Archiv der Kategorie: Active Directory

Active Directory, AD DS, Verzeichnisdienst, Windows Domäne

Teil 2d: Filtern von Gruppenrichtlinienobjekten

Veröffentlicht am von
Antworten

Um für eine bestimmte Gruppe von Benutzern in der gleichen OU Einstellungen zu verteilen, kann man mit Hilfe einer Sicherheitsgruppe filtern. Das funktioniert auch umgekehrt: Einstellungen für alle, außer einer bestimmten Gruppe von Benutzern in der gleichen OU verteilen. Erst wenn alle Filter richtig konfiguriert sind, das GPO mit der OU verknüpfen.

Am Ende des Artikels werde ich das GPO und Sicherheitsgruppen wieder löschen.

Weitere Informationen: Core Network Companion Guide: Group Policy Deployment

 Sicherheitsgruppen in Active Directory erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk\Sicherheitsgruppen erweitern
  4. Sicherheitsgruppen rechts anklicken > New > Group
    GP_FILTER-001
  5. New Object – Group
    1. Group name: GPO_ApplyTestSettings > OK
      GP_FILTER-002
  6. GPO_ApplyTestSettings rechts anklicken > Properties
    GP_FILTER-003
  7. Auf den Reiter Members wechseln > Add… > USER1 > Check Names > OK
    GP_FILTER-004
  8. Fenster mit OK schließen
  9. Folgende Gruppe anlegen:
    1. Name: GPO_NotApplyTestSettings
    2. Members: USER2
      GP_FILTER-005
  10. Fenster schließen

Gruppenrichtlinienobjekt erzeugen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM – Test Settings erstellen
    GP_FILTER-019
  4. Auf den Reiter Details wechseln
  5. Auf der rechten Seite die Computer-Einstellungen deaktivieren
    GP_FILTER-020

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Das GPO CUSTOM – Test Settings markieren
  2. Auf der rechten Seite am Reiter Scope im Bereich Security Filtering die Gruppe auf Add… klicken
  3. GPO_ApplyTestSettings > Check Names > OK
    GPOFiltering-002
  4. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  5. Authenticated Users markieren
  6. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  7. OK
    GPOFiltering-005
  8. GPO mit der gewünschten OU verknüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings nur noch von den Mitgliedern der Gruppe GPO_ApplyTestSettings übernommen.

Gruppenrichtlinienobjekt außer für eine Gruppe konfigurieren

Die Einstellungen habe ich zurückgesetzt.

  1. Das GPO CUSTOM – Test Settings markieren
    GP_FILTER-025
  2. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GP_FILTER-023
  3. CUSTOM – Test Settings Security Settings
    1. Add… > GPO_NotApplyTestSettings > Check Names > OK
    2. Folgende Rechte konfigurieren
      1. Read > Deny
      2. Apply group policy > Deny
        GP_FILTER-013
    3. Fenster mit OK schließen
      GP_FILTER-024
  4. GPO mit der gewünschten OU vernüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings von allen authentifizierten -, außer den Benutzern in der Gruppe GPO_NotApplyTestSettings übernommen.

Mittels WMI Gruppenrichtlinienobjekte filtern

Die Einstellungen habe ich zurückgesetzt.

Jetzt möchte ich, dass die Einstellungen nur auf Windows 8.1 Update 1-Rechnern übernommen werden. Das kann man mittels WMI (Windows Management Instrumentation) erreichen. Die Abfrage werde ich zuerst mit PowerShell testen. Der abgefragte Produkttyp hat folgende Bedeutung:

  • ProductType 1 = Client
  • ProductType 2 = Domain Controller
  • ProductType 3 = Mitgliedserver

Das ist wichtig, weil z.B. Windows 8.1 Update 1 und Windows Server 2012 R2 die gleiche Versionsnummer zurückgeben.

Weitere Informationen: WMI Overview

  1. PowerShell als Administrator starten
  2. Mit folgendem Befehl das Betriebssystem, die Version und den Produkttyp mittels WMI abfragen 
    Get-WMIObject -Query "SELECT * FROM Win32_OperatingSystem WHERE Version LIKE '6.3%' AND ProductType = '2'"

    GP_FILTER-027

  3. Für die Abfrage von Windows 8.1 Update 1 ProductType = ‚2‘ nach ProductType = ‚1‘ ändern
  4. In der GPMC WMI Filters rechts anklicken > New…
    GP_FILTER-028
  5. New WMI Filter
    1. Name: Windows 8.1 Update 1
    2. Description: HD, 08.06.2015
    3. Queries > Add…
    4. WMI Query
      1. Name space: root\CIMv2
      2. Query: SELECT * FROM Win32_OperatingSystem WHERE Version LIKE „6.3%“ AND ProductType = „1“ > OKGP_FILTER-016
    5. Save
      GP_FILTER-017
  6. Das GPO CUSTOM – Test Settings markieren
  7. Auf der rechten Seite am Reiter Scope im Bereich WMI Filtering im Pull-down-Menü Windows 8.1 Update 1 auswählen
    GP_FILTER-029

GPO mit der gewünschten OU verknüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings von allen authentifizierten Benutzern auf Windows 8.1 Update 1-Rechnern übernommen.

Weitere Informationen

  • Man kann Security- und WMI Filtering ganz einfach kombinieren.
    GP_FILTER-030
  • Windows Server 2003: select * from Win32_OperatingSystem where Version like „5.2%“ and ProductType = „3“
  • Windows Server 2008: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType = „3“
  • Windows Server 2008 R2: select * from Win32_OperatingSystem where Version like „6.1%“ and ProductType = „3“
  • Windows Server 2012: select * from Win32_OperatingSystem where Version like „6.2%“ and ProductType = „3“
  • Windows Server 2012 R2: select * from Win32_OperatingSystem where Version like „6.3%“ and ProductType = „3“
  • Windows XP: select * from Win32_OperatingSystem where (Version like „5.1%“ or Version like „5.2%“) and ProductType = „1“
  • Windows Vista: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType = „1“
  • Windows 7: select * from Win32_OperatingSystem where Version like „6.1%“ and ProductType = „1“
  • Windows 8: select * from Win32_OperatingSystem where Version like „6.2%“ and ProductType = „1“
  • Windows 8.1: select * from Win32_OperatingSystem where Version like „6.3%“ and ProductType = „1“
  • Windows 10: select * from Win32_OperatingSystem where Version like „10.%“ and ProductType = „1“
  • Windows Vista und Windows Server 2008: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType <> „2“
  • Windows Server 2003 und Windows Server 2008: select * from Win32_OperatingSystem where (Version like „5.2%“ or Version like „6.0%“) and ProductType = „3“
  • Windows 2000, XP und 2003: select * from Win32_OperatingSystem where Version like „5.%“ and ProductType <> „2“

Teil 2a: Zentralen Speicher für administrative Vorlagendateien (ADMX / ADML) konfigurieren

Veröffentlicht am von
1

Bevor ich mit der Erstellung der GPOs beginne, möchte ich den zentralen Speicher für die administrativen Vorlagedateien konfigurieren. Damit werden diese vom SYSVOL am Domain Controller geladen und nicht aus dem lokalen Speicher am Client. So wird sichergestellt, dass alle Gruppenrichtlinien-Administratoren die gleichen Vorlagen zur Verfügung haben, sollten weitere hinzugefügt werden z.B. Office oder MDOP.

Vorbereitung

  1. Administrative Templates (.admx) for Windows 8.1 Update and Windows Server 2012 R2 Update herunterladen
  2. Windows8.1-Update-ADMX.msi installieren

Speicherort der Vorlagedateien feststellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Group Policy Objects erweitern
  4. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  5. Computer Configuration > Policies erweitern
  6. Administrative Templates markieren
    GPO-007
  7. Group Policy Management Editor schließen

Zentralen Speicher für die administrativen Vorlagedateien erstellen

  1. Den Ordner \\intern.einfaches-netzwerk.at\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions erstellenGPO-008
  2. Den gesamten Inhalt von C:\Program Files (x86)\Microsoft Group Policy\Windows8.1-Update\PolicyDefinitions nach \\intern.einfaches-netzwerk.at\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    GPO-009
  3. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  4. Computer Configuration > Policies erweitern
  5. Administrative Templates markieren
    GPO-010
  6. Group Policy Management Editor schließen

Administrative Vorlagedateien von Office 2013 im zentralen Speicher veröffentlichen

  1. Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool herunterladen
  2. Die Datei admintemplates_32bit.exe doppelklicken
  3. Die Lizenz bestätigen > Continue
    CENTRAL_STORE-013
  4. Den Ordner C:\Temp\Office 2013 Templates erstellen > OK
  5. Die Dateien werden extrahiert > OK
    CENTRAL_STORE-015
  6. Den gesamten Inhalt von C:\Temp\Office 2013 Templates\admx in den zentralen Speicher kopieren
    GPO-011
  7. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  8. Die Office 2013 Vorlagedateien werden vom zentralen Speicher geladen
    GPO-012
  9. Group Policy Management Editor schließen

Teil 2: Grundlagen der Gruppenrichtlinien

Veröffentlicht am von
3

Weil es bereits eine Menge Informationen zu den Grundlagen der Gruppenrichtlinien gibt, werde ich mich hier kurz halten und die wichtigsten Punkte zusammenfassen. Die OU-Struktur habe ich in Teil 5 vorbereitet.

Warum Gruppenrichtlinien eingesetzt werden sollen

  • Kosten reduzieren
  • Konfiguration der Arbeitsstationen und Server kontrollieren
  • Die Produktivität der Benutzer unterstützen
  • Sicherheit gewährleisten

Voraussetzungen

Gruppenrichtlinienobjekte (GPO, Group Policy Objects)

  • Beinhalten die Einstellungen selbst
  • Standard-GPOs
    • Default Domain Policy: Beinhaltet Standardeinstellungen für alle Benutzer und Computer
    • Default Domain Controller Policy: Beinhaltet Standardeinstellungen speziell für Domain Controller
      GPO-001

Verknüpfung von Gruppenrichtlinien

  • GPOs können an Sites, Domänen und OUs verknüpft werden
  • GPOs erfüllen keinen Zweck, wenn sie nicht verknüpft sind
    GPO-002

Vererbung von Gruppenrichtlinien

  • Mit der Domäne verknüpfte GPOs vererben ihre Einstellungen an alle OUs und untergeordnete OUs
  • Mit einer OU verknüpfte GPOs vererben ihre Einstellungen an alle untergeordneten OUs
  • GPOs können ihre Einstellungen nicht nach oben vererben
  • Sind in mehreren GPOs die gleichen Einstellungen, wird die Einstellung der GPO mit dem höheren Rang übernommen
  • Je näher das GPO beim Objekt, je höher der Rang
    • untergeordnete OU > höchster Rang > vor
    • OU > vor
    • Domäne > vor
    • Sites
  • Die Vererbung kann unterbrochen werden > Vererbung deaktivieren (Block Inheritance)
  • Die Rangfolge kann unterbrochen werden > kein Vorrang (Enforced)
  • Wichtig: So einfach wie möglich halten, sonst kann man schnell die Übersicht verlieren!
    GPO-003

Gruppenrichtlinien-Einstellungen

  • Ein GPO besteht aus zwei Teilen:
    • Computerkonfiguration
    • Benutzerkonfiguration
  • Unter Computer- und Benutzerkonfiguration befinden sich folgende Ordner
    • Policies: Einstellungen
    • Preferences: hauptsächlich Registry-Einstellungen, Dateien, Ordner, Netzlaufwerke,…
      GPO-004
  • Policy-Einstellungen:
    • Not Configured, Enabled oder Disabled
    • Die Auswirkungen der Richtlinie sind im Hilfetext beschrieben (.adml-Dateien)
      GPO-005

Update der Gruppenrichtlinien

  • Computereinstellungen beim Neustart
  • Benutzereinstellungen beim Anmelden des Benutzers
  • Danach in der Regel alle 90 Minuten +/- 30 Minuten
  • Manuelles Updaten der Gruppenrichtlinien mit gpupdate
  • gpupdate /force erzwingt das erneute Anwenden aller Einstellungen
    GPO-006

Remote Group Policy Update

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern.einfaches-netzwerk.at\Domain Controllers rechts anklicken > Group Policy Update…
    GPO-013
  4. Force Group Policy update > Yes
    GPO-014
  5. Results > Close
    GPO-015

Grundlegende Aufgaben als Gruppenrichtlinien-Administrator

  • Installation der Remoteserver-Verwaltungstools
  • GPO erstellen, bearbeiten, löschen
  • GPO verknüpfen, trennen
  • Clients updaten
  • GPOs sichern und wiederherstellen