Windows Server 2008 R2 Gruppenrichtlinien

Mit Gruppenrichtlinien kann ein zentraler Server Regeln und Standards für unterschiedliche Domänen, Gruppen und User bereitstellen. Das lässt sich sehr gut an einem Beispiel demonstrieren, in dem ein zentrales Desktop-Hintergrundbild für alle Nutzer einer Domäne eingerichtet wird.

Desktop Hintergrund

  1. Starte den Domain Controller und einen Client.
  2. Als erstes solltest du dein Hintergrundbild in einen Ordner packen, den du dann für die Domäne freigibst. Nur so sind die Domänen-Clients berechtigt, das Bild auch tatsächlich zu beziehen. Der Ordner heisst z.B. "C:\deploy".
  3. Klick dann rechts darauf, geh in die Freigabe-Einstellungen und füge die gewünschten Nutzer oder Gruppen mit Lesezugriff hinzu.
  4. Öffne dann eine Konsole namens Gruppenrichtlinienverwaltung unter Start -> Verwaltung. Falls du die Konsole dort nicht findest, muss diese Rolle erst über den Server-Manager installiert werden.
  5. In der Konsole kannst du im Strukturbaum links zu deiner Domäne navigieren und machst dann einen Rechtsklick auf den Ordner Gruppenrichtlinienobjekte und klickst auf Neu.
  6. Gib der neuen Policy einen Namen, z.B. Desktop-Hintergrund und bestätige mit OK.
  7. Mach jetzt einen Rechtsklick auf die neu angelegte Policy und klick Bearbeiten.
  8. Es öffnet sich ein Editor in dem du links zu Benuterkonfiguration -> Administrative Templates -> Desktop -> Desktop navigierst und dann die Einstellung Desktophintergrund öffnest.
  9. Jetzt können die Einstellungen gemacht werden. Für den Hintergrundnamen muss der komplette UNC Pfad eingegeben werden. Also nicht C:\deploy\Bild.jpg sondern \\ServerName\deploy\Bild.jpg sonst würden die Clients später in ihrem lokalen Dateisystem nach dem Bild suchen.
  10. Dann kannst du noch den Füllstil wählen und setzt den RadioButton oben links von Nicht konfiguriert auf Aktiv.
  11. Klick OK und schließe den Editor. Jetzt kannst du deine angelegte und konfigurierte Richtlinie per Drag&Drop aus dem Ordner Gruppenrichtlinienobjekte auf die Domäne oder die Organisationseinheit innerhalb der Domäne ziehen. Du wirst gefragt ob du die Verlinkung herstellen möchtest, was du bejahen kannst.

Das war's. Die Richtlinie ist jetzt für die entsprechende Domäne oder Organisationseinheit aktiv. Wechsle auf den Client-Rechner und führ gpupdate.exe /force in der Eingabeaufforderung aus, damit die Gruppenrichtlinien ohne Neustart aktualisiert werden. Wenn der Prozess abgeschlossen ist, melde dich ab und log dich neu mit einem der betroffenen Benutzer ein. Jetzt solltest du das neue Hintergrundbild sehen.

Falls etwas schief läuft schau nach ob die Richtlinie auf dem Domain Controller aktiv ist und prüfe ob der Client auch tatsächlich Lesezugriff auf das Bild hat (einfach den UNC Pfad im Explorer auf dem Client eingeben und schauen ob das Bild angezeigt wird).

Netzlaufwerk

Es gibt natürlich noch andere Anwendungsbereiche für Gruppenrichtlinien, die auch deutlich relevanter sein können, als ein Hintergrundbild. Angenommen wir wollen bei jedem Rechner in der Domäne automatisch ein Netzlaufwerk erstellen.

  1. Wir müssen dafür zuerst auf unserem Domain Controller ein Verzeichnis freigeben.
    • Das geht entweder über den Windows Explorer (Ordner erstellen -> Rechtsklick -> Freigeben für -> etc...)
    • oder über die Konsole Freigabe- und Speicherverwaltung (Start -> Verwalten). Hier einfach auf Freigabe bereitstellen klicken und den Assistenten durchlaufen.
  2. Jetzt schauen wir wieder in die Gruppenrichtlinien, erstellen ein neues Gruppenrichtlinienobjekt und nennen es beispielsweise Netzlaufwerk.
  3. Dann Rechtsklick auf das neue Objekt -> Bearbeiten
  4. und im Editor, der sich dann öffnet, unter Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen mit einen Rechtsklick auf Laufwerkzuordnungen ein neues Zugeordnetes Laufwerk erstellen.
  5. Als Aktion kannst du "Ersetzen" nehmen, damit auch im Fall eines bereits bestehenden Netzlaufwerks unser Laufwerk Priorität hat.
  6. Im Speicherort den entsprechenden Pfad eingeben, als z.B. \\MeinServer\MeinOrdner.
  7. Dann noch einen Laufwerksbuchstaben auswählen oder automatisch zuordnen lassen und OK klicken.
  8. Jetzt noch die neue Richtlinie mit der Domäne oder Organisationseinheit verknüpfen und dann auf dem Client Rechner ein gpupdate.exe /force ausführen. Diesmal müsste er bemerken, dass eine Policy sich verändert hat, die nur nach einem erneuten Anmeldevorgang aktiviert werden kann und das entsprechend vorschlagen. Also dem Vorschlag folgen, Ab- und wieder Anmelden und schon sollte das Netzlaufwerk zur Verfügung stehen.

Logon Script

Es lassen sich mit Gruppenrichtlinien u.a. auch Skripte beim An- und Abmeldevorgang von betroffenen Rechnern ausführen. Über diesen Weg sind dann natürlich so ziemlich alles Aktionen möglich, die von der Windows Welt unterstützt werden.

Wenn man das Beispiel oben mit dem Netzlaufwerk über ein Skript lösen würde, könnte man z.B. eine Batch-Datei erstellen netzlaufwerk.bat mit folgendem Inhalt:

net use Z: \\MeinServer\MeinLaufwerk

  1. Die Datei muss dann so abgelegt werden, dass die Clients diese Lesen können. Dafür gibt es z.B. den netlogon Ordner, der schon die korrekten Berechtigungen besitzt. Wo der genau liegt, kann man einfach über die Freigabe- und Speicherverwaltungskonsole herausfinden. Da sollte sich eine Freigabe mit dem Namen NETLOGON finden, die (zumindest bei mir) auf den Pfad C:\Windows\SYSVOL\sysvol\mydomain.local\SCRIPTS zeigt. Den Ordner im Explorer öffnen und die Batchdatei hineinkopieren.
  2. Jetzt erstellen wir die Gruppenrichtlinie. In der entsprechenden Konsole muss ein Gruppenrichtlinienobjekt erstellt werden, das wir NetzlaufwerkSkript nennen und dann bearbeiten.
  3. Hier jetzt ein Anmelde-Element hinzufügen (zu finden im Editor unter Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Skripts (Anmelden/Abmelden).
  4. In dem neuen Fenster dann einfach die netzlaufwerk.bat hinzufügen. Achtung!!! Wenn man die Datei über Browse sucht, wird ein lokaler Pfad eingetragen. Der muss auf jeden Fall dann in den Freigabepfad geändert werden, der von den Clients gelesen werden kann, also \\MeinServer\netlogon\netzlaufwerk.bat,
  5. alles bestätigen,
  6. Gruppenrichtlinie verlinken

und schon wird das Skript bei jedem anmeldenden Client ausgeführt.

<-- Zurück | Weiter -->