Inhalt | 6 |
Vorwort | 14 |
Wissenswertes zu diesem Buch | 16 |
1 Einleitung | 22 |
1.1 Was sind Gruppenrichtlinien? | 22 |
1.2 Auf welche Objekte wirken Gruppenrichtlinien? | 23 |
1.3 Wann werden Gruppenrichtlinien verarbeitet? | 23 |
1.4 Wie viele Gruppenrichtlinien sollte man verwenden? | 24 |
1.5 Worauf muss man beim Ändern von Einstellungen achten? | 24 |
1.6 Was Sie brauchen, um die Aufgaben nachvollziehen zu können | 25 |
2 Die Gruppenrichtlinienverwaltung | 26 |
2.1 Einführung | 26 |
2.2 Gruppenrichtlinienverwaltung auf einem Server installieren | 27 |
2.3 Gruppenrichtlinienverwaltung erkunden | 29 |
2.4 Gruppenrichtlinienverknüpfungen und -objekte | 29 |
2.5 Gruppenrichtlinienobjekte im Detail | 30 |
2.5.1 Register Bereich einer Gruppenrichtlinie | 30 |
2.5.2 Register Details eines GPO | 31 |
2.5.3 Register Einstellungen eines GPO | 32 |
2.5.4 Register Delegierung eines GPO | 33 |
2.5.5 Register Status eines GPO | 33 |
2.6 Standorte und Gruppenrichtlinien | 34 |
2.7 Weitere Elemente der Gruppenrichtlinienverwaltung | 35 |
2.8 Gruppenrichtlinie erstellen | 35 |
2.9 Gruppenrichtlinie verknüpfen | 35 |
2.10 Gruppenrichtlinie bearbeiten | 36 |
3 Verarbeitungsreihenfolge von Gruppenrichtlinien | 38 |
3.1 Einführung | 38 |
3.2 Grundlagen der Gruppenrichtlinienverarbeitung | 38 |
3.3 Verarbeitungsreihenfolge in der Gruppenrichtlinienverarbeitung | 39 |
3.4 Anpassungen der Verarbeitungsreihenfolge von GPOs | 41 |
3.4.1 Bereiche von GPOs deaktivieren | 41 |
3.4.2 Verknüpfungen aktivieren/deaktivieren | 43 |
3.4.3 Vererbung deaktivieren | 43 |
3.4.4 Erzwingen von GPOs | 44 |
3.5 Loopbackverarbeitungsmodus | 45 |
3.5.1 Loopbackverarbeitungsmodus einrichten | 46 |
4 Gruppenrichtlinien filtern | 50 |
4.1 Einführung | 50 |
4.2 Filtern über Gruppenzugehörigkeiten | 51 |
4.2.1 Sicherheitsfilterung verwenden | 51 |
4.2.2 Berechtigungen verweigern | 53 |
4.3 WMI-Filter | 55 |
4.3.1 Einführung in WMI | 55 |
4.3.2 WQL zum Filtern von GPOs | 59 |
4.3.3 WMI-Filter erstellen | 59 |
4.3.4 WMI-Filter anwenden | 61 |
4.3.5 WMI-Filter entfernen | 62 |
4.3.6 WMI-Filter exportieren | 62 |
4.3.7 WMI-Filter importieren | 63 |
4.3.8 Beispiele von WMI-Abfragen für WMI-Filter | 63 |
4.3.9 WMI-Filter optimieren | 64 |
5 Gruppenrichtlinien-Infrastruktur planen | 66 |
5.1 Einführung | 66 |
5.2 AD-Design und GPOs | 67 |
5.2.1 OUs und Gruppenrichtlinien | 68 |
5.2.2 GPOs und Sicherheitsfilterung | 72 |
5.3 Wie viele Einstellungen gehören in ein GPO? | 73 |
5.4 Benennung von GPOs | 74 |
5.5 Dokumentieren von GPOs | 75 |
5.6 Testen von GPOs | 79 |
5.7 Empfohlene Vorgehensweisen | 83 |
6 Softwareverteilung mit Gruppenrichtlinien | 86 |
6.1 Einführung | 86 |
6.2 Konzepte | 87 |
6.2.1 Unterstützte Dateitypen | 87 |
6.2.2 Softwareverteilung an Benutzer oder Computer | 88 |
6.2.3 Zuweisen und Veröffentlichen | 89 |
6.2.4 Kategorien | 91 |
6.3 Praktisches Vorgehen | 91 |
6.3.1 Vorbereitung | 91 |
6.3.2 Gruppenrichtlinie für Zuweisung an Computer erstellen | 92 |
6.3.3 Gruppenrichtlinie konfigurieren | 92 |
6.3.4 Gruppenrichtlinienobjekt verknüpfen | 94 |
6.3.5 Verteilung testen | 94 |
6.3.6 Veröffentlichen für Benutzer | 94 |
6.4 Eigenschaften von Paketen bearbeiten | 95 |
6.4.1 Register Allgemein | 95 |
6.4.2 Register Bereitstellung von Software | 96 |
6.4.3 Register Aktualisierungen | 97 |
6.4.4 Register Kategorien | 99 |
6.4.5 Register Änderungen | 99 |
6.4.6 Register Sicherheit | 100 |
6.5 Probleme bei der Softwareverteilung | 100 |
6.6 Software verteilen mit Specops Deploy/App | 101 |
6.6.1 Verteilen der Client Side Extension | 102 |
6.6.2 Erstellen eines Software-Verteilungspakets | 103 |
6.6.3 Überprüfen der Installation | 111 |
6.6.4 Ziele angeben mit Targetting | 113 |
6.6.5 Konfiguration von Specops Deploy/App | 115 |
6.6.6 Specops und PowerShell | 115 |
6.6.7 Fazit | 116 |
7 Sicherheitseinstellungen | 118 |
7.1 Einführung | 118 |
7.2 Namensauflösungsrichtlinie | 119 |
7.3 Kontorichtlinien | 121 |
7.3.1 Kennwortrichtlinien | 122 |
7.3.2 Kontosperrungsrichtlinien | 123 |
7.3.3 Kerberos-Richtlinien | 124 |
7.3.4 Empfohlene Einstellungen für Kontorichtlinien | 124 |
7.4 Lokale Richtlinien | 125 |
7.4.1 Überwachungsrichtlinien | 126 |
7.4.2 Zuweisen von Benutzerrechten | 127 |
7.4.3 Sicherheitsoptionen | 128 |
7.5 Ereignisprotokoll | 137 |
7.6 Eingeschränkte Gruppen | 139 |
7.7 Systemdienste, Registrierung und Dateisystem | 141 |
7.7.1 Systemdienste | 141 |
7.7.2 Registrierung | 142 |
7.7.3 Dateisystem | 143 |
7.8 Richtlinien im Bereich Netzwerksicherheit | 144 |
7.8.1 Richtlinien für Kabelnetzwerke | 144 |
7.8.2 Windows Firewall | 146 |
7.8.3 Netzwerklisten-Manager-Richtlinien | 153 |
7.8.4 Drahtlosnetzwerkrichtlinien | 156 |
7.8.5 Richtlinien für öffentliche Schlüssel | 160 |
7.8.6 Softwareeinschränkungen | 171 |
7.8.7 Netzwerkzugriffsschutz | 176 |
7.8.8 Anwendungssteuerung mit AppLocker | 176 |
7.8.9 IP-Sicherheitsrichtlinien | 192 |
7.8.10 Erweiterte Überwachungsrichtlinienkonfiguration | 192 |
7.9 Sicherheitsvorlagen und das Security Compliance Toolkit | 194 |
7.9.1 Sicherheitsvorlagen | 195 |
7.9.2 Der Policy Analyzer | 198 |
7.9.3 Security Baselines anwenden | 202 |
7.9.4 Der Security Compliance Manager | 203 |
8 Administrative Vorlagen | 204 |
8.1 Einführung | 204 |
8.2 ADMX und ADML | 205 |
8.3 Zentraler Speicher | 206 |
8.4 ADM-Vorlagen hinzufügen | 209 |
8.5 Administrative Vorlagen verwalten | 210 |
8.6 Administrative Vorlagen – Computerkonfiguration | 213 |
8.6.1 Drucker | 213 |
8.6.2 Netzwerkeinstellungen | 215 |
8.6.3 Startmenü und Taskleiste | 221 |
8.6.4 System | 221 |
8.6.5 Systemsteuerung | 237 |
8.6.6 Windows-Komponenten | 238 |
8.7 Administrative Vorlagen – Benutzerkonfiguration | 260 |
8.7.1 Desktop | 260 |
8.7.2 Netzwerk | 262 |
8.7.3 Startmenü und Taskleiste | 262 |
8.7.4 System | 263 |
8.7.5 Systemsteuerung | 267 |
8.7.6 Windows-Komponenten | 271 |
8.8 Einstellungen finden | 274 |
8.8.1 Administrative Vorlagen filtern | 274 |
8.8.2 Group Policy Settings Reference | 278 |
8.8.3 getadmx.com | 279 |
9 Erweitern von administrativen Vorlagen | 282 |
9.1 Einführung | 282 |
9.2 ADMX-Datei erweitern | 283 |
9.3 ADML-Datei an erweiterte ADMX-Datei anpassen | 286 |
9.4 ADM-Datei in ADMX-Datei umwandeln | 288 |
9.5 Eigene ADMX-Dateien erstellen | 288 |
10 Windows-Einstellungen: Benutzerkonfiguration | 292 |
10.1 Einführung | 292 |
10.2 An- und Abmeldeskripte | 294 |
10.3 Softwareeinschränkungen | 294 |
10.4 Ordnerumleitungen | 294 |
10.4.1 Probleme, die Ordnerumleitungen lösen | 296 |
10.4.2 Probleme, die die Ordnerumleitung schafft | 296 |
10.5 Richtlinienbasierter QoS (Quality of Service) | 304 |
11 Gruppenrichtlinien-Einstellungen | 308 |
11.1 Einführung | 308 |
11.2 Gruppenrichtlinieneinstellungen konfigurieren | 309 |
11.2.1 Das CRUD-Prinzip | 309 |
11.2.2 Zielgruppenadressierung auf Elementebene | 312 |
11.2.3 Variablen | 318 |
11.3 Die Einstellungen im Detail | 319 |
11.3.1 Windows-Einstellungen | 320 |
11.3.2 Systemsteuerungseinstellungen | 329 |
11.4 Weitere Optionen | 350 |
11.4.1 XML-Darstellung und Migration der Einstellungen | 350 |
11.4.2 Kopieren, Umbenennen und Deaktivieren | 351 |
11.4.3 Gemeinsame Optionen | 352 |
11.5 Fehlersuche | 354 |
12 Gruppenrichtlinien in Windows 10 | 360 |
12.1 Windows 10 ? Software as a Service | 360 |
12.1.1 Windows Updates verteilen | 362 |
12.1.2 Windows Update for Business | 363 |
12.1.3 Übermittlungsoptimierung/Delivery Optimization | 369 |
12.1.4 Bereitstellungsringe verwenden | 373 |
12.2 Windows 10 und die Privatsphäre | 376 |
12.2.1 Windows Telemetrie | 376 |
12.2.2 Funktionsdaten | 382 |
12.2.3 Weitere Datenschutzoptionen | 384 |
12.2.4 Windows Defender Smartscreen konfigurieren | 384 |
12.3 Der Microsoft Store | 387 |
12.4 Oberfläche anpassen | 392 |
12.4.1 Startmenü und Taskleiste | 392 |
12.4.2 Programmverknüpfungen anpassen | 397 |
12.5 Edge Browser | 400 |
12.6 Virtualisierungsbasierte Sicherheit | 404 |
12.6.1 Windows Defender Credential Guard | 405 |
12.6.2 Windows Defender Application Control/Device Guard | 406 |
12.6.3 Application Guard | 409 |
12.7 Clientkonfiguration aus der Cloud | 413 |
13 Funktionsweise von Gruppenrichtlinien | 416 |
13.1 Die Rolle der Domänencontroller | 416 |
13.2 Die Replikation des SYSVOL-Ordners | 426 |
13.3 Gruppenrichtlinien auf Standorten | 428 |
13.4 Die Rolle des Clients | 429 |
13.4.1 Client Side Extensions | 430 |
13.4.2 Verarbeitung der GPOs – synchron/asynchron | 433 |
13.4.3 Verarbeitung der GPOs – Vordergrund/Hintergrund | 436 |
13.4.4 Gruppenrichtlinien-Zwischenspeicherung | 442 |
13.4.5 Windows-Schnellstart | 443 |
13.4.6 Slow Link Detection | 444 |
13.4.7 Loopbackverarbeitung | 445 |
14 Verwalten von Gruppenrichtlinienobjekten | 448 |
14.1 Einführung | 448 |
14.2 Gruppenrichtlinienobjekte (GPOs) sichern und wiederherstellen | 448 |
14.2.1 GPO sichern | 449 |
14.2.2 Alle GPOs sichern | 450 |
14.2.3 GPO wiederherstellen | 451 |
14.2.4 Sicherungen verwalten | 452 |
14.3 Einstellungen importieren und migrieren | 453 |
14.3.1 Einstellungen importieren | 453 |
14.3.2 Einstellungen migrieren | 455 |
14.4 Starter-Gruppenrichtlinienobjekte | 457 |
14.5 Massenaktualisierung | 459 |
15 Fehlersuche und Problembehebung | 462 |
15.1 Einführung | 462 |
15.2 Gruppenrichtlinienergebnisse | 463 |
15.2.1 Gruppenrichtlinienergebnis-Assistent | 464 |
15.2.2 Gruppenrichtlinienergebnis untersuchen | 465 |
15.3 Gruppenrichtlinienmodellierung | 472 |
15.3.1 Gruppenrichtlinienmodellierungs-Assistent | 472 |
15.3.2 Gruppenrichtlinienmodellierung auswerten | 476 |
15.4 GPResult | 478 |
15.5 Gruppenrichtlinien-Eventlog | 479 |
15.6 Debug-Logging | 481 |
15.7 Performanceanalyse | 483 |
16 Advanced Group Policy Management (AGPM) | 486 |
16.1 Gruppenrichtlinien in Teams bearbeiten | 486 |
16.2 Installation von AGPM | 489 |
16.2.1 Vorbereitende Maßnahmen | 490 |
16.2.2 Installation des Servers | 491 |
16.2.3 Installation des Clients | 494 |
16.2.4 Clients konfigurieren | 496 |
16.3 AGPM-Einrichtung | 498 |
16.4 Der Richtlinien-Workflow (1) | 501 |
16.5 AGPM-Rollen und Berechtigungen | 502 |
16.6 Der Richtlinien-Workflow (2) | 509 |
16.7 Versionierung, Papierkorb, Backup | 519 |
16.8 Vorlagen | 522 |
16.9 Exportieren, Importieren und Testen | 524 |
16.10 Labeln, Differenzen anzeigen, Suchen | 529 |
16.11 Das Archiv, Sichern des Archivs | 533 |
16.12 Logging und Best Practices | 536 |
16.13 Zusammenfassung | 537 |
17 Gruppenrichtlinien und PowerShell | 538 |
17.1 Skripte mit Gruppenrichtlinien ausführen | 539 |
17.1.1 Das (korrekte) Konfigurieren von Anmeldeskripten | 540 |
17.1.2 Startreihenfolge und Startzeit von Skripten | 543 |
17.2 Windows PowerShell mit GPOs steuern und überwachen | 544 |
17.3 Gruppenrichtlinienobjekte mit PowerShell verwalten | 552 |
17.3.1 Dokumentieren, sichern, wiederherstellen | 552 |
17.3.2 Health Check | 559 |
17.3.3 Mit Kennwortrichtlinien und WMI-Filtern arbeiten | 574 |
17.3.4 Ein neues Gruppenrichtlinienobjekt anlegen | 577 |
17.3.5 Sonstige Cmdlets | 579 |
17.4 Externe Ressourcen | 582 |
17.5 PowerShell deaktivieren | 585 |
17.6 Zusammenfassung | 587 |
18 Desired State Configuration | 588 |
18.1 Was ist DSC? | 588 |
18.2 Ist DSC der Ersatz für Gruppenrichtlinien? | 589 |
18.3 Grundlagen und Einrichtung | 591 |
18.4 Erstellen einer Computerkonfiguration | 593 |
18.5 Konfigurieren des LCM | 602 |
18.6 Ausblick | 603 |
Index | 604 |