Teil 3a: NIC Teaming aktivieren

Für Lastenausgleich und Ausfallsicherheit der Netzwerkadapter des Servers hat Microsoft in Windows Server 2012 NIC Teaming eingeführt. Ich habe beide Netzwerkkarten meines Servers an einen nicht verwalteten Switch angeschlossen.

  • Switch independent teaming
  • beide Adapter aktiv: Active/Active
  • Algorithmus für die Lastverteilung: Dynamic

NIC Teaming mittels Server Manager aktivieren

  1. Als Administrator an HYPERV1 anmelden
  2. Server Manager > Local Server
  3. Im mittleren Bereich neben NIC Teaming auf Disabled klicken
    HYPERV1-001
  4. NIC Teaming
    1. Im Bereich Adapters and Interfaces beide Adapter markieren und rechts anklicken > Add to New Team
      HYPERV1-002
    2. NIC Teaming
      1. Name: TeamIntern
      2. Additional properties
        1. Teaming mode: Switch Independent
        2. Load balancing mode: Dynamic
        3. Standby adapter: None > OK
          APP1-005
  5. Fenster schließen
    HYPERV1-005
    HYPERV1-004

Optional: NIC Teaming mittels PowerShell aktivieren

  1. Als Administrator an HYPERV1 anmelden
  2. PowerShell (Admin) starten
  3. Mit folgendem Befehl die Netzwerkadapter in einer Variable speichern und überprüfen
    $NICS = Get-NetAdapter
    $NICS.Name
  4. Mit folgendem Befehl NIC Teaming aktivieren
    New-NetLbfoTeam -Name TeamIntern -TeamMembers $NICS.Name `
        -TeamNicName TeamIntern -Confirm:$false

    APP1-007

  5. Mit folgendem Befehl Informationen zum NIC Team abrufen
    Get-NetLfboTeam -Name TeamIntern

    APP1-009

  6. Fenster schließen
  7. TeamIntern wie folgt konfigurieren
    1. IP address: 192.168.150.2
    2. Subnet mask: 255.255.255.0
    3. Default gateway: 192.168.150.1
    4. Preferred DNS server: 192.168.150.1
      APP1-001
    5. DNS suffix for this connection: intern.einfaches-netzwerk.at
      APP1-002
  8. Fenster schließen

Weitere Informationen

Teil 2d: Filtern von Gruppenrichtlinienobjekten

Um für eine bestimmte Gruppe von Benutzern in der gleichen OU Einstellungen zu verteilen, kann man mit Hilfe einer Sicherheitsgruppe filtern. Das funktioniert auch umgekehrt: Einstellungen für alle, außer einer bestimmten Gruppe von Benutzern in der gleichen OU verteilen. Erst wenn alle Filter richtig konfiguriert sind, das GPO mit der OU verknüpfen.

Am Ende des Artikels werde ich das GPO und Sicherheitsgruppen wieder löschen.

Weitere Informationen: Core Network Companion Guide: Group Policy Deployment

 Sicherheitsgruppen in Active Directory erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk\Sicherheitsgruppen erweitern
  4. Sicherheitsgruppen rechts anklicken > New > Group
    GP_FILTER-001
  5. New Object – Group
    1. Group name: GPO_ApplyTestSettings > OK
      GP_FILTER-002
  6. GPO_ApplyTestSettings rechts anklicken > Properties
    GP_FILTER-003
  7. Auf den Reiter Members wechseln > Add… > USER1 > Check Names > OK
    GP_FILTER-004
  8. Fenster mit OK schließen
  9. Folgende Gruppe anlegen:
    1. Name: GPO_NotApplyTestSettings
    2. Members: USER2
      GP_FILTER-005
  10. Fenster schließen

Gruppenrichtlinienobjekt erzeugen

  1. Server Manager > Tools > Group Policy Management
  2. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  3. Das GPO CUSTOM – Test Settings erstellen
    GP_FILTER-019
  4. Auf den Reiter Details wechseln
  5. Auf der rechten Seite die Computer-Einstellungen deaktivieren
    GP_FILTER-020

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Das GPO CUSTOM – Test Settings markieren
  2. Auf der rechten Seite am Reiter Scope im Bereich Security Filtering die Gruppe auf Add… klicken
  3. GPO_ApplyTestSettings > Check Names > OK
    GPOFiltering-002
  4. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  5. Authenticated Users markieren
  6. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  7. OK
    GPOFiltering-005
  8. GPO mit der gewünschten OU verknüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings nur noch von den Mitgliedern der Gruppe GPO_ApplyTestSettings übernommen.

Gruppenrichtlinienobjekt außer für eine Gruppe konfigurieren

Die Einstellungen habe ich zurückgesetzt.

  1. Das GPO CUSTOM – Test Settings markieren
    GP_FILTER-025
  2. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GP_FILTER-023
  3. CUSTOM – Test Settings Security Settings
    1. Add… > GPO_NotApplyTestSettings > Check Names > OK
    2. Folgende Rechte konfigurieren
      1. Read > Deny
      2. Apply group policy > Deny
        GP_FILTER-013
    3. Fenster mit OK schließen
      GP_FILTER-024
  4. GPO mit der gewünschten OU vernüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings von allen authentifizierten -, außer den Benutzern in der Gruppe GPO_NotApplyTestSettings übernommen.

Mittels WMI Gruppenrichtlinienobjekte filtern

Die Einstellungen habe ich zurückgesetzt.

Jetzt möchte ich, dass die Einstellungen nur auf Windows 8.1 Update 1-Rechnern übernommen werden. Das kann man mittels WMI (Windows Management Instrumentation) erreichen. Die Abfrage werde ich zuerst mit PowerShell testen. Der abgefragte Produkttyp hat folgende Bedeutung:

  • ProductType 1 = Client
  • ProductType 2 = Domain Controller
  • ProductType 3 = Mitgliedserver

Das ist wichtig, weil z.B. Windows 8.1 Update 1 und Windows Server 2012 R2 die gleiche Versionsnummer zurückgeben.

Weitere Informationen: WMI Overview

  1. PowerShell als Administrator starten
  2. Mit folgendem Befehl das Betriebssystem, die Version und den Produkttyp mittels WMI abfragen
    Get-WMIObject -Query "SELECT * FROM Win32_OperatingSystem WHERE Version LIKE '6.3%' AND ProductType = '2'"

    GP_FILTER-027

  3. Für die Abfrage von Windows 8.1 Update 1 ProductType = ‚2‘ nach ProductType = ‚1‘ ändern
  4. In der GPMC WMI Filters rechts anklicken > New…
    GP_FILTER-028
  5. New WMI Filter
    1. Name: Windows 8.1 Update 1
    2. Description: HD, 08.06.2015
    3. Queries > Add…
    4. WMI Query
      1. Name space: root\CIMv2
      2. Query: SELECT * FROM Win32_OperatingSystem WHERE Version LIKE „6.3%“ AND ProductType = „1“ > OKGP_FILTER-016
    5. Save
      GP_FILTER-017
  6. Das GPO CUSTOM – Test Settings markieren
  7. Auf der rechten Seite am Reiter Scope im Bereich WMI Filtering im Pull-down-Menü Windows 8.1 Update 1 auswählen
    GP_FILTER-029

GPO mit der gewünschten OU verknüpfen.

Ab sofort werden die Einstellungen im GPO CUSTOM – Test Settings von allen authentifizierten Benutzern auf Windows 8.1 Update 1-Rechnern übernommen.

Weitere Informationen

  • Man kann Security- und WMI Filtering ganz einfach kombinieren.
    GP_FILTER-030
  • Windows Server 2003: select * from Win32_OperatingSystem where Version like „5.2%“ and ProductType = „3“
  • Windows Server 2008: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType = „3“
  • Windows Server 2008 R2: select * from Win32_OperatingSystem where Version like „6.1%“ and ProductType = „3“
  • Windows Server 2012: select * from Win32_OperatingSystem where Version like „6.2%“ and ProductType = „3“
  • Windows Server 2012 R2: select * from Win32_OperatingSystem where Version like „6.3%“ and ProductType = „3“
  • Windows XP: select * from Win32_OperatingSystem where (Version like „5.1%“ or Version like „5.2%“) and ProductType = „1“
  • Windows Vista: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType = „1“
  • Windows 7: select * from Win32_OperatingSystem where Version like „6.1%“ and ProductType = „1“
  • Windows 8: select * from Win32_OperatingSystem where Version like „6.2%“ and ProductType = „1“
  • Windows 8.1: select * from Win32_OperatingSystem where Version like „6.3%“ and ProductType = „1“
  • Windows 10: select * from Win32_OperatingSystem where Version like „10.%“ and ProductType = „1“
  • Windows Vista und Windows Server 2008: select * from Win32_OperatingSystem where Version like „6.0%“ and ProductType <> „2“
  • Windows Server 2003 und Windows Server 2008: select * from Win32_OperatingSystem where (Version like „5.2%“ or Version like „6.0%“) and ProductType = „3“
  • Windows 2000, XP und 2003: select * from Win32_OperatingSystem where Version like „5.%“ and ProductType <> „2“

Teil 2c: Grundlegende Aufgaben als Gruppenrichtlinien-Administrator

In diesem Artikel beschreibe ich, wie in Teil 2 bereits erwähnt, die grundlegenden Aufgaben als Gruppenrichtlinien-Administrator.

Ein Gruppenrichtlinienobjekt erstellen

Für die Serververwaltung erstelle ich eine Standardrichtlinie, welche folgende Einstellungen beinhaltet:

In den Beschreibungen der Einstellungen verwende ich HD, für Haimann Dietmar, und das Konfigurationsdatum. Sollte die Einstellung auf Grund eines Problems oder einer bestimmten Anforderung konfiguriert worden sein, gebe ich das in kurzen Stichworten an. So behält man die Übersicht und kann auch nach Monaten noch nachvollziehen wer, wann und warum eine Einstellung konfiguriert wurde.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
    GP_TASKS-001
  5. New GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-002

Ein Gruppenrichtlinienobjekt bearbeiten

  1. Auf der linken Seite Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings rechts anklicken > Edit…
    GP_TASKS-003
  3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security erweitern
  4. Inbound Rules rechts anklicken > New Rule…
    GP_TASKS-004
  5. New Inbound Rule Wizard
    1. Rule Type: Custom > Next
      GP_TASKS-005
    2. Program > Next
    3. Protocol and Ports
      1. Protocol type: ICMPv4 > Next
        GP_TASKS-006
    4. Scope > Next
    5. Action > Next
    6. Profile > Next
    7. Name
      1. Name: CUSTOM – Allow ICMPv4
      2. Description: HD, 05.06.2015 > Finish
        GP_TASKS-007
  6. Eine Regel für ICMPv6 hinzufügen:
    1. Protocol and Ports
      1. Protocol type: ICMPv6
        GP_TASKS-009
    2. Name
      1. Name: CUSTOM – Allow ICMPv6
      2. Description: HD, 05.06.2015
  7. Eine Regel für Remote Desktop hinzufügen:
    1. Rule Type
      1. Predefined: Remote Desktop
        GP_TASKS-010
  8. Windows Firewall with Advanced Security
    GP_TASKS-011
  9. Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connection
  10. Folgende Einstellungen konfigurieren:
    1. Allow users to connect remotely by using Remote Desktop Services > Enable
      GP_TASKS-012
  11. Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation erweitern
  12. Folgende Einstellungen konfigurieren:
    1. Allow delegating fresh credentials > Enable > Show…
      GP_TASKS-013
    2. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
      GP_TASKS-014
    3. Allow delegating fresh credentials with NTLM-only server > Enable > Show…
    4. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
  13. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client erweitern
  14. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-015
  15. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service erweitern
  16. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-016
  17. Editor schließen

Benutzerkonfiguration deaktivieren

Weil im GPO CUSTOM – Server Standard Settings ausschließlich Computereinstellungen konfiguriert sind, kann ich den Benutzerteil des GPOs deaktiveren.

  1. Im linken Bereich Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings markieren
  3. Auf der rechten Seite zum Reiter Details wechseln
  4. GPO Status: User configuration settings disabled
    GP_TASKS-019

Ein Gruppenrichtlinienobjekt verknüpfen

  1. Die OU Domain Controllers rechts anklicken > Link an existing GPO…
    GP_TASKS-017
  2. Select a GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-018
  3. Für folgende OUs wiederholen:
    1. intern.einfaches-netwzerk.at\Servers

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings erstellen und verknüpfen

Für die spätere Konfiguration erstelle ich an dieser Stelle das GPO CUSTOM – Client Standard Settings und verknüpfe es mit der OU Einfaches-Netzwerk\Arbeitsstationen. Die Einstellungen folgen in den nächsten Beiträgen.

  1. Das GPO CUSTOM – Client Standard Settings erstellen
  2. Mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    KEYARCHIVAL-028

Rangfolge eines Gruppenrichtlinienobjektes ändern

Damit die Einstellungen im GPO CUSTOM – Server Standard Settings Vorrang gegenüber des GPOs Default Domain Controllers Policy haben, schiebe ich das GPO auf einen höheren Rang. Die GPOs in der Liste Link Order am Reiter Linked Group Policy Objects werden von unten nach oben abgearbeitet.

  1. Auf der linken Seite die OU Domain Controllers markieren
  2. Auf der Rechten Seite am Reiter Linked Group Policy Objects das GPO CUSTOM – Server Standard Settings markieren
  3. Rangfolge mit Hilfe der Pfeile um einen Rang verändern
    GP_TASKS-020
    GP_TASKS-021

Gruppenrichtlinienobjekte sichern

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Back Up All…
    GP_TASKS-022
  2. Back Up Group Policy Object
    1. Location: C:\Temp\Backup GPOs
    2. Description: HD, 05.06.2015 > Backup
      GP_TASKS-023
    3. Fenster mit OK schließen
      GP_TASKS-024

Gruppenrichtlinienobjekte wiederherstellen

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Manage Backups…
    GP_TASKS-025
  2. Das entsprechende GPO markieren > Restore
    GP_TASKS-027
  3. Fenster mit OK schließen
    GP_TASKS-026