Verwalten von Windows XP Service Pack 2-Features mithilfe von Gruppenrichtlinien

Bereitstellen von Gruppenrichtlinieneinstellungen in SP2

Veröffentlicht: 01. Aug 2004

In diesem Abschnitt erhalten Sie Informationen zum Bereitstellen der in SP2 enthaltenen Gruppenrichtlinieneinstellungen. Zuerst werden Hotfixes beschrieben, die Sie möglicherweise auf den Verwaltungsarbeitsstationen installieren müssen. Anschließend werden empfohlene Vorgehensweisen zum Bereitstellen neuer Richtlinieneinstellungen in der Umgebung aufgezeigt.

Bei den folgenden Richtlinien wird davon ausgegangen, dass Sie Gruppenrichtlinien verwenden, um die Benutzer und Computer in einer Windows 2000 Server- oder Windows Server 2003-Domäne zu verwalten.

Auf dieser Seite
Vor der Installation von SP2Vor der Installation von SP2
Wegweiser für die Bereitstellung von Gruppenrichtlinien für SP2Wegweiser für die Bereitstellung von Gruppenrichtlinien für SP2
Verwalten der Replikation von ADM-Dateien in der DomäneVerwalten der Replikation von ADM-Dateien in der Domäne

Vor der Installation von SP2

In SP2 wurden Tools zum Verwalten von Gruppenrichtlinien geändert. Dies umfasst Änderungen an der Datei gptext.dll sowie Änderungen an der Funktionalität von LISTBOX   ADDITIVE in administrativen Vorlagendateien.

Wenn Sie oder andere Administratoren in Ihrem Unternehmen Richtlinieneinstellungen auf Computern unter früheren Betriebssystemen oder mit früheren Service Packs (z. B. Windows XP mit SP1 oder Windows Server 2003) verwalten, müssen Sie Hotfixes installieren, damit die Richtlinieneinstellungen korrekt im Gruppenrichtlinienobjekt-Editor angezeigt werden.

Diese Hotfixes sind für folgende Betriebssysteme verfügbar:

Windows 2000

Windows XP mit SP1

Windows Server 2003

Informationen zum Abrufen dieser Hotfixes finden Sie im Microsoft Knowledge Base-Artikel 842933 (nur auf Englisch verfügbar).

Wenn Sie jedoch Richtlinieneinstellungen ausschließlich auf Arbeitsstationen unter Windows XP mit SP2 verwalten, müssen Sie keine weiteren Hotfixes installieren. Sie können dann beispielsweise den Gruppenrichtlinienobjekt-Editor ausführen und alle in SP2 enthaltenen neuen Richtlinieneinstellungen anzeigen.

Mehrere Popupfehlermeldungen

Einige der von SP2 installierten ADM-Dateien können in früheren Versionen des standardmäßig im Lieferumfang von Windows Server 2003, Windows XP mit SP1 und Windows 2000 enthaltenen Gruppenrichtlinienobjekt-Editors (gpedit) nicht vollständig geladen werden. Bei diesem Versuch werden beim Laden der Dateien system.adm und inetres.adm in gpedit mehrere Fehlermeldungen angezeigt. Aus den Fehlermeldungen geht hervor, dass eine Zeichenfolge zu lang ist. Der Grund dafür ist, dass frühere Versionen von gpedit die Struktur "#if ver >= 5 / #endif" in ADM-Dateien von SP2 nicht richtig verarbeiten können. Wenn Sie in allen Popupfehlermeldungen auf OK klicken, werden die ADM-Dateien zwar korrekt geladen, die neuen SP2-Richtlinieneinstellungen, in denen die LISTBOX-Syntax verwendet wird, werden jedoch nicht angezeigt. (Dieses Problem tritt bei Computern unter Windows XP mit SP2 oder bei Computern, auf denen die aktuelle Version von gpedit ausgeführt wird, nicht auf.)

Dieser Aspekt ist aufgrund der Art und Weise, wie ADM-Dateien in einer Domäne verteilt werden, von besonderer Bedeutung. Beim Öffnen eines Gruppenrichtlinienobjekts werden standardmäßig die Zeitstempel der ADM-Dateien, die im bearbeiteten Gruppenrichtlinienobjekt gespeichert sind, mit denen auf dem lokalen Computer verglichen. Wenn die lokalen ADM-Dateien einen aktuelleren Zeitstempel aufweisen, werden sie auf den Domänencontroller geladen und in der gesamten Domäne repliziert. Ab diesem Zeitpunkt verwenden alle früheren Versionen von gpedit die neuen ADM-Dateien. Dieses Szenario wird anhand der folgenden Schritte veranschaulicht:

1.

Installieren Sie Windows XP SP2 auf dem Verwaltungscomputer.

2.

Öffnen Sie im Gruppenrichtlinienobjekt-Editor ein bestehendes Gruppenrichtlinienobjekt. Die auf dem Verwaltungscomputer gespeicherte ADM-Datei wird auf den Domänencontroller geladen. Das Gruppenrichtlinienobjekt wird auf SP2 "aktualisiert".

3.

Diese ADM-Datei wird auf alle Domänencontroller in der Domäne repliziert.

4.

Wird das Gruppenrichtlinienobjekt auf anderen Verwaltungsarbeitsstationen in der Domäne geöffnet, auf denen nicht Windows XP mit SP2 oder die aktuelle Version von gpedit ausgeführt wird, werden Fehlermeldungen angezeigt.

important.gif    Wichtig
Wenn ein Gruppenrichtlinienobjekt auf einem Computer unter Windows XP mit SP2 geöffnet wird, verwenden alle weiteren Verwaltungsarbeitsstationen die neuen ADM-Dateien (dabei müssen keine Änderungen am Gruppenrichtlinienobjekt vorgenommen werden). Dadurch werden beim Laden früherer Versionen von gpedit Fehlermeldungen angezeigt. Weitere Informationen zu diesem Problem finden Sie im Microsoft Knowledge Base-Artikel 842933 (nur auf Englisch verfügbar).

Durch Installieren des Hotfixes für Windows 2000, Windows XP mit Service Pack 1 und Windows Server 2003 stellen Sie sicher, dass die ADM-Dateien von Windows XP SP2 ordnungsgemäß auf diesen Plattformen geladen werden.

Weitere Informationen zur Replikation von ADM-Dateien finden Sie unter Recommendations for managing Group Policy administrative template (.adm) files (nur auf Englisch verfügbar).

Verwenden von Gruppenrichtlinien zur temporären Deaktivierung der Bereitstellung von SP2 über Windows Update und automatische Updates

Microsoft empfiehlt, SP2 möglichst bald bereitzustellen. Wenn Sie jedoch weder Systems Management Server (SMS) noch Software Update Services (SUS) oder eine andere Updateverwaltungslösung verwenden und noch mehr Zeit für die Planung des Rollouts von SP2 benötigen, können Sie auch mit einer Gruppenrichtlinieneinstellung die Bereitstellung von SP2 mithilfe von Windows Update und automatischen Updates temporär deaktivieren. Verwenden Sie hierzu die Richtlinieneinstellung Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates (Bereitstellung von Windows XP Service Pack 2 (SP2) über Windows Update oder automatische Updates nicht zulassen), die in der neuen Datei NoXPSP2Update.adm zur Verfügung steht. Wenn Sie diese Richtlinieneinstellung aktivieren, ist SP2 nicht über Windows Update für Benutzer verfügbar, und dieses Paket wird auch nicht vom Client für automatische Updates gedownloadet.

Administratoren können die Datei NoXPSP2Update.adm von der Microsoft TechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=33543 (nur auf Englisch verfügbar) downloaden.

note.gif    Hinweis
Der Mechanismus zum temporären Deaktivieren der Bereitstellung von SP2 steht nur für einen begrenzten Zeitraum zur Verfügung. Nach Ablauf dieser Frist verliert diese Richtlinieneinstellung ihre Gültigkeit. Informationen zum Ablaufdatum finden Sie auf der Windows XP SP2-Webseite der Microsoft TechNet-Website.
Mit der Richtlinieneinstellung Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates (Bereitstellung von Windows XP Service Pack 2 (SP2) über Windows Update oder automatische Updates nicht zulassen) kann nicht die Installation von Windows XP SP2 über andere Mechanismen wie SMS, SUS, Produkt-CD usw. verhindert werden.
Mit der Richtlinieneinstellung Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates (Bereitstellung von Windows XP Service Pack 2 (SP2) über Windows Update oder automatische Updates nicht zulassen) werden weder automatische Updates noch der Zugriff auf Windows Update deaktiviert. Außerdem wird dadurch auch nicht die Bereitstellung anderer Updates als Windows XP SP2 über Windows Update oder automatische Updates verhindert.

Wegweiser für die Bereitstellung von Gruppenrichtlinien für SP2

In diesem Abschnitt werden empfohlene optimale Methoden zum Bereitstellen der in SP2 enthaltenen Richtlinieneinstellungen aufgeführt.

1.

Überlegen Sie, ob Sie den zuvor beschriebenen Hotfix installieren müssen. Beachten Sie hierzu das folgende Diagramm.

mangxp01.gif

2.

Nachdem Sie die im Diagramm dargestellten Schritte ausgeführt haben, können Sie damit beginnen, SP2 auf den Computern im gesamten Unternehmen bereitzustellen. Dies wird im Abschnitt "Wegweiser für die Bereitstellung von Gruppenrichtlinien für SP2" beschrieben.

3.

Bewerten Sie die neuen Richtlinieneinstellungen unter Berücksichtung der vorgesehenen Verwaltung der neuen Funktionalität in SP2. Weitere Informationen zu den neuen Richtlinieneinstellungen in SP2 finden Sie in weiteren Abschnitten in diesem Dokument.

4.

Testen Sie die Richtlinieneinstellungen wie im folgenden Diagramm dargestellt.

mangxp02.gif

5.

Nachdem Sie die Richtlinieneinstellungen getestet haben, sollten Sie die ausgewählten Richtlinieneinstellungen in der Produktionsumgebung bereitstellen (siehe folgendes Diagramm).

mangxp03.gif

Detaillierte Informationen zum Bereitstellen von Gruppenrichtlinienobjekten finden Sie unter Staging Group Policy Deployments (nur auf Englisch verfügbar).

Aktualisieren vorhandener Gruppenrichtlinienobjekte

Wenn Sie vorhandene Gruppenrichtlinienobjekte aktualisieren möchten, sodass sie die Option zum Konfigurieren der Richtlinieneinstellungen in SP2 enthalten, müssen Sie jedes einzelne Gruppenrichtlinienobjekt öffnen. Die Group Policy Management Console (GPMC – Gruppenrichtlinienkonsole) bietet die einfachste Möglichkeit, um alle Gruppenrichtlinienobjekte in einer Domäne anzuzeigen.

So aktualisieren Sie vorhandene Gruppenrichtlinienobjekte

1.

Melden Sie sich an einem Computer an, auf dem SP2 installiert ist.

2.

Öffnen Sie die GPMC, und klicken Sie auf die Domäne, die die zu aktualisierenden Gruppenrichtlinienobjekte enthält.

3.

Klicken Sie auf den Container Gruppenrichtlinienobjekte . Dieser Container enthält alle Gruppenrichtlinienobjekte in der Domäne.

4.

Klicken Sie mit der rechten Maustaste auf das zu aktualisierende Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus. Das Gruppenrichtlinienobjekt wird im Gruppenrichtlinienobjekt-Editor geöffnet. Dadurch wird das Gruppenrichtlinienobjekt anhand der aktuellen ADM-Dateien auf dem lokalen Computer aktualisiert. Diese ADM-Datei wird anschließend automatisch auf alle Domänencontroller in der Umgebung repliziert.

5.

Öffnen Sie jedes einzelne zu aktualisierende Gruppenrichtlinienobjekt.

Informationen zu einem Skript zum Ausführen dieser Aufgabe finden Sie im TechNet Script Center: Script Repository.

Verwenden von Remote-RSoP in Windows XP mit SP2

Im Zusammenhang mit der Verwaltung und Problembehandlung von Gruppenrichtlinien müssen Sie häufig überprüfen, welche Richtlinieneinstellungen für einen bestimmten Benutzer oder Computer gültig sind. Die Funktionen für den Resultant Set of Policy (RSoP – Richtlinienergebnissatz) sind in der GPMC enthalten. Dies umfasst Folgendes:

Gruppenrichtlinienergebnisse: Geben die für einen Zielbenutzer oder -computer gültigen Richtlinien an.

Gruppenrichtlinienmodellierung: Bietet eine Simulation der Auswirkungen einer geplanten Richtlinieneinstellung auf einen Zielbenutzer oder -computer.

In SP2 ist die Windows-Firewall standardmäßig aktiviert. Da die Windows-Firewall unerbetene eingehende Anforderungen blockiert, ist Remote-RSoP auf Zielcomputern nur funktionsfähig, wenn die Firewalleinstellungen geändert werden. Sie müssen mehrere Schritte ausführen, um Remote-RSoP verwenden zu können. Wenn Sie bereits (wie empfohlen) die GPMC verwenden, sind diese zusätzlichen Schritte minimal. Diese Schritte sind in Tabelle 1 zusammengefasst.

Tabelle 1   Konfigurieren von Remote-RSoP in Windows XP mit SP2

AufgabeZielcomputerVerwaltungscomputer

Gruppenrichtlinienergebnisse erstellen

Aktivieren Sie die Richtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen . Diese Richtlinieneinstellung befindet sich unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\[Domäne | Standard] Profil\ .

GPMC mit SP1:

Keine Maßnahme erforderlich

RSoP-Snap-In:

Aktivieren Sie Windows-Firewall: Programmausnahmen festlegen , um anzugeben, dass Unsecapp.exe zulässig ist. Hierfür ist der vollständige Pfad erforderlich.

Aktivieren Sie die Richtlinie Windows-Firewall: Portausnahmen festlegen , um Port 135 zu öffnen.

Zugriff auf Gruppenrichtlinienergebnisse delegieren

Aktivieren Sie die Richtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen .

Konfigurieren Sie die folgenden DCOM-Sicherheitsrichtlinieneinstellungen, um dem Zielbenutzer, der Zielgruppe oder dem integrierten Sicherheitsprinzipal Remotezugriff zu gestatten:

DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

Diese Richtlinieneinstellungen befinden sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen .

Keine Änderungen erforderlich

Ein lokales Gruppenrichtlinienobjekt remote bearbeiten

Aktivieren Sie die Richtlinieneinstellung Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen .

Diese Richtlinieneinstellung befindet sich unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\[Domäne | Standard] Profil\ .

Keine Änderungen erforderlich

caution.gif    Vorsicht
Durch Aktivieren der Richtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen werden RPC und DCOM geöffnet, und dadurch ist der Zielcomputer weniger vor Netzwerkangriffen geschützt.
Sie sollten (sofern möglich) jeweils nur die für eine bestimmte Managementanwendung oder für einen bestimmten Dienst erforderliche Ausnahme öffnen, statt die Richtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen zu aktivieren. Administratoren sollten die Dokumentation der auszuführenden Anwendung lesen, um herauszufinden, welche Vorgehensweise in Verbindung mit der Firewall empfohlen wird. In den meisten Fällen umfasst die Anwendungsdokumentation (z. B. von MMC) auch Informationen zu den zu öffnenden Ports.
Detaillierte Informationen zum Bereitstellen der Windows-Firewall finden Sie unter "Deploying Windows Firewall Settings for Microsoft Windows XP Service Pack 2" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=23277 (nur auf Englisch verfügbar).

Verwalten der Replikation von ADM-Dateien in der Domäne

Jedes Gruppenrichtlinienobjekt wird in der Freigabe Sysvol jedes Domänencontrollers gespeichert. Standardmäßig wird die ADM-Datei in jedes Richtlinienobjekt kopiert, das im folgenden Dateipfad enthalten ist:

%SYSTEMROOT%\sysvol\domainname\Policies\POLICYGUID\Adm

SP2 enthält über 600 neue administrative Vorlageneinstellungen, sodass die Gesamtgröße des Standardsatzes für administrativen Vorlagen mehr als 3 MB beträgt. Wenn Sie diesen Größenwert mit jeder in Sysvol enthaltenen Richtlinieneinstellung multiplizieren, können Sie erkennen, dass für diese Vorlagen sehr viel Speicherplatz vorgesehen ist. Wenn Sie sich Gedanken über die Größe der Sysvol-Domänencontroller in Ihrem Unternehmen machen, möchten Sie möglicherweise mehr über das Verhalten und die Verwaltung von ADM-Dateien erfahren.

Weitere Informationen finden Sie in Artikel 316977, "Group Policy Template Behavior in Windows Server 2003", in der Microsoft Knowledge Base (nur auf Englisch verfügbar).


**
**