GPMC How To
So arbeiten Sie mit der Gruppenrichtlinien-Verwaltungskonsole
Mit der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), einem Add-On für Windows Server 2003, können Sie Gruppenrichtlinien von einer zentralen Stelle aus unternehmensweit verwalten. Die GPMC besteht aus einem Snap-In für die Microsoft Management Console (MMC) sowie einem Satz von Objekten, die über Scripts gesteuert werden können.
Das nachstehende Dokument beschreibt, wie Sie die Gruppenrichtlinien-Verwaltungskonsole für die Administration Ihrer Gruppenrichtlinien einsetzen. Erläutert werden dabei spezifische Aufgaben, die häufig vorkommen: vom Erstellen und Löschen von Gruppenrichtlinienobjekten über das Erstellen von Gruppenrichtlinieergebnissätzen bis hin zum Festlegen des Gruppenrichtlinienbereichs.
(Englische Originalversion dieses Artikels: GPMC How To...)
Auf dieser Seite
Unterschiedliche Serverkonfigurationen/-versionen
| • | Abhängig von der Version und Edition des installierten Betriebssystems, den Kontenberechtigungen und den Einstellungen können die verfügbaren Funktionen von dieser Beschreibung abweichen. Weitere Informationen finden Sie in der Produkt-Hilfe (englischsprachig). |
Starten der Gruppenrichtlinien-Verwaltungskonsole
| • | Um die Gruppenrichtlinienverwaltungskonsole zu starten, klicken Sie auf Start, Systemsteuerung, Verwaltung und Gruppenrichtlinienverwaltung. |
Erstellen oder Löschen eines Gruppenrichtlinienobjekts
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
Erstellen
1. | Klicken Sie links in der Konsolenstruktur mit rechts auf Gruppenrichtlinienobjekte unter der Gesamtstruktur und der Domäne, in der Sie das Gruppenrichtlinienobjekt (GPO) erstellen möchten. |
2. | Klicken Sie auf Neu. |
3. | Geben Sie einen Namen für das neue GPO ein. Klicken Sie dann auf OK. |
Erstellen und Verknüpfen
1. | Klicken Sie links in der Konsolenstruktur mit rechts auf die Domäne in der Gesamtstruktur, in der Sie das Gruppenrichtlinienobjekt (GPO) erstellen möchten. |
2. | Klicken Sie auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen. |
3. | Geben Sie einen Namen für das neue GPO ein. Klicken Sie dann auf OK. |
Löschen
1. | Klicken Sie links in der Konsolenstruktur doppelt auf Gruppenrichtlinienobjekte unter der Gesamtstruktur und der Domäne, in der Sie das Gruppenrichtlinienobjekt (GPO) erstellen möchten. |
2. | Klicken Sie mit rechts auf das entsprechende GPO und dann auf Löschen. |
3. | Bestätigen Sie mit OK. |
Anmerkungen:
| • | Damit Sie ein GPO erstellen können, müssen Sie über die entsprechenden Privilegien verfügen. Standardmäßig haben nur die Gruppen Domänen-Admins, Organisations-Admins und Gruppenrichtlinien Ersteller-Besitzer diese Privilegien. Über die Registerkarte Delegierung unter dem Knoten Gruppenrichtlinienobjekte der entsprechenden Domäne können Sie Berechtigungen delegieren. |
| • | Um ein GPO löschen zu können, benötigen Sie die Rechte Einstellungen bearbeiten, Löschen, Berechtigungen ändern für das GPO. |
| • | Wenn Sie über den oben beschriebenen Weg ein GPO erstellen, dann wird dieses nicht verknüpft. Sie können es über einen Rechtsklick auf eine Gesamtstruktur, Domäne, einen Standort oder eine OU und die Option Bestehendes Gruppenrichtlinienobjekt verknüpfen verknüpfen. |
| • | Wenn Sie ein GPO löschen, versucht die Gruppenrichtlinienverwaltung in der Domäne alle Verknüpfungen mit diesem GPO zu entfernen. Sie müssen hierzu jedoch über die Berechtigungen Gruppenrichtlinienobjekte verknüpfen verfügen. Wenn Sie dieses Recht nicht haben, bleiben die Verknüpfungen bestehen. Verknüpfungen in anderen Domänen werden nicht automatisch gelöscht. Die Verknüpfung mit einem gelöschten GPO wird in der Gruppenrichtlinienverwaltung als Nicht gefunden angezeigt. |
| • | Gruppenrichtlinienobjekte werden von Active Directory anhand einer eindeutigen GUID unterschieden. Theoretisch können mehrere GPOs den gleichen Anzeigenamen haben. Das Snap-In Gruppenrichtlinienverwaltung verhindert dies jedoch. Mit Drittanbietertools oder über andere Wege ist es aber trotzdem möglich, entsprechende GPOs zu erstellen. |
| • | Die Default Domain Controllers Policy und die Default Domain Policy können nicht gelöscht werden. |
| • | Bevor Sie ein GPO löschen, können Sie über die Registerkarte Bereich des GPOs überprüfen, ob dieses noch in anderen Domänen verknüpft ist. Wählen Sie im Feld Für dieses Verzeichnis anzeigen den Eintrag (Gesamtstruktur) aus. |
Ein Gruppenrichtlinienobjekt über die Gruppenrichtlinien-Verwaltungskonsole bearbeiten
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie links in der Konsolenstruktur unter der Gesamtstruktur und der Domäne doppelt auf Gruppenrichtlinienobjekte, in der sich das Gruppenrichtlinienobjekt (GPO) befindet, das Sie bearbeiten möchten. | ||||
3. | Klicken Sie mit rechts auf das GPO und dann auf Bearbeiten. | ||||
4. | Bearbeiten Sie die Einstellungen des GPOs.
|
Anmerkungen:
| • | Sie benötigen die Berechtigung Bearbeiten für das zu bearbeitende GPO. |
| • | Um IPSec-Richtlinieneinstellungen zu bearbeiten, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Andernfalls können Sie die IPSec-Richtlinien nur zuweisen oder entfernen. |
| • | Um das lokale Gruppenrichtlinienobjekt zu bearbeiten, klicken Sie auf Start und Ausführen. Geben Sie dann gpedit.msc ein, und klicken Sie auf OK. |
Eine Gesamtstruktur, einen Standort oder eine Domäne zur Gruppenrichtlinien-Verwaltungskonsole hinzufügen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
Gesamtstruktur
1. | Klicken Sie links in der Konsolenstruktur mit rechts auf Group Policy Management und dann auf Gesamtstruktur hinzufügen. |
2. | Geben Sie den DNS- oder NetBIOS-Namen einer Domäne in der Gesamtstruktur ein. Klicken Sie dann auf OK. |
Domäne
1. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, der Sie eine Domäne hinzufügen wollen. Klicken Sie mit rechts auf Domänen und dann auf Domänen anzeigen. |
2. | Wählen Sie die entsprechende Domäne aus. Klicken Sie dann auf OK. |
Standort
1. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, der Sie einen Standort hinzufügen wollen. Klicken Sie mit rechts auf Standorte und dann auf Standorte anzeigen. |
2. | Wählen Sie den entsprechenden Standort aus. Klicken Sie dann auf OK. |
Anmerkungen:
| • | Durch das Hinzufügen einer Gesamtstruktur zur Gruppenrichtlinienverwaltung wird keine neue Active Directory-Gesamtstruktur erstellt (dies gilt auch für Domänen und Standorte). |
| • | Wenn Sie eine Gesamtstruktur hinzufügen, wird diese nach der Stammdomäne der Gesamtstruktur benannt. Standardmäßig wird unter der Gesamtstruktur nur eine Domäne angezeigt (diejenige, die Sie beim Hinzufügen ausgewählt haben). Weitere Domänen müssen erst explizit hinzugefügt werden. |
| • | Standorte werden standardmäßig nicht angezeigt. Sie müssen explizit hinzugefügt werden. |
| • | Da GPOs nicht domänenübergreifende vererbt werden, werden Domänen immer als Peers angezeigt - unabhängig von den bestehenden Vertrauensstellungen. |
| • | Sie können Domänen mit externen Vertrauensstellungen hinzufügen - und zwar auch dann, wenn es keine Gesamtstrukturvertrauensstellung gibt. Es muss jedoch eine Vertrauensstellung zwischen der Domäne mit ihrem Benutzerkonto und der externen Domäne geben. |
| • | Wenn Sie die Gruppenrichtlinien-Verwaltungskonsole schließen, wird die Liste der aktuell angezeigten Gesamtstrukturen, Domänen und Standorte gespeichert. |
Nach einem Gruppenrichtlinienobjekt suchen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||
2. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, in der sich die Domäne befindet, in der Sie nach einem GPO suchen wollen. Klicken Sie doppelt auf Domänen und dann mit rechts auf die Domäne. Klicken Sie auf Suchen. | ||||||
3. | Wählen Sie im Feld In dieser Domäne nach Gruppenrichtlinien suchen die Domäne oder den Eintrag Alle Domänen der Gesamtstruktur aus. | ||||||
4. | Wählen Sie im Feld Suchelemente den zu suchenden Objekttyp aus. | ||||||
5. | Geben Sie im Feld Bedingung eine Suchbedingung ein. | ||||||
6. | Geben Sie im Feld Wert einen Wert für den Filter ein, und klicken Sie auf Hinzufügen. | ||||||
7. | Wiederholen Sie die Schritte 4 bis 6 so lange, bis alle Suchkriterien definiert sind. Klicken Sie auf Suchen. | ||||||
8. | Mit den Suchergebnissen können Sie folgendermaßen verfahren:
|
Anmerkungen:
| • | Sie können das Dialogfeld Suchen auch über einen Rechtsklick auf die Gesamtstruktur öffnen. |
Einen Domänencontroller festlegen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||||
2. | Abhängig davon, ob Sie einen Domänencontroller oder einen Standort festlegen wollen, gehen Sie folgendermaßen vor:
| ||||||||
3. | Um den Domänencontroller für einen Standort oder eine Domäne festzulegen, gehen Sie folgendermaßen vor:
|
Einen Bericht mit Gruppenrichtlinienobjekt-Einstellungen anzeigen, drucken oder speichern
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, in der sich die Domäne oder OU mit dem betreffenden GPO befindet. Wählen Sie das GPO aus. | ||||
3. | Wechseln Sie zur Registerkarte Einstellungen. | ||||
4. | Klicken Sie mit rechts auf den Bericht, und wählen Sie eine der folgenden Aktionen aus:
|
Anmerkungen:
| • | Um den Bericht anzupassen, klicken Sie auf Ausblenden und Einblenden. |
| • | Wenn Sie die verbesserte Sicherheitskonfiguration des Internet Explorers nutzen, kann es sein, dass Warnmeldungen angezeigt werden. Dies liegt daran, dass der Bericht ein Skript enthält, mit dem die einzelnen Abschnitte auf- und zugeklappt werden können. Um diese Funktionalität nutzen zu können, müssen Sie die Site about:security_MMC.exe zur vertrauenswürdigen Zone hinzufügen. Klicken Sie hierzu in der Warnmeldung auf Hinzufügen. |
| • | Um sich die Beschreibungen zu den Einstellungen der administrativen Vorlagen anzeigen zu lassen, klicken Sie auf den Einstellungsnamen. |
| • | Es ist nicht möglich, mithilfe der Tastatur im Bericht zu scrollen. Hierzu müssen Sie den Bericht speichern und ihn dann im Internet Explorer öffnen. |
| • | Um einen Bericht im Webbrowser anzeigen zu können, müssen Sie Internet Explorer 6 oder Netscape 7 nutzen. Netscape 7 unterstützt jedoch die Ausblenden/Einblenden-Funktionalität im Bericht nicht. |
Erstellen eines Gruppenrichtlinienergebnissatzes
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, für die Sie einen Gruppenrichtlinienergebnissatz erstellen möchten. Klicken Sie mit rechts auf Gruppenrichtlinienergebnisse und dann auf Gruppenrichtlinienergebnis-Assistent. | ||||
3. | Klicken Sie auf Weiter. | ||||
4. | Wenn Sie den Assistenten durchgegangen sind, klicken Sie auf Fertigstellen. | ||||
5. | Wenn sie den Bericht ausdrucken oder speichern möchten, klicken Sie mit rechts auf den Bericht und dann auf:
|
Anmerkungen:
| • | Um einen Gruppenrichtlinienergebnissatz für einen Benutzer oder Computer zu erstellen, benötigen Sie das Recht Richtlinienergebnissatz Lesen für die Domäne oder die OU, in der sich der Benutzer oder der Computer befindet. Außerdem müssen Sie Administrator auf dem Zielcomputer sein. |
| • | Um den Bericht anzupassen, klicken Sie auf Ausblenden und Einblenden. |
| • | Wenn Sie die verbesserte Internet Explorers-Sicherheitskonfiguration nutzen, kann es sein, dass Warnmeldungen angezeigt werden. Dies liegt daran, dass der Bericht ein Skript enthält, mit dem die einzelnen Abschnitte auf- und zugeklappt werden können. Um diese Funktionalität nutzen zu können, müssen Sie die Site about:security_MMC.exe zur vertrauenswürdigen Zone hinzufügen. Klicken Sie hierzu in der Warnmeldung auf Hinzufügen. |
| • | Es ist nicht möglich, mithilfe der Tastatur im Bericht zu scrollen. Hierzu müssen Sie den Bericht speichern und ihn dann im Internet Explorer öffnen. |
| • | Um einen Bericht im Webbrowser anzeigen zu können, müssen Sie Internet Explorer 6 oder Netscape 7 nutzen. Netscape 7 unterstützt jedoch die Ausblenden/Einblenden-Funktionalität im Bericht nicht. |
| • | Unter Windows XP war der Richtlinienergebnissatz unter dem Namen Richtlinienergebnissatz-Protokollierungsmodus bekannt. |
Richtlinienergebnissatz-Simulation mit der Gruppenrichtlinienmodellierung
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie links in der Konsolenstruktur doppelt auf die Gesamtstruktur, in der Sie eine Gruppenrichtlinienmodellierungsabfrage erstellen möchten. Klicken Sie mit rechts auf Gruppenrichtlinienmodellierung und dann auf Gruppenrichtlinienmodellierungs-Assistent. | ||||
3. | Klicken Sie auf Weiter. | ||||
4. | Nachdem Sie den Assistenten durchgearbeitet haben, klicken Sie auf Fertigstellen. | ||||
5. | Wenn sie den Bericht ausdrucken oder speichern möchten, klicken Sie mit rechts auf den Bericht und dann auf:
|
Anmerkungen:
| • | Um eine Gruppenrichtlinienmodellierungsabfrage erstellen zu können, müssen Sie die Berechtigung Gruppenrichtlinienmodellierungsanalyse durchführen für die entsprechenden Domäne oder OU haben. |
| • | Die Gruppenrichtlinienmodellierung steht nur dann zur Verfügung, wenn mindestens ein Domänencontroller der Gesamtstruktur unter Windows Server 2003 ausgeführt wird. |
| • | Um den Bericht anzupassen, klicken Sie auf Ausblenden und Einblenden. |
| • | Wenn Sie die verbesserte Internet Explorers-Sicherheitskonfiguration nutzen, kann es sein, dass Warnmeldungen angezeigt werden. Dies liegt daran, dass der Bericht ein Skript enthält, mit dem die einzelnen Abschnitte auf- und zugeklappt werden können. Um diese Funktionalität nutzen zu können, müssen Sie die Site about:security_MMC.exe zur vertrauenswürdigen Zone hinzufügen. Klicken Sie hierzu in der Warnmeldung auf Hinzufügen. |
| • | Unter Windows Server 2003 ohne Gruppenrichtlinienverwaltung heißt die Funktionalität Richtlinienergebnissatz (RSoP) im Planungsmodus. |
| • | Um einen Bericht im Webbrowser anzeigen zu können, müssen Sie Internet Explorer 6 oder Netscape 7 nutzen. Netscape 7 unterstützt jedoch die Ausblenden/Einblenden-Funktionalität im Bericht nicht. |
| • | Unter Windows XP war der Richtlinienergebnissatz unter dem Namen Richtlinienergebnissatz-Protokollierungsmodus bekannt. |
Ansicht der Gruppenrichtlinien-Verwaltungskonsole einstellen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie im Menü Ansicht auf Optionen. |
Spalten
1. | Klicken Sie im Dialogfeld Optionen auf die Registerkarte Spalten. |
2. | Wählen Sie in der Dropdownliste Speicherort der Tabelle eine Tabelle aus. |
3. | Markieren Sie unter Anzeigereihenfolge der Spalten alle anzuzeigenden Spalten durch ein Häkchen. |
4. | Wählen Sie eine Spalte aus, und legen Sie die Reihenfolge der Spalte mithilfe der Schaltflächen Nach oben und Nach unten fest. |
5. | Wiederholen Sie die Schritte 2 bis 4 für jede Tabelle in der Dropdownliste Speicherort der Tabelle, die Sie ändern möchten, und klicken Sie dann auf OK. |
6. | Sie können wahlweise die Option Angepasste Spaltensortierung und -größe speichern aktivieren, um die Reihenfolge und die Größe der Spalten als permanente Einstellung zu übernehmen. Diese Einstellung ist standardmäßig aktiviert. |
Berichterstellung
1. | Klicken Sie im Dialogfeld Optionen auf die Registerkarte Berichterstellung. | ||||||||||||
2. | Wählen Sie eine der folgenden Optionen aus:
Anmerkungen:
|
Allgemein
1. | Klicken Sie im Dialogfeld Optionen auf die Registerkarte Allgemein. | ||||||
2. | Die folgenden Optionen stehen zur Auswahl:
|
Sichern, Wiederherstellen, Kopieren und Importieren
Sichern eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, die das zu sichernde Gruppenrichtlinienobjekt enthält, und klicken Sie doppelt auf Gruppenrichtlinienobjekte. |
3. | Zum Sichern eines einzelnen Gruppenrichtlinienobjekts klicken Sie mit der rechten Maustaste darauf und klicken dann auf Sichern. Zum Sichern aller Gruppenrichtlinienobjekte in der Domäne klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und klicken dann auf Alle sichern. |
4. | Geben Sie im entsprechenden Feld den Pfad zu dem Speicherort ein, an dem die Gruppenrichtlinienobjekt-Sicherungen gespeichert werden sollen, oder klicken Sie auf Durchsuchen, suchen Sie den gewünschten Ordner, und klicken Sie dann auf OK. |
5. | Geben Sie im Feld Beschreibung eine Beschreibung für die zu sichernden Gruppenrichtlinienobjekte ein, und klicken Sie dann auf Sichern. Wenn Sie mehrere Gruppenrichtlinienobjekte sichern, gilt die Beschreibung für alle diese Objekte. |
6. | Klicken Sie nach Abschluss des Vorgangs auf OK. |
Anmerkungen:
1. | Zum Ausführen dieses Vorgangs müssen Sie über Leseberechtigungen für die entsprechenden Gruppenrichtlinienobjekte und Schreibberechtigungen für die Ordner verfügen, die die Gruppenrichtlinienobjekt-Sicherungen enthalten. |
2. | Dieser Vorgang und zugehörige Tasks können auch mit einem oder mehreren der Beispielskripts ausgeführt werden, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Wiederherstellen eines gesicherten Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Suchen Sie in der Konsolenstruktur, in der Gesamtstruktur und der Domäne mit dem wiederherzustellenden Gruppenrichtlinienobjekt (Group Policy Object, GPO) den Eintrag Gruppenrichtlinienobjekte. | ||||
3. | Führen Sie eine der folgenden Aktionen aus:
|
Wiederherstellen einer frühere Version eines vorhandenen Gruppenrichtlinienobjekts
1. | Klicken Sie doppelt auf Gruppenrichtlinienobjekte, klicken Sie mit der rechten Maustaste auf das wiederherzustellende Gruppenrichtlinienobjekt, und klicken Sie dann auf Von Sicherung wiederherstellen. |
2. | Wenn der Assistent zum Wiederherstellen von Gruppenrichtlinienobjekten angezeigt wird, befolgen Sie die Anweisungen. Geben Sie die entsprechenden Informationen zum wiederherzustellenden Gruppenrichtlinienobjekt an, und klicken Sie dann auf Fertig stellen. |
3. | Wenn der Assistent zum Wiederherstellen von Gruppenrichtlinienobjekten die Wiederherstellung abgeschlossen hat, klicken Sie auf OK. |
Wiederherstellen eines gelöschten Gruppenrichtlinienobjektes
1. | Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und wählen Sie dann Sicherungen verwalten aus. |
2. | Geben Sie im Dialogfeld Sicherungen verwalten in das Feld Sicherungsverzeichnis den Pfad zum Sicherungsordner ein. Sie können den Sicherungsordner auch mit Durchsuchen suchen. |
3. | Wählen Sie im Feld Gesicherte Gruppenrichtlinienobjekte das wiederherzustellende Gruppenrichtlinienobjekt in der Liste der Sicherungen aus, und klicken Sie dann auf Wiederherstellen. |
4. | Wenn Sie aufgefordert werden, die Wiederherstellung zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
1. | Zum Wiederherstellen eines vorhandenen Gruppenrichtlinienobjekts benötigen Sie die Berechtigung Einstellungen bearbeiten/Löschen/Sicherheit verändern für das Gruppenrichtlinienobjekt und Lesezugriff auf den Ordner mit der Sicherung des Gruppenrichtlinienobjekts. |
2. | Zum Wiederherstellen eines gelöschten Gruppenrichtlinienobjekts benötigen Sie Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten in der Domäne und Lesezugriff auf den Dateisystempfad des gesicherten Gruppenrichtlinienobjekts. |
3. | Ein vorhandenes oder gelöschtes Gruppenrichtlinienobjekt können Sie auch mithilfe der Funktion Sicherungen verwalten wiederherstellen. Klicken Sie dazu mit der rechten Maustaste auf Domänen oder Gruppenrichtlinienobjekte. |
4. | Das Dialogfeld Sicherungen verwalten kann zum Wiederherstellen eines vorhandenen oder gelöschten Gruppenrichtlinienobjekts verwendet werden. Sie können das Dialogfeld Sicherungen verwalten öffnen, indem Sie mit der rechten Maustaste auf Domänen oder in einer bestimmten Domäne auf Gruppenrichtlinienobjekte klicken. Wenn das Dialogfeld Sicherungen verwalten durch Klicken mit der rechten Maustaste auf Gruppenrichtlinienobjekte geöffnet wurde, werden nur Sicherungen von Gruppenrichtlinienobjekten aus dieser Domäne angezeigt. Wurde das Dialogfeld Sicherungen verwalten durch Klicken mit der rechten Maustaste auf Domänen geöffnet, werden alle Sicherungen von Gruppenrichtlinienobjekte in allen Domänen angezeigt. |
5. | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Kopieren eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie kopieren möchten, und klicken Sie dann auf Kopieren. | ||||
3. | Führen Sie eine der folgenden Aktionen aus:
|
Anmerkungen:
| • | Zum Abschließen dieses Verfahrens benötigen Sie das Recht zum Erstellen von Gruppenrichtlinienobjekten in der Zieldomäne. |
| • | Für Kopiervorgänge in andere Domänen oder Gesamtstrukturen müssen Sie möglicherweise eine Migrationstabelle angeben, um die Verweise auf Sicherheitsprinzipale und UNC-Pfade im Quell-Gruppenrichtlinienobjekt auf neue Werte im Ziel-Gruppenrichtlinienobjekt zu aktualisieren. |
| • | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Importieren eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie doppelt in der Konsolenstruktur, in der Gesamtstruktur und Domäne mit dem Gruppenrichtlinienobjekt (Group Policy Object, GPO), in das Sie die Einstellungen importieren möchten, auf Gruppenrichtlinienobjekte. |
3. | Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Einstellungen importieren. |
4. | Folgen Sie den Anweisungen des Importeinstellungen-Assistenten, und klicken Sie dann auf Fertig stellen. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Bearbeiten für das Gruppenrichtlinienobjekt verfügen, in das Sie Einstellungen importieren möchten, um dieses Verfahren ausführen zu können. |
| • | Wenn Sie Einstellungen von einem gesicherten Gruppenrichtlinienobjekt in einer anderen Domäne oder Gesamtstruktur importieren und die GPO-Einstellungen Verweise auf UNC-Pfade oder Sicherheitsprinzipale enthalten, müssen Sie möglicherweise diese Verweise im Ziel-GPO auf neue Werte aktualisieren. Während des Imports können Sie eine Migrationstabelle angeben, um die Verweise auf Sicherheitsprinzipale und UNC-Pfade im Ziel-GPO zu aktualisieren. |
| • | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Erstellen einer Migrationstabelle
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, von der Sie eine Migrationstabelle erstellen möchten. | ||||||
3. | Klicken Sie mit der rechten Maustaste auf Domänen, und klicken Sie dann auf Migrationstabellen-Editor öffnen. | ||||||
4. | Geben Sie eine Quelle an, die in die Migrationstabelle aufgenommen werden soll. Gehen Sie hierzu folgendermaßen vor:
| ||||||
5. | Wiederholen Sie Schritt 4 für jede Quelle, die Sie in die Migrationstabelle einschließen möchten. | ||||||
6. | Klicken Sie im Menü Datei auf Speichern. | ||||||
7. | Geben Sie den Speicherort an, an dem die Migrationstabelle gespeichert werden soll, und klicken Sie dann auf Speichern. |
Anmerkungen:
| • | Sie können mithilfe des Migrationstabellen-Editors prüfen, ob die Zieleinträge aufgelöst werden können. Hiervon sollten Sie sich vor dem Kopieren oder Importieren eines Gruppenrichtlinienobjekts überzeugen, da im Fall von nicht auflösbaren Zieleinträgen in der Migrationstabelle die Kopie oder der Import fehlschlagen kann. Zum Überprüfen der Migrationstabelle klicken Sie im Menü Extras auf Überprüfen. | ||||||||||||
| • | Sie können eine Migrationstabelle automatisch auffüllen, indem Sie ein oder mehrere Gruppenrichtlinienobjekte oder Sicherungen hiervon durchsuchen, um alle Verweise auf Sicherheitsprinzipale und UNC-Pfade zu extrahieren und diese automatisch als Quellnameneinträge in die Tabelle einzufügen.
Automatisches Füllen einer Migrationstabelle anhand der Sicherung eines Gruppenrichtlinienobjekts:
Um die Migrationstabelle für eines der Szenarien fertig zu stellen, müssen Sie nur noch die Zielwerte anpassen. Standardmäßig wird der Zielname für jeden Eintrag auf Identisch mit Quelle festgelegt, wenn eine der Optionen zum Auffüllen verwendet wird. | ||||||||||||
| • | Zum Durchführen dieser Aufgabe auf dem lokalen Computer sind keine administrativen Anmeldeinformationen erforderlich. | ||||||||||||
| • | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Festlegen des Gruppenrichtlinienbereiches
Verknüpfen eines Gruppenrichtlinienobjekts mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Suchen Sie in der Konsolenstruktur den Standort, die Domäne oder die Organisationseinheit, mit dem bzw. mit der Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) verknüpfen möchten. | ||||
3. | Führen Sie eine der folgenden Aktionen aus:
|
Anmerkungen:
| • | Um ein vorhandenes Gruppenrichtlinienobjekt mit einem Standort, einer Domäne oder einer Organisationseinheit zu verknüpfen, müssen Sie über die Berechtigung Gruppenrichtlinienobjekte verknüpfen für den Standort, die Domäne oder die Organisationseinheit verfügen. Standardmäßig besitzen nur Domänenadministratoren und Unternehmensadministratoren diese Berechtigung für Domänen und Organisationseinheiten, und nur Unternehmensadministratoren und Domänenadministratoren der Stammdomäne der Gesamtstruktur besitzen diese Berechtigung für Standorte. |
| • | Zum Erstellen und Verknüpfen eines Gruppenrichtlinienobjekts müssen Sie die Berechtigung Gruppenrichtlinienobjekte verknüpfen für die gewünschte Domäne oder Organisationseinheit sowie die Berechtigung zum Erstellen von Gruppenrichtlinienobjekten in dieser Domäne besitzen. Standardmäßig haben nur Domänenadministratoren, Unternehmensadministratoren und Richtlinien-Ersteller-Besitzer das Recht zum Erstellen von Gruppenrichtlinienobjekten. |
| • | Die Option Gruppenrichtlinienobjekt hier erstellen und verknüpfen steht für Standorte nicht zur Verfügung, da die Domäne, in der das Gruppenrichtlinienobjekt erstellt werden soll, nicht bekannt wäre. Der Benutzer muss zuerst ein Gruppenrichtlinienobjekt in einer beliebigen Domäne der Gesamtstruktur erstellen und dann die Option Vorhandenes Gruppenrichtlinienobjekt verknüpfen verwenden, um es mit dem Standort zu verknüpfen. |
Filterung mit Sicherheitsgruppen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie doppelt in der Konsolenstruktur auf Gruppenrichtlinienobjekte, und suchen Sie das Gruppenrichtlinienobjekt, auf das Sie die Sicherheitsfilterung anwenden möchten. |
3. | Klicken Sie auf das Gruppenrichtlinienobjekt. |
4. | Klicken Sie im Ergebnisbereich auf der Registerkarte Bereich auf Hinzufügen. |
5. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen der Gruppe, des Benutzers oder des Computers ein, die bzw. den Sie zum Sicherheitsfilter hinzufügen möchten. Klicken Sie auf OK. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Einstellungen bearbeiten/Löschen/Sicherheit verändern für das Gruppenrichtlinienobjekt verfügen, um diese Vorgänge durchführen zu können. |
| • | Die Einstellungen in einem Gruppenrichtlinienobjekt gelten nur für Benutzer und Computer, die sich in der Domäne, der Organisationseinheit oder den Organisationseinheiten befinden, mit der bzw. denen das Gruppenrichtlinienobjekt verknüpft ist, und die unter Sicherheitsfilterung angegeben oder Mitglied einer dort angegebenen Gruppe sind. Im Sicherheitsfilter für ein Gruppenrichtlinienobjekt können mehrere Gruppen, Benutzer oder Computer angegeben werden. |
| • | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Verknüpfen eines WMI-Filters mit einem Gruppenrichtlinienobjekt
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie doppelt in der Konsolenstruktur in der Gesamtstruktur und Domäne mit dem Gruppenrichtlinienobjekt (Group Policy Object, GPO), mit dem Sie einen WMI-Filter verknüpfen möchten, auf Gruppenrichtlinienobjekte. |
3. | Klicken Sie auf das Gruppenrichtlinienobjekt. |
4. | Wählen Sie im Ergebnisbereich auf der Registerkarte Bereich unter WMI-Filterung einen WMI-Filter in der Dropdownliste aus. |
5. | Wenn Sie aufgefordert werden, die Auswahl zu bestätigen, klicken Sie auf Ja. |
Anmerkungen:
| • | Sie können einen WMI-Filter auch mit einer der folgenden Methoden mit einem Gruppenrichtlinienobjekt verknüpfen:
| ||||||||||
| • | Zum Verknüpfen eines WMI-Filters mit einem Gruppenrichtlinienobjekt benötigen Sie die Berechtigung Bearbeiten für das Gruppenrichtlinienobjekt. | ||||||||||
| • | Pro Gruppenrichtlinienobjekt kann nur ein WMI-Filter verknüpft werden. Wenn Sie einen WMI-Filter mit einem Gruppenrichtlinienobjekt verknüpfen, mit dem bereits ein WMI-Filter verknüpft ist, werden Sie gefragt, ob Sie den alten Filter durch den neuen ersetzen möchten. | ||||||||||
| • | Sie können einen WMI-Filter nur mit einem Gruppenrichtlinienobjekt aus derselben Domäne verknüpfen. | ||||||||||
| • | WMI-Filter (ebenso wie WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte) steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. |
Erstellen, Importieren, Exportieren, Kopieren und Einfügen von WMI-Filtern
Einen WMI-Filter erstellen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, in der ein WMI-Filter erstellt werden soll, und klicken Sie mit der rechten Maustaste auf WMI-Filter. | ||||
3. | Klicken Sie auf Neu. | ||||
4. | Geben Sie im Dialogfeld Neuer WMI-Filter im Feld Name einen Namen für den neuen WMI-Filter ein, und geben Sie eine Beschreibung des Filters im Feld Beschreibung ein. | ||||
5. | Klicken Sie auf Hinzufügen. | ||||
6. | Lassen Sie im Dialogfeld WMI-Abfrage den Standardnamespace (root\CIMv2) stehen, oder geben Sie einen anderen Namespace an, indem Sie wie folgt vorgehen:
| ||||
7. | Geben Sie im Feld Abfrage eine WMI-Abfrage ein, und klicken Sie dann auf OK. | ||||
8. | Wenn Sie weitere Abfragen hinzufügen möchten, wiederholen Sie die Schritte 5 bis 7 für jede Abfrage. | ||||
9. | Wenn Sie alle gewünschten Abfragen hinzugefügt haben, klicken Sie auf Speichern. |
Anmerkungen:
| • | Sie müssen in der Domäne, in der der Filter erstellt werden soll, über die Berechtigung zum Erstellen vom WMI-Filtern verfügen. Standardmäßig verfügen Domänenadministratoren, Organisationsadministratoren und Richtlinien-Ersteller-Besitzer über diese Rechte. |
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. Das Gleiche gilt für die Option WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte. |
| • | Zum Löschen eines WMI-Filters klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den WMI-Filter und klicken dann auf Löschen. Wenn Sie zum Bestätigen des Löschens des WMI-Filters aufgefordert werden, klicken Sie auf Ja. |
Einen WMI-Filter importieren
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, in die ein WMI-Filter importiert werden soll, und klicken Sie mit der rechten Maustaste auf WMI-Filter. | ||||
3. | Klicken Sie auf Importieren. | ||||
4. | Geben Sie im Dialogfeld WMI-Filter importieren den Namen der MOF-Datei ein, in der sich der zu importierende WMI-Filter befindet, und klicken Sie dann auf Öffnen. | ||||
5. | Geben Sie die entsprechenden Informationen in den Feldern Name und Beschreibung ein, und führen Sie einen der folgenden Schritte aus:
|
Anmerkungen:
| • | Für dieses Verfahren müssen Sie in der Domäne, in der der Filter erstellt werden soll, über die Berechtigung zum Erstellen vom WMI-Filtern verfügen. Standardmäßig verfügen Domänenadministratoren, Organisationsadministratoren und Richtlinien-Ersteller-Besitzer über diese Rechte. |
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. Das Gleiche gilt für die Option WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte. |
| • | Mit dem Importieren eines WMI-Filters wird ein neuer Filter erstellt und kein vorhandener Filter geändert. |
Einen WMI-Filtern exportieren
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie in der Konsolenstruktur auf den WMI-Filter, den Sie exportieren möchten. | ||||
3. | Klicken Sie mit der rechten Maustaste auf den zu exportierenden WMI-Filter, und klicken Sie dann auf Exportieren. | ||||
4. | Wählen Sie im Dialogfeld WMI-Filter exportieren einen sicheren Speicherort im Dateisystem in der Dropdownliste Speichern in aus, geben Sie einen Namen für den zu exportierenden Filter ein, und klicken Sie dann auf Speichern.
|
Anmerkungen:
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. Das Gleiche gilt für die Option WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte. |
| • | Ein WMI-Filter kann auch exportiert werden, indem Sie auf WMI-Filter klicken und anschließend im Ergebnisbereich auf die Registerkarte Inhalt klicken. Klicken Sie anschließend mit der rechten Maustaste auf den Namen des Filters und dann auf Exportieren. |
| • | Exportierte WMI-Filter werden im Dateisystem als MOF-Dateien gespeichert. MOF ist ein Allzweckdatenformat für das Speichern verschiedener WMI-Datentypen. In die Gruppenrichtlinienverwaltung können nur MOF-Dateien importiert werden, die einen einzigen WMI-Filter enthalten. |
Einen WMI-Filter kopieren und einfügen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, die den zu kopierenden WMI-Filter enthält, und klicken Sie auf den Filter. |
3. | Klicken Sie mit der rechten Maustaste auf den zu kopierenden WMI-Filter, und klicken Sie dann auf Kopieren, um den Filter in die Zwischenablage zu kopieren. |
4. | Klicken Sie in der Zieldomäne mit der rechten Maustaste auf WMI-Filter, und klicken Sie dann auf Einfügen. |
Anmerkungen:
| • | Für dieses Verfahren müssen Sie in der Domäne, in der der Filter erstellt werden soll, über die Berechtigung zum Erstellen vom WMI-Filtern verfügen. Standardmäßig verfügen Domänenadministratoren, Organisationsadministratoren und Richtlinien-Ersteller-Besitzer über diese Rechte. |
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. Das Gleiche gilt für die Option WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte. |
Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, die die Domäne, den Standort oder die Organisationseinheit enthält, für die Sie den Erzwingungsstatus einer Gruppenrichtlinienobjekt-Verknüpfung ändern möchten, und führen Sie dann eine der folgenden Aktionen aus:
| ||||||
3. | Klicken Sie mit der rechten Maustaste auf die Gruppenrichtlinienobjekt-Verknüpfung, und klicken Sie dann auf Erzwungen, um das Erzwingen zu aktivieren oder zu deaktivieren. Ein Häkchen neben Erzwungen zeigt an, dass die Verknüpfung erzwungen wird. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Gruppenrichtlinienobjekte verknüpfen für die Domäne, den Standort oder die Organisationseinheit mit der Gruppenrichtlinienobjekt-Verknüpfung verfügen, um dieses Verfahren durchführen zu können. |
| • | Wenn Sie bestimmen möchten, ob eine Gruppenrichtlinienobjekt-Verknüpfung erzwungen wird, können Sie auch auf die Gruppenrichtlinienobjekt-Verknüpfung klicken und die Informationen im Bereich Verknüpfungen der Registerkarte Bereich anzeigen. |
| • | Eine Gruppenrichtlinienobjekt-Verknüpfung kann auch folgendermaßen erzwungen werden: Klicken Sie in der Konsolenstruktur auf die Verknüpfung. Klicken Sie dann mit der rechten Maustaste im Ergebnisbereich auf der Registerkarte Bereich unter Verknüpfungen auf die Verknüpfung. Anschließend klicken Sie auf Erzwungen, um das Erzwingen der Verknüpfung zu aktivieren oder zu deaktivieren, und dann auf OK. |
| • | Erzwungen wird auf Computern, auf denen die Gruppenrichtlinien-Verwaltungskonsole nicht installiert wurde, als Kein Vorrang bezeichnet. |
Blockierung der Vererbung mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, die die Domäne oder die Organisationseinheit enthält, für die die Vererbung für Richtlinienobjekt-Verknüpfungen deaktiviert werden soll, und wählen Sie dann eine der folgenden Vorgehensweisen:
| ||||
3. | Klicken Sie auf Vererbung deaktivieren. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Gruppenrichtlinienobjekte verknüpfen für die Domäne oder die Organisationseinheit verfügen, um dieses Verfahren durchführen zu können. |
| • | Wenn die Vererbung für eine Domäne oder Organisationseinheit deaktiviert ist, wird in der Konsolenstruktur ein blauer Kreis mit Ausrufezeichen angezeigt. |
Abfragen von Benutzereinstellungen vom Computerkonto (Loopbackverarbeitung)
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, die die Domäne oder die Organisationseinheit mit den Computerkonten enthält. |
3. | Klicken Sie doppelt auf die Domäne oder die Organisationseinheit. |
4. | Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das mit der Domäne oder der Organisationseinheit verknüpft ist, und klicken Sie dann auf Bearbeiten. Hiermit wird der Gruppenrichtlinienobjekt-Editor geöffnet. Wenn kein Gruppenrichtlinienobjekt vorhanden ist, verwenden Sie die Option Gruppenrichtlinienobjekt hier erstellen und verknüpfen. |
5. | Klicken Sie doppelt im Ergebnisbereich des Gruppenrichtlinienobjekt-Editors auf Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. |
6. | Klicken Sie auf Aktiviert, und wählen Sie dann im Feld Modus entweder Zusammenführen oder Ersetzen aus. Klicken Sie auf OK. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Bearbeiten für das Gruppenrichtlinienobjekt verfügen, um dieses Verfahren ausführen zu können. |
| • | Die Loopbackoption gilt für alle Gruppenrichtlinienobjekte, die auf einem gegebenen Computer angewendet werden. Sie kann nicht pro Gruppenrichtlinienobjekt festgelegt werden. |
Eine Gruppenrichtlinienverknüpfung mithilfe der Gruppenrichtlinien-Verwaltungskonsole deaktivieren
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, die die Domäne, den Standort oder die Organisationseinheit mit dem Gruppenrichtlinienobjekt enthält, dessen Verknüpfung deaktiviert werden soll, und führen Sie dann eine der folgenden Aktionen aus:
| ||||||
3. | Klicken Sie mit der rechten Maustaste auf die Gruppenrichtlinienobjekt-Verknüpfung. Ein Häkchen neben Verknüpfung aktiviert zeigt an, dass die Verknüpfung aktuell aktiviert ist. | ||||||
4. | Klicken Sie auf Verknüpfung aktiviert, um das Häkchen zu entfernen und die Verknüpfung zu deaktivieren. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Gruppenrichtlinienobjekte verknüpfen für die Domäne, den Standort oder die Organisationseinheit mit der Gruppenrichtlinienobjekt-Verknüpfung verfügen, um dieses Verfahren durchführen zu können. Wenn Sie nicht über die Berechtigung Gruppenrichtlinienobjekte verknüpfen verfügen, ist die Option Verknüpfung aktiviert nicht verfügbar. |
| • | Wenn Sie bestimmen möchten, ob eine Gruppenrichtlinienobjekt-Verknüpfung aktiviert ist, können Sie auch auf die Gruppenrichtlinienobjekt-Verknüpfung klicken und die Informationen im Bereich Verknüpfungen der Registerkarte Bereich anzeigen. |
| • | Eine Gruppenrichtlinienobjekt-Verknüpfung kann auch folgendermaßen deaktiviert werden: Klicken Sie in der Konsolenstruktur auf die Verknüpfung. Klicken Sie dann mit der rechten Maustaste im Ergebnisbereich auf der Registerkarte Bereich unter Verknüpfungen auf die Verknüpfung. Anschließend klicken Sie auf Verknüpfung aktiviert, um die Verknüpfung zu aktivieren oder zu deaktivieren, und dann auf OK. |
Deaktivieren der Benutzer- oder Computereinstellungen in einem Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||
2. | Klicken Sie doppelt in der Konsolenstruktur auf die Gesamtstruktur, die die Domäne oder die Organisationseinheit mit dem Gruppenrichtlinienobjekt enthält. | ||||
3. | Klicken Sie doppelt auf die Domäne oder die Organisationseinheit. | ||||
4. | Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das die zu deaktivierenden Benutzer- oder Computereinstellungen enthält, zeigen Sie auf Objektstatus, und führen Sie dann eine der folgenden Aktionen aus:
|
Anmerkungen:
| • | Sie müssen über die Berechtigung Bearbeiten für das Gruppenrichtlinienobjekt verfügen, um dieses Verfahren ausführen zu können. |
| • | Sie können den Status der Gruppenrichtlinie auch auf der Registerkarte Details des Gruppenrichtlinienobjekts ändern. |
Delegieren von Aufgaben in Bezug auf Gruppenrichtlinien
Delegieren der Erstellung von Gruppenrichtlinienobjekten mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, für die Rechte zum Erstellen von Gruppenrichtlinienobjekten delegiert werden sollen, und klicken Sie dann auf Gruppenrichtlinienobjekte. |
3. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung, und führen Sie eine der folgenden Aktionen aus. |
Hinzufügen einer neuen Gruppe oder eines neue Benutzers mithilfe der Gruppe "Richtlinien-Ersteller-Besitzer"
1. | Klicken Sie doppelt im Listenfeld Gruppen und Benutzer auf Richtlinien-Ersteller-Besitzer. | ||||
2. | Klicken Sie im Eigenschaftendialogfeld von Richtlinien-Ersteller-Besitzer auf die Registerkarte Mitglieder, und klicken Sie dann auf Hinzufügen. | ||||
3. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Erstellungsrechte delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Erstellungsrechte delegieren möchten, und klicken Sie dann auf OK. | ||||
5. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Erstellungsrechte delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
|
Hinzufügen einer neue Gruppe oder eines neuen Benutzers mit den gleichen Berechtigungen wie die Gruppe "Richtlinien-Ersteller-Besitzer"
1. | Klicken Sie auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Rechte zum Erstellen von Gruppenrichtlinienobjekten delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Erstellungsrechte delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Erstellungsrechte delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
|
Entfernen der Erstellungsrechte für eine Gruppe oder einen Benutzer
1. | Führen Sie eine der folgenden Aktionen aus:
| ||||
2. | Wenn Sie aufgefordert werden, das Entfernen der delegierten Berechtigung zu bestätigen, klicken Sie auf Ja und anschließend auf OK. |
Anmerkungen:
| • | Sie müssen Mitglied der Gruppe Domänen-Admins oder Organisations-Admin sein, um diesen Vorgang durchführen zu können. |
| • | Sie können eine Gruppe oder einen Benutzer auch aus der Berechtigungsliste entfernen, indem Sie auf der Registerkarte Delegierung im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers klicken und dann auf Entfernen klicken. |
| • | Wenn Sie Berechtigungen an Gruppen und Benutzer in derselben Domäne wie die Gruppenrichtlinienobjekte delegieren möchten, empfiehlt es sich, diese Gruppen und Benutzer zur Gruppe Richtlinien-Ersteller-Besitzer hinzuzufügen, da es sich hierbei um die ursprüngliche, unter Windows 2000 verfügbare Vorgehensweise handelt. Sie können allerdings keine Gruppen und Benutzer aus einer anderen Domäne zur Gruppe Richtlinien-Ersteller-Besitzer hinzufügen. |
| • | Zum Delegieren von Erstellungsberechtigungen für Gruppenrichtlinienobjekte an Gruppen oder Benutzer in einer anderen Domäne müssen Sie ihnen explizit die Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten erteilen (ohne die Gruppe Richtlinien-Ersteller-Besitzer zu verwenden). Alternativ können Sie eine lokale Domänengruppe in der Domäne erstellen, in der Sie die Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten delegieren möchten, und dieser Gruppe dann die Berechtigung zum Erstellen von Gruppenrichtlinienobjekten erteilen. Zu dieser lokalen Domänengruppe können Sie dann nach Bedarf Mitglieder aus anderen Domänen hinzufügen. |
Ein einzelnes Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinien-Verwaltungskonsole delegieren
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, die das Gruppenrichtlinienobjekt enthält, für das Sie Berechtigungen hinzufügen oder entfernen möchten, und klicken Sie doppelt auf Gruppenrichtlinienobjekte. |
3. | Klicken Sie auf das Gruppenrichtlinienobjekt. |
4. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung, und führen Sie eine der folgenden Aktionen aus. |
Delegieren der Berechtigungen für eine Gruppe oder einen Benutzer
1. | Klicken Sie auf Hinzufügen. | ||||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Gruppenrichtlinienobjekt-Berechtigungen hinzufügen möchten, und klicken Sie dann auf OK. | ||||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Gruppenrichtlinienobjekt-Berechtigungen hinzufügen möchten, und klicken Sie dann auf OK. | ||||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Gruppenrichtlinienobjekt-Berechtigungen hinzufügen möchten, indem Sie eine der folgenden Aktionen ausführen:
|
Ändern der Berechtigungen für eine Gruppe oder einen Benutzer
1. | Klicken Sie im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers, deren oder dessen Berechtigungen Sie ändern möchten, und klicken Sie dann auf die gewünschte Berechtigungsebene: Nur Lesen, Einstellungen bearbeiten oder Einstellungen bearbeiten/Löschen/Sicherheit verändern. |
2. | Wenn Sie aufgefordert werden, die Änderungen an den delegierten Berechtigungen zu bestätigen, klicken Sie auf OK. |
Entfernen de Berechtigungen für eine Gruppe oder einen Benutzer
1. | Klicken Sie im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers, deren oder dessen Berechtigungen Sie entfernen möchten, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen der delegierten Berechtigungen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Sie müssen über die Berechtigung Einstellungen bearbeiten/Löschen/Sicherheit verändern verfügen, um diese Verfahren durchführen zu können. |
| • | Gruppen und Benutzer, bei denen auf der Registerkarte Delegierung im Listenfeld Gruppen und Benutzer in der Spalte Zulässige Berechtigungen der Eintrag Benutzerdefiniert aufgeführt ist, haben Berechtigungen, die nicht mit einer der drei Standardberechtigungsebenen übereinstimmen. Um die Berechtigungen für Gruppen mit benutzerdefinierten Berechtigungen anzuzeigen oder um benutzerdefinierte Berechtigungen festzulegen, klicken Sie auf Erweitert. Wenn Sie die Berechtigungen auf eine der Standardebenen ändern möchten, folgen Sie den vorstehend erläuterten Schritten unter "Ändern der Berechtigungen für eine Gruppe oder einen Benutzer". |
| • | Für jedes Gruppenrichtlinienobjekt muss mindestens eine Gruppe oder ein Benutzer über die Berechtigung Einstellungen bearbeiten/Löschen/Sicherheit verändern verfügen. Wenn für ein Gruppenrichtlinienobjekt nur noch eine einzige Gruppe oder ein einziger Benutzer mit diesen Berechtigungen vorhanden ist, kann die Gruppe oder der Benutzer nicht entfernt werden. |
| • | Berechtigungen, die von übergeordneten Containern geerbt wurden, können nicht entfernt werden. |
| • | Dieses Verfahren und hiermit zusammenhängende Aufgaben können Sie auch mit einem oder mehreren der Beispielskripts durchführen, die zum Lieferumfang der Gruppenrichtlinienverwaltung gehören. |
Delegieren der gruppenrichtlinienbezogenen Berechtigungen für eine Domäne, OU oder einen Standort mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. | ||||||
2. | Klicken Sie links in der Konsolenstruktur, und führen Sie einen der folgenden Schritte aus:
| ||||||
3. | Klicken Sie im Ergebnisfenster auf die Registerkarte Delegierung. | ||||||
4. | Wählen Sie im Feld Berechtigung den Eintrag Gruppenrichtlinienobjekte verknüpfen aus, und führen Sie eine der folgenden Aktionen aus. |
Delegieren der Berechtigungen zum Verknüpfen von Gruppenrichtlinienobjekten
1. | Klicken Sie auf der Registerkarte Delegierung auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für die Domäne, den Standort oder die Organisationseinheit delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Berechtigungen delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
| ||||
5. | Wählen Sie im Feld Berechtigungen des Dialogfelds Benutzer oder Gruppe hinzufügen die gewünschte Berechtigungsebene aus, die Sie der Gruppe oder dem Benutzer zuweisen möchten, und klicken Sie dann auf OK. |
Hinzufügen einer neuen Gruppe oder eines neuen Benutzers zur Berechtigungsliste für Standorte
1. | Klicken Sie auf der Registerkarte Delegierung auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für die Domäne, den Standort oder die Organisationseinheit delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Berechtigungen delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
|
Ändern der Vererbung von Berechtigungen für eine Domäne oder eine Organisationseinheit für eine Gruppe oder einen Benutzer
| • | Klicken Sie auf der Registerkarte Delegierung des Benutzers in der Domäne oder Organisationseinheit im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers. Klicken Sie dann auf Nur dieser Container oder auf Dieser und untergeordnete Container , um die Berechtungsebene für diese Gruppe oder diesen Benutzer festzulegen. |
Entfernen einer Gruppe oder eines Benutzers aus der Berechtigungsliste
1. | Wählen Sie auf der Registerkarte Delegierung im Listenfeld Gruppen oder Benutzer den Namen des zu entfernenden Benutzers oder der zu entfernende Gruppe aus, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Zum Delegieren von Berechtigungen zum Verknüpfen von Gruppenrichtlinienobjekten mit einem Standort, einer Domäne oder einer Organisationseinheit müssen Sie über das Recht Berechtigungen ändern für diesen Standort, diese Domäne oder Organisationseinheit verfügen. Standardmäßig verfügen nur Domänenadministratoren und Organisationsadministratoren über diese Berechtigung. |
| • | Benutzer und Gruppen mit der Berechtigung zum Verknüpfen von Gruppenrichtlinienobjekten mit einem bestimmten Standort, einer Domäne oder einer Organisationseinheit können Gruppenrichtlinienobjekte verknüpfen, die Verknüpfungsreihenfolge ändern und die Vererbung für diesen Standort, die Domäne oder die Organisationseinheit deaktivieren. |
| • | Gruppen und Benutzer, die Berechtigungen von einem übergeordneten Container erben, können nicht entfernt werden. |
| • | Einige Einträge im Listenfeld Gruppen und Benutzer, wie System, verfügen nicht über ein Eigenschaftendialogfeld, so dass Eigenschaften für diese Einträge zur Verfügung steht. |
Delegieren der Berechtigungen zum Generieren von Gruppenrichtlinienmodellierungs-Daten
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie in der Konsolenstruktur auf die Domäne oder die Organisationseinheit, für die Sie Berechtigungen für die Gruppenrichtlinienmodellierung delegieren möchten. |
3. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung. |
4. | Wählen Sie im Feld Berechtigung die Option Analysen zur Gruppenrichtlinienmodellierung durchführen aus, und führen Sie dann eine der folgenden Aktionen aus. |
Hinzufügen einer neue Gruppe oder eines neuen Benutzers zur Berechtigungsliste
1. | Klicken Sie auf der Registerkarte Delegierung auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für die Domäne, den Standort oder die Organisationseinheit delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Berechtigungen delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
| ||||
5. | Wählen Sie im Feld Berechtigungen des Dialogfelds Benutzer oder Gruppe hinzufügen die gewünschte Berechtigungsebene aus, die Sie der Gruppe oder dem Benutzer zuweisen möchten, und klicken Sie dann auf OK. |
Ändern der Vererbung für eine Gruppe oder einen Benutzer in der Berechtigungsliste
1. | Klicken Sie auf der Registerkarte Delegierung im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers. Klicken Sie dann auf Nur dieser Container oder auf Dieser und untergeordnete Container, um die Berechtigungsebene für diese Gruppe oder diesen Benutzer festzulegen. |
Entfernen einer Gruppe oder eines Benutzers aus der Berechtigungsliste
1. | Wählen Sie auf der Registerkarte Delegierung im Listenfeld Gruppen oder Benutzer den Namen des zu entfernenden Benutzers oder der zu entfernende Gruppe aus, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Zum Delegieren von Ausführungsberechtigungen für Analysen zur Gruppenrichtlinienmodellierung für Objekte in einer Domäne oder einer Organisationseinheit müssen Sie über das Recht Berechtigungen ändern für diese Domäne oder diese Organisationseinheit verfügen. Standardmäßig verfügen nur Domänenadministratoren und Organisationsadministratoren über diese Berechtigung. |
| • | Die Ausführungsberechtigung für Analysen zur Gruppenrichtlinienmodellierung für Standorte kann nicht delegiert werden. |
| • | In früheren Versionen von Gruppenrichtlinie wurde die Gruppenrichtlinienmodellierung als Planungsmodus des Richtlinienergebnissatzes (Resultant Set of Policy, RSOP) bezeichnet. |
Delegieren der Berechtigungen zum Lesen von Gruppenrichtlinienergebnissen
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie in der Konsolenstruktur auf die Domäne oder die Organisationseinheit, für die Sie die Berechtigung zum Lesen von Gruppenrichtlinienergebnissen delegieren möchten. |
3. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung. |
4. | Wählen Sie in der Dropdownliste Berechtigungen die Option Gruppenrichtlinienergebnisse lesen aus, und führen Sie dann eine der folgenden Aktionen aus. |
Hinzufügen einer neuen Gruppe oder eines neuen Benutzers zur Berechtigungsliste
1. | Klicken Sie auf der Registerkarte Delegierung auf Hinzufügen. |
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für die Domäne, den Standort oder die Organisationseinheit delegieren möchten, und klicken Sie dann auf OK. |
3. | Wählen Sie den Benutzer oder die Gruppen aus, an den bzw. die eine Berechtigung delegiert werden soll. |
4. | Wählen Sie im Feld Berechtigungen des Dialogfelds Benutzer oder Gruppe hinzufügen die gewünschte Berechtigungsebene aus, die Sie der Gruppe oder dem Benutzer zuweisen möchten, und klicken Sie dann auf OK. |
Ändern der Vererbung für eine Gruppe oder einen Benutzer in der Berechtigungsliste
1. | Klicken Sie auf der Registerkarte Delegierung im Listenfeld Gruppen und Benutzer mit der rechten Maustaste auf den Namen der Gruppe oder des Benutzers. Klicken Sie dann auf Nur dieser Container oder auf Dieser und untergeordnete Container, um die Berechtigungsebene für diese Gruppe oder diesen Benutzer festzulegen. |
Entfernen einer Gruppe oder eines Benutzers aus der Berechtigungsliste
1. | Wählen Sie auf der Registerkarte Delegierung im Listenfeld Gruppen oder Benutzer den Namen des zu entfernenden Benutzers oder der zu entfernende Gruppe aus, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Zum Delegieren von Leseberechtigungen für Gruppenrichtlinienergebnisse für Objekte in einer Domäne oder einer Organisationseinheit müssen Sie über das Recht Berechtigungen ändern für diese Domäne oder diese Organisationseinheit verfügen. Standardmäßig verfügen nur Domänenadministratoren und Organisationsadministratoren über diese Berechtigung. |
| • | Die Berechtigung zum Lesen von Gruppenrichtlinienergebnissen für Standorte kann nicht delegiert werden. |
| • | In früheren Versionen von Gruppenrichtlinie wurden Gruppenrichtlinienergebnisse als Protokollierungsmodus des Richtlinienergebnissatzes bezeichnet. |
Delegieren der Erstellung von WMI-Filtern mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, in der die Erstellungsberechtigungen für alle WMI-Filter delegiert werden sollen, und klicken Sie dann auf WMI-Filter. |
3. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung, und führen Sie eine der folgenden Aktionen aus. |
Hinzufügen einer neue Gruppe oder eines neuen Benutzers mit Erstellungsberechtigungen für alle WMI-Filter
1. | Klicken Sie auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für alle WMI-Filter delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Berechtigungen delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
| ||||
5. | Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen die gewünschte Berechtigungsebene aus, die Sie der Gruppe oder dem Benutzer zuweisen möchten, und klicken Sie dann auf OK. |
Ändern der Berechtigungsebenen für alle WMI-Filter für eine Gruppe oder einen Benutzer
| • | Klicken Sie im Listenfeld mit der rechten Maustaste auf die Gruppe oder den Benutzer, und klicken Sie dann auf Ersteller-Besitzer oder Vollzugriff, um die Berechtigungsebene anzugeben, die Sie der Gruppe oder dem Benutzer zuweisen möchten. |
Entfernen einer Gruppe oder eines Benutzers aus der Berechtigungsliste für alle WMI-Filter
1. | Wählen Sie im Listenfeld Gruppen und Benutzer den Namen der Gruppe oder des Benutzers aus, deren oder dessen Berechtigungen für alle WMI-Filter Sie entfernen möchten, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen der delegierten Berechtigungen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Um Berechtigungen für alle WMI-Filter in einer Domäne delegieren zu können, müssen Sie der Gruppe Domänen-Admins oder Organisations-Admins angehören. |
| • | Benutzer mit der Berechtigung Vollzugriff können alle WMI-Filter in der Domäne erstellen und steuern, einschließlich der von anderen Benutzern erstellten WMI-Filter. Benutzer mit der Berechtigung Ersteller-Besitzer können WMI-Filter erstellen, können jedoch nur die von ihnen erstellten WMI-Filter steuern. |
| • | Wird Richtlinien-Ersteller-Besitzer aus der Berechtigungsliste entfernt, können Benutzer, die Gruppenrichtlinienobjekte erstellen, keine WMI-Filter mehr erstellen, bis ihnen diese Berechtigung explizit durch die Mitgliedschaft in einer anderen Gruppe erteilt wird. |
| • | Alle Benutzer müssen über Lesezugriff auf alle WMI-Filter verfügen. Andernfalls wird die Ausführung von Gruppenrichtlinie beendet, wenn ein nicht lesbarer WMI-Filter gefunden wird. Die Gruppenrichtlinienverwaltung kann nicht zum Entfernen von Leseberechtigungen für WMI-Filter verwendet werden. |
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. Das Gleiche gilt für die Option WMI-Filterung auf der Registerkarte Bereich für Gruppenrichtlinienobjekte. |
Delegieren eines einzelnen WMI-Filters mithilfe der Gruppenrichtlinien-Verwaltungskonsole
1. | Öffnen Sie die Gruppenrichtlinienverwaltung. |
2. | Klicken Sie in der Konsolenstruktur auf den WMI-Filter, für den Sie Berechtigungen delegieren möchten. |
3. | Klicken Sie im Ergebnisbereich auf die Registerkarte Delegierung, und führen Sie eine der folgenden Aktionen aus. |
Hinzufügen einer neue Gruppe oder eines neuen Benutzers mit Verwaltungsberechtigungen für den WMI-Filter
1. | Klicken Sie auf Hinzufügen. | ||||
2. | Klicken Sie im Dialogfeld Benutzer-, Computer oder Gruppenname auf Objekttypen, wählen Sie die Objekttypen aus, für die Sie Berechtigungen für WMI-Filter delegieren möchten, und klicken Sie dann auf OK. | ||||
3. | Klicken Sie auf Pfade, wählen Sie Gesamtes Verzeichnis oder die Domäne oder die Organisationseinheit mit dem Objekt aus, für das Sie Berechtigungen delegieren möchten, und klicken Sie dann auf OK. | ||||
4. | Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen des Objekts ein, für das Sie Berechtigungen delegieren möchten, indem Sie eine der folgenden Aktionen ausführen:
| ||||
5. | Wählen Sie im Feld Berechtigungen des Dialogfelds Benutzer oder Gruppe hinzufügen die gewünschte Berechtigungsebene aus, die Sie der Gruppe oder dem Benutzer zuweisen möchten, und klicken Sie dann auf OK. |
Ändern der Berechtigungsebenen für WMI-Filter für eine Gruppe oder einen Benutzer in der Berechtigungsliste
1. | Klicken Sie im Listenfeld mit der rechten Maustaste auf die Gruppe oder den Benutzer, und klicken Sie dann auf Bearbeiten oder Vollzugriff, um die Berechtigungsebene anzugeben, die Sie dieser Gruppe oder diesem Benutzer zuweisen möchten. |
2. | Wenn Sie aufgefordert werden, die Änderung zu bestätigen, klicken Sie auf OK. |
Entfernen einer Gruppe oder eines Benutzers aus der Berechtigungsliste für den WMI-Filter
1. | Wählen Sie im Listenfeld den Namen der Gruppe oder des Benutzers aus, deren oder dessen Berechtigungen entfernt werden sollen, und klicken Sie dann auf Entfernen. |
2. | Wenn Sie aufgefordert werden, das Entfernen der delegierten Berechtigungen zu bestätigen, klicken Sie auf OK. |
Anmerkungen:
| • | Um die Berechtigungen für einen WMI-Filter ändern zu können, müssen Sie selbst über die Berechtigung Vollzugriff für diesen Filter verfügen. |
| • | Geerbte Berechtigungen für WMI-Filter können nicht entfernt oder geändert werden. |
| • | Alle Benutzer müssen über Lesezugriff auf alle WMI-Filter verfügen. Andernfalls wird die Ausführung von Gruppenrichtlinie beendet, wenn ein nicht lesbarer WMI-Filter gefunden wird. |
| • | Die Gruppenrichtlinienverwaltung kann nicht zum Entfernen von Leseberechtigungen für WMI-Filter verwendet werden. |
| • | Zeigen Sie zum Öffnen der Gruppenrichtlinienverwaltung im Startmenü auf Alle Programme und dann auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung. |
| • | WMI-Filter steht nur zur Verfügung, wenn auf mindestens einem Domänencontroller in der Domäne Windows Server 2003 ausgeführt wird. |
Verwenden von Skripten und Kommandozeilentools
Ausführen eines Skriptes für eine gruppenrichtlinienbezogene Aufgabe
| • | Geben Sie in der Befehlszeile den Pfad und den Namen des Skripts mit den entsprechenden Parametern ein. Wenn es sich bei Ihrem standardmäßigen Scripting Host nicht um CScript handelt, müssen Sie cscript dem Skriptnamen voranstellen und den Pfadnamen in Anführungszeichen einschließen, falls er Leerzeichen enthält. |
Anmerkungen:
| • | Die Gruppenrichtlinien-Verwaltungskonsole bietet über 30 Beispielskripts, die Sie zum Ausführen verschiedener administrativer Tasks verwenden können. Alle Skripts befinden sich im Verzeichnis %programfiles%\gpmc\scripts. Dies gilt für jeden Computer, auf dem die Gruppenrichtlinien-Verwaltungskonsole installiert ist. |
| • | Alle diese Skripts werden von der Befehlszeile ausgeführt. Wenn Sie ein Skript mit der Option /? ausführen, wird die Syntax für dieses Skript angezeigt. |
| • | Die Beispielskripts geben die Ausgabe im Befehlsfenster wieder und müssen mit von cscript.exe ausgeführt werden. Wenn es sich bei Ihrem standardmäßigen Scripting Host nicht um CScript handelt, müssen Sie cscript in der Befehlszeile explizit angeben. Beispiel: Zum Ausführen des Skripts ListAllGPOs.wsf geben Sie Folgendes an der Befehlszeile ein: cscript ListAllGPOs.wsf |
| • | Sie können cscript //H:cscript von einer Befehlszeile ausführen, um CScript als standardmäßigen Scripting Host festzulegen. |
| • | Diese Beispielskripts basieren auf COM-Schnittstellen, die von der Gruppenrichtlinien-Verwaltungskonsole bereitgestellt werden. Die Schnittstellen sind im Group Policy Management Console SDK dokumentiert, das sich unter %programfiles%\gpmc\scripts\gpmc.chm befindet. Dies gilt für jeden Computer, auf dem die Gruppenrichtlinien-Verwaltungskonsole installiert ist. Das Group Policy Management Console SDK steht auch im Platform SDK zur Verfügung. Es steht nur in englischer Sprache zur Verfügung. |
| • | Sie können die Beispielskripts gemäß den Bestimmungen im Endbenutzer-Lizenzvertrag ändern und verteilen. |
| • | Weitere Informationen finden Sie unter Scripting Group Policy tasks (englischsprachig). |
Aktualisieren von Gruppenrichtlinieneinstellungen mit GPUpdate.exe
Mit dem Befehl gpupdate werden lokale und Active Directory-basierte Gruppenrichtlinieneinstellungen einschließlich der Sicherheitseinstellungen auf dem Computer aktualisiert, auf dem der Befehl ausgeführt wird. Sie können gpupdate lokal auf Computern unter Windows XP oder höher verwenden, um Richtlinien sofort zu aktualisieren. Auf Computern unter Windows 2000 steht diese Funktionalität mit dem Befehl secedit und der Option refreshpolicy zur Verfügung.
Syntax
gpupdate [/target:{computer|user}] [/force] [/wait:Wert] [/logoff] [/boot]
Parameter
/target:{computer|user}
Verarbeitet nur die Computereinstellungen bzw. die aktuellen Benutzereinstellungen. Standardmäßig werden sowohl die Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
/force
Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen erneut an. Das Gruppenrichtlinienmodul auf dem Client verfolgt die Versionen der Gruppenrichtlinienobjekte nach, die auf den Benutzer und Computer angewendet werden. Wenn weder die GPO-Version noch die Liste der Gruppenrichtlinienobjekte Änderungen unterliegen, verarbeitet das Gruppenrichtlinienmodul die Richtlinien standardmäßig nicht erneut. Mit dieser Option wird diese Optimierung außer Kraft gesetzt, und das Gruppenrichtlinienmodul wird gezwungen, alle Richtlinieninformationen erneut zu verarbeiten.
/wait:Wert
Die Anzahl der Wartesekunden für das Beenden der Richtlinienverarbeitung. Der Standardwert beträgt 600 Sekunden. 0 bedeutet kein Warten; -1 bedeutet unbegrenztes Warten.
/logoff
Führt nach Abschluss der Aktualisierung eine Abmeldung durch. Dies ist für clientseitige Erweiterungen von Gruppenrichtlinie erforderlich, die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, sondern beim Anmelden des Benutzers verarbeiten. Hierzu gehören Softwareinstallation und Ordnerumleitung für den Benutzer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die das Abmelden des Benutzers erfordern.
/boot
Startet den Computer nach Abschluss der Aktualisierung neu. Dies ist für clientseitige Erweiterungen von Gruppenrichtlinie erforderlich, die Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, sondern beim Anmelden des Benutzers verarbeiten. Hierzu gehört Softwareinstallation für den Computer. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die einen Neustart des Computers erfordern.
/?
Zeigt an der Eingabeaufforderung Hilfe an.
Beispiele
Die folgenden Beispiele zeigen Verwendungsmöglichkeiten für den Befehl gpupdate:
| • | gpupdate |
| • | gpupdate /target:computer |
| • | gpupdate /force /wait:100 |
| • | gpupdate /boot |
Erstellen eines Richtlinienergebnissatzes mit GPResult.exe
GPResult ist ein Befehlszeilenprogramm, das über die Eingabeaufforderung ausgeführt werden muss. Mit dem Befehl gpresult wird der Richtlinienergebnissatz (Resultant Set of Policy, RSOP) für einen Benutzer oder Computer angezeigt. Mithilfe von GPResult können Sie ermitteln, welche Richtlinie gegenwärtig in Kraft ist, und Probleme auf Computern unter Windows XP oder höher beheben.
Wichtig:
Das Programm gpresult.exe im Lieferumfang von Windows XP und Betriebssystemen der Windows Server 2003-Produktfamilie unterscheidet sich stark von der ursprünglichen Version von gpresult.exe im Windows 2000 Resource Kit. Die neuere Version kann nicht zum Anzeigen von Richtlinieninformationen für Computer unter Windows 2000 verwendet werden.
Syntax
gpresult [/s Computer [/u Domäne\Benutzer /p Kennwort]] [/user Zielbenutzername] [/scope {user|computer}] [/v] [/z]
Parameter
/s Computer
Gibt den Namen oder die IP-Adresse eines Remotecomputers an. (Verwenden Sie keine umgekehrten Schrägstriche.) Als Standardeinstellung wird der lokale Computer verwendet.
/u Domäne\Benutzer
Führt den Befehl mit den Kontoberechtigungen des Benutzers aus, der durch Benutzer oder Domäne\Benutzer angegeben ist. Standardmäßig werden die Berechtigungen des Benutzers verwendet, der aktuell an dem Computer angemeldet ist, der den Befehl ausgibt.
/p Kennwort
Gibt das Kennwort des im Parameter /u angegebenen Benutzerkontos an.
/user Zielbenutzername
Gibt den Benutzernamen des Benutzers an, dessen RSOP-Daten angezeigt werden sollen.
/scope {user|computer}
Zeigt entweder Ergebnisse für einen Benutzer oder für einen Computer an. Gültige Werte für den Parameter /scope sind user und computer. Wenn Sie den Parameter /scope auslassen, zeigt GPResult sowohl Einstellungen für Benutzer als auch für Computer an.
/v
Gibt an, dass in der Ausgabe ausführliche Richtlinieninformationen angezeigt werden sollen.
/z
Gibt an, dass in der Ausgabe alle verfügbaren Informationen zu Gruppenrichtlinie angezeigt werden sollen. Da dieser Parameter mehr Informationen erzeugt als der Parameter /v, sollten Sie die Ausgabe bei Verwendung dieses Parameters in eine Textdatei umlenken (beispielsweise gpresult /z > richtlin.txt).
/?
Zeigt an der Eingabeaufforderung Hilfe an.
Anmerkungen:
| • | Da Sie auf jeden Computer oder Benutzer überlappende Richtlinienebenen anwenden können, wird durch die Funktion Gruppenrichtlinie bei der Anmeldung des Benutzers am Netzwerk ein Richtlinienergebnissatz generiert. GPResult zeigt den Richtlinienergebnissatz an, der auf dem Computer für den angegebenen Benutzer bei der Anmeldung erzwungen wurde. |
Beispiele
Die folgenden Beispiele zeigen Verwendungsmöglichkeiten des Befehls gpresult auf:
gpresult /user zielbenutzer /scope computer
gpresult /s hauptsrv /u hauptdom\andrek /p p@ssW23 /user zielbenutzer /scope user
gpresult /s hauptsrv /u hauptdom\andrek /p p@ssW23 /user zielbenutzer /z>richtlin.txt
gpresult /s hauptsrv /u hauptdom\andrek /p p@ssW23