FAQ-GPO

Einfache Fragen

Nicht mehr ganz einfache Fragen

Funktionen die man besser ohne GPOs löst

Fragen zu adm-Vorlagen

Checkliste - Erste Hilfe

Erste Fragen

Aufs Wesentliche reduziert sind es nichts anderes als Registry-Einträge (Bereich: Administrative Vorlagen)
Gruppenrichtlinien können aber noch viel mehr, schau dir die sogenannten Client Side Extensions an:
CSE - Client Side Extensions

Weil du spätestens in dem Moment an Berechtigungsproblemen scheiterst, wenn es sich um Registry Einträge unterhalb HKEY_Local_Machine handelt, da in diesem Bereich der normale User höchsten LESEN Berechtigungen hat und er keine Einträge editieren oder hinzufügen darf.

Zudem kommen ja noch weitere Möglichkeiten hinzu, ausser den einfachen Registrywerten, schau dir die sogenannten Client Side Extensions an:
CSE - Client Side Extensions

O.K. du kannst hier aufhören zu lesen, du brauchst keine GruRiLi´s …

Der Vorteil ist, dass es zum einen zentral vorgegeben werden kann, der Anwender sich auch kaum dagegen wehren kann und vor allem, dass die Änderungen in der Registry als SYSTEM und somit mit den nötigen Berechtigungen durchgeführt werden. Ich brauche also keine lokalen Administrator oder Hauptbenutzerrechte für den Anwender.

Das Wort Richtlinien ist in dem Zusammenhang wohl etwas zu negativ behaftet. Die Gruppenrichtlinien sind nicht einzig und allein dazu da, um den Benutzer in seinen Rechten komplett einzuschränken und restriktiv zu wirken, sondern man muss die Richtlinien auch als Verwaltungsinstrumentarium sehen, mit denen Benutzer wunderbar konfiguriert werden können.

Ein Beispiel: Ein neuer Benutzer wird angelegt. Jetzt muss man per Hand erst mal den kompletten Desktop konfigurieren, die Explorer-Ansicht wird konfiguriert, einige hausinterne Programme erfordern noch ein paar Einstellungen usw. usw. usw.

Diese Einstellungen betreffen an vielen Stellen die Registry, warum also nicht die GruRiLis benutzen um diese Vorkonfiguration für alle vorzunehmen?

Das Wort Gruppenrichtlinien ist etwas irreführend, denn Gruppenrichtlinien wirken sich nicht auf "Gruppen", sondern nur auf Container-Objekte aus und die beinhalten nur Benutzer und Computer.

Wenn du deine Vorstellung von einer Gruppe auf eine OU (Organisation Unit) portierst bist du schon da wo du hinwolltest. Deine "Gruppe" ist eine hierarchische Ebene nach "oben" gewandert. Sieh einfach den Vorteil: Jetzt ist auch möglich mit einer OU Computer zu "gruppieren".

Kinder die was wollen … Dafür gibt es eine Lösung und jetzt kommen deine Sicherheitsgruppen wieder ins Spiel.

- Erstelle eine neue Sicherheitsgruppe
- Füge alle User die von der Richtlinien _nicht_ betroffen sein sollen dieser Gruppe als Mitglieder hinzu.
- Du findest in den Eigenschaften der Richtlinie einen Reiter Sicherheitseinstellungen. Hier kannst du einer Gruppe, oder einem einzelnen User das Recht der Übernahme der Richtlinie entfernen (Haken herausnehmen). Alternativ könnte auch "verweigern" gesetzt werden, allerdings sollte mit dieser Optione im Allgemeinen sparsam umgegangen werden (auch bei NTFS Dateiberechtigungen) da "verweigern" ein höher gestelltes Recht darstellt und sich immer durchsetzt, was bei mehreren Gruppenzugehörigkeiten oder komplexeren Berechtigungsstrukturen zu Problemen führen kann, da es sich immer durchsetzt.
- È Viola!

Du warst zu schnell und hast die Voraussetzungen nicht gelesen: Vorausetzungen

Zu 95% (private NG Statistik) liegt es daran, dass der DNS SERVER nicht am Client eingetragen ist.

Korrigiere das und schau noch mal nach, ob der User/Computer auch wirklich in der OU steht, deren GPO du gerade bearbeitest.

Der sicherste Weg das zu vermeiden ist:

- Erstelle eine eigene OU, für alle Benutzer und Computer die du selber anlegst.
- Finger weg von der Default Domain Policy, wenn man erst mal nur "testen" möchte.
- Erstelle eine neue Richtlinie für deine OU und wende die Richtlinie nur dort an

Wenn du dich an den Grundsatz "Finger weg von den beiden Default Richtlinien" gehalten hast und mit eigenen Richtlinien gearbeitet hast, ist es einfach. Du brauchst nur die Richtlinie löschen und alles ist wie es war, oder Alternativ den User oder Computer in eine andere OU verschieben. Nach spätestens 90 Minuten (Dafault-Wert) sollten die Einstellungen zurückgesetzt werden.

Jede Regel hat eine Ausnahme, aber in den meisten Fällen, sollte das Problem erledigt sein.
Für die Standard Richtlinien schau unter "Nicht mehr ganz so einfache Fragen"
-> Meine Default Domain Policy bzw. Default Domain Controllers Policy ist weg. Was kann ich tun?

Schau dir diese beiden Artikel mal an:

HOW TO: Reset User Rights in the Default Domain Group Policy
http://support.microsoft.com/?kbid=226243

HOW TO: Reset User Rights in the Default Domain Controllers Group Policy Object
http://support.microsoft.com/?kbid=267553

Entweder startest du den PC neu, bzw. meldest den Benutzer ab und wieder an, oder wenn es in der aktuell aktiven Sizung erfolgen soll, hilft dir die Kommandozeile.

Anmerkung:
Die beiden Utilities secedit und gpupdate sollte man sich grundsätzlich mal anschauen und die interne Hilfe dazu bemühen, da sie noch einiges mehr bieten. Die Parameter /force, bzw. /enforce sorgen dafür, daß alle Einstellungen erneut angewendet werden, auch wenn der Counter der Richtlinie noch nicht erhöht wurde.

Unter Windows 2000 für den Benutzer:
	secedit /refreshpolicy user_policy /enforce

Unter Windows 2000 für den Computer:
	secedit /refreshpolicy machine_policy /enforce

Unter Windows XP für den Benutzer:
	gpupdate /target:user /force /wait:0

Unter Windows XP für den Computer:
	gpupdate /target:computer /force /wait:0

Hoffen dass diese Seite endlich fertig wird und auch auf diese Fragen eine Antwort liefert. Schau mal in den Newsgroups

deutsch:
microsoft.public.de.german.win2000.gruppen_richtlinien
microsoft.public.de.german.windows.gruppenrichtlinien
microsoft.public.de.german.windowsxp.gruppen.richtlinien
microsoft.public.de.windows.vista.gruppenrichtlinien

englisch:
microsoft.public.win2000.group_policy
microsoft.public.windows.group_policy

vorbei.

Einfache Fragen

So pauschal passen eigentlich drei Antworten.
#1 DNS, DNS und nochmal DNS. Sprich, die DNS Konfiguration am Client stimmt nicht. Am Client sollten im einfachsten Fall nur DNS Server eingetragen werden, welche auf dem DC der Domäne installiert sind. Es ist auf jeden Fall falsch, als DNS Server den Router oder die DNS Server des Providers einzutragen. Dies gilt sowohl für den primären, als auch für den sekundären DNS Server.

#2 Das Objekt, auf welches die Richtlinie wirken soll, befindet sich nicht im Wirkungsradius der Gruppenrichtlinie.

#3 Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Benutzer- und Computerobjekte.

Das Universalwerkzeug in Bezug auf Gruppenrichtlinien heißt GPMC (Group Policy Management Console) und steht auf der Microsoft Website zum Download bereit.

Die blauen Richtlinien sind "echte" Policies. Wird die GPO gelöscht, werden auch die Einstellungen auf den PCs gelöscht. Die roten Richtlinien sind nicht ganz so einfach loszuwerden. Siehe Systemrichtlinien vs. Gruppenrichtlinien

Group Policy Object. Auf deutsch Gruppenrichtlinienobjekt. Oftmals auch gleichbedeutend mit Gruppenrichtlinie beschrieben. Wobei Gruppenrichtlinien eigentlich der Bestandteil eineS GPOs sind. Aber wir wollen nicht zu kleinlich sein. ;)

Garnicht.
GPOs werden immer nur als "PULL" vom Client aus verarbeitet. Es exisitiert kein "PUSH".
gpupdate oder auch gpupdate /force initiieren nur die Übernahme auf dem Client.
Es ist keine Übergabe vom Server aus. Dieser stellt die Daten nur bereit. Der Client holt sie ab.

Nicht mehr ganz einfache Fragen

Windows 2000:
Mit Hilfe des Tools RecreateDefpol.EXE, welches auf der Microsoft Site zum Download bereitssteht, lassen sich die beiden Default GPOs wieder herstellen.

Windows 2003:
Seit Windows 2003 wird ein Tool zur Wiederherstellung der beiden Default GPOs mitgeliefert. dcgpofix.exe läßt sich auf jedem Windows 2003 DC ausführen. Ab Windows 2003 R2 wird man allerdings mit einer roten Fehlermeldung konfrontiert. Der folgende Artikel beschreibt das Vorgehen: http://support.microsoft.com/kb/932445/en-usr

Ja. Dazu gibt es verschiedene Möglichkeiten.
#1 Filterung aufgrund des Wirkungsbereichs. Sprich die GPO wirkt auf eine OU und auf alle User- bzw. Computerobjekte innerhalb dieser OU wirken die Einstellungen der GPO.
#2 Filterung anhand von Sicherheitsgruppen. Die Übernahme der Richtlinie wird bestimmten Gruppen erlaubt, bzw. verboten.
#3 Filterung mittels WMI Abfragen. Das funktioniert erst ab Windows XP aufwärts. Windows 2000 ignoriert alle WMI Filter.

Holzhammer Methode, die nur den Bereich der Administrativen Vorlagen umfasst, da sie die meisten restriktiven Einstellungen enthält:

Dateisystem: Lösche
%systemroot%\system32\GroupPolicy\User\registry.pol
%systemroot%\system32\GroupPolicy\Machine\registry.pol
%userprofile%\ntuser.pol

Registry: Lösche
HKey_Local_Machine und HKey_Current_User
\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies

Zurücksetzen des Bereichs der Sicherheitsrichtlinien findet du in folgendem Artikel:
SECEDIT in der CMD

Einstellungen aus dem Bereich der Administrativen Vorlagen:
Kopiere die beiden registry.pol Dateien aus: %systemroot%\system32\grouppolicy\machine + .\user
in den gleichen Pfad auf dem Zielsystem.

Sicherheitseinstellungen:
Öffne die MMC.exe -> Lade das SnapIn "Sicherheitsvorlagen"
Erstelle eine eigene und speichere die INF Datei, ein automatisierter Import ist über:
secedit /configure /db %temp%\temp.sdb /cfg deineinf.inf

Nein. Jein, nicht über den direkten Weg.
Es können pro Benutzer unterschiedliche Benutzerkonfigurationen realisiert werden, wenn man den Loopbackverarbeitungsmodus mit Sicherheitsfiltern verwendet, aber einzelne Berechtigungen aus dem Bereich "Zuweisen von Benutzerrechten" können nicht gesteuert werden.

Warum?
Es sind Einstellungen aus der Computerkonfiguration. Die DCs haben aber keine eigene Sicherheitsrichtlinien mehr, sondern teilen sich die Default Domain Contollers Policy. Da es nur eine Konfigurationsdatei für alle ist.

Umweg:
Eine zusätzliche Computerrichtlinie per Filter (DSACLS oder WMI) nachträglich laufen lassen, in der das einzelne Recht expilizit definiert wird.
Das bedeutet aber einen Recht hohen administrativen Aufwand und es macht aus meiner Sicht kaum einen Sinn, da meiner Meinung nach alle DCs gleichberechtigt sind und dementsprechend auch auf "Benutzer" die sich dort anmelden.

Das ist ein Job für den Loopbackverarbeitungsmodus.
Klassisches Anwendungsbeispiel sind Terminal Server und Notebooks.

Siehe:
HowTo \ Terminal Server
Grundlagen \ Loopbackverarbeitungsmodus

Funktionen die man besser ohne GPOs löst

Die Konfiguration eines falschen Proxyservers mit Hilfe des Internet Explorer Wartungsmodus ist definitiv nicht geeignet, die Benutzer vom Surfen im Internet ernsthaft abzuhalten. Dafür gibt es verschiedene Gründe.
#1 Die Konfiguration erfolgt, wie der Name Internet Explorer Wartungsmodus verrrät, nur für den Internet Explorer. Alle anderen Browser interessieren sich nicht für diese Einstellung. Firefox läßt sich bspw. auch über einen mitgebrachten USB Stick starten, so dass dies kein Hindernis darstellt.
#2 Der Internet Explorer Wartungsmodus ist nicht gerade für seine Stabilität und Zuverlässigkeit bekannt.
#3 Wenn es darum geht, den Zugriff nur auf bestimmte Seiten zuzulassen, ist man mit dieser Methode definitiv falsch.

Was kann man statt dessen tun, um eine sichere und stabile Lösung zu erhalten? Die Antwort auf diese Frage führt zwangsläufig zu Proxy-Servern. Hierbei ist es natürlich praktisch einen Proxy einzusetzen, der u.a. Benutzerauthentifizierung anbietet. Natürlich bietet Microsoft, mit dem ISA Server, selbst ebenfalls eine Firewall/Proxy Lösung an. Nähere Informationen findet man hier:
www.msisafaq.de bzw. direkt bei Microsoft.

Ja, das würden viele Administratoren gern tun. Leider hat MS diese (in meinen Augen sinnvolle Lösung) mit Einführung von Office 2007 gekippt. Die Whitepaper, welche bei Microsoft zu diesem Thema zu finden sind, sind leider fehlerhaft. Es bleibt derzeit nur ein Fazit: Eine angepaßte Installation von Office 2007 läßt sich nicht mittels GPO verteilen.

Nein.
Das Einzige was man erreichen kann ist die komplette Deaktivierung. Um sich nicht in einer Schein-Sicherheit zu wiegen sollte man auf 3rd Party Programme ausweichen.

Das Thema ist hier in einiger Tiefe behandelt.

Entweder auf Windows Server 2008 warten, oder Drittanbieter-Tools verwenden.

Bis einschliesslich Windows Server 2003 kann pro Domäne nur eine Kennwortrichtlinie definiert werden.

Für weitere Infos siehe:
Kennwortrichtlinien
Specops Password Policy 2.0 von Special Operations Software.
Passfilt Pro von Altus Network Solutions, Inc..

Fragen zu adm-Vorlagen

Im Idealfall beim Hersteller, bzw. im Programmverzeichnis. Eine Vielzahl der Microsoft Programme bringt die adm gleich mit, bzw. sind diese auf der Microsoft Webseite herunterladbar. Auf www.gruppenrichtlinien.de finden sich ebenfalls viele der originalen Microsoft Vorlagen.

Unter Ansicht/Filterung den Haken entfernen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen". Bedankt euch alle bei Michael Dennis. He wanted the checkbox checked. ;)

Ja klar.
... wenn ihr Office 2007 benutzt.
Office 2007 deutsche ADM Templates

Für alle älteren Versionen wurde keine Lokalisierung vorgenommen.
Ich habe habe mich schon desöfteren bereit erklärt, eine deutsche Version sofort in dem Moment online zu stellen, wenn sie mir zugeschickt wird.
Bis jetzt scheitert es nur nur daran, daß wohl keiner die vorhandenen Templates freiwillig nur zum Ruhm und für die Ehre übersetzen möchte.

Checkliste - Erste Hilfe

=> Der DNS Server, der die SRV Records der Domäne hält MUSS! als erster DNS bei den Clients und Server eingetragen sein

=> wenn, dann sollten userenv + scecli im Eventlog auftauchen, wobei die Source selber schon eine kleine Hilfe bietet.
userenv = Userenvironment
scecli = Security Client
Über diesen beiden Einträge lässt sich das Problem ein wenig eingrenzen, denn anhand der Quelle kann man erkennen, ob das Problem eher Benutzer oder Computerspezifisch ansiedeln muss.

Der so genannte Verwaltungsbereich einer Richtlinie muss gegeben sein. Das zu treffende Ziel muss auch von der Richtlinie erreicht werden können, also von daher gilt es hier einen genauen Blick auf die Hierarchie und Struktur der Richtlinie und deren Wirkungsbereich zu werfen.
Sieh auch: Vererbung und Hirarchien

Aber trotzdem kann einen dieser Punkt Probleme bereiten, da über das Recht "Richtlinien - Lesen" und "Richtlinie - übernehmen" innerhalb der Richtlinie auf Benutzer/Computer und Sicherheitsgruppenebene "gefiltert" werden kann, wer diese Richtlinie anwendet, auch wenn das Objekt ansonsten innerhalb des Verwaltungsbereiches der Richtlinie steht.
siehe auch: Richtlinien für einzelne Benutzer oder Sicherheitsgruppen einrichten

Einen "Klassiker" bei XP Clients stellt das geänderte Bootverhalten von XP gegenüber zu W2K dar. Damit der Benutzer das Gefühl bekommt, daß System würde wesentlich schneller starten, wird die Explorerschnittstelle schon gestartet, obwohl noch nicht alle Dienste zur Verfügung stehen. Diese werden nachgeladen. Dummerweise gilt das auch für die Netzwerktreiber :-(
Zum Anmeldezeitpunkt ist das Netzwerk noch nicht bereit. Was dann zur Ursache hat, daß der Client mit "Cached Logon Credentials" arbeitet und effektiven Richtlinien nicht gelesen hat, obwohl im Startbildschirm "Sicherheitsrichtlinien werden übernommen ..." angezeigt wurde.

Damit diese Richtlinie auch wirklich beim nächsten Mal aktiv ist, empfehle ich eine erzwungene Übernahme der Richtlinie in der Kommandozeile.
gpupdate /target:computer /force

Siehe auch: How Core Group Policy Works - Policy Application Processes

Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung
"Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" = aktiviert

und:
Computerkonfiguration \ Administrative Vorlagen \ System \ Skripts
"Anmeldeskripts gleichzeitig ausführen" = aktiviert

Der Standardwert ist NORMAL|LOGFILE (0x00010001).
Das Protokoll findet man dann unter: %SystemRoot%\Debug\UserMode\Userenv.log

Die Werte können auch kombiniert werden, weiteres dazu siehe KB Link.
Nach Artikel:
"Aktivierung der Debugprotokollierung für die Benutzerumgebung"

oder per ADM Template:
28. Gruppenrichtlinien Protokollierung konfigurieren

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"UserEnvDebugLevel"= REG_DWORD

UserEnvDebugLevel kann folgende Werte aufweisen:
NONE 0x00000000
NORMAL 0x00000001
VERBOSE 0x00000002
LOGFILE 0x00010000
DEBUGGER 0x00020000

Am Client
start -> ausfünren -> rsop.msc

Am Server:
start -> ausfünren -> gpmc.msc -> Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse

Letzterer baut ein Verbindung über RPC direkt zum Client auf. Die Firewall muss also deaktiviert oder entsprechend konfiguriert sein.

Mehr dazu auf meiner Seite unter "Wie? Was? Wo?"

Am Client
start -> ausfünren -> rsop.msc

Am Server:
start -> ausfünren -> gpmc.msc -> Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse

Letzterer baut ein Verbindung über RPC direkt zum Client auf. Die Firewall muss also deaktiviert oder entsprechend konfiguriert sein.

Am Client
start -> ausfünren -> rsop.msc

Am Server:
start -> ausfünren -> gpmc.msc -> Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse

Letzterer baut ein Verbindung über RPC direkt zum Client auf. Die Firewall muss also deaktiviert oder entsprechend konfiguriert sein.

Mehr dazu auf meiner Seite unter "Wie? Was? Wo?"

Am Client
start -> ausfünren -> rsop.msc

Am Server:
start -> ausfünren -> gpmc.msc -> Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse

Letzterer baut ein Verbindung über RPC direkt zum Client auf. Die Firewall muss also deaktiviert oder entsprechend konfiguriert sein.

Mehr dazu auf meiner Seite unter "Wie? Was? Wo?"