Implementieren von Gruppenrichtlinien 21410D 11: Implementieren von Gruppenrichtlinien Präsentation: 60 Minuten Übungseinheit: 45 Minuten Am Ende dieser Unterrichtseinheit werden die Kursteilnehmer in der Lage sein, die folgenden Aufgaben auszuführen: Erstellen und Verwalten von Gruppenrichtlinienobjekten Beschreiben der Verarbeitung von Gruppenrichtlinien Implementieren eines zentralen Speichers für Administrative Vorlagen Erforderliche Unterrichtsmaterialien Für diese Unterrichtseinheit benötigen Sie die Microsoft® Office PowerPoint®-Datei 21410D_11.pptx. Wichtig: Verwenden Sie zum Anzeigen der Folien für diesen Kurs möglichst Office PowerPoint 2007 oder eine höhere Version. Wenn Sie PowerPoint Viewer oder eine ältere Version von Office PowerPoint verwenden, werden möglicherweise nicht alle Features der Folien ordnungsgemäß angezeigt. Vorbereitung Zur Vorbereitung dieser Unterrichtseinheit gehen Sie folgendermaßen vor: Lesen Sie alle Unterlagen für diese Unterrichtseinheit. Erarbeiten Sie die Ausführung der Demos und der Übungseinheiten. Arbeiten Sie die Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit durch und überlegen Sie, wie Sie diesen Abschnitt jeweils verwenden werden, um die Wissensvermittlung für die Teilnehmer zu verbessern und diese zu befähigen, ihr Wissen bei der Arbeit umzusetzen. Unterrichtseinheit 11 Implementieren von Gruppenrichtlinien

Übersicht über die Unterrichtseinheit 11: Implementieren von Gruppenrichtlinien Implementieren eines zentralen Speichers für administrative Vorlagen Geben Sie eine kurze Übersicht über den Inhalt der Unterrichtseinheit.

Lektion 1: Übersicht über Gruppenrichtlinien 21410D Lektion 1: Übersicht über Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Demo: Erstellen und Verwalten von Gruppenrichtlinienobjekten Geben Sie eine kurze Übersicht über den Inhalt der Lektion.

Komponenten von Gruppenrichtlinien 21410D Komponenten von Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Eine Gruppenrichtlinieneinstellung Definiert eine bestimmte Konfigurationsänderung Kann auf einen Benutzer oder einen Computer angewendet werden Ein Gruppenrichtlinienobjekt Ist eine Sammlung von Gruppenrichtlinieneinstellungen Kann auf einen Benutzer, einen Computer oder beide angewendet werden Beschreiben Sie Gruppenrichtlinienobjekte als Sammlungen von Einstellungen, die auf einen Benutzer oder einen Computer angewendet werden. Erwähnen Sie, dass Administratoren nur selten lokale Gruppenrichtlinienobjekte in Domänenumgebungen verwenden, da sie nicht zentral verwaltet werden können. Daher werden in der Regel keine lokalen Gruppenrichtlinienobjekte konfiguriert, da es zu aufwendig ist, Richtlinien auf jedem Computer zu verwalten.

Speicher für Gruppenrichtlinienobjekte der Domäne 11: Implementieren von Gruppenrichtlinien Komponenten von Gruppenrichtlinien Gruppenrichtlinienobjekt Enthält Gruppenrichtlinieneinstellungen Speichert den Inhalt an zwei Orten Gruppenrichtliniencontainer Wird in AD DS gespeichert Stellt Versionsinformationen bereit Gruppenrichtlinienvorlage Wird im freigegebenen SYSVOL-Ordner gespeichert Stellt Gruppenrichtlinieneinstellungen bereit Gehen Sie nicht zu ausführlich auf dieses Thema ein. Auf Gruppenrichtlinienobjekte wird selten über das Dateisystem zugegriffen, und dieses Thema dient daher dazu, grundlegende Informationen über die physische Struktur von Gruppenrichtlinienobjekten bereitzustellen.

Was sind Gruppenrichtlinieneinstellungen? 11: Implementieren von Gruppenrichtlinien Gruppenrichtlinieneinstellungen werden für folgende Zwecke verwendet Konfigurieren, Bereitstellen und Verwalten von Betriebssystem- und Anwendungseinstellungen, die mithilfe der Gruppenrichtlinie nicht verwaltbar waren Bei Start/Anmeldung einmal anwenden; optionale Aktualisierung in Intervallen Auf Benutzer oder Computer ausrichten Erweitern des Bereichs der konfigurierbaren Einstellungen innerhalb eines Gruppenrichtlinienobjekts Gruppenrichtlinieneinstellungen Werden nicht erzwungen Werden nicht entfernt, wenn das Gruppenrichtlinienobjekt nicht mehr gültig ist Deaktivieren nicht die Schnittstelle der Einstellung; Benutzer können die Einstellungen ändern Können nicht in lokalen Gruppenrichtlinien verwendet werden Bei diesem Thema geht es vor allem darum, Gruppenrichtlinieneinstellungen zu definieren. Am einfachsten ist es, diese Einstellungen als empfohlene, aber nicht erzwungene Einstellung zu beschreiben, die Sie unter Verwendung eines Gruppenrichtlinienobjekts anwenden. Weisen Sie auch darauf hin, dass Gruppenrichtlinieneinstellungen einige zusätzliche Einstellungen bereitstellen, die in Standardgruppenrichtlinieneinstellungen nicht verfügbar sind.

Was sind Starter-Gruppenrichtlinienobjekte? 11: Implementieren von Gruppenrichtlinien Ein Starter-Gruppenrichtlinienobjekt Hat vorkonfigurierte Einstellungen für administrative Vorlagen, auf denen neue Gruppenrichtlinienobjekte basieren können Kann in CAB-Dateien exportiert werden Kann in andere Bereiche des Unternehmens importiert werden Erläutern Sie den Kursteilnehmern, dass sie vorkonfigurierte administrative Vorlageneinstellungen in Starter-Gruppenrichtlinienobjekten speichern können, die sie dann als Vorlagen zum Erstellen von neuen Gruppenrichtlinienobjekten verwenden können. Sie können diese Starter-Gruppenrichtlinienobjekte in CAB-Dateien exportieren und die CAB-Dateien problemlos in anderen Bereichen des Unternehmens importieren. Dies kann helfen, die Konsistenz in großen Unternehmen zu gewährleisten. Erklären Sie den Kursteilnehmern, dass sie Kommentare zum Starter-GPO in der Vorlage speichern können. CAB-Datei In CAB-Datei exportiert Importiert in GPMC Starter-GPO Import in GPMC

Delegieren der Verwaltung von GPOs 11: Implementieren von Gruppenrichtlinien Aufgaben im Zusammenhang mit Gruppenrichtlinienobjekten können delegiert werden, um den administrativen Arbeitsaufwand im Unternehmen zu verteilen Die folgenden Gruppenrichtlinienaufgaben können unabhängig voneinander delegiert werden Erstellen von Gruppenrichtlinienobjekten einschließlich Starter-Gruppenrichtlinienobjekten Bearbeiten von Gruppenrichtlinienobjekten Verwalten von Gruppenrichtlinienverknüpfungen für einen Standort, eine Domäne oder Organisationseinheit Ausführen einer Gruppenrichtlinien-Modellierungsanalyse in einer Domäne oder Organisationseinheit Lesen von Gruppenrichtlinien-Ergebnisinformationen in einer Domäne oder Organisationseinheit Erstellen von WMI-Filtern in einer Domäne Erklären Sie den Kursteilnehmern, dass sie verschiedene Aspekte der Verwaltung von Gruppenrichtlinienobjekten delegieren können. Heben Sie hervor, dass es sich beim Erstellen, Verknüpfen und Bearbeiten von Gruppenrichtlinienobjekten um separate Ereignisse handelt, und dass das Recht, eine dieser Operationen auszuführen nicht automatisch bedeutet, dass sie die Rechte besitzen, andere Operationen auszuführen. Der Administrator ist der einzige Benutzer, der standardmäßig über das Recht verfügt, diese gesamten Aktionen auszuführen. Erklären Sie den Kursteilnehmern, dass sie entweder die GPMC oder den Assistenten zum Zuweisen der Objektverwaltung in Active Directory®-Benutzer und -Computer verwenden können, um die Verknüpfung von Gruppenrichtlinienobjekten zu delegieren und die Verwendung von Berichtstools zu aktivieren. Erläutern Sie, dass sie die Mitgliedschaft in der Gruppe Richtlinien-Ersteller-Besitzer verwenden oder die Delegation über die GPMC vornehmen können, um das Recht zum Erstellen einer neuen Gruppenrichtlinie zu delegieren. Sie können jede einzelne Richtlinie konfigurieren, um Benutzern oder Gruppen zu ermöglichen, diese Richtlinie zu bearbeiten. Die Gruppe Richtlinien-Ersteller-Besitzer ermöglicht ihren Mitgliedern, neue Gruppenrichtlinienobjekte zu erstellen und von ihnen erstellte Gruppenrichtlinienobjekte zu bearbeiten oder zu löschen.

Demo: Erstellen und Verwalten von Gruppenrichtlinienobjekten 11: Implementieren von Gruppenrichtlinien In dieser Demo wird Folgendes gezeigt Erstellen eines GPOs mit der GPMC Bearbeiten des GPOs im Fenster Gruppenrichtlinienverwaltungs-Editor Verwenden von Windows PowerShell zum Erstellen eines GPOs Eine vollständige Liste der Gruppenrichtlinien-Cmdlets in Windows PowerShell finden Sie auf der Seite Group Policy Cmdlets in Windows PowerShell unter http://go.microsoft.com/fwlink/?LinkID=266752. Vorbereitungsschritte Starten Sie den virtuellen Computer 21410D-LON-DC1. Demoschritte Erstellen eines GPOs mit der GPMC Melden Sie sich auf LON-DC1 als Administrator mit dem Kennwort Pa$$w0rd an. Klicken Sie im Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole Gesamtstruktur: Adatum.com, erweitern Sie Domänen und Adatum.com, klicken Sie mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte und dann auf Neu. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt im Feld Name Windows Messenger nicht zulassen ein, und klicken Sie dann auf OK. Bearbeiten des GPOs im Fenster „Gruppenrichtlinienverwaltungs-Editor“ Klicken Sie auf den Knoten Gruppenrichtlinienobjekte, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Windows Messenger nicht zulassen, und klicken Sie dann auf Bearbeiten. Erweitern Sie im Fenster Gruppenrichtlinienverwaltungs-Editor unter Benutzerkonfiguration die Optionen Richtlinien, Administrative Vorlagen, Windows-Komponenten, und klicken Sie dann auf Windows Messenger. Doppelklicken Sie im Detailbereich auf die Einstellung Ausführung von Windows Messenger nicht zulassen. Klicken Sie auf Aktiviert und dann auf OK. Schließen Sie das Fenster Gruppenrichtlinienverwaltungs-Editor. Klicken Sie mit der rechten Maustaste auf die Adatum.com-Domäne, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen. (Weitere Hinweise auf der folgenden Folie)

Lektion 2: Verarbeitung von Gruppenrichtlinien 21410D Lektion 2: Verarbeitung von Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Demo: Verwenden von Gruppenrichtliniendiagnosetools Geben Sie eine kurze Übersicht über den Inhalt der Lektion.

Gruppenrichtlinienobjekt-Verknüpfungen 21410D Gruppenrichtlinienobjekt-Verknüpfungen 11: Implementieren von Gruppenrichtlinien Wichtige Aspekte beim Verknüpfen von Gruppenrichtlinienobjekten Um Einstellungen zu einem Objekt zu übermitteln, muss ein Gruppenrichtlinienobjekt mit einem Container verknüpft werden Einen Link zu deaktivieren, entfernt die Einstellungen aus dem Container Einen Link zu löschen, löscht das Gruppenrichtlinienobjekt nicht Weisen Sie auf Folgendes hin: Ein GPO (und alle Einstellungen, die es enthält) wird erst wirksam, wenn Sie es mit einem Container verknüpft haben, z. B. mit einer Organisationseinheit (OE). Einer der Hauptgründe für das Erstellen einer Organisationseinheitsstruktur ist die Unterstützung des Gruppenrichtlinienentwurfs. Gruppenrichtlinienobjekte können, und dies trifft häufig zu, mit mehreren Containern verknüpft sein. Erläutern Sie den Kursteilnehmern, dass sie eine Verknüpfung in der Regel deaktivieren würden, um die Problembehandlung zu ermöglichen. Betonen Sie, dass GPOs nicht auf Systemcontainer angewendet werden können. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), und zeigen Sie den Kursteilnehmern, dass Systemcontainer in der Konsole auch nicht angezeigt werden. Die einzige Methode, mit der die Objekte in den Systemcontainern Richtlinieneinstellungen erhalten können, besteht darin, dass Sie die Richtlinieneinstellungen für die Anwendung auf Domänenebene konfigurieren. Erwähnen Sie, dass die Gruppe Authentifizierte Benutzer alle authentifizierten Benutzer und Computer einschließt. Mit Gruppenrichtlinien-objekten kann Folgendes verknüpft werden Mit Gruppenrichtlinien-objekten kann Folgendes nicht verknüpft werden Websites Domänen Organisationseinheiten (OEs) Benutzer Gruppen Computer Systemcontainer

21410D Anwenden von GPOs 11: Implementieren von Gruppenrichtlinien Beachten Sie Folgendes, wenn Sie Gruppenrichtlinienobjekte anwenden Computereinstellungen werden beim Start angewendet Benutzereinstellungen werden bei der Anmeldung angewendet Richtlinien werden in regelmäßigen, konfigurierbaren Intervallen aktualisiert Sicherheitseinstellungen werden mindestens alle 16 Stunden aktualisiert Richtlinien werden manuell aktualisiert, indem Folgendes verwendet wird Der Befehl Gpupdate Das Windows PowerShell-Cmdlet Invoke-Gpupdate Unter Windows Server 2012 und Windows 8 steht das neue Feature Remoteaktualisierung der Richtlinien bereit Weisen Sie die Kursteilnehmer insbesondere darauf hin, dass das Ändern des Aktualisierungsintervalls sich auf die Leistung auf dem Clientcomputer und dem Netzwerk auswirken kann. Daher sollten Sie die Änderung testen, bevor Sie sie implementieren. Die Kursteilnehmer müssen das Prinzip der Benutzeranmeldung mit zwischengespeicherten Anmeldeinformationen verstehen und wie sich dies auf die Gruppenrichtlinieneinstellungen auswirkt. Weisen Sie auf die neue Funktion Remoteaktualisierung der Richtlinien in Windows Server 2012 hin.

Verarbeitungsreihenfolge für Gruppenrichtlinien 21410D Verarbeitungsreihenfolge für Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Standort Lokale Gruppe GPO1 GPO2 Domäne OE GPO3 GPO4 GPO5 Verarbeitungsreihenfolge für Gruppenrichtlinien Verwenden Sie die Folie, um die Verarbeitung von Richtlinien zu beschreiben. Weisen Sie darauf hin, dass das Zuweisen einer Einstellungsreihenfolge nur erforderlich ist, wenn bei mehreren Richtlinien, die auf der gleichen Ebene verknüpft sind, die Möglichkeit von Einstellungen besteht, die zueinander in Konflikt stehen. Andernfalls ist die Reihenfolge der Anwendung aufgrund des kumulativen Effekts von Objekten irrelevant.

Was sind mehrere lokale Gruppenrichtlinienobjekte? 11: Implementieren von Gruppenrichtlinien Mehrere lokale Gruppenrichtlinien Es gibt drei Ebenen von Benutzerkonfigurationen Haben eine einzige Computerkonfiguration, die auf die Computer aller Benutzer angewendet wird, die sich anmelden Betonen Sie, dass Domänenrichtlinien in einer Domänenumgebung lokale Einstellungen überschreiben. Lokale Gruppenrichtlinien können nur verwendet werden, um den lokalen Computer zu steuern. Dies ist in Arbeitsgruppenumgebungen und im Zusammenhang mit Abbildern nützlich. Weisen Sie darauf hin, dass lokale Gruppenrichtlinie für alle Benutzer gilt, die sich am lokalen Computer anmelden. Weisen Sie auf Folgendes hin: Richtlinien können nicht direkt auf Sicherheitsgruppen angewendet werden. Benutzereinstellungen können auf mehrere Richtlinien angewendet werden. Ein Computer kann nur eine Konfigurationsrichtlinie aufweisen. Erwägen Sie, eine kurze Demo auszuführen, um das Erstellen einer lokalen Gruppenrichtlinie für Standardbenutzer zu zeigen. Haben Ebenen von Benutzereinstellungen, die nur auf einzelne Benutzer und nicht auf Gruppen angewendet werden können Administrator Standardbenutzer Benutzerspezifisch

Was sind Standard-GPOs? 11: Implementieren von Gruppenrichtlinien Es gibt zwei Standardgruppenrichtlinienobjekte Standarddomänenrichtlinie Wird verwendet, um die Kontorichtlinien für die Domäne zu definieren Kennwort Kontosperrung Kerberos-Protokoll Standard-Domänencontrollerrichtlinie Wird verwendet, um Überwachungsrichtlinien zu definieren Definiert Benutzerrechte auf Domänencontrollern Zeigen Sie die beiden Standardrichtlinien, und betonen Sie, dass diese beiden Richtlinien unverändert bleiben sollten.

GPO-Sicherheitsfilterung 21410D GPO-Sicherheitsfilterung 11: Implementieren von Gruppenrichtlinien Übernehmen der Gruppenrichtlinienberechtigungen Gruppenrichtlinienobjekt verfügt über eine Zugriffssteuerungsliste (Registerkarte Delegierung, auf Erweitert klicken) Standard: Authentifizierte Benutzer verfügen über die Berechtigung des Typs Zulassen für Gruppenrichtlinie übernehmen Bereich gilt nur für Benutzer in ausgewählten globalen oder universellen Gruppen Entfernen authentifizierter Benutzer Hinzufügen geeigneter globaler oder universeller Gruppen (Gruppenrichtlinienobjekte gelten nicht für lokale Domänengruppen) Bereich gilt für Benutzer außer Benutzern in ausgewählten Gruppen Klicken Sie auf der Registerkarte Delegierung auf Erweitert Hinzufügen geeigneter globaler Gruppen Verweigern der Berechtigung Gruppenrichtlinie übernehmen Sie könnten die zwei Ansätze wie folgt charakterisieren: Übernehmen der Einstellung für fast alle Benutzer bis auf wenige Ausnahmen Übernehmen der Einstellung nur für einige Benutzer Weisen Sie darauf hin, dass nicht nur ein Teil eines Gruppenrichtlinienobjekts gesteuert werden kann. Berechtigungen gelten für alle Einstellungen im Gruppenrichtlinienobjekt. Wenn eine Richtlinie mehrere Einstellungen übermittelt, ist es nicht möglich, die Wirksamkeit einiger weniger Einstellungen aufzuheben oder deren Durchsetzung zu erzwingen. Sie können alle Einstellungen erzwingen oder erzwingen keine.

Diskussion: Identifizieren der Anwendung von Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Überprüfen Sie das Szenario und die AD DS-Struktur-Grafik im Handbuch, um die folgenden Fragen zu beantworten Welche Energieoptionen empfangen die Server in der Serverorganisationseinheit? Welche Energieoptionen empfangen die Laptops in der Vertriebslaptops-Organisationseinheit? Welche Energieoptionen empfangen alle anderen Computer in der Domäne? Werden Benutzern in der Vertriebsbenutzer-Organisationseinheit, die lokale Richtlinien zum Gewähren von Zugriff auf die Systemsteuerung erstellt haben, in der Lage sein, auf die Systemsteuerung zuzugreifen? Wie gewähren Sie einigen Benutzern Zugriff auf die Systemsteuerung? Kann GPO2 auf andere Abteilungsorganisationseinheiten angewendet werden? Wenn Sie gemeinsam mit den Kursteilnehmern die Diskussionsfragen und -antworten durchgegangen sind, können Sie eigene Fragen und Szenarien entwickeln. Frage Welche Energieoptionen empfangen die Server in der Serverorganisationseinheit? Antwort Sie empfangen die Energieoptionen von GPO4, da sie nach den GPOs auf Domänenebene angewendet werden. Welche Energieoptionen empfangen die Laptops in der Vertriebslaptops-Organisationseinheit? Sie empfangen die Energieoptionen von GPO3, da sie nach den GPOs auf Domänenebene angewendet werden. Welche Energieoptionen empfangen alle anderen Computer in der Domäne? Sie empfangen die Richtlinie auf Domänenebene. Werden Benutzern in der Vertriebsbenutzer-Organisationseinheit, die lokale Richtlinien zum Gewähren von Zugriff auf die Systemsteuerung erstellt haben, in der Lage sein, auf die Systemsteuerung zuzugreifen? Nein. Zuerst werden lokale Einstellungen angewendet. Diese werden von Domänen- und Organisationseinheitsrichtlinien überschrieben. Deshalb kehrt eine lokale Richtlinie nicht die Domäneneinstellung um. 20 Minuten (Weitere Hinweise auf der folgenden Folie)

Demo: Verwenden von Gruppenrichtliniendiagnosetools 11: Implementieren von Gruppenrichtlinien In dieser Demo wird Folgendes gezeigt Verwenden von Gpupdate, um Gruppenrichtlinien zu aktualisieren Verwenden des Befehls Gpresult, um die Ergebnisse per HTML-Datei auszugeben Verwenden des Gruppenrichtlinienmodellierungs- Assistent, um die Richtlinie zu testen Betonen Sie, dass der Richtlinienergebnissatz das beste Tool zum Beheben von GPO-Problemen ist. Mit diesem Satz können die Kursteilnehmer sehen, welche Richtlinien welche Einstellungen für den Benutzer oder Computer übermitteln. Weisen Sie darauf hin, dass der Gruppenrichtlinienmodellierungs-Assistent in dieser Demo nur wenige Informationen generiert, da zum aktuellen Zeitpunkt nur wenige Richtlinien und Einstellungen vorliegen. Es ist das Ziel der Übung, die Möglichkeiten des Assistenten zu veranschaulichen, und nicht, die Inhalte des generierten Berichts vorzustellen. Vorbereitungsschritte Stellen Sie sicher, dass 21410D-LON-DC1 nach der letzten Demo noch ausgeführt wird. Demoschritte Verwenden von Gpupdate zum Aktualisieren von Gruppenrichtlinien Klicken Sie auf LON-DC1 in der Taskleiste auf das Windows PowerShell-Symbol. Geben Sie in der Windows PowerShell-Eingabeaufforderung das Folgende ein, und drücken Sie anschließend die EINGABETASTE: Gpupdate Verwenden von Gpresult-Cmdlet, um die Ergebnisse per HTML-Datei auszugeben Geben Sie in der Windows PowerShell-Eingabeaufforderung den Folgendes ein, und drücken Sie die EINGABETASTE: Gpresult /H c:\Gpresult.html Klicken Sie auf der Taskleiste auf das Explorer-Symbol. Erweitern Sie im Fenster Explorer Computer, und klicken Sie dann auf Lokaler Datenträger (C:). Doppelklicken Sie auf die Datei Gpresult.html und prüfen Sie die Ergebnisse. Führen Sie in der Datei Gpresult.html einen Bildlauf nach unten bis zum Bereich Benutzerdetails aus. Die Einstellung Ausführung von Windows Messenger nicht zulassen ist aktiviert. Ausschlaggebendes Gruppenrichtlinienobjekt ist das GPO Windows Messenger nicht zulassen. (Weitere Hinweise auf der folgenden Folie)

Verwaltete und nicht verwaltete Richtlinieneinstellungen Lektion 3: Implementieren eines zentralen Speichers für administrative Vorlagen 11: Implementieren von Gruppenrichtlinien Verwaltete und nicht verwaltete Richtlinieneinstellungen Beschreiben Sie kurz den Inhalt der Lektion.

Was ist der zentrale Speicher? 11: Implementieren von Gruppenrichtlinien Der zentrale Speicher Ist ein zentrales Repository für ADMX- und ADML-Dateien Wird in SYSVOL gespeichert Muss manuell erstellt werden Wird von Windows-Betriebssystemen automatisch erkannt Weisen Sie auf die Vorteile eines zentralen Speichers für größere Organisationen mit mehreren Verwaltungsstationen hin. Der zentrale Speicher stellt einen zentralisierten Speicherort bereit, damit für jegliche Bearbeitung, die Administratoren von mehreren Standorten aus ausführen, immer der gleiche Satz von ADMX- und ADML-Dateien verwendet wird, vorausgesetzt, dass auf der Verwaltungsarbeitsstation ein Windows Vista®-Betriebssystem oder neuer oder ein Windows Server® 2008-System oder neuere Systeme ausgeführt werden. ADMX-Dateien ADMX-Dateien Windows-Arbeitsstation Domänencontroller mit zentralem Speicher in SYSVOL Domänencontroller erhält eine replizierte Kopie des zentralen Speichers

Was sind administrative Vorlagen? 11: Implementieren von Gruppenrichtlinien Administrative Vorlagen bestimmen, welche Einstellungen angezeigt und wie sie im Fenster „Gruppenrichtlinienverwaltungs-Editor“ gruppiert werden .admx .adml Die Hauptideen, die Sie Kursteilnehmern vermitteln sollten: Administrative Vorlagen bestimmen, welche Einstellungen angezeigt und wie sie im Fenster Gruppenrichtlinienverwaltungs-Editor gruppiert werden. Vor Windows Vista sowie .admx (ADMX)- und .adml (ADML)-Dateitypen waren administrative Vorlagen einzelne Dateien mit der Erweiterung .adm (ADM). Diese Dateien führten zu einem äußerst großen SYSVOL-Ordner, da die ganze Datei in das GPO in SYSVOL kopiert wurde, auch wenn Sie nur einige Einstellungen konfiguriert haben. Mit den Formaten ADMX und ADML wurde dieses Verhalten geändert, sodass nur die von Ihnen konfigurierten Einstellungen in das Gruppenrichtlinienobjekt aufgenommen werden und dessen Größe somit verringert wird. Erwähnen Sie, dass ein Tool namens ADMX Migrator existiert. dass Sie verwenden, um ADM-Dateien in das ADMX-Format zu konvertieren und anzupassen. Registrierung

Wie administrative Vorlagen funktionieren 11: Implementieren von Gruppenrichtlinien Änderungen der Richtlinieneinstellungen im Knoten Administrative Vorlagen ändern auch die Registrierung Die Änderung der Einstellung Zugriff auf Programme zum Bearbeiten der Registrierung verhindern ändert den Wert von HKLM\Software\ Classes\Regedit Veranschaulichen Sie für die Kursteilnehmer, wie Computereinstellungen mit einem genauen Stichwortbegriff wie Wechselmedien gefiltert werden.

Verwaltete und nicht verwaltete Richtlinieneinstellungen 11: Implementieren von Gruppenrichtlinien Verwaltete Richtlinieneinstellungen Benutzeroberfläche ist gesperrt; Benutzer kann die Einstellung nicht ändern Die Änderungen werden in einem von vier reservierten Registrierungsschlüsseln vorgenommen Änderungs- und Benutzeroberflächen-Sperren werden aufgehoben, wenn der Benutzer/Computer aus dem Bereich fällt Nicht verwaltete Richtlinieneinstellungen Benutzeroberfläche ist nicht gesperrt Änderungen sind dauerhaft: Registrierung wird dauerhaft festgehalten Nur verwaltete Einstellungen werden standardmäßig angezeigt Festlegen von Filteroptionen, um nicht verwaltete Einstellungen anzuzeigen Machen Sie den Unterschied zwischen verwalteten und nicht verwalteten Richtlinieneinstellungen deutlich. Stellen Sie sicher, dass Kursteilnehmer das potenzielle Problem verstehen, das durch das Tätowieren der Registrierung entsteht. Erklären Sie den Effekt von Gruppenrichtlinieneinstellungen und erläutern Sie, dass die von Einstellungen vorgenommenen Änderungen in der Regel permanente Änderungen sind. Einige Einstellungen schließen jedoch eine Option zum Entfernen der Einstellung ein, wenn der Benutzer oder der Computer den GPO- Bereich verlassen. In diesen Situationen wird die Einstellung in der Regel gelöscht, und die Einstellung wird nicht in den Status der Einstellung vor der Anwendung der Einstellung wiederhergestellt.

Übungseinheit: Implementieren von Gruppenrichtlinien 21410D Übungseinheit: Implementieren von Gruppenrichtlinien 11: Implementieren von Gruppenrichtlinien Übung 2: Erstellen von Gruppenrichtlinienobjekten Bevor die Kursteilnehmer die Übungseinheit beginnen, lesen Sie das Szenario zur Übungseinheit und zeigen Sie die nächste Folie an. Lesen Sie den Kursteilnehmern vor Beginn jeder Übungseinheit das entsprechende Szenario dieser Übung vor. Die Szenarien bieten Kontext für die Übungseinheit und die Übungen und erleichtern die Besprechung am Ende der Übungseinheit. Erinnern Sie die Kursteilnehmer daran, die Diskussionsfragen im Anschluss an die letzte praktische Übung zu beantworten. Übung 1: Konfigurieren eines zentralen Speichers A. Datum hat vor Kurzem eine benutzerdefinierte ADMX-Vorlage implementiert, um ein Programm zu konfigurieren. Ein Kollege hat die ADMX-Dateien vom Anbieter vor dem Erstellen des GPOs mit den Konfigurationseinstellungen erhalten. Die Einstellungen wurden wie erwartet für das Programm übernommen. Nach der Implementierung haben Sie bemerkt, dass Sie die Programmeinstellungen im GPO nicht von einem beliebigen Standort aus ändern können, sondern nur mit der Arbeitsstation, die ursprünglich vom Kollegen verwendet wurde. Um dieses Problem zu beheben, hat Ihr Vorgesetzter Sie damit beauftragt, einen zentralen Speicher für administrative Vorlagen zu erstellen. Nachdem Sie den zentralen Speicher erstellt haben, kopiert der Kollege die Anbieter-ADMX-Vorlage von der Arbeitsstation in den zentralen Speicher. Übung 2: Erstellen von Gruppenrichtlinienobjekten Nach der letzten Besprechung des IT-Richtlinien-Ausschusses hat das Management entschieden, dass A. Datum eine Gruppenrichtlinie verwenden wird, um den Benutzerzugriff auf die Seite Allgemein im Internet Explorer einzuschränken. Sie wurden von Ihrem Vorgesetzten dazu aufgefordert, ein Starter-Gruppenrichtlinienobjekt mit Standardeinschränkungseinstellungen für Internet Explorer zu erstellen, das von allen Abteilungen verwendet werden kann. Sie müssen die Gruppenrichtlinienobjekte erstellen, die die Einstellungen für Mitglieder aller Abteilungen außer der IT-Abteilung übermitteln. Anmeldeinformationen Virtuelle Computer 21410D-LON-DC1 21410D-LON-CL1 Benutzername ADATUM\Administrator Kennwort Pa$$w0rd Geschätzte Dauer: 45 Minuten

Szenario der Übungseinheit 11: Implementieren von Gruppenrichtlinien A. Datum Corporation ist ein globales Ingenieurs- und Fertigungsunternehmen mit Hauptsitz in London, England. Ein IT-Büro und ein Rechenzentrum befinden sich in London, um den Standort in London sowie weitere Standorte zu unterstützen. A. Datum hat vor Kurzem eine Windows Server 2012-Infrastruktur mit Windows 8-Clients bereitgestellt In Ihrer Rolle als Mitglied des Serversupportteams helfen Sie, neue Server und Dienste in der vorhandenen Infrastruktur bereitzustellen und zu konfigurieren, auf Grundlage der Ihnen vom IT-Manager gegebenen Anweisungen Sie wurden vom Manager gebeten, einen zentralen Speicher für ADMX-Dateien zu erstellen, um sicherzustellen, dass jeder GPOs bearbeiten kann, die mit benutzerdefinierten ADMX-Dateien erstellt wurden. Sie müssen auch ein Starter-GPO erstellen, das Internet Explorer-Einstellungen einschließt, und dann ein GPO konfigurieren, das GPO-Einstellungen auf die Marketing- und die IT-Abteilung anwendet

21410D Lernzielkontrolle 11: Implementieren von Gruppenrichtlinien Welchen Windows-Befehl können Sie verwenden, um auf einem Clientcomputer die sofortige Aktualisierung aller Gruppenrichtlinienobjekte zu erzwingen? Fragen zur Lernzielkontrolle für die Übungseinheit Frage Welcher Unterschied besteht zwischen ADMX- und ADML-Dateien? Antwort ADMX-Dateien enthalten den Registrierungsspeicherort, der von einer Einstellung geändert wird, und ADML-Dateien stellen die sprachspezifische Benutzeroberfläche für die Einstellung bereit, die im Fenster Gruppenrichtlinienverwaltungs-Editor angezeigt wird. Die Gruppe Vertriebsmanager soll von der Desktopsperrungsrichtlinie befreit werden, die auf die ganze Organisationseinheit Vertrieb angewendet wird. Alle Vertriebsbenutzerkonten und Vertriebsgruppen befinden sich in der Organisationseinheit Vertrieb. Wie würden Sie die Gruppe Vertriebsmanager von der Richtlinie ausnehmen? Sie würden den Zugriff auf die Richtlinie für die Gruppe Vertriebsmanager mithilfe der Sicherheitsfilterung verweigern. Welchen Windows-Befehl können Sie verwenden, um auf einem Clientcomputer die sofortige Aktualisierung aller Gruppenrichtlinienobjekte zu erzwingen? Zum Erzwingen der Aktualisierung verwenden Sie den Windows-Befehl Gpupdate /force.

Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit 11: Implementieren von Gruppenrichtlinien Häufig auftretende Probleme und Tipps zur Problembehandlung Tools Frage(n) zur Lernzielkontrolle Verweisen Sie die Kursteilnehmer auf den entsprechenden Abschnitt im Kurs, sodass sie die in diesem Abschnitt gestellten Fragen beantworten können. Frage Welche Vor- und Nachteile ergeben sich aus dem Verwenden eines Gruppenrichtlinienobjekts auf Standortebene? Antwort Ein Vorteil der Verwendung eines Gruppenrichtlinienobjekts auf Standortebene ist, dass alle Benutzer oder Computer an einem Standort die GPO-Einstellungen unabhängig von der Domäne, zu der sie gehören, anwenden können. Sie können z. B. bei Bedarf die Internet Explorer-Proxyeinstellungen für alle Computer an einem bestimmten Standort konfigurieren, unabhängig davon, ob sie zur Stammdomäne oder zu einer untergeordneten Domäne gehören. Ein Nachteil der Verwendung eines Gruppenrichtlinienobjekts auf Standortebene ist, dass die Problembehandlung schwierig sein kann, da das Gruppenrichtlinienobjekt für Systeme in mehreren Domänen übernommen werden kann. Ein anderer Nachteil der Verwendung eines Gruppenrichtlinienobjekts auf Standortebene ist, dass das Gruppenrichtlinienobjekt in einer Domäne erstellt werden muss und hat dann zum Standort verknüpft wird. Standortbasierte Computer müssen dieses Gruppenrichtlinienobjekt dann von einem Domänencontroller in die Domäne ziehen, in der das Gruppenrichtlinienobjekt erstellt wurde, was zu übermäßigem Fernnetzdatenverkehr führen konnte. Sie haben eine Reihe von Anmeldeskripts, die Netzlaufwerke für Benutzer zuordnen. Nicht alle Benutzer benötigen diese Laufwerkzuordnungen, deshalb müssen Sie sicherstellen, dass nur bestimmte Benutzer die Zuordnungen empfangen. Sie möchten keine Skripts verwenden. Was ist die beste Methode, um Netzlaufwerke für ausgewählte Benutzer zuzuordnen, ohne Skripts zu verwenden? Sie können Netzlaufwerke für ausgewählte Benutzer mithilfe der Gruppenrichtlinieneinstellungen zuordnen, ohne Skripts zu verwenden. Aktivieren Sie in den Gruppenrichtlinieneinstellungen die Option, um die Laufwerkszuordnung zu konfigurieren, und verteilen Sie anschließend die Zuordnungen mithilfe der Einstellungen-Zielgruppenadressierung an die entsprechenden Benutzer. (Weitere Hinweise auf der folgenden Folie)