Skip to content

Implementieren von Gruppenrichtlinien in einer Domäne

MCSE Um die Gruppenrichtlinien in einer Domäne zu setzen muss man das Recht des Administrators der Domäne haben. Dann kann die Domäne bearbeitet werden.


Die Gruppenrichtlinien können nun wie aus der XP-Administration bekannt bearbeitet werden. Hier ist wieder zwischen Benutzern und Computern zu unterscheiden: Computerrichtlinien gelten erst, wenn der Computer neu gestartet wird. Benutzerrichtlinien greifen erst, wenn sich der Benutzer neu anmeldet.


Gruppenrichtlinien werden von oben (Domäne) nach unten (OU) durchgesetzt, es sei denn die Vererbung wird ausgeschaltet. Existiert eine explizite Richtlinie auf der niedrigeren Ebene wie z.B. einer OU so gilt diese und es findet ebenfalls keine Vererbung statt, d.h. die für die OU definierte Richtlinie hat dann Priorität gegenüber der sonst geerbten Richtlinie.
Ausnahme: Die Sicherheitsrichtlinien (insbesondere Kennwort-Richtlinien) werden immer nach unten durchgesetzt!

Gruppenrichtlinien können auch erzwungen werden (früher "kein Vorrang") und die Vererbung ist dann nicht abschaltbar oder durch gegensätzliche Richtlinien zu überschreiben.

Eine Gruppenrichtlinienfilterung sorgt dafür, dass die GP nur für die Benutzer angewendet wird, für die sie vorgesehen ist. Vorgabe sind hier alle authentifizierten Benutzer.

Assistent zum Delegieren von Verwaltungsaufgaben

MCSE Um z.B, das Arbeitsaufkommen der Administratoren auf andere Administratoren zu delegieren, so dass diese bestimmte Aufgaben in ihrer Organisations-Einheit (OU) ausführen können können bestimmten Benutzern oder Gruppen in der OU Aufgaben mit einem Assistenten zugewiesen werden.


Allgemeine Tasks sind mit dem Assistenten sehr einfach zuzuweisen, man kann aber auch sehr genau eigene Tasks definieren.


Dabei wählt man aus, auf welche Objekte welcher Zugriff gewährt werden soll:


Das eingeräumte Recht Computerkonten anzulegen kann nun einfach überprüft werden:

Bestimmen der effektiven Berechtigungen von AD-Objekten

MCSE Mit dem Tool "Effektive Berechtigungen" kann man die effektiven Rechte für ein Active-Directory-Objekt ermitteln und verändern. Dabei werden sowohl die durch die Gruppenmitgliedschaft gültigen Berechtigungen als auch die geerbten Recht berücksichtigt.

"Spezielle Berechtigungen" sind immer grau, d.h. geerbt, ein Haken auf grauem Grund zeigt hier, dass unter "Erweitert" zusätzliche Berechtigungen vergeben wurden.

Um diese Funktion zu verwenden, müssen vorher unter Ansicht "Erweiterte Funktionen" im MMC-SnapIn "AD Benutzer und Computer" aktiviert werden.


Tatsächlich können die angezeigten Berechtigungen des Benutzers abweichen, da Berechtigungen auf Basis der Anmeldemethode eines Benutzers erteilt oder verweigert werden können. Diese anmeldungsspezifischen Informationen können vom Tool Effektive Berechtigungen nicht bestimmt werden. Ein Benutzer verfügt wenn er lokal angemeldet ist über andere Berechtigungen als wenn er über ein Netzwerk angemeldet wäre.

Es werden also keine Freigabe-Berechtigungen, sondern nur NTFS-Berechtigungen geprüft!

Optionen für die Offline-Zwischenspeicherung

MCSE Der Windows-Server bietet bei der Offline-Freigabe drei unterschiedliche Möglichkeiten an:


"Manuelles Zwischenspeichern von Dokumenten" eignet sich besonders für einen freigegeben Ordner an dessen Dateien mehrere Benutzer Änderungen vornehmen. Dies ist auch die Standardoption, hier werden nur die gewünschten Dateien und Ordner offline bereit gestellt.


Bei der Option "Automatisches Zwischenspeichern von Dokumenten" stehen die Dokumente erst zur Verfügung, wenn sie einmal geöffnet wurden. Wurden sie noch nicht geöffnet stehen auch offline nicht zur Verfügung. Ältere Dokumente werden automatisch durch neuere Versionen ersetzt.

"Für hohe Leistung optimieren" ist eine Option die ausführbare Programme immer aus dem Offline-Cache lädt und nicht übers Netz um dieses zu entlasten.

"Nicht offline verfügbar machen" stellt sicher dass Daten nicht offline auf einen lokalen Arbeitsplatz kopiert werden und wird bei sensiblen Daten aus Sicherheitsgründen verwendet.

Konfigurieren von NTFS-Berechtigungen für domänenlokale Gruppen

MCSE Hier kann man erkennen, wie die NFTS-Berechtigungen einer frischen Freigabe üblicherweise aussehen. Die meisten Berechtigungen sind geerbt und nicht erwünscht, insbesondere die "Jeder"-Rechte sollten für sensible Daten nicht gesetzt sein.


Nun werden die erweiterten NTFS-Berechtigungen zunächst komplett entfernt indem das Häkchen vor der Vererbung gelöscht wird.


Danach erst werden sie dann gezielt an den Administrator und die entsprechende domänenlokale Gruppe neu vergeben.
tweetbackcheck