Teil 2c: Grundlegende Aufgaben als Gruppenrichtlinien-Administrator

In diesem Artikel beschreibe ich, wie in Teil 2 bereits erwähnt, die grundlegenden Aufgaben als Gruppenrichtlinien-Administrator.

Ein Gruppenrichtlinienobjekt erstellen

Für die Serververwaltung erstelle ich eine Standardrichtlinie, welche folgende Einstellungen beinhaltet:

In den Beschreibungen der Einstellungen verwende ich HD, für Haimann Dietmar, und das Konfigurationsdatum. Sollte die Einstellung auf Grund eines Problems oder einer bestimmten Anforderung konfiguriert worden sein, gebe ich das in kurzen Stichworten an. So behält man die Übersicht und kann auch nach Monaten noch nachvollziehen wer, wann und warum eine Einstellung konfiguriert wurde.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
    GP_TASKS-001
  5. New GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-002

Ein Gruppenrichtlinienobjekt bearbeiten

  1. Auf der linken Seite Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings rechts anklicken > Edit…
    GP_TASKS-003
  3. Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security erweitern
  4. Inbound Rules rechts anklicken > New Rule…
    GP_TASKS-004
  5. New Inbound Rule Wizard
    1. Rule Type: Custom > Next
      GP_TASKS-005
    2. Program > Next
    3. Protocol and Ports
      1. Protocol type: ICMPv4 > Next
        GP_TASKS-006
    4. Scope > Next
    5. Action > Next
    6. Profile > Next
    7. Name
      1. Name: CUSTOM – Allow ICMPv4
      2. Description: HD, 05.06.2015 > Finish
        GP_TASKS-007
  6. Eine Regel für ICMPv6 hinzufügen:
    1. Protocol and Ports
      1. Protocol type: ICMPv6
        GP_TASKS-009
    2. Name
      1. Name: CUSTOM – Allow ICMPv6
      2. Description: HD, 05.06.2015
  7. Eine Regel für Remote Desktop hinzufügen:
    1. Rule Type
      1. Predefined: Remote Desktop
        GP_TASKS-010
  8. Windows Firewall with Advanced Security
    GP_TASKS-011
  9. Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connection
  10. Folgende Einstellungen konfigurieren:
    1. Allow users to connect remotely by using Remote Desktop Services > Enable
      GP_TASKS-012
  11. Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation erweitern
  12. Folgende Einstellungen konfigurieren:
    1. Allow delegating fresh credentials > Enable > Show…
      GP_TASKS-013
    2. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
      GP_TASKS-014
    3. Allow delegating fresh credentials with NTLM-only server > Enable > Show…
    4. Value: WSMAN/*.intern.einfaches-netzwerk.at > OK
  13. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client erweitern
  14. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-015
  15. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service erweitern
  16. Folgende Einstellungen konfigurieren:
    1. Allow CredSSP authentication > Enable
      GP_TASKS-016
  17. Editor schließen

Benutzerkonfiguration deaktivieren

Weil im GPO CUSTOM – Server Standard Settings ausschließlich Computereinstellungen konfiguriert sind, kann ich den Benutzerteil des GPOs deaktiveren.

  1. Im linken Bereich Group Policy Objects erweitern
  2. Das GPO CUSTOM – Server Standard Settings markieren
  3. Auf der rechten Seite zum Reiter Details wechseln
  4. GPO Status: User configuration settings disabled
    GP_TASKS-019

Ein Gruppenrichtlinienobjekt verknüpfen

  1. Die OU Domain Controllers rechts anklicken > Link an existing GPO…
    GP_TASKS-017
  2. Select a GPO
    1. Name: CUSTOM – Server Standard Settings > OK
      GP_TASKS-018
  3. Für folgende OUs wiederholen:
    1. intern.einfaches-netwzerk.at\Servers

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings erstellen und verknüpfen

Für die spätere Konfiguration erstelle ich an dieser Stelle das GPO CUSTOM – Client Standard Settings und verknüpfe es mit der OU Einfaches-Netzwerk\Arbeitsstationen. Die Einstellungen folgen in den nächsten Beiträgen.

  1. Das GPO CUSTOM – Client Standard Settings erstellen
  2. Mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
    KEYARCHIVAL-028

Rangfolge eines Gruppenrichtlinienobjektes ändern

Damit die Einstellungen im GPO CUSTOM – Server Standard Settings Vorrang gegenüber des GPOs Default Domain Controllers Policy haben, schiebe ich das GPO auf einen höheren Rang. Die GPOs in der Liste Link Order am Reiter Linked Group Policy Objects werden von unten nach oben abgearbeitet.

  1. Auf der linken Seite die OU Domain Controllers markieren
  2. Auf der Rechten Seite am Reiter Linked Group Policy Objects das GPO CUSTOM – Server Standard Settings markieren
  3. Rangfolge mit Hilfe der Pfeile um einen Rang verändern
    GP_TASKS-020
    GP_TASKS-021

Gruppenrichtlinienobjekte sichern

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Back Up All…
    GP_TASKS-022
  2. Back Up Group Policy Object
    1. Location: C:\Temp\Backup GPOs
    2. Description: HD, 05.06.2015 > Backup
      GP_TASKS-023
    3. Fenster mit OK schließen
      GP_TASKS-024

Gruppenrichtlinienobjekte wiederherstellen

  1. Auf der linken Seite Group Policy Objects rechts anklicken > Manage Backups…
    GP_TASKS-025
  2. Das entsprechende GPO markieren > Restore
    GP_TASKS-027
  3. Fenster mit OK schließen
    GP_TASKS-026

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert