17 Gruppenrichtlinien

Transcription

17 Gruppenrichtlinien
Windows Server 2008 R2: Active Directory
17 Gruppenrichtlinien
17.1
Konzept, Einrichten von Gruppenrichtlinien
Im Gegensatz zu NTFS-Berechtigungen (engl. permissions), die den Zugriff auf Dateien, Ordner und
Drucker steuern, gibt es auch (Benutzer-)Rechte (engl. rights). Rechte sind unabhängig von Dateien
und Ordnern, zum Beispiel das Recht, Netzwerkkonfigurationen zu ändern, Programme zu installieren
oder die Uhrzeit umzustellen.
Gruppenrichtlinien (engl. group policies) dienen zur Steuerung von Benutzerrechten, aber auch zur
zentralen Konfiguration von Benutzerumgebungen durch Ändern von Registry-Einträgen, zur
Softwareverteilung oder Installation von X.509-Zertifikaten.
Man unterscheidet Computerrichtlinien und Benutzerrichtlinien.
Technisch gesehen bestehen Gruppenrichtlinien teils aus Registry-Einträgen, teils aus auf
IntelliMirror-Technologie beruhenden Dateiübertragungsvorgängen.
Die Gruppenrichtlinien werden in "Gruppenrichtlinienobjekten" (engl. group policy objects, GPOs)
zusammengefasst.
Beachten Sie: GPOs alleine wirken weder auf Benutzer- noch auf Computerobjekte. Dafür muss erst
eine Gruppenrichtlinienobjektverknüpfung erstellt werden, die angibt, auf welchen Active DirectoryContainer (Standort, Domäne, Organisationseinheit) die Richtlinien in diesem Objekt wirken sollen.
Diese Verknüpfung kann stattfinden:
•
auf Standort-Ebene (Site-Ebene)
•
auf Domänenebene (hier müssen Kennwort-, Überwachungs- und Kontorichlinien definiert
werden; auch Anmeldeskripts werden hier eingebunden)
•
auf Organisationseinheiten-Ebene
•
auf der Ebene des lokalen PCs
Dabei gilt, dass lokale Richtlinien beim Vorhandensein von Domänenrichtlinien überschrieben werden.
Ein Gruppenrichtlinienobjekt besteht aus zwei Komponenten:
•
Gruppenrichtlinienvorlage (GPT, Group
Policy Template): Diese Vorlagen
enthalten alle tatsächlichen Einstellungen
und sind als Unterordner des Ordners
%systemroot%\SYSVOL\Domäne\Policies
sichtbar. Jede GPT ist durch eine GUID
(Globally Unique Identifier) bezeichnet.
© Mag. Christian Zahler, Mai 2010
225
Windows Server 2008 R2: Active Directory
•
Gruppenrichtliniencontainer (GPC,
Group Policy Container): Darunter
versteht man ein Active Directory-Objekt,
in welchem Informationen zum
Gruppenrichtlinienobjekt und zur Vorlage
gespeichert sind. So ist etwa feststellbar,
welche GUID das Gruppenrichtlinienobjekt
hat.
Die verfügbaren Einstellungen stammen aus XML-Dateien mit der Dateierweiterung *.admx, die unter
C:\windows\policyDefinitions gespeichert sind. Standardmäßig werden alle *.admx-Dateien geladen.
(Anmerkung: Bis Windows XP/Windows 2003 waren es Textdateien mit der Dateierweiterung *.adm.)
Jede Richtlinie ist in diesen Definitionen durch einen Abschnitt etwa folgender Gestalt repräsentiert
(Beispiel: Abschalten der Vista-Sidebar):
<policy name="TurnOffSidebar_1" class="User" displayName="$(string.TurnOffSidebar)"
explainText="$(string.TurnOffSidebar_Explain)"
key="Software\Microsoft\Windows\CurrentVersion\Policies\Windows\Sidebar"
valueName="TurnOffSidebar">
<parentCategory ref="Sidebar" />
<supportedOn ref="windows:SUPPORTED_WindowsVista" />
<enabledValue>
<decimal value="1" />
</enabledValue>
<disabledValue>
<decimal value="0" />
</disabledValue>
</policy>
Der Wert im Attribut key entspricht der Registry-Einstellung, die durch diese Richtlinie beeinflusst wird.
Die erklärenden Texte, die in der GPMC angezeigt werden, sind in Unterordnern dieses Ordners –
sprachlich getrennt – enthalten (deutsche Texte im Unterordner de-de, englische Texte im
Unterordner en-us usw.).
Auf diesem Weg kann das Konzept der Gruppenrichtlinien jederzeit erweitert werden.
Die Bezeichnung "Gruppenrichtlinien" ist insofern irreführend, als diese Richtlinien nicht mit Active
Directory-Gruppen verknüpft werden können.
Für die Verwaltung lokaler Gruppenrichtlinien öffnet man direkt die Konsolendatei gpedit.msc.
Die Ausführung von Gruppenrichtlinien wird seit Windows Vista von einem eigenen Clientdienst
durchgeführt, dem "Gruppenrichtlinienclient" (gpsvc).
Aktualisieren von Gruppenrichtlinien:
Durch Ausführen von
gpupdate /force
auf dem Zielcomputer (ab Windows XP) werden die Gruppenrichtlinien sofort aktualisiert.
Ist auf dem Zielcomputer Windows 2000 installiert, so muss stattdessen folgender Befehl ausgeführt
werden:
secedit /refreshpolicy MACHINE_POLICY
226
© Mag. Christian Zahler, Mai 2010
Windows Server 2008 R2: Active Directory
secedit /refreshpolicy USER_POLICY
Das Programm secedit (mit einer Fülle von Parametern und Optionen) steht auch auf späteren
Plattformen zur Verfügung, sollte aber durch die Tools gpupdate und gpresult ersetzt werden.
17.2
Komponenten von Gruppenrichtlinienobjekten
Bei der Erstellung eines Gruppenrichtlinienobjekts wird im Ordner <domäne>\System\Richtlinien ein
Containerobjekt erstellt, das als Gruppenrichtlinienobjekt bezeichnet wird. Dieser Name ist eine GUID,
die die Computer- und Benutzercontainer enthält.
Die GUID eines GPOs kann auf mehrere Arten angezeigt werden.
Anzeige mit ADSIEdit.msc:
Im standardmäßigen Namenskontext (=Domänenpartition) navigieren Sie bis zum Container
<domäne>\CN=System\CN=Policies
Das Attribut createTimeStamp auf der Registerkarte Attribut-Editor gibt die Uhrzeit in
Greenwich Mean Time (GMT) an, zu der Sie das Gruppenrichtlinienobjekt erstellt haben.
Anzeige mit dsa.msc (Active Directory-Benutzer und Computer):
Zur Anzeige des Gruppenrichtliniencontainers im Verzeichnisdienst Active Directory® klicken
Sie im Snap-In Active Directory-Benutzer und -Computer auf Erweiterte Funktionen.
Erweitern Sie danach die Domäne, den Knoten System und schließlich den Knoten Policies.
Die Funktionsweise des Gruppenrichtliniencontainers werden Sie besser verstehen, wenn Sie die in
Active Directory erstellten Ursprungsdaten der Gruppenrichtlinie untersuchen. Eine Beispielausgabe
des Supporttools Ldp.exe können Sie wie folgt untersuchen.
1. Öffnen Sie das Supporttool ldp.exe. Dieses Programm ist in von Microsoft® Windows ServerTM
2008 standardmäßig enthalten.
2. Klicken Sie auf Verbindung und danach auf Verbinden, und wählen Sie einen Windows
Server 2008-Domänencontroller aus. Sie können den vollqualifizierten Domänennamen
(FQDN) oder den NetBIOS-Namen (Network Basic Input/Output System) eingeben.
© Mag. Christian Zahler, Mai 2010
227
Windows Server 2008 R2: Active Directory
3. Klicken sie auf Verbindung und danach auf Gebunden, und melden Sie sich als Active
Directory-Domänenadministrator an. Sie können entweder den Prinzipalnamen des Benutzers
oder den NetBIOS-Namen für den Benutzer und die Domäne eingeben. Klicken Sie danach
auf OK.
4. Klicken Sie auf Anzeigen und danach auf Struktur. Geben Sie für BaseDN CN=Policies,
CN=System, DC=DomänenName, DC=Com ein (setzen Sie für DomänenName den
entsprechenden Namen ein), und klicken Sie auf OK.
5. Im linken Fensterbereich der Strukturansicht sollte sich ganz oben das Objekt CN=Policies…
befinden. Erweitern Sie dieses Objekt. Nun sollte für jede Gruppenrichtlinie der Domäne ein
Eintrag angezeigt werden. In jedem Fall enthält das Objekt mindestens zwei Einträge: die
Objekte CN={6AC1786C-016F-11D2-945F-00C04fB984F9} und CN={31B2F340-016D-11D2945F-00C04FB984F9}. Dies sind die GUIDs der Standard-Domänencontrollerrichtlinie und
der Standarddomänenrichtlinie.
6. Erweitern Sie eines dieser Objekte. Im echten Fensterbereich werden nun alle Attribute des
gewählten Objekts angezeigt.
Der folgende Code ist eine Beispielausgabe des Programms Ldp.exe:
dn:CN={46A82D4F-3C20-4B84-B5A4-6E8D3B837F6B},CN=Policies,CN=System,DC=ihroot,
DC=com
changetype: add
cn: {A6A82D4F-3C20-4B84-B5A4-6E8D3B837F6B}
displayName: GPO Reskit
flags: 0
gPCFileSysPath:
\\ihroot.com\SysVol\ihroot.com\Policies\{46A82D4F-3C20-4B84-B5A4-6E8D3B837F6B}
gPCFunctionalityVersion: 2
gPCMachineExtensionNames:
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}{
53D6AB1D-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{
40B6664F-4972-11D1-47CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{
803E14A0-B4FB-11D0-AODO-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{
53D6AB1D-2488-11D1-A28C-00C04FB94F17}][{C6DC5466-785A-11D2-84D0-00C04FB169F7}{
942A8E4F-A261-11D1-4760-00C04FB903F}][{E437BC1C-AA7D-11D2-A382-00C04F991E27}{
DEA8AFA0-CC85-11D0-9CE2-0080C7221EBD}]
gPCUserExtensionNames:
[{25537BA6-77A8-11D2-9B6C-0000F8080861}{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}]
[{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-47CA-0000F87571E3}]
[{A2E30F80-D7DE-11D2-BBDE-00C04F86AE3B}{FC715823-C5FB-11D1-9EEF-00A0C90347FF}]
[{C6DC5466-785A-11D2-84D0-00C04FB169F7}{BACF5C8A-A3C7-11D1-A760-00C04FB9603F}]
instanceType: 4
distinguishedName:CN={A6A82D4F-3C20-4B84-B5A46E8D3B837F6B},CN=Policies,CN=System,DC=ihroot, DC=com objectCategory:CN=GroupPolicy-Container,CN-Schema,CN-Configuration,DC=ihroot, DC=com
objectClass: groupPolicyContainer
objectGUID: UApw3nn4IU+cGGLpV66Asg==name: {46A82DAF-3C20-4B84-B5A4-6E8D3B837F6B}
showInAdvancedViewOnly: TRUE
uSNChanged: 5050
uSNCreated: 5005
versionNumber: 458770
whenChanged: 20000908113238.0Z
In der folgenden Tabelle werden die einzelnen Attribute des vorangegangenen Codebeispiels
beschrieben:
PropertyName
(LDAP-Anzeigename)
Syntax des
Schemas
Beschreibung der Eigenschaft
DisplayName
UnicodeZeichenfolge
Der in der Benutzeroberfläche angezeigte Name des
Gruppenrichtlinienobjekts.
distinguishedName
Unicode-
Der vollständige Distinguished Name (DN) des Objekts
228
© Mag. Christian Zahler, Mai 2010
Windows Server 2008 R2: Active Directory
Zeichenfolge
groupPolicyContainer. Beispiel:
CN={GUID},CN=Policies,CN=System, DC=ihroot,DC=com
Cn
UnicodeZeichenfolge
Der allgemeine Name (CN) des Objekts groupPolicyContainer.
Dieses Attribut wird als GUID angegeben. Dadurch wird
sichergestellt, dass es zwischen den
Gruppenrichtlinienobjekten der gleichen Domäne zu keinem
Namenskonflikt kommt.
Flags
Integer
Eine Bitfolge, die angibt, ob die Benutzer- und
Computereinstellungen des Gruppenrichtlinienobjekts aktiviert
oder deaktiviert sind. Folgende Bitfolgen sind festgelegt:
0 (dez) = 00 (bin) = Beide aktiviert
1 (dez) = 01 (bin) = Computereinstellungen deaktiviert
2 (dez) = 10 (bin) = Benutzereinstellungen deaktiviert
3 (dez) = 11 (bin) = Beide deaktiviert
GPC-File-Sys-Path
UnicodeZeichenfolge
Gibt den Pfad im verteilten Dateisystem (DFS) zum Stamm
des verknüpften GPT (GUID-Partitionstabelle)-Ordners an.
GPC-FunctionalityVersion
Integer
Die Versionsnummer der Gruppenrichtlinienkomponente für
das Betriebssystem. Diese Nummer wird mit jeder Ausgabe
einer neuen Version der Gruppenrichtlinienkomponente
inkrementiert. Die Funktionalitätsversion von Windows Server
2003 ist 2.
GPC-MachineExtension-Names
UnicodeZeichenfolge
Speichert die GUIDs von Gruppenrichtlinienerweiterungen,
deren Computereinstellungen im Gruppenrichtlinienobjekt
aktiviert sind. Die einzelnen Gruppenrichtlinienerweiterungen
sind in der Unicode-Zeichenfolge jeweils durch eckige
Klammer ([]) eingeschlossen. Jeder Erweiterungseintrag
enthält zwei oder mehrere in geschweiften Klammern ({})
eingeschlossene GUIDs.
Die erste GUID jedes Eintrags gibt die clientseitige
Gruppenrichtlinienerweiterung an, die die aktiven
Computereinstellungen verarbeitet und sie auf den Client
anwendet. Alle anderen GUIDs geben die MMC (Microsoft
Management Console)-Snap-Ins und -Erweiterungen an, die
zur Verwaltung dieser Erweiterung verwendet werden.
GPC-UserExtension-Names
UnicodeZeichenfolge
Speichert die äquivalente Liste der
Gruppenrichtlinienerweiterungs-GUIDs für alle aktiven
Benutzereinstellungen des Gruppenrichtlinienobjekts.
Version-Number
Integer
Gibt die Versionsnummer der Benutzer- und
Computerkomponenten des Gruppenrichtlinienobjekts als
Hexadezimalwert an. Die Versionsnummer der Benutzer- oder
Computerkomponente erhöht sich mit jeder Änderung in der
betreffenden Komponente. Die oberen beiden Byte geben die
Version der Benutzerkomponente an, die unteren beiden Byte
die Version der Computerkomponente.
Die dezimale Versionsnummer 458770 entspricht zum Beispiel
der hexadezimalen Version 000070012. In diesem Beispiel ist
die Benutzerkomponente der Gruppenrichtlinie Version 7 und
die Computerkomponente ist Version 12.
GpcWQLFilter
UnicodeZeichenfolge
© Mag. Christian Zahler, Mai 2010
Das Attribut GpcWQLFilter verweist auf die GUID eines WMIAbfragefilters. Diese GUID entspricht einem Objekt in
CN=SOM,CN=WMIPolicy,CN=System,DC=DOMAINNAME,D
C=Com. Der WMI-Filter wird im Attribut GpcWQLFilter
gespeichert.
229
Windows Server 2008 R2: Active Directory
Untergeordnete Container des Gruppenrichtliniencontainers
Der Container GroupPolicyContainer enthält mehrere untergeordnete Container. Die erste Ebene
untergeordneter Container sind Benutzer und Computer. Beide gehören der Klasse Container an. In
diesen Containern werden benutzerspezifische und computerspezifische
Gruppenrichtlinienkomponenten getrennt voneinander gespeichert.
Computer und Benutzercontainer
Die Strukturen Computer\Klassenspeicher\Pakete und Benutzer\Klassenspeicher\Pakete enthalten die
Computer- und Benutzercontainer. Die Objekte in diesen beiden Containern werden von den
Erweiterungen Softwareinstallation und Wartung verwendet. PackageRegistration-Objekte werden
im Klassenspeicher Pakete jedes Anwendungspakets erstellt, das dem Computer oder Benutzer
zugewiesen bzw. für den Computer oder Benutzer veröffentlicht wird.
Das Objekt packageRegistration enthält aus der .msi- bzw. .zap-Datei extrahierte Informationen, die
zur Veröffentlichung der Software auf der Arbeitssituation des Benutzers erforderlich sind. Diese
Informationen beinhalten den im Dialogfeld Software angezeigten Paketnamen und die
Versionsangaben. Außerdem beinhalten sie Informationen über die Paketankündigung, zum Beispiel
die zugeordneten Dateinamenerweiterungen und die für die Paketanwendungen registrierten KlassenIDs.
Zusätzlich zu den Informationen im packageRegistration-Objekt gibt es für jedes Paket eine .assDatei (der Pfad dieser Datei ist im packageRegistration-Objekt angeben). Diese Datei enthält alle
Ankündigungsinformationen, die für die Zuweisung des Pakets zum Benutzer oder Computer
erforderlich sind.
PackageRegistration-Objekte sind für jedes Gruppenrichtlinienobjekt eindeutig. Sie können nicht von
anderen Gruppenrichtlinienobjekten verwendet werden oder zwischen den Objekten querverbunden
werden.
IPSecPolicy-Objekte
Die Struktur Computer\Microsoft\Windows\IP-Sicherheit enthält IPSecPolicy-Objekte. Diese Objekte
sind wichtige Verknüpfungen zu domänenweiten IPSecPolicy-Objekten im Container System\IPSicherheit. Die IPSecPolicy-Objekte im Container System\IP-Sicherheit enthalten die eigentlichen
Gruppenrichtlinieneinstellungen. Die Verknüpfung erfolgt durch Zuweisung einer IPSec
(Internetprotokollsicherheit)-Richtlinie eines bestimmten Gruppenrichtlinienobjekts. Im Gegensatz zu
Softwareinstallationspaketen sind IPSec-Richtlinien also nicht für jedes Gruppenrichtlinienobjekt
eindeutig, d. h., die gleiche IPSec-Richtlinie kann mit mehreren Gruppenrichtlinienobjekten verknüpft
sein. Einem Gruppenrichtlinienobjekt können jedoch nicht mehrere IPSec-Richtlinien zugewiesen sein.
230
© Mag. Christian Zahler, Mai 2010
Windows Server 2008 R2: Active Directory
17.3
Gruppenrichtlinienverarbeitung durch CSE (Client Side
Extensions)
Die Client Side Extensions sind der Grund, warum Gruppenrichtlinien überhaupt auf Windows 2000,
XP, 2003, Vista und 2008 funktionieren und nicht auf älteren oder anderen Systemen.
Gruppenrichtlinien werden zwar vom Server übergeben, aber nicht von Haus aus auf dem Client
verarbeitet. Damit die Zielrechner "verstehen", was der Server da gerade übergeben möchte und "wie"
diese Information vor allem "wo" angewendet wird, das entscheidet die CSE. Die Verarbeitung der
Anweisung ist also komplett die Aufgabe des Ziels. Der Server stellt nur die Information zur
Verfügung.
CSEs werden über DLL-Dateien gesteuert die beim Anmeldeprozess (winlogon) in einer bestimmten
Reihenfolge verarbeitet werden. Die lokal vorhandene Systemdatei (DLL) kann die
Steuerungsinformationen, die über die Gruppenrichtlinie eingestellt ist für das lokalen System
auslesen und in das System integrieren. Die Übernahme und der Eintrag der Richtlinien erfolgt mit
SYSTEM-Berechtigungen.
Nachdem die Funktion GetGPOList die Liste der zu verarbeitenden Gruppenrichtlinienobjekte ermittelt
hat, geht der Clientcomputer die clientseitige Erweiterung durch, um festzustellen, ob die
Gruppenrichtlinienobjekte Daten enthalten, die von den einzelnen Erweiterungen verarbeitet werden
müssen. Wenn eine clientseitige Erweiterung Daten in den Gruppenrichtlinienobjekten verarbeiten
muss, wird die Erweiterung ausgeführt und sie verarbeitet die Daten der betreffenden
Gruppenrichtlinienobjekte. Muss eine clientseitige Erweiterung keine Daten verarbeiten, wird die
Erweiterung auch nicht ausgeführt.
Hinweis: Die CSE für die ab Vista/Windows Server 2008 neu hinzugekommenen
Gruppenrichtlinienvorgaben sind zwar auf Windows XP nicht standardmäßig verfügbar, können
aber von der Microsoft-Homepage downgeloadet werden.
Microsoft Client Side Extensions, Reihenfolge und die dazugehörige DLL:
Hinweis: Die mit Windows Server 2008 neu hinzugekommenen CSEs sind kursiv dargestellt.
Reihenfolge
Name der CSE
Name der DLL
Guid der Richtlinie
1
Registry /
Registrierungrichtlinienverarbeitung
userenv.dll
{35378EAC-683F-11D2A89A-00C04FBBCFA2}
2
Wireless Group Policy / Drahtlosnetzwerke
gptext.dll
{0ACDD40C-75AC47ab-BAA0BF6DE7E7FE63}
3
Group Policy Environment - Umgebung
gpprefcl.dll
{0E28E245-9368-4853AD84-6DA3BA35BB75}
4
Group Policy Local Users and Groups /
Lokale Benutzer und Gruppen
gpprefcl.dll
{17D89FEC-5C44-4972B12D-241CAEF74509}
5
Group Policy Device Settings / Geräte
gpprefcl.dll
{1A6364EB-776B-4120ADE1-B63A406A76B5}
6
Folder Redirection / Ordnerumleitung
fdeploy.dll
{25537BA6-77A8-11D29B6C-0000F8080861}
7
Microsoft Disk Quota
dskquota.dll
{3610eda5-77ef-11d28dc5-00c04fa31a66}
8
Group Policy Network Options /
Netzwerkoptionen
gpprefcl.dll
{3A0DBA37-F8B2-435683DE-3E90BD5C261F}
9
QoS Packet Scheduler /
Netzwerklastenausgleich
gptext.dll
{426031c0-0b47-4852b0ca-ac3d37bfcb39}
10
Scripts Skriptrichtlinienverarbeitung
gptext.dll
{42B5FAAE-6536-11d2-
© Mag. Christian Zahler, Mai 2010
231
Windows Server 2008 R2: Active Directory
AE5A-0000F87571E3}
11
Process Group Policy For Zone Map /
Internet Explorer Zonenzuordnung
iedkcs32.dll
{4CFB60C1-FAA6-47f189AA-0B18730C9FD3}
12
Group Policy Drive Maps / Laufwerke
gpprefcl.dll
{5794DAFD-BE60-433f88A2-1A31939AC01F}
13
Group Policy Folders / Ordner
gpprefcl.dll
{6232C319-91AC-49319385-E70C2B099F0E}
14
Group Policy Network Shares /
Netzwerkfreigaben
gpprefcl.dll
{6A4C88C6-C502-4f748F60-2CB23EDC24E2}
15
Group Policy Files / Dateien
gpprefcl.dll
{7150F9BF-48AD-4da4A49C-29EF4A8369BA}
16
Group Policy Data Sources /
Datenverbindungen
gpprefcl.dll
{728EE579-943C-45199EF7-AB56765798ED}
17
Group Policy Ini Files / INI Dateien
gpprefcl.dll
{74EE6C03-5363-4554B161-627540339CAB}
18
Windows Search Group Policy / WDS Windows Suche
srchadmin.dll
{7933F41E-56F8-41d6A31C-4148A711EE93}
19
Security / Sicherheitsrichtlinien
scecli.dll
{827D319E-6EAC-11D2A4EA-00C04F79F83A}
20
Deployed Printer Connections /
Bereitgestellte Drucker
gpprnext.dll
{8A28E2C5-8D06-49A4A08C-632DAA493E17}
21
Group Policy Services / Dienste
gpprefcl.dll
{91FBB303-0CD5-4055BF42-E512A681B325}
22
Internet Explorer Branding / Internet
Explorer Wartung
iedkcs32.dll
{A2E30F80-D7DE-11d2BBDE-00C04F86AE3B}
23
Group Policy Folder Options /
Ordneroptionen
gpprefcl.dll
{A3F3E39B-5D83-4940B954-28315B82F0A8}
24
Group Policy Scheduled Tasks / Geplante
Tasks
gpprefcl.dll
{AADCED64-746C4633-A97CD61349046527}
25
Group Policy Registry / Registry
gpprefcl.dll
{B087BE9D-ED37-454fAF9C-04291E351182}
26
EFS recovery / Dateiverschlüsselung
scecli.dll
{B1BE8D72-6EAC11D2-A4EA00C04F79F83A}
27
802.3 Group Policy
dot3gpclnt.dll
{B587E2B1-4D59-4e7eAED9-22B9DF11D053}
28
Group Policy Printers / Drucker
gpprefcl.dll
{BC75B1ED-5833-48589BB8-CBF0B166DF9D}
29
Group Policy Shortcuts / Verknüpfungen
gpprefcl.dll
{C418DD9D-0D14-4efb8FBF-CFE535C8FAC7}
30
Microsoft Offline Files / Offline Dateien
cscobj.dll
{C631DF4C-088F-4156B058-4375F0853CD8}
31
Software Installation
appmgmts.dll
{c6dc5466-785a-11d284d0-00c04fb169f7}
32
IP Security
userenv.dll
ab Vista/2008:
polstore.dll
{e437bc1c-aa7d-11d2a382-00c04f991e27}
232
© Mag. Christian Zahler, Mai 2010
Windows Server 2008 R2: Active Directory
33
Group Policy Internet Settings / Internet
Einstellungen
gpprefcl.dll
{E47248BA-94CC-49c4BBB5-9EB7F05183D0}
34
Group Policy Start Menu Settings /
Startmenü
gpprefcl.dll
{E4F48E54-F38D-4884BFB9-D4D2E5729C18}
35
Group Policy Regional Options / Regionale
Einstellungen
gpprefcl.dll
{E5094040-C46C-4115B030-04FB2E545B00}
36
Group Policy Power Options / Energie
Optionen
gpprefcl.dll
{E62688F0-25FD-4c90BFF5-F508B9D2E31F}
37
Group Policy Applications / Anwendungen
gpprefcl.dll
{F9C77450-3A41-477E9310-9ACD617BD9E3}
38
Enterprise QoS
gptext.dll
{FB2CA36D-0B40-4307821B-A13B252DE56C}
Wie man der oberen Tabelle entnehmen kann, existieren mehr CSEs als einzelne DLLs. Das Schaubild
verdeutlicht es etwas einfacher.
Die Liste der registrierten Client Side Extensions findet man in der Registry unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions
Quelle: http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Client_Side_Extensions.htm
Verarbeitung unveränderter Gruppenrichtlinieneinstellungen:
Clientseitige Erweiterungen mit Ausnahme der Erweiterung Remoteinstallationsdienst verarbeiten
standardmäßig nur Gruppenrichtlinieneinstellungen, die sich geändert haben, seit die
Gruppenrichtlinie das letzte Mal von der betreffenden Erweiterung verarbeitet wurde. Dieses
Standardverhalten bietet zwar beste Leistung, führt aber u. U. nicht zum gewünschten Ergebnis.
Wenn ein Benutzer beispielsweise während einer Sitzung eine Einstellung ändert, die durch eine
Gruppenrichtlinieneinstellung gesteuert wird, die Gruppenrichtlinieneinstellung selbst aber nicht im
Gruppenrichtlinienobjekt geändert wird, wird die Änderung des Benutzers bei der nächsten
Anwendung der Gruppenrichtlinie nicht rückgängig gemacht. Jede clientseitige Erweiterung kann so
konfiguriert werden, dass sie alle anwendbaren Gruppenrichtlinieneinstellungen verarbeitet,
unabhängig davon, ob sie sich geändert haben oder nicht. Diese Konfiguration wird in der
administrativen Vorlage vorgenommen.
© Mag. Christian Zahler, Mai 2010
233
Windows Server 2008 R2: Active Directory
17.4
Erstellen eines „Central Store“ für *.admx und *.adml-Dateien
Die *.admx und *.adml-Dateien sind standardmäßig lokal auf allen Windows Vista- bzw. Windows
Server 2008-PCs gespeichert (im Ordner %systemroot%\PolicyDefinitions). Es ist möglich,
stattdessen einen zentralen Speicher im Sysvol-Ordner zu erstellen, sodass auch die Verwaltung von
Vista-Gruppenrichtlinien über Windows Server 2003 möglich wird.
Schritt 1: Öffnen Sie den Ordner Policies im Sysvol-Ordner:
\\contoso.intern\SYSVOL\contoso.intern\Policies
Schritt 2: Erstellen Sie im Policies-Ordner einen Ordner mit dem Namen PolicyDefinitions:
Schritt 3: Kopieren Sie alle *.admx- und *.adml-Dateien aus dem Ordner
%systemroot%\PolicyDefinitions in den neu erstellten Ordner. Damit ist die Erstellung des Central
Store abgeschlossen.
Kontrolle:
Kein Central Store – Einstellungen kommen vom Ordner C:\Windows\PolicyDefinitions
Central Store: \\contoso.intern\Sysvol\Policies\PolicyDefinitions
234
© Mag. Christian Zahler, Mai 2010

Similar documents