Archiv der Kategorie: Ein einfaches Netzwerk

Ein einfaches Netzwerk, Schritt für Schritt-Anleitungen mit vielen Screenshots von Dietmar Haimann

Teil 2c: Grundlegende Aufgaben als Gruppenrichtlinien-Administrator

Veröffentlicht am von
Antworten

In diesem Artikel beschreibe ich, wie in Teil 2 bereits erwähnt, die grundlegenden Aufgaben als Gruppenrichtlinien-Administrator.

Ein Gruppenrichtlinienobjekt erstellen

Für die Serververwaltung erstelle ich eine Standardrichtlinie, welche folgende Einstellungen beinhaltet:

In den Beschreibungen der Einstellungen verwende ich HD, für Haimann Dietmar, und das Konfigurationsdatum. Sollte die Einstellung auf Grund eines Problems oder einer bestimmten Anforderung konfiguriert worden sein, gebe ich das in kurzen Stichworten an. So behält man die Übersicht und kann auch nach Monaten noch nachvollziehen wer, wann und warum eine Einstellung konfiguriert wurde.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
    GP_TASKS-001
  5. New GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-002

Ein Gruppenrichtlinienobjekt bearbeiten

  1. Auf der linken Seite Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings rechts anklicken > Edit…
    GP_TASKS-003
  3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security erweitern
  4. Inbound Rules rechts anklicken > New Rule…
    GP_TASKS-004
  5. New Inbound Rule Wizard
    1. Rule Type: Custom > Next
      GP_TASKS-005
    2. Program > Next
    3. Protocol and Ports
      1. Protocol type: ICMPv4 > Next
        GP_TASKS-006
    4. Scope > Next
    5. Action > Next
    6. Profile > Next
    7. Name
      1. Name: CUSTOM – Allow ICMPv4
      2. Description: HD, 05.06.2015 > Finish
        GP_TASKS-007
  6. Eine Regel für ICMPv6 hinzufügen:
    1. Protocol and Ports
      1. Protocol type: ICMPv6
        GP_TASKS-009
    2. Name
      1. Name: CUSTOM – Allow ICMPv6
      2. Description: HD, 05.06.2015
  7. Eine Regel für Remote Desktop hinzufügen:
    1. Rule Type
      1. Predefined: Remote Desktop
        GP_TASKS-010
  8. Windows Firewall with Advanced Security
    GP_TASKS-011
  9. Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connection
  10. Folgende Einstellungen konfigurieren:
    1. Allow users to connect remotely by using Remote Desktop Services > Enable
      GP_TASKS-012
  11. Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation erweitern
  12. Folgende Einstellungen konfigurieren:
    1. Allow delegating fresh credentials > Enable > Show…
      GP_TASKS-013
    2. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
      GP_TASKS-014
    3. Allow delegating fresh credentials with NTLM-only server > Enable > Show…
    4. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
  13. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client erweitern
  14. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-015
  15. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service erweitern
  16. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-016
  17. Editor schließen

Benutzerkonfiguration deaktivieren

Weil im GPO CUSTOM – Server Standard Settings ausschließlich Computereinstellungen konfiguriert sind, kann ich den Benutzerteil des GPOs deaktiveren.

  1. Im linken Bereich Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings markieren
  3. Auf der rechten Seite zum Reiter Details wechseln
  4. GPO Status: User configuration settings disabled
    GP_TASKS-019

Ein Gruppenrichtlinienobjekt verknüpfen

  1. Die OU Domain Controllers rechts anklicken > Link an existing GPO…
    GP_TASKS-017
  2. Select a GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-018
  3. Für folgende OUs wiederholen:
    1. intern.einfaches-netwzerk.at\Servers

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings erstellen und verknüpfen

Für die spätere Konfiguration erstelle ich an dieser Stelle das GPO CUSTOM – Client Standard Settings und verknüpfe es mit der OU Einfaches-Netzwerk\Arbeitsstationen. Die Einstellungen folgen in den nächsten Beiträgen.

  1. Das GPO CUSTOM – Client Standard Settings erstellen
  2. Mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    KEYARCHIVAL-028

Rangfolge eines Gruppenrichtlinienobjektes ändern

Damit die Einstellungen im GPO CUSTOM – Server Standard Settings Vorrang gegenüber des GPOs Default Domain Controllers Policy haben, schiebe ich das GPO auf einen höheren Rang. Die GPOs in der Liste Link Order am Reiter Linked Group Policy Objects werden von unten nach oben abgearbeitet.

  1. Auf der linken Seite die OU Domain Controllers markieren
  2. Auf der Rechten Seite am Reiter Linked Group Policy Objects das GPO CUSTOM – Server Standard Settings markieren
  3. Rangfolge mit Hilfe der Pfeile um einen Rang verändern
    GP_TASKS-020
    GP_TASKS-021

Gruppenrichtlinienobjekte sichern

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Back Up All…
    GP_TASKS-022
  2. Back Up Group Policy Object
    1. Location: C:\Temp\Backup GPOs
    2. Description: HD, 05.06.2015 > Backup
      GP_TASKS-023
    3. Fenster mit OK schließen
      GP_TASKS-024

Gruppenrichtlinienobjekte wiederherstellen

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Manage Backups…
    GP_TASKS-025
  2. Das entsprechende GPO markieren > Restore
    GP_TASKS-027
  3. Fenster mit OK schließen
    GP_TASKS-026

Teil 2b: Starter GPOs erstellen und verknüpfen

Veröffentlicht am von
Antworten

Damit das in Teil 2 vorgestellte Remote Group Policy Update funktioniert, müssen diverse Firewall-Ports konfiguriert werden. Dafür stellt Microsoft Starter GPOs zur Verfügung. Siehe Working with Starter GPOs using GPMC.

Starter GPOs-Ordner erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Auf der linken Seite Starter GPOs markieren
  5. Im rechten Bereich auf Create Starter GPOs Folder klicken
    STARTER_GPOS-001
  6. Den Ordner Starter GPOs erweitern
  7. Group Policy Remote Update Firewall Ports rechts anklicken > New GPO from Starter GPO…
    STARTER_GPOS-002
  8. New GPO
    1. Name: CUSTOM – Group Policy Remote Update Firewall Ports > OK
  9. Group Policy Reporting Firewall Ports rechts anklicken > New GPO from Starter GPO…
  10. New GPO
    1. Name: CUSTOM – Group Policy Reporting Firewall Ports > OK

GPOs verknüpfen

  1. Domain Controllers rechts anklicken > Link an existing GPO…
    STARTER_GPOS-003
  2. Select GPO
    1. Group Policy objects:
      1. CUSTOM – Group Policy Remote Update Firewall Ports
      2. CUSTOM – Group Policy Reporting Firewall Ports > OK
        STARTER_GPOS-004
  3. Die Schritte für folgende OUs wiederholen:
    1. Einfaches-Netzwerk\Arbeitsstationen
    2. Einfaches-Netzwerk\Server
      STARTER_GPOS-005

Teil 2a: Zentralen Speicher für administrative Vorlagendateien (ADMX / ADML) konfigurieren

Veröffentlicht am von
1

Bevor ich mit der Erstellung der GPOs beginne, möchte ich den zentralen Speicher für die administrativen Vorlagedateien konfigurieren. Damit werden diese vom SYSVOL am Domain Controller geladen und nicht aus dem lokalen Speicher am Client. So wird sichergestellt, dass alle Gruppenrichtlinien-Administratoren die gleichen Vorlagen zur Verfügung haben, sollten weitere hinzugefügt werden z.B. Office oder MDOP.

Vorbereitung

  1. Administrative Templates (.admx) for Windows 8.1 Update and Windows Server 2012 R2 Update herunterladen
  2. Windows8.1-Update-ADMX.msi installieren

Speicherort der Vorlagedateien feststellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Group Policy Objects erweitern
  4. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  5. Computer Configuration > Policies erweitern
  6. Administrative Templates markieren
    GPO-007
  7. Group Policy Management Editor schließen

Zentralen Speicher für die administrativen Vorlagedateien erstellen

  1. Den Ordner \\intern.einfaches-netzwerk.at\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions erstellenGPO-008
  2. Den gesamten Inhalt von C:\Program Files (x86)\Microsoft Group Policy\Windows8.1-Update\PolicyDefinitions nach \\intern.einfaches-netzwerk.at\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    GPO-009
  3. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  4. Computer Configuration > Policies erweitern
  5. Administrative Templates markieren
    GPO-010
  6. Group Policy Management Editor schließen

Administrative Vorlagedateien von Office 2013 im zentralen Speicher veröffentlichen

  1. Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool herunterladen
  2. Die Datei admintemplates_32bit.exe doppelklicken
  3. Die Lizenz bestätigen > Continue
    CENTRAL_STORE-013
  4. Den Ordner C:\Temp\Office 2013 Templates erstellen > OK
  5. Die Dateien werden extrahiert > OK
    CENTRAL_STORE-015
  6. Den gesamten Inhalt von C:\Temp\Office 2013 Templates\admx in den zentralen Speicher kopieren
    GPO-011
  7. GPO Default Domain Controllers Policy rechts anklicken > Edit…
  8. Die Office 2013 Vorlagedateien werden vom zentralen Speicher geladen
    GPO-012
  9. Group Policy Management Editor schließen