15.9 Windows-Gruppenrichtlinie (Benutzer- und Arbeitsstationspakete)

Gruppenrichtlinien können für Windows 2000/XP-Arbeitsstationen (Benutzer- und Arbeitsstationspaket) und für Windows 2000/2003 Terminal Server (nur Benutzerpaket) festgelegt und bearbeitet werden.

HINWEIS:Die Windows-Gruppenrichtlinie ist sowohl im Benutzerpaket als auch im Arbeitsstationspaket enthalten. Wenn Sie die Windows-Gruppenrichtlinie im Benutzerpaket konfigurieren, gilt die Richtlinie für alle verknüpften Benutzer, unabhängig davon, welche Arbeitsstation sie verwenden. Wenn Sie die Windows-Gruppenrichtlinie im Arbeitsstationspaket konfigurieren, gilt die Richtlinie für alle Benutzer, die sich an einer verknüpften Arbeitsstation anmelden.

Folgende Abschnitte enthalten zusätzliche Informationen:

15.9.1 Windows-Gruppenrichtlinie

Diese Windows-Gruppenrichtlinie stellt eine Erweiterung für erweiterbare Windows 2000/XP- und Active Directory-Richtlinien dar. Es gibt einige Überschneidungen in den Richtlinieneinstellungen der Windows-Gruppenrichtlinien und der erweiterbaren Desktop Management-Richtlinien, beispielsweise bei Benutzerkonfiguration > Administrative Vorlagen. Weitere Informationen zu erweiterbaren Richtlinien finden Sie in Abschnitt 15.2, Erweiterte Computer/Benutzerrichtlinien (Arbeitsstations-/Benutzerpakete).

HINWEIS:Konfigurieren Sie Gruppenrichtlinien auf einem Windows 2000-Domänencontroller nicht mit ConsoleOne. Um Gruppenrichtlinien über ConsoleOne zu bearbeiten, sollten Sie Windows 2000-Gruppenrichtlinien auf einer Windows 2000-Arbeitsstation und Windows XP-Gruppenrichtlinien auf einer Windows XP-Arbeitsstation bearbeiten.

Wenn eine Arbeitsstation zwar Mitglied einer Active Directory-Domäne ist, jedoch nicht mit der Domäne verbunden ist, gelten die im Benutzer- und im Arbeitsstationspaket enthaltenen Windows-Gruppenrichtlinien nicht.

Die Verteilung der Gruppenrichtlinien mithilfe von ZENworks Desktop Management an Arbeitsstationen oder Benutzer, an die bereits Gruppenrichtlinien über Active Directory verteilt wurden (oder umgekehrt), wird nicht unterstützt, da das Ergebnis nicht vorhersehbar ist. ZENworks Desktop Management unterstützt die Verteilung von Active Directory-Einstellungen. Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.

Sie müssen UNC-Pfade anstelle zugeordneter Laufwerke verwenden, um diese Richtlinie in Desktop Management zu importieren. Dies hat folgende Gründe:

  • Benutzer können ihre Anmeldeskripten und damit die Laufwerkzuordnungen ändern.
  • Arbeitsstationsobjekte werden meistens vor den Benutzern angemeldet. Deshalb sind keine Laufwerkzuordnungen verfügbar.

Bei Verwendung von UNC-Pfaden wird die Richtlinie gefunden, solange der Server verfügbar ist.

Die Gruppenrichtlinien haben sich seit der ersten Version von ZENworks for Desktops 3 wesentlich geändert. Weitere Informationen hierzu finden Sie in folgenden Abschnitten:

Additive Gruppenrichtlinien

Gruppenrichtlinien sind jetzt additiv. Dies bedeutet, dass Einstellungen von mehreren Windows-Gruppenrichtlinien kumulativ statt einzeln wirksam sind. Einstellungen von mehrere Windows-Gruppenrichtlinien können Benutzer und Arbeitsstationen beeinflussen. Richtlinien beginnen mit den lokalen Einstellungen für Windows-Gruppenrichtlinien und werden in der umgekehrten Richtlinien-Suchreihenfolge angewendet. Dies bedeutet, dass die Einstellung einer Richtlinie, die zuerst erscheint, die niedrigste Priorität aufweist und deren Wert von allen anderen Richtlinien mit der gleichen Einstellung überschrieben wird.

Sicherheitseinstellungen sind nicht additiv und werden somit von der letzten effektiven Richtlinie festgelegt.

Überprüfen der Revision

Windows-Gruppenrichtlinien verfolgen jetzt die Revisionen von aktiven Richtlinien. Solange die Liste der effektiven Richtlinien und der Revisionen unverändert bleibt, werden Windows-Gruppenrichtlinien nicht verarbeitet, verwenden aber die im Cache abgelegte Gruppenrichtlinie.

HINWEIS:Wenn auf die Schaltfläche Richtlinien bearbeiten geklickt wird, ändert sich die Revision einer Windows-Gruppenrichtlinie. Die Richtlinien müssen dann neu verarbeitet werden.

Caching von Gruppenrichtlinien

Die letzte verarbeitete Windows-Gruppenrichtlinie wird lokal im Cache gespeichert. Dadurch wird der Netzwerkverkehr vermindert, weil Windows-Gruppenrichtlinien nur bei Bedarf ausgeführt werden. Wenn sich BenutzerA bei einem neuen Computer anmeldet, werden die effektiven Gruppenrichtlinien ausgeführt und anschließend im Cache gespeichert.

Wenn sich BenutzerA abmeldet und sich BenutzerB mit den gleichen effektiven Gruppenrichtlinien wie BenutzerA anmeldet, wird die lokal im Cache gespeicherte Gruppenrichtlinie wiederhergestellt. Die Windows-Gruppenrichtlinien werden nicht neu verarbeitet. Wenn es sich um eine abweichende Liste der effektiven Richtlinien handelt oder die Revision einer beliebigen Richtlinie geändert wurde, werden die Windows-Gruppenrichtlinien neu verarbeitet.

Der Windows-Gruppenrichtlinienimplementierung von Desktop Management wurde eine neue Funktionalität hinzugefügt. Die Einstellungen der Windows-Gruppenrichtlinie im Benutzerpaket und im Arbeitsstationspaket können selbst dann wirksam bleiben, wenn die Arbeitsstation vom Netzwerk getrennt wird.

Dauerhafte und temporäre Einstellungen

Der Verwalter bestimmt, ob Windows-Gruppenrichtlinien dauerhaft oder temporär sind. Dauerhafte Einstellungen zeigen an, dass die Windows-Gruppenrichtlinien nach ihrer Festlegung selbst dann gültig bleiben, wenn sich ein Benutzer nur bei einer Arbeitsstation und nicht im Netzwerk anmeldet.

Temporäre Einstellungen zeigen an, dass die ursprünglichen lokalen Einstellungen für Windows-Gruppenrichtlinien in folgenden Fällen wiederhergestellt werden:

  • Der Benutzer meldet sich ab (die Gruppenrichtlinieneinstellungen des Benutzers werden entfernt).
  • Das System wird heruntergefahren (die Gruppenrichtlinieneinstellungen der Arbeitsstation werden entfernt).

Verwenden von Gruppenrichtlinien auf Terminalservern

Windows-Gruppenrichtlinien können in einem Benutzerpaket für Windows 2000 und Windows 2003 Terminal Server konfiguriert werden. Zur Vereinfachung der Verwaltung von Terminalservern können Sie auch die Plattformseite "Windows 2000/2003 Terminal Server" verwenden, wenn Sie Richtlinien festlegen möchten, die auf beide Plattformen angewendet werden sollen.

Beim Konfigurieren von Windows-Gruppenrichtlinien für Terminalserver sollten Sie Folgendes beachten:

  • Angewandte Einstellungstypen: Auf Terminalserver werden nur die Einstellungen unter Benutzerkonfiguration unter Angewandte Einstellungstypen angewendet. Die Optionen Computerkonfiguration und Sicherheitseinstellungen stehen für Terminalserver nicht zur Verfügung.

  • Abmeldeskripten: In einer Terminalserverumgebung werden Abmeldeskripten nicht unterstützt.

15.9.2 Windows-Gruppenrichtlinie im Benutzerpaket konfigurieren

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzerpaket. Klicken Sie auf Eigenschaften und dann auf die gewünschte Plattformseite.

    Bei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:

    • Windows NT: Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie in Interoperabilität mit Windows NT 4-Arbeitsstationen im Novell ZENworks 7 Desktop Management-Installationshandbuch.

    • Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.

      In ZENworks 7 wurde die Option Bearbeiten der Plattformseite "Windows NT-2000-XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.

  2. Aktivieren Sie in der Spalte Aktiviert das Kontrollkästchen für die Windows-Gruppenrichtlinie.

    Dadurch wird die Richtlinie ausgewählt und aktiviert.

  3. Klicken Sie auf Eigenschaften, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

    Die Seite "Windows-Gruppenrichtlinien".
  4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

    Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.

    Falls Sie im Feld Netzwerkstandort bestehender/neuer Gruppenrichtlinien eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, denen die Gruppenrichtlinie zugeteilt wird. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.

  5. (Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf Richtlinie importieren.

    Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.

  6. (Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf Richtlinien bearbeiten.

    Weitere Informationen hierzu finden Sie in Abschnitt 15.9.4, Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.

  7. (Optional) Aktivieren Sie das Kontrollkästchen Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam, um festzulegen, dass die übertragenen Gruppenrichtlinien nach dem Abmelden des Benutzers auf dem Windows-Desktop wirksam bleiben.

    WICHTIG:Die Einstellungen Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam und Benutzerkonfiguration im Cache speichern sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.

  8. (Optional) Aktivieren Sie das Kontrollkästchen Benutzerkonfiguration im Cache speichern.

    Das Ablegen von Benutzerkonfigurations-Einstellungen im Cache unterscheidet sich vom Aktivieren des Kontrollkästchens Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam.

    Die Option Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam bietet Verwaltern die Möglichkeit, die Gruppenrichtlinieneinstellungen des letzten angemeldeten Benutzers beizubehalten. Diese Einschränkung hat zur Folge, dass jeder Benutzer, der sich lokal anmeldet (nur Arbeitsstation), die Gruppenrichtlinieneinstellungen der letzten Person erhält, die sich auf dieser Arbeitsstation im Netzwerk angemeldet hat. Wenn sich ein Verwalter als letzter Benutzer auf einer bestimmten Arbeitsstation im Netzwerk angemeldet hat, erhält jeder Benutzer, der sich danach anmeldet, die Richtlinieneinstellungen des Verwalters.

    Um dies zu vermeiden, können Sie das Kontrollkästchen Benutzerkonfiguration im Cache speichern aktivieren, damit alle Benutzereinstellungen in den Cache übernommen werden.

    Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Benutzerpakets aktivieren:

    • Die Funktion für das Caching von Benutzereinstellungen kann sowohl unter NetWare als auch unter Windows auf dem Backend ausgeführt werden. Wenn Sie einen Windows-Server auf dem Backend verwenden, müssen Sie Folgendes berücksichtigen:
      • Der Benutzer muss mit einem lokalen Benutzerkonto angemeldet sein; es darf sich nicht um ein im Cache enthaltenes Domänenkonto handeln. Die Windows-Gruppenrichtlinieneinstellungen gelten für Domänenkonten, solange sich der Benutzer bei einer Domäne anmeldet. Wenn sich der Benutzer nicht bei einer Domäne anmeldet, aber ein im Cache enthaltenes Domänenkonto verwendet, gelten die Windows-Gruppenrichtlinieneinstellungen von Desktop Management nicht.
      • Wenn Sie Gruppenrichtliniendateien auf einem Active Directory-Server speichern, müssen Benutzername und Passwort für Active Directory mit dem eDirectory-Berechtigungsnachweis übereinstimmen.
    • Benutzer müssen über eindeutige lokale Benutzerkonten verfügen. Die Windows-Gruppenrichtlinien werden im lokalen Benutzerprofil im Cache gespeichert. Daher benötigen Benutzer mit verschiedenen gültigen Windows-Gruppenrichtlinien auch unterschiedliche lokale Benutzerkonten.
    • Jeder Benutzer benötigt ein Profil auf dem Computer, auf dem die Einstellungen im Cache gespeichert werden sollen. Sie können das Profil mithilfe lokaler Benutzerkonten oder dynamischer lokaler Benutzerkonten (DLU, Dynamic Local User) zur Verfügung stellen; das Konto kann jedoch nicht entfernt werden. Wenn die DLU-Richtlinie das lokale Benutzerkonto entfernt (entweder mithilfe eines temporären Benutzerkontos oder eines abgelaufenen im Cache gespeicherten temporären Benutzerkontos), kann sich der Benutzer nicht lokal anmelden.
    • Nur die Einstellungen aus der Datei \user\registry.pol werden im Cache gespeichert. Dies entspricht in etwa den Benutzereinstellungen im Gruppenrichtlinieneditor mit Ausnahme der Anmelde-/Abmeldeskripten (diese werden im Skriptordner unter \user gespeichert und daher nicht in den Cache übernommen).

    Wird das Kontrollkästchen Benutzerkonfiguration im Cache speichern aktiviert, werden die Benutzerkonfigurationseinstellungen der gültigen Windows-Gruppenrichtlinien jedes Benutzers im lokalen Profil der jeweiligen Benutzer gespeichert. Wenn sich die Benutzer lokal anmelden, werden die Benutzereinstellungen aus der im Cache abgelegten Kopie der Datei registry.pol im Profil des jeweiligen Benutzers gelesen und dann angewendet. Es werden nur die in der Datei registry.pol im Ordner \user gespeicherten Einstellungen in den Cache übernommen. Andere Einstellungen werden nicht in den Cache übernommen, einschließlich Anmelde-/Abmeldeskripten, Computer- und Sicherheitseinstellungen.

    WICHTIG:Die Einstellungen Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam und Benutzerkonfiguration im Cache speichern sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.

  9. Aktivieren Sie im Feld Angewandte Einstellungstypen die gewünschten Optionen.

    Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.

    Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter Benutzerkonfiguration über die Windows-Gruppenrichtlinie durch.

    Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter Computerkonfiguration (ausgenommen Sicherheitseinstellungen) über die Windows-Gruppenrichtlinie durch.

    Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen aktiviert, einschließlich der folgenden: Kontorichtlinien, Lokale Richtlinien, Richtlinien für öffentliche Schlüssel und IP-Sicherheitsrichtlinien auf dem lokalen Computer. Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.

    Auf Terminalserver werden nur die Einstellungen unter Benutzerkonfiguration unter Angewandte Einstellungstypen angewendet. Die Optionen Computerkonfiguration und Sicherheitseinstellungen stehen für Terminalserver nicht zur Verfügung.

  10. Klicken Sie auf die Registerkarte Richtlinienzeitplan und wählen Sie einen Zeitplantyp aus:

    • Paketzeitplan
    • Ereignis
    • Täglich
    • Wöchentlich
    • Monatlich
    • Jährlich

    Sie können auf Erweiterte Einstellungen klicken, um zusätzliche Einstellungen festzulegen, beispielsweise Beendigung, Fehler, Identitätsannahme, Priorität und Zeitlimit. Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche Hilfe auf jeder Registerkarte.

  11. Klicken Sie zum Speichern der Richtlinie auf OK.

  12. Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten in Abschnitt 15.13, Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.

15.9.3 Windows-Gruppenrichtlinie im Arbeitsstationspaket konfigurieren

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Arbeitsstationspaket, klicken Sie auf Eigenschaften und dann auf die gewünschte Plattformseite.

    Bei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:

    • Windows NT: Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie in Interoperabilität mit Windows NT 4-Arbeitsstationen im Novell ZENworks 7 Desktop Management-Installationshandbuch.

    • Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.

      In ZENworks 7 wurde die Option Bearbeiten der Plattformseite "Windows NT-2000-XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.

  2. Aktivieren Sie in der Spalte Aktiviert das Kontrollkästchen für die Windows-Gruppenrichtlinie.

    Dadurch wird die Richtlinie ausgewählt und aktiviert.

  3. Klicken Sie auf Eigenschaften, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

    Die Seite "Windows-Gruppenrichtlinien".
  4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

    Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.

    Falls Sie im Feld Netzwerkstandort bestehender/neuer Gruppenrichtlinien eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, die die Gruppenrichtlinie erhalten. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.

  5. (Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf Richtlinie importieren.

    Weitere Informationen hierzu finden Sie in Abschnitt 15.9.5, Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren.

  6. (Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf Richtlinien bearbeiten.

    Weitere Informationen hierzu finden Sie in Abschnitt 15.9.4, Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.

  7. (Optional) Aktivieren Sie das Kontrollkästchen Arbeitsstationseinstellungen beibehalten.

    Hiermit geben Sie an, dass in der Windows-Gruppenrichtlinie des Arbeitsstationspakets unabhängig von der Netzwerkverbindung alle von Desktop Management unterstützten Arbeitsstationseinstellungen (Benutzer-, Computer- und Sicherheitseinstellungen) gültig bleiben können (im Cache gespeichert werden).

    Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Arbeitsstationspakets aktivieren:

    • Die Funktion zum Beibehalten von Arbeitsstationseinstellungen kann sowohl unter NetWare als auch unter Windows auf dem Backend ausgeführt werden. Wenn ein Windows-Server auf dem Backend verwendet wird und Windows-Gruppenrichtliniendateien auf einem Windows-Server gespeichert werden, muss die Arbeitsstation ein Mitglied dieser Domäne sein.
    • Wenn Sie die Funktion zum Beibehalten von Arbeitsstationseinstellungen verwenden möchten, muss die Option Gruppenrichtlinien-Loopback-Unterstützung in der Windows-Gruppenrichtlinie deaktiviert sein, die den Arbeitsstationen zugeordnet ist, für die Einstellungen im Cache gespeichert werden sollen (hierzu gehören auch die Optionen Ersetzungsmodus und Zusammenführungsmodus). Wird die Loopback-Unterstützung nicht aktiviert, hat beim Auftreten von Konflikten hinsichtlich der Einstellungen die Konfiguration in der Richtlinie des Benutzers stets Vorrang vor der Konfiguration in der Windows-Gruppenrichtlinie des Arbeitsstationspakets.

    Wird das Kontrollkästchen Arbeitsstationseinstellungen beibehalten aktiviert, werden die bereits unter Windows_Verzeichnis\system32\group policy.wkscache gespeicherten gültigen Windows-Gruppenrichtlinieneinstellungen der Arbeitsstation angewendet, auch wenn sich die Arbeitsstation nicht als Arbeitsstationsobjekt im Netzwerk anmelden kann (zum Beispiel wenn keine Verbindung zwischen Arbeitsstation und Netzwerk besteht).

  8. Aktivieren Sie im Feld Angewandte Einstellungstypen die gewünschten Optionen.

    Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.

    Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter Benutzerkonfiguration über die Windows-Gruppenrichtlinie durch.

    Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter Computerkonfiguration (ausgenommen Sicherheitseinstellungen) über die Windows-Gruppenrichtlinie durch.

    Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen aktiviert, einschließlich der folgenden: Kontorichtlinien, Lokale Richtlinien, Richtlinien für öffentliche Schlüssel und IP-Sicherheitsrichtlinien auf dem lokalen Computer. Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.

  9. (Optional) Aktivieren Sie das Kontrollkästchen Gruppenrichtlinien-Loopback-Unterstützung und wählen Sie dann einen Modus aus.

    Durch Aktivieren dieser Option erhalten die Arbeitsstationspaketrichtlinien Vorrang vor den Benutzerpaketrichtlinien. Die Loopback-Unterstützung verfügt über zwei Modi, den Ersetzungsmodus und den Zusammenführungsmodus.

    Richtlinieneinstellungen des Benutzers nicht anwenden (Ersetzungsmodus): Wählen Sie diese Option aus, wenn alle Richtlinieneinstellungen des Benutzers ignoriert werden sollen. Richtlinieneinstellungen der Arbeitsstation werden jedoch angewendet.

    Richtlinieneinstellungen der Arbeitsstation zuletzt anwenden (Zusammenführungsmodus): Wählen Sie diese Option aus, um zuerst die Richtlinieneinstellungen des Benutzers und dann die der Arbeitsstation anzuwenden. Hiermit können Sie Benutzereinstellungen anwenden; bei Konflikten haben jedoch die Arbeitsstationseinstellungen Vorrang. Wenn eine Benutzereinstellung keinen Konflikt verursacht, bleibt sie in Kraft.

  10. Klicken Sie auf die Registerkarte Richtlinienzeitplan und wählen Sie einen Zeitplantyp aus:

    • Paketzeitplan
    • Ereignis
    • Täglich
    • Wöchentlich
    • Monatlich
    • Jährlich

    Da das Laden der Windows-Desktopdateien beendet ist, bevor die Einstellungen der Gruppenrichtlinien geladen werden, kann es bei einigen Gruppenrichtlinien im Arbeitsstationspaket zu Fehlern kommen, sofern diese bei der Benutzeranmeldung ausgeführt werden sollen. Insbesondere werden keine Änderungen der Desktopeinstellungen durchgeführt (z. B. das Verbergen von Symbolen). Ebenso wenig werden Programme gestartet, die bei der Benutzeranmeldung mittels Anmeldeskript gestartet werden. Wenn sich der Benutzer ab- und wieder anmeldet, werden die Einstellungen korrekt angezeigt.

    Um dies zu vermeiden, konfigurieren Sie die Gruppenrichtlinien im Arbeitsstationspaket dahingehend, dass sie nicht bei der Anmeldung ausgeführt werden. Konfigurieren Sie sie stattdessen so, dass sie regelmäßig (z. B. täglich) beim Systemstart ausgeführt werden.

    Wenn Sie Gruppenrichtlinien so konfigurieren, dass sie Startskripten ausführen, und festlegen, dass die Richtlinien beim Systemstart ausgeführt werden, sollten Sie die Option Arbeitsstationseinstellungen beibehalten aus Schritt 7 auswählen. Da Windows 2000/XP nach Startskripten sucht und diese ausführt, bevor der Arbeitsstations-Manager Richtlinien beglaubigt und anwendet, können Gruppenrichtlinien, für die Sie die Ausführung von Startskripten konfigurieren, möglicherweise nicht ausgeführt werden, wenn ihr Start beim Systemstart geplant ist. Wenn Sie die Option Arbeitsstationseinstellungen beibehalten auswählen, werden die Gruppenrichtlinieneinstellungen des Arbeitsstationspakets (und die Startskripten) im Cache gespeichert. Sie können dann beim nächsten Systemstart ordnungsgemäß angewendet werden.

    Sie können auf Erweiterte Einstellungen klicken, um zusätzliche Einstellungen festzulegen, beispielsweise Beendigung, Fehler, Identitätsannahme, Priorität und Zeitlimit. Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche Hilfe auf jeder Registerkarte.

  11. Klicken Sie zum Speichern der Richtlinie auf OK.

  12. Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten in Abschnitt 15.13, Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.

15.9.4 Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket, klicken Sie auf Eigenschaften und dann auf die entsprechende Plattformseite.

  2. Aktivieren Sie in der Spalte Aktiviert das Kontrollkästchen für die Windows-Gruppenrichtlinie.

    Dadurch wird die Richtlinie ausgewählt und aktiviert.

  3. Klicken Sie auf Eigenschaften, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

  4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

  5. Klicken Sie auf Richtlinien bearbeiten.

    Wenn Sie auf die Schaltfläche Richtlinien bearbeiten klicken, wird der MMC-Editor (Microsoft Management Console) gestartet, in dem Sie eine Benutzerpaketrichtlinie oder eine Arbeitsstationspaketrichtlinie bearbeiten können. Weitere Informationen hierzu finden Sie über die Schaltfläche Hilfe der Dialogfelder. Nachdem Sie die Richtlinie bearbeitet haben, klicken Sie auf die Schaltfläche Schließen.

    Beachten Sie beim Bearbeiten von Gruppenrichtlinien die folgenden Punkte:

    • Verzeichnispfad: Stellen Sie sicher, dass Sie den richtigen Verzeichnispfad gewählt haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse \adm, \user und \machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.

    • Sicherheitseinstellungen, die in Windows XP nicht bearbeitet werden können: Aufgrund von Änderungen in Windows XP können Sie die folgenden Windows XP-Sicherheitseinstellungen nicht mit Desktop Management bearbeiten:

      • Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie:

         Kennwort muss Komplexitätsvoraussetzungen entsprechen    Kennwort mit umkehrbarer Verschlüsselung speichern

      • Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen:

         Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen    Konten: Verwalterkontostatus    Konten: Gastkontostatus

    • Überprüfung der Betriebssystemversion und der Service Pack-Stufe in ZENworks 7: ZENworks 7 wurde eine neue Funktion hinzugefügt, mit der die Betriebssystemversion und die Service Pack-Stufe bei der Bearbeitung von Gruppenrichtlinien auf allen Plattformen geprüft werden, auf denen Gruppenrichtlinien bearbeitet werden können (Windows 2000, Windows XP und Windows Server 2003). Wenn Sie beispielsweise eine Gruppenrichtlinie auf einer Arbeitsstation mit Windows XP SP2 bearbeiten, die auf einer Arbeitsstation mit Windows XP SP1 (oder einer früheren Version) erstellt wurde, zeigt ZENworks ein Warnungsdialogfeld an. ZENworks verhindert außerdem, dass Sie eine Gruppenrichtlinie bearbeiten, die auf einer Arbeitsstation mit Windows XP SP2 erstellt wurde, wenn Sie eine Arbeitsstation mit Windows XP oder Windows XP SP1 verwenden.

    • Deaktivieren von Gruppenrichtlinieneinstellungen unter Verwendung von ZENworks 7: In ZENworks 7 wurde eine neue Funktion hinzugefügt, mit der Sie bestimmte Gruppenrichtlinieneinstellungen deaktivieren können, ohne die zukünftige Bearbeitung der Richtlinie zu verhindern.

      In früheren Versionen von ZENworks wurde durch das Deaktivieren bestimmter Einstellungen der Gruppenrichtlinieneditor deaktiviert. Die Richtlinie konnte dann zukünftig nicht mehr bearbeitet werden. Hierbei handelt es sich unter anderem um folgende Einstellungen (je nach Betriebssystem und Service Pack-Stufe sind möglicherweise nicht alle Einstellungen vorhanden):

      • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console:

          Autorenmodus für Benutzer nicht zulassen    Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken

      • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console > Eingeschränkte/Zugelassene Snap-Ins > Gruppenrichtlinie:

          Gruppenrichtlinienverwaltung    Gruppenrichtlinienobjekt-Editor

      • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console > Eingeschränkte/Zugelassene Snap-Ins > Gruppenrichtlinie > Gruppenrichtlinien-Snap-In-Erweiterungen:

          Administrative Vorlagen (Computer)    Administrative Vorlagen (Benutzer)    Ordnerumleitung    Internet Explorer-Wartung    Remoteinstallationsdienste    Skripten (Anmelden/Abmelden)    Skripten (Start/Herunterfahren)    Sicherheitseinstellungen    Software-Installation (Computer)    Software-Installation (Benutzer)    Richtlinien für Drahtlosnetzwerke (IEEE 802.11)

      Wenn Sie eine dieser Einstellungen deaktivieren und anschließend versuchen, die Richtlinie zu bearbeiten, wird eine Fehlermeldung angezeigt. Diese informiert Sie darüber, dass das Snap-In durch die Richtlinie eingeschränkt wurde. Darüber hinaus wird der Gruppenrichtlinieneditor nicht geöffnet.

      Um dieses Problem zu vermeiden, wurden diese Einstellungen in ZENworks 7 aus der Gruppenrichtlinie entfernt und an einem temporären lokalen Speicherort abgelegt. Wenn Sie den Editor schließen, werden die Einstellungen in der temporären Datei mit den Einstellungen in der neu konfigurierten Gruppenrichtlinie zusammengeführt. Wenn Sie bei geöffnetem Editor Änderungen an diesen Einstellungen vorgenommen haben, die nun einen Konflikt mit den in der temporären Datei gespeicherten Einstellungen aufweisen, haben die neuen Einstellungen Vorrang vor den in die temporäre Datei übernommenen ursprünglichen Einstellungen.

  6. Klicken Sie zum Speichern der Richtlinie auf OK.

15.9.5 Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) importieren

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket, klicken Sie auf Eigenschaften und dann auf die entsprechende Plattformseite.

  2. Aktivieren Sie in der Spalte Aktiviert das Kontrollkästchen für die Windows-Gruppenrichtlinie.

    Dadurch wird die Richtlinie ausgewählt und aktiviert.

  3. Klicken Sie auf Eigenschaften, um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

  4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

  5. Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf Richtlinie importieren und füllen Sie dann die folgenden Felder aus.

    1. Wählen Sie eine Importoption aus:

      Active Directory-Ordner importieren: Hiermit können Sie alle Gruppenrichtlinien im Active Directory-Ordner importieren. Geben Sie bei Wahl dieser Option im Feld Ursprungsverzeichnis den UNC-Pfad des Ordners mit den von Active Directory erstellten Gruppenrichtlinien an, die zu dem im Feld Zielverzeichnis für migrierte Gruppenrichtlinien angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen des Verzeichnisses kennen, von dem aus Sie die Active Directory-Gruppenrichtlinie importieren, oder diesen suchen. Den eindeutigen Namen finden Sie in den Eigenschaften der Active Directory-Gruppenrichtlinie.

      Sicherheitseinstellungsdatei importieren: Hiermit können Sie Sicherheitseinstellungen aus einer Datei importieren. Geben Sie bei Wahl dieser Option im Feld Ursprungsverzeichnis den UNC-Pfad der Datei mit den von Active Directory erstellten Sicherheitseinstellungen an, die zu dem im Feld Zielverzeichnis für migrierte Gruppenrichtlinien angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen der Datei kennen, die Sie in die Gruppenrichtlinie importieren.

      Mithilfe von importierten Sicherheitseinstellungen können Verwalter lediglich bestimmte Sicherheitseinstellungen festlegen, ohne dass sich dies auf alle übrigen Sicherheitseinstellungen auswirkt. Sicherheitseinstellungen können aus einer Active Directory-Gruppenrichtlinie importiert oder mit dem Sicherheitsvorlagen-Snapin von Microsoft Management Console (MMC) erstellt werden. Weitere Informationen hierzu finden Sie in Erstellen von Sicherheitseinstellungen mit dem Sicherheitsvorlagen-Snapin von Microsoft Management Console (MMC).

      Wenn Sie eine Active Directory-Gruppenrichtlinie mit Sicherheitseinstellungen oder eine Sicherheitseinstellungsdatei importieren, werden die importierten Einstellungen in einer neuen Datei mit der Bezeichnung zensec.inf gespeichert.

      Die Sicherheitseinstellungen in der Datei zensec.inf werden anstelle der bei der Bearbeitung der Gruppenrichtlinie in MMC angezeigten regulären Sicherheitseinstellungen verwendet. Die in MMC angezeigten Sicherheitseinstellungen sind nicht korrekt und vorgenommene Änderungen werden nicht angewendet. Wenn bei der Bearbeitung einer Gruppenrichtlinie importierte Sicherheitseinstellungen ermittelt werden, wird der Benutzer in einer Meldung darüber informiert, dass anstelle der regulären Sicherheitseinstellungen die Einstellungen aus der Datei zensec.inf verwendet werden. Außerdem erhält der Benutzer die Möglichkeit, die Einstellungen aus der Datei zensec.inf anzuzeigen.

      WICHTIG:Verwenden Sie für Gruppenrichtlinien UNC-Pfade statt zugeordneter Laufwerke.

    2. Klicken Sie auf Importieren.

      Dadurch wird die Active Directory-Gruppenrichtlinie oder -Datei in das im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" angegebene Verzeichnis kopiert. Falls das angegebene Verzeichnis noch nicht vorhanden ist, wird es erstellt.

      ACHTUNG:Stellen Sie sicher, dass Sie im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" den richtigen Verzeichnispfad angegeben haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse \adm, \user und \machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.

  6. Klicken Sie zum Speichern der Richtlinie auf OK.

Erstellen von Sicherheitseinstellungen mit dem Sicherheitsvorlagen-Snapin von Microsoft Management Console (MMC)

Es empfiehlt sich, neue Sicherheitseinstellungen einzurichten, statt bestehende Sicherheitseinstellungen in MMC zu bearbeiten. Wenn Sie bestehende Sicherheitseinstellungen bearbeiten, enthalten diese möglicherweise Standardeinstellungen, die Sie nicht benötigen und deren Verarbeitung unter Umständen sehr zeitintensiv ist. Durch das Generieren neuer Einstellungen lässt sich dieses Problem vermeiden.

HINWEIS:Sie müssen als Verwalter oder als Mitglied der Gruppe "Administratoren" angemeldet sein, um Sicherheitsvorlagen erstellen zu können. Möglicherweise verhindern auch bestimmte Netzwerkrichtlinieneinstellungen, dass Sie Sicherheitsvorlagen erstellen können.

So erstellen Sie neue Sicherheitseinstellungen mit dem Sicherheitsvorlagen-Snapin:

  1. Klicken Sie auf Start und dann auf Ausführen.

  2. Geben Sie mmc ein und klicken Sie dann auf OK.

  3. Klicken Sie auf Datei > Snap-in hinzufügen/entfernen, um das Dialogfeld "Snap-in hinzufügen/entfernen" anzuzeigen.

  4. Klicken Sie auf der Seite "Eigenständig" auf Hinzufügen.

  5. Klicken Sie auf der Seite "Eigenständiges Snap-in hinzufügen" auf Sicherheitsvorlagen und dann auf Hinzufügen. Klicken Sie anschließend auf Schließen, um das Dialogfeld "Eigenständiges Snap-in hinzufügen" zu schließen.

  6. Klicken Sie im Dialogfeld "Snap-in hinzufügen/entfernen" auf OK.

  7. (Optional) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf "Sicherheitsvorlagen", klicken Sie auf Neuer Vorlagensuchpfad und wählen Sie dann den neuen Speicherort aus.

    Ein Ordner mit dem Pfad des neuen Speicherorts wird in der Konsolenstruktur angezeigt.

  8. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem die neue Vorlage gespeichert werden soll. Klicken Sie dann auf Neue Vorlage.

  9. Geben Sie einen Namen und eine Beschreibung für die Vorlage ein und klicken Sie dann auf OK.

  10. Doppelklicken Sie in der Konsolenstruktur auf die neue Sicherheitsvorlage, um die Sicherheitsbereiche anzuzeigen. Wählen Sie die zu konfigurierende Sicherheitseinstellung aus, die dann im rechten Fensterbereich angezeigt wird.

  11. Doppelklicken Sie auf die Sicherheitseinstellung, die Sie konfigurieren möchten, aktivieren Sie die Option Diese Richtlinieneinstellung definieren im Kontrollkästchen Vorlage, bearbeiten Sie die Einstellungen und klicken Sie dann auf OK.

  1. Klicken Sie auf Start und dann auf Ausführen.

  2. Geben Sie mmc ein und klicken Sie dann auf OK.

  3. Klicken Sie auf Datei > Snap-in hinzufügen/entfernen, um das Dialogfeld "Snap-in hinzufügen/entfernen" anzuzeigen.

  4. Klicken Sie auf der Seite "Eigenständig" auf Hinzufügen.

  5. Klicken Sie auf der Seite "Eigenständiges Snap-in hinzufügen" auf Sicherheitsvorlagen und dann auf Hinzufügen. Klicken Sie anschließend auf Schließen, um das Dialogfeld "Eigenständiges Snap-in hinzufügen" zu schließen.

  6. Klicken Sie im Dialogfeld "Snap-in hinzufügen/entfernen" auf OK.

  7. (Optional) Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Sicherheitsvorlagen, klicken Sie auf Neuer Vorlagensuchpfad und wählen Sie dann den neuen Speicherort aus.

    Ein Ordner mit dem Pfad des neuen Speicherorts wird in der Konsolenstruktur angezeigt.

  8. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem die neue Vorlage gespeichert werden soll. Klicken Sie dann auf Neue Vorlage.

  9. Geben Sie einen Namen und eine Beschreibung für die Vorlage ein und klicken Sie dann auf OK.

  10. Doppelklicken Sie in der Konsolenstruktur auf die neue Sicherheitsvorlage, um die Sicherheitsbereiche anzuzeigen. Wählen Sie die zu konfigurierende Sicherheitseinstellung aus, die dann im rechten Fensterbereich angezeigt wird.

  11. Doppelklicken Sie auf die Sicherheitseinstellung, die Sie konfigurieren möchten, aktivieren Sie die Option Diese Richtlinieneinstellung definieren im Kontrollkästchen Vorlage, bearbeiten Sie die Einstellungen und klicken Sie dann auf OK.