Active Directory (AD) basierte Gruppenrichtlinienobjekte (auf Englisch: Group Policy Object, kurz GPO) bestehen hauptsächlich aus zwei Komponenten, bestehend aus der logischen und physikalischen Struktur. Der logische Teil einer GPO wird in der AD-Datenbank (NTDS.dit) gespeichert und wird als Gruppenrichtliniencontainer (auf Englisch: Group Policy Container, kurz GPC) bezeichnet. Die physikalische Komponente einer GPO wird im Dateisystem, …
Continue reading Die Komponenten einer GPO und den Status von GPOs abfragenGruppenrichtlinien
Setzt man Password Setting Objects (kurz PSOs) auch bekannt als fein abgestimmte Kennwortrichtlinien ein, kann es zu Verwirrungen bei der Meldung die Windows liefert kommen, wenn ein Benutzer ein Kennwort vergeben möchte das nicht den Vorgaben des ihm zugewiesenen PSO entspricht. Welche Voraussetzungen existieren müssen damit PSOs eingesetzt werden können oder wie PSOs konfiguriert werden, …
Continue reading Hinweise zu PSOsEinige werden das Verhalten unter Windows 7 unter Windows Server 2008 R2 sicherlich kennen. Angenommen man lässt sich unter Windows 7 oder Windows Server 2008 R2 in der Gruppenrichtlinienverwaltungskonsole (GPMC) die konfigurierten Einstellungen einer Gruppenrichtlinie (GPO) im Reiter Einstellungen anzeigen. Möchte man dann die GPO umbenennen während man sich im Reiter Einstellungen befindet, so wählt …
Continue reading Backspace und die Pfeiltasten in der GPMCBis einschließlich Windows Server 2003 kann mit Bordmittel nur eine Kennwort- und Kontosperrungsrichtlinie innerhalb einer Domäne auf Domänenbenutzer wirken. Damit die Richtlinien auf Domänenbenutzer wirken, müssen diese zwingend auf Domänenebene verlinkt werden. Wenn stattdessen die beiden Richtlinien auf eine Organisationseinheit (OU) verlinkt werden, wirkt sich das lediglich auf die Computer die sich in dieser OU …
Continue reading Password Setting Objects erstellen und verwaltenWer für die Administration von Gruppenrichtlinien in einem Windows Netzwerk zuständig ist, der sollte und wird die Gruppenrichtlinien-Verwaltungskonsole (auf Englisch: Group Policy Management Console, kurz GPMC) kennen. Installiert man sich unter Windows XP und Windows Server 2003 die GPMC das separat heruntergeladen werden muss, stehen einem 32 Skripte im Verzeichnis %PROGRAMFILES%\GPMC\Scripts zur Verfügung. Mit diesen …
Continue reading Die PowerShell Cmdlets für GruppenrichtlinienEs ist empfehlenswert, dass jedes Unternehmen eine Kennwortrichtlinie einsetzt, die entsprechend konfiguriert ist(Komplexität, Kennwortchronik, Kennwortlänge, Kennwortalter etc.). Kennwortrichtlinien, die für Domänen-Benutzer gelten sollen, müssen auf Domänenebene verlinkt werden. Wenn eine Kennwortrichtlinie auf einer Organisationseinheit (OU) verlinkt wird, betrifft das lediglich die lokalen Benutzerkonten auf den Clients. Bis Windows Server 2003 kann es dabei pro Domäne …
Continue reading Das Kennwortalter zurücksetzenSeit der Einführung des “Active Directory” mit Windows 2000, können standardmäßig “authentifizierte Benutzer” 10 Clients in die Domäne aufnehmen. Im weiteren Verlauf wird beschrieben, welche beiden Möglichkeiten dem Administrator zur Verfügung stehen um diese Konfiguration zu ändernund wie die notwendige Berechtigung zum “Hinzufügen der Clients zur Domäne” an die entsprechenden Personen erteilt werden können. Die Gruppenrichtlinie In der Default Domain …
Continue reading Clients in die Domäne hinzufügenDen Dateizugriff auf einem NTFS formatierten Datenträger kann man mit Windows-Boardmitteln überwachen.Der Einsatz dieser Funktion sollte aber gut durchdacht sein, denn ist diese Einstellung vom Betriebsrat zu genehmigen bzw. ist Mitbestimmungspflichtig und sollte man sich Gedanken darüber gemacht haben, was mit den gesammelten Informationen geschehen soll. Findet diese Aufzeichnung statt, um längerfristige statistische Aussagen über …
Continue reading Dateizugriff überwachenMöchte man unter Windows Server 2000, die beiden Richtlinien „Default Domain Controllers Policy“ sowie „Default Domain Policy“ in den Auslieferungszustand zurücksetzen, so kann man das mit dem „Windows 2000 Default Group Policy Restore Tool“ „RecreateDefPol.exe“ erledigen: Windows 2000 Default Group Policy Restore Tool Hinweis: Dieses Tool gilt nur für Windows Server 2000! …
Continue reading Gruppenrichtlinien zurücksetzenWenn es vorkommen sollte, dass man den Zugriff auf die GPOs verweigert bekommt, hängt das in den meisten Fällen am SMB – Signing. Das SMB – Signing dient kurzerhand der Sicherheit. Einzelheiten können in den folgenden Artikeln nachgelesen werden: http://support.microsoft.com/kb/887429/de http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm Um den Zugriff auf die GPOs zu erhalten, kann man die …
Continue reading Zugriff auf die GPOs verweigert