Holger Voges, Martin Dausch
Gruppenrichtlinien in Windows Server und Windows 10
Ein praktischer Leitfaden für die Windows-Verwaltung
Inhalt
6
Vorwort
14
Wissenswertes zu diesem Buch
16
1 Einleitung
22
1.1 Was sind Gruppenrichtlinien?
22
1.2 Auf welche Objekte wirken Gruppenrichtlinien?
23
1.3 Wann werden Gruppenrichtlinien verarbeitet?
23
1.4 Wie viele Gruppenrichtlinien sollte man verwenden?
24
1.5 Worauf muss man beim Ändern von Einstellungen achten?
24
1.6 Was Sie brauchen, um die Aufgaben nachvollziehen zu können
25
2 Die Gruppenrichtlinienverwaltung
26
2.1 Einführung
26
2.2 Gruppenrichtlinienverwaltung auf einem Server installieren
27
2.3 Gruppenrichtlinienverwaltung erkunden
29
2.4 Gruppenrichtlinienverknüpfungen und -objekte
29
2.5 Gruppenrichtlinienobjekte im Detail
30
2.5.1 Register Bereich einer Gruppenrichtlinie
30
2.5.2 Register Details eines GPO
31
2.5.3 Register Einstellungen eines GPO
32
2.5.4 Register Delegierung eines GPO
33
2.5.5 Register Status eines GPO
33
2.6 Standorte und Gruppenrichtlinien
34
2.7 Weitere Elemente der Gruppenrichtlinienverwaltung
35
2.8 Gruppenrichtlinie erstellen
35
2.9 Gruppenrichtlinie verknüpfen
35
2.10 Gruppenrichtlinie bearbeiten
36
3 Verarbeitungsreihenfolge von Gruppenrichtlinien
38
3.1 Einführung
38
3.2 Grundlagen der Gruppenrichtlinienverarbeitung
38
3.3 Verarbeitungsreihenfolge in der Gruppenrichtlinienverarbeitung
39
3.4 Anpassungen der Verarbeitungsreihenfolge von GPOs
41
3.4.1 Bereiche von GPOs deaktivieren
41
3.4.2 Verknüpfungen aktivieren/deaktivieren
43
3.4.3 Vererbung deaktivieren
43
3.4.4 Erzwingen von GPOs
44
3.5 Loopbackverarbeitungsmodus
45
3.5.1 Loopbackverarbeitungsmodus einrichten
46
4 Gruppenrichtlinien filtern
50
4.1 Einführung
50
4.2 Filtern über Gruppenzugehörigkeiten
51
4.2.1 Sicherheitsfilterung verwenden
51
4.2.2 Berechtigungen verweigern
53
4.3 WMI-Filter
55
4.3.1 Einführung in WMI
55
4.3.2 WQL zum Filtern von GPOs
59
4.3.3 WMI-Filter erstellen
59
4.3.4 WMI-Filter anwenden
61
4.3.5 WMI-Filter entfernen
62
4.3.6 WMI-Filter exportieren
62
4.3.7 WMI-Filter importieren
63
4.3.8 Beispiele von WMI-Abfragen für WMI-Filter
63
4.3.9 WMI-Filter optimieren
64
5 Gruppenrichtlinien-Infrastruktur planen
66
5.1 Einführung
66
5.2 AD-Design und GPOs
67
5.2.1 OUs und Gruppenrichtlinien
68
5.2.2 GPOs und Sicherheitsfilterung
72
5.3 Wie viele Einstellungen gehören in ein GPO?
73
5.4 Benennung von GPOs
74
5.5 Dokumentieren von GPOs
75
5.6 Testen von GPOs
79
5.7 Empfohlene Vorgehensweisen
83
6 Softwareverteilung mit Gruppenrichtlinien
86
6.1 Einführung
86
6.2 Konzepte
87
6.2.1 Unterstützte Dateitypen
87
6.2.2 Softwareverteilung an Benutzer oder Computer
88
6.2.3 Zuweisen und Veröffentlichen
89
6.2.4 Kategorien
91
6.3 Praktisches Vorgehen
91
6.3.1 Vorbereitung
91
6.3.2 Gruppenrichtlinie für Zuweisung an Computer erstellen
92
6.3.3 Gruppenrichtlinie konfigurieren
92
6.3.4 Gruppenrichtlinienobjekt verknüpfen
94
6.3.5 Verteilung testen
94
6.3.6 Veröffentlichen für Benutzer
94
6.4 Eigenschaften von Paketen bearbeiten
95
6.4.1 Register Allgemein
95
6.4.2 Register Bereitstellung von Software
96
6.4.3 Register Aktualisierungen
97
6.4.4 Register Kategorien
99
6.4.5 Register Änderungen
99
6.4.6 Register Sicherheit
100
6.5 Probleme bei der Softwareverteilung
100
6.6 Software verteilen mit Specops Deploy/App
101
6.6.1 Verteilen der Client Side Extension
102
6.6.2 Erstellen eines Software-Verteilungspakets
103
6.6.3 Überprüfen der Installation
111
6.6.4 Ziele angeben mit Targetting
113
6.6.5 Konfiguration von Specops Deploy/App
115
6.6.6 Specops und PowerShell
115
6.6.7 Fazit
116
7 Sicherheitseinstellungen
118
7.1 Einführung
118
7.2 Namensauflösungsrichtlinie
119
7.3 Kontorichtlinien
121
7.3.1 Kennwortrichtlinien
122
7.3.2 Kontosperrungsrichtlinien
123
7.3.3 Kerberos-Richtlinien
124
7.3.4 Empfohlene Einstellungen für Kontorichtlinien
124
7.4 Lokale Richtlinien
125
7.4.1 Überwachungsrichtlinien
126
7.4.2 Zuweisen von Benutzerrechten
127
7.4.3 Sicherheitsoptionen
128
7.5 Ereignisprotokoll
137
7.6 Eingeschränkte Gruppen
139
7.7 Systemdienste, Registrierung und Dateisystem
141
7.7.1 Systemdienste
141
7.7.2 Registrierung
142
7.7.3 Dateisystem
143
7.8 Richtlinien im Bereich Netzwerksicherheit
144
7.8.1 Richtlinien für Kabelnetzwerke
144
7.8.2 Windows Firewall
146
7.8.3 Netzwerklisten-Manager-Richtlinien
153
7.8.4 Drahtlosnetzwerkrichtlinien
156
7.8.5 Richtlinien für öffentliche Schlüssel
160
7.8.6 Softwareeinschränkungen
171
7.8.7 Netzwerkzugriffsschutz
176
7.8.8 Anwendungssteuerung mit AppLocker
176
7.8.9 IP-Sicherheitsrichtlinien
192
7.8.10 Erweiterte Überwachungsrichtlinienkonfiguration
192
7.9 Sicherheitsvorlagen und das Security Compliance Toolkit
194
7.9.1 Sicherheitsvorlagen
195
7.9.2 Der Policy Analyzer
198
7.9.3 Security Baselines anwenden
202
7.9.4 Der Security Compliance Manager
203
8 Administrative Vorlagen
204
8.1 Einführung
204
8.2 ADMX und ADML
205
8.3 Zentraler Speicher
206
8.4 ADM-Vorlagen hinzufügen
209
8.5 Administrative Vorlagen verwalten
210
8.6 Administrative Vorlagen – Computerkonfiguration
213
8.6.1 Drucker
213
8.6.2 Netzwerkeinstellungen
215
8.6.3 Startmenü und Taskleiste
221
8.6.4 System
221
8.6.5 Systemsteuerung
237
8.6.6 Windows-Komponenten
238
8.7 Administrative Vorlagen – Benutzerkonfiguration
260
8.7.1 Desktop
260
8.7.2 Netzwerk
262
8.7.3 Startmenü und Taskleiste
262
8.7.4 System
263
8.7.5 Systemsteuerung
267
8.7.6 Windows-Komponenten
271
8.8 Einstellungen finden
274
8.8.1 Administrative Vorlagen filtern
274
8.8.2 Group Policy Settings Reference
278
8.8.3 getadmx.com
279
9 Erweitern von administrativen Vorlagen
282
9.1 Einführung
282
9.2 ADMX-Datei erweitern
283
9.3 ADML-Datei an erweiterte ADMX-Datei anpassen
286
9.4 ADM-Datei in ADMX-Datei umwandeln
288
9.5 Eigene ADMX-Dateien erstellen
288
10 Windows-Einstellungen: Benutzerkonfiguration
292
10.1 Einführung
292
10.2 An- und Abmeldeskripte
294
10.3 Softwareeinschränkungen
294
10.4 Ordnerumleitungen
294
10.4.1 Probleme, die Ordnerumleitungen lösen
296
10.4.2 Probleme, die die Ordnerumleitung schafft
296
10.5 Richtlinienbasierter QoS (Quality of Service)
304
11 Gruppenrichtlinien-Einstellungen
308
11.1 Einführung
308
11.2 Gruppenrichtlinieneinstellungen konfigurieren
309
11.2.1 Das CRUD-Prinzip
309
11.2.2 Zielgruppenadressierung auf Elementebene
312
11.2.3 Variablen
318
11.3 Die Einstellungen im Detail
319
11.3.1 Windows-Einstellungen
320
11.3.2 Systemsteuerungseinstellungen
329
11.4 Weitere Optionen
350
11.4.1 XML-Darstellung und Migration der Einstellungen
350
11.4.2 Kopieren, Umbenennen und Deaktivieren
351
11.4.3 Gemeinsame Optionen
352
11.5 Fehlersuche
354
12 Gruppenrichtlinien in Windows 10
360
12.1 Windows 10 ? Software as a Service
360
12.1.1 Windows Updates verteilen
362
12.1.2 Windows Update for Business
363
12.1.3 Übermittlungsoptimierung/Delivery Optimization
369
12.1.4 Bereitstellungsringe verwenden
373
12.2 Windows 10 und die Privatsphäre
376
12.2.1 Windows Telemetrie
376
12.2.2 Funktionsdaten
382
12.2.3 Weitere Datenschutzoptionen
384
12.2.4 Windows Defender Smartscreen konfigurieren
384
12.3 Der Microsoft Store
387
12.4 Oberfläche anpassen
392
12.4.1 Startmenü und Taskleiste
392
12.4.2 Programmverknüpfungen anpassen
397
12.5 Edge Browser
400
12.6 Virtualisierungsbasierte Sicherheit
404
12.6.1 Windows Defender Credential Guard
405
12.6.2 Windows Defender Application Control/Device Guard
406
12.6.3 Application Guard
409
12.7 Clientkonfiguration aus der Cloud
413
13 Funktionsweise von Gruppenrichtlinien
416
13.1 Die Rolle der Domänencontroller
416
13.2 Die Replikation des SYSVOL-Ordners
426
13.3 Gruppenrichtlinien auf Standorten
428
13.4 Die Rolle des Clients
429
13.4.1 Client Side Extensions
430
13.4.2 Verarbeitung der GPOs – synchron/asynchron
433
13.4.3 Verarbeitung der GPOs – Vordergrund/Hintergrund
436
13.4.4 Gruppenrichtlinien-Zwischenspeicherung
442
13.4.5 Windows-Schnellstart
443
13.4.6 Slow Link Detection
444
13.4.7 Loopbackverarbeitung
445
14 Verwalten von Gruppenrichtlinienobjekten
448
14.1 Einführung
448
14.2 Gruppenrichtlinienobjekte (GPOs) sichern und wiederherstellen
448
14.2.1 GPO sichern
449
14.2.2 Alle GPOs sichern
450
14.2.3 GPO wiederherstellen
451
14.2.4 Sicherungen verwalten
452
14.3 Einstellungen importieren und migrieren
453
14.3.1 Einstellungen importieren
453
14.3.2 Einstellungen migrieren
455
14.4 Starter-Gruppenrichtlinienobjekte
457
14.5 Massenaktualisierung
459
15 Fehlersuche und Problembehebung
462
15.1 Einführung
462
15.2 Gruppenrichtlinienergebnisse
463
15.2.1 Gruppenrichtlinienergebnis-Assistent
464
15.2.2 Gruppenrichtlinienergebnis untersuchen
465
15.3 Gruppenrichtlinienmodellierung
472
15.3.1 Gruppenrichtlinienmodellierungs-Assistent
472
15.3.2 Gruppenrichtlinienmodellierung auswerten
476
15.4 GPResult
478
15.5 Gruppenrichtlinien-Eventlog
479
15.6 Debug-Logging
481
15.7 Performanceanalyse
483
16 Advanced Group Policy Management (AGPM)
486
16.1 Gruppenrichtlinien in Teams bearbeiten
486
16.2 Installation von AGPM
489
16.2.1 Vorbereitende Maßnahmen
490
16.2.2 Installation des Servers
491
16.2.3 Installation des Clients
494
16.2.4 Clients konfigurieren
496
16.3 AGPM-Einrichtung
498
16.4 Der Richtlinien-Workflow (1)
501
16.5 AGPM-Rollen und Berechtigungen
502
16.6 Der Richtlinien-Workflow (2)
509
16.7 Versionierung, Papierkorb, Backup
519
16.8 Vorlagen
522
16.9 Exportieren, Importieren und Testen
524
16.10 Labeln, Differenzen anzeigen, Suchen
529
16.11 Das Archiv, Sichern des Archivs
533
16.12 Logging und Best Practices
536
16.13 Zusammenfassung
537
17 Gruppenrichtlinien und PowerShell
538
17.1 Skripte mit Gruppenrichtlinien ausführen
539
17.1.1 Das (korrekte) Konfigurieren von Anmeldeskripten
540
17.1.2 Startreihenfolge und Startzeit von Skripten
543
17.2 Windows PowerShell mit GPOs steuern und überwachen
544
17.3 Gruppenrichtlinienobjekte mit PowerShell verwalten
552
17.3.1 Dokumentieren, sichern, wiederherstellen
552
17.3.2 Health Check
559
17.3.3 Mit Kennwortrichtlinien und WMI-Filtern arbeiten
574
17.3.4 Ein neues Gruppenrichtlinienobjekt anlegen
577
17.3.5 Sonstige Cmdlets
579
17.4 Externe Ressourcen
582
17.5 PowerShell deaktivieren
585
17.6 Zusammenfassung
587
18 Desired State Configuration
588
18.1 Was ist DSC?
588
18.2 Ist DSC der Ersatz für Gruppenrichtlinien?
589
18.3 Grundlagen und Einrichtung
591
18.4 Erstellen einer Computerkonfiguration
593
18.5 Konfigurieren des LCM
602
18.6 Ausblick
603
Index
604
© 2009-2024 ciando GmbH