cache gespeichert werden).
Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Arbeitsstationspakets aktivieren:
Wird das Kontrollkästchen Windows_Verzeichnis\system32\group policy.wkscache gespeicherten gültigen Windows-Gruppenrichtlinieneinstellungen der Arbeitsstation angewendet, auch wenn sich die Arbeitsstation nicht als Arbeitsstationsobjekt im Netzwerk anmelden kann (zum Beispiel wenn keine Verbindung zwischen Arbeitsstation und Netzwerk besteht).
aktiviert, werden die bereits unterAktivieren Sie im Feld
die gewünschten Optionen.Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.
Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter
über die Windows-Gruppenrichtlinie durch.Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter
(ausgenommen ) über die Windows-Gruppenrichtlinie durch.Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter
aktiviert, einschließlich der folgenden: , , und . Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.(Optional) Aktivieren Sie das Kontrollkästchen
und wählen Sie dann einen Modus aus.Durch Aktivieren dieser Option erhalten die Arbeitsstationspaketrichtlinien Vorrang vor den Benutzerpaketrichtlinien. Die Loopback-Unterstützung verfügt über zwei Modi, den Ersetzungsmodus und den Zusammenführungsmodus.
Richtlinieneinstellungen des Benutzers nicht anwenden (Ersetzungsmodus): Wählen Sie diese Option aus, wenn alle Richtlinieneinstellungen des Benutzers ignoriert werden sollen. Richtlinieneinstellungen der Arbeitsstation werden jedoch angewendet.
Richtlinieneinstellungen der Arbeitsstation zuletzt anwenden (Zusammenführungsmodus): Wählen Sie diese Option aus, um zuerst die Richtlinieneinstellungen des Benutzers und dann die der Arbeitsstation anzuwenden. Hiermit können Sie Benutzereinstellungen anwenden; bei Konflikten haben jedoch die Arbeitsstationseinstellungen Vorrang. Wenn eine Benutzereinstellung keinen Konflikt verursacht, bleibt sie in Kraft.
Klicken Sie auf die Registerkarte
und wählen Sie einen Zeitplantyp aus:Da das Laden der Windows-Desktopdateien beendet ist, bevor die Einstellungen der Gruppenrichtlinien geladen werden, kann es bei einigen Gruppenrichtlinien im Arbeitsstationspaket zu Fehlern kommen, sofern diese bei der Benutzeranmeldung ausgeführt werden sollen. Insbesondere werden keine Änderungen der Desktopeinstellungen durchgeführt (z. B. das Verbergen von Symbolen). Ebenso wenig werden Programme gestartet, die bei der Benutzeranmeldung mittels Anmeldeskript gestartet werden. Wenn sich der Benutzer ab- und wieder anmeldet, werden die Einstellungen korrekt angezeigt.
Um dies zu vermeiden, konfigurieren Sie die Gruppenrichtlinien im Arbeitsstationspaket dahingehend, dass sie nicht bei der Anmeldung ausgeführt werden. Konfigurieren Sie sie stattdessen so, dass sie regelmäßig (z. B. täglich) beim Systemstart ausgeführt werden.
Wenn Sie Gruppenrichtlinien so konfigurieren, dass sie Startskripten ausführen, und festlegen, dass die Richtlinien beim Systemstart ausgeführt werden, sollten Sie die Option Schritt 7 auswählen. Da Windows 2000/XP nach Startskripten sucht und diese ausführt, bevor der Arbeitsstations-Manager Richtlinien beglaubigt und anwendet, können Gruppenrichtlinien, für die Sie die Ausführung von Startskripten konfigurieren, möglicherweise nicht ausgeführt werden, wenn ihr Start beim Systemstart geplant ist. Wenn Sie die Option auswählen, werden die Gruppenrichtlinieneinstellungen des Arbeitsstationspakets (und die Startskripten) im Cache gespeichert. Sie können dann beim nächsten Systemstart ordnungsgemäß angewendet werden.
ausSie können auf
klicken, um zusätzliche Einstellungen festzulegen, beispielsweise , , , und . Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche auf jeder Registerkarte.Klicken Sie zum Speichern der Richtlinie auf
.Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten in Abschnitt 15.13, Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.
Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket, klicken Sie auf Plattformseite.
und dann auf die entsprechendeAktivieren Sie in der Spalte
das Kontrollkästchen für die Windows-Gruppenrichtlinie.Dadurch wird die Richtlinie ausgewählt und aktiviert.
Klicken Sie auf
, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.
Klicken Sie auf
.Wenn Sie auf die Schaltfläche
klicken, wird der MMC-Editor (Microsoft Management Console) gestartet, in dem Sie eine Benutzerpaketrichtlinie oder eine Arbeitsstationspaketrichtlinie bearbeiten können. Weitere Informationen hierzu finden Sie über die Schaltfläche der Dialogfelder. Nachdem Sie die Richtlinie bearbeitet haben, klicken Sie auf die Schaltfläche .Beachten Sie beim Bearbeiten von Gruppenrichtlinien die folgenden Punkte:
Verzeichnispfad: Stellen Sie sicher, dass Sie den richtigen Verzeichnispfad gewählt haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse \adm, \user und \machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.
Sicherheitseinstellungen, die in Windows XP nicht bearbeitet werden können: Aufgrund von Änderungen in Windows XP können Sie die folgenden Windows XP-Sicherheitseinstellungen nicht mit Desktop Management bearbeiten:
Überprüfung der Betriebssystemversion und der Service Pack-Stufe in ZENworks 7: ZENworks 7 wurde eine neue Funktion hinzugefügt, mit der die Betriebssystemversion und die Service Pack-Stufe bei der Bearbeitung von Gruppenrichtlinien auf allen Plattformen geprüft werden, auf denen Gruppenrichtlinien bearbeitet werden können (Windows 2000, Windows XP und Windows Server 2003). Wenn Sie beispielsweise eine Gruppenrichtlinie auf einer Arbeitsstation mit Windows XP SP2 bearbeiten, die auf einer Arbeitsstation mit Windows XP SP1 (oder einer früheren Version) erstellt wurde, zeigt ZENworks ein Warnungsdialogfeld an. ZENworks verhindert außerdem, dass Sie eine Gruppenrichtlinie bearbeiten, die auf einer Arbeitsstation mit Windows XP SP2 erstellt wurde, wenn Sie eine Arbeitsstation mit Windows XP oder Windows XP SP1 verwenden.
Deaktivieren von Gruppenrichtlinieneinstellungen unter Verwendung von ZENworks 7: In ZENworks 7 wurde eine neue Funktion hinzugefügt, mit der Sie bestimmte Gruppenrichtlinieneinstellungen deaktivieren können, ohne die zukünftige Bearbeitung der Richtlinie zu verhindern.
In früheren Versionen von ZENworks wurde durch das Deaktivieren bestimmter Einstellungen der Gruppenrichtlinieneditor deaktiviert. Die Richtlinie konnte dann zukünftig nicht mehr bearbeitet werden. Hierbei handelt es sich unter anderem um folgende Einstellungen (je nach Betriebssystem und Service Pack-Stufe sind möglicherweise nicht alle Einstellungen vorhanden):
Wenn Sie eine dieser Einstellungen deaktivieren und anschließend versuchen, die Richtlinie zu bearbeiten, wird eine Fehlermeldung angezeigt. Diese informiert Sie darüber, dass das Snap-In durch die Richtlinie eingeschränkt wurde. Darüber hinaus wird der Gruppenrichtlinieneditor nicht geöffnet.
Um dieses Problem zu vermeiden, wurden diese Einstellungen in ZENworks 7 aus der Gruppenrichtlinie entfernt und an einem temporären lokalen Speicherort abgelegt. Wenn Sie den Editor schließen, werden die Einstellungen in der temporären Datei mit den Einstellungen in der neu konfigurierten Gruppenrichtlinie zusammengeführt. Wenn Sie bei geöffnetem Editor Änderungen an diesen Einstellungen vorgenommen haben, die nun einen Konflikt mit den in der temporären Datei gespeicherten Einstellungen aufweisen, haben die neuen Einstellungen Vorrang vor den in die temporäre Datei übernommenen ursprünglichen Einstellungen.
Klicken Sie zum Speichern der Richtlinie auf
.Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket, klicken Sie auf Plattformseite.
und dann auf die entsprechendeAktivieren Sie in der Spalte
das Kontrollkästchen für die Windows-Gruppenrichtlinie.Dadurch wird die Richtlinie ausgewählt und aktiviert.
Klicken Sie auf
, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.
Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf
und füllen Sie dann die folgenden Felder aus.Wählen Sie eine Importoption aus:
Active Directory-Ordner importieren: Hiermit können Sie alle Gruppenrichtlinien im Active Directory-Ordner importieren. Geben Sie bei Wahl dieser Option im Feld
den UNC-Pfad des Ordners mit den von Active Directory erstellten Gruppenrichtlinien an, die zu dem im Feld angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen des Verzeichnisses kennen, von dem aus Sie die Active Directory-Gruppenrichtlinie importieren, oder diesen suchen. Den eindeutigen Namen finden Sie in den Eigenschaften der Active Directory-Gruppenrichtlinie.Sicherheitseinstellungsdatei importieren: Hiermit können Sie Sicherheitseinstellungen aus einer Datei importieren. Geben Sie bei Wahl dieser Option im Feld
den UNC-Pfad der Datei mit den von Active Directory erstellten Sicherheitseinstellungen an, die zu dem im Feld angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen der Datei kennen, die Sie in die Gruppenrichtlinie importieren.Mithilfe von importierten Sicherheitseinstellungen können Verwalter lediglich bestimmte Sicherheitseinstellungen festlegen, ohne dass sich dies auf alle übrigen Sicherheitseinstellungen auswirkt. Sicherheitseinstellungen können aus einer Active Directory-Gruppenrichtlinie importiert oder mit dem Sicherheitsvorlagen-Snapin von Microsoft Management Console (MMC) erstellt werden. Weitere Informationen hierzu finden Sie in Erstellen von Sicherheitseinstellungen mit dem Sicherheitsvorlagen-Snapin von Microsoft Management Console (MMC).
Wenn Sie eine Active Directory-Gruppenrichtlinie mit Sicherheitseinstellungen oder eine Sicherheitseinstellungsdatei importieren, werden die importierten Einstellungen in einer neuen Datei mit der Bezeichnung zensec.inf gespeichert.
Die Sicherheitseinstellungen in der Datei zensec.inf werden anstelle der bei der Bearbeitung der Gruppenrichtlinie in MMC angezeigten regulären Sicherheitseinstellungen verwendet. Die in MMC angezeigten Sicherheitseinstellungen sind nicht korrekt und vorgenommene Änderungen werden nicht angewendet. Wenn bei der Bearbeitung einer Gruppenrichtlinie importierte Sicherheitseinstellungen ermittelt werden, wird der Benutzer in einer Meldung darüber informiert, dass anstelle der regulären Sicherheitseinstellungen die Einstellungen aus der Datei zensec.inf verwendet werden. Außerdem erhält der Benutzer die Möglichkeit, die Einstellungen aus der Datei zensec.inf anzuzeigen.
WICHTIG:Verwenden Sie für Gruppenrichtlinien UNC-Pfade statt zugeordneter Laufwerke.
Klicken Sie auf
.Dadurch wird die Active Directory-Gruppenrichtlinie oder -Datei in das im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" angegebene Verzeichnis kopiert. Falls das angegebene Verzeichnis noch nicht vorhanden ist, wird es erstellt.
ACHTUNG:Stellen Sie sicher, dass Sie im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" den richtigen Verzeichnispfad angegeben haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse \adm, \user und \machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.
Klicken Sie zum Speichern der Richtlinie auf
.Es empfiehlt sich, neue Sicherheitseinstellungen einzurichten, statt bestehende Sicherheitseinstellungen in MMC zu bearbeiten. Wenn Sie bestehende Sicherheitseinstellungen bearbeiten, enthalten diese möglicherweise Standardeinstellungen, die Sie nicht benötigen und deren Verarbeitung unter Umständen sehr zeitintensiv ist. Durch das Generieren neuer Einstellungen lässt sich dieses Problem vermeiden.
HINWEIS:Sie müssen als Verwalter oder als Mitglied der Gruppe "Administratoren" angemeldet sein, um Sicherheitsvorlagen erstellen zu können. Möglicherweise verhindern auch bestimmte Netzwerkrichtlinieneinstellungen, dass Sie Sicherheitsvorlagen erstellen können.
So erstellen Sie neue Sicherheitseinstellungen mit dem Sicherheitsvorlagen-Snapin:
Klicken Sie auf
und dann auf .Geben Sie mmc ein und klicken Sie dann auf
.Klicken Sie auf
, um das Dialogfeld "Snap-in hinzufügen/entfernen" anzuzeigen.Klicken Sie auf der Seite "Eigenständig" auf
.Klicken Sie auf der Seite "Eigenständiges Snap-in hinzufügen" auf
und dann auf . Klicken Sie anschließend auf , um das Dialogfeld "Eigenständiges Snap-in hinzufügen" zu schließen.Klicken Sie im Dialogfeld "Snap-in hinzufügen/entfernen" auf
.(Optional) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf "Sicherheitsvorlagen", klicken Sie auf
und wählen Sie dann den neuen Speicherort aus.Ein Ordner mit dem Pfad des neuen Speicherorts wird in der Konsolenstruktur angezeigt.
Klicken Sie mit der rechten Maustaste auf den Ordner, in dem die neue Vorlage gespeichert werden soll. Klicken Sie dann auf
.Geben Sie einen Namen und eine Beschreibung für die Vorlage ein und klicken Sie dann auf
.Doppelklicken Sie in der Konsolenstruktur auf die neue Sicherheitsvorlage, um die Sicherheitsbereiche anzuzeigen. Wählen Sie die zu konfigurierende Sicherheitseinstellung aus, die dann im rechten Fensterbereich angezeigt wird.
Doppelklicken Sie auf die Sicherheitseinstellung, die Sie konfigurieren möchten, aktivieren Sie die Option
im Kontrollkästchen , bearbeiten Sie die Einstellungen und klicken Sie dann auf .Klicken Sie auf
und dann auf .Geben Sie mmc ein und klicken Sie dann auf
.Klicken Sie auf
, um das Dialogfeld "Snap-in hinzufügen/entfernen" anzuzeigen.Klicken Sie auf der Seite "Eigenständig" auf
.Klicken Sie auf der Seite "Eigenständiges Snap-in hinzufügen" auf
und dann auf . Klicken Sie anschließend auf , um das Dialogfeld "Eigenständiges Snap-in hinzufügen" zu schließen.Klicken Sie im Dialogfeld "Snap-in hinzufügen/entfernen" auf
.(Optional) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf
, klicken Sie auf und wählen Sie dann den neuen Speicherort aus.Ein Ordner mit dem Pfad des neuen Speicherorts wird in der Konsolenstruktur angezeigt.
Klicken Sie mit der rechten Maustaste auf den Ordner, in dem die neue Vorlage gespeichert werden soll. Klicken Sie dann auf
.Geben Sie einen Namen und eine Beschreibung für die Vorlage ein und klicken Sie dann auf
.Doppelklicken Sie in der Konsolenstruktur auf die neue Sicherheitsvorlage, um die Sicherheitsbereiche anzuzeigen. Wählen Sie die zu konfigurierende Sicherheitseinstellung aus, die dann im rechten Fensterbereich angezeigt wird.
Doppelklicken Sie auf die Sicherheitseinstellung, die Sie konfigurieren möchten, aktivieren Sie die Option
im Kontrollkästchen , bearbeiten Sie die Einstellungen und klicken Sie dann auf .