Hinweis: Der folgende Blogbeitrag ist ein Auszug aus dem Buch »Windows Server 2012 R2 - Gruppenrichtlinien«, erschienen bei Microsoft Press.
Druck-ISBN 978-3-86645-695-2
PDF-ISBN 978-3-8483-3067-6
EPUB-ISBN 978-3-8483-0226-0
MOBI-ISBN 978-3-8483-1203-0
Wer mehr lesen möchte, dem empfehle ich, sich dieses Buch zuzulegen – es gibt in deutscher Sprache kein besseres Referenzwerk.
Das Buch kann in allen Buchläden und –shops erworben werden, z.B. bei Amazon oder Thalia. (C) 2014 O'Reilly Verlag GmbH & Co. KG, Balthasarstraße 81, 50670 Köln.
Gruppenrichtlinien für unterschiedliche Betriebssysteme
Wir haben im Abschnitt
»Design für Gruppenrichtlinien-Inhalte« bereits zwei getrennte Gruppenrichtlinien für
Ordnerumleitung und eine eigene Gruppenrichtlinie für Internet
Explorer-Wartung vorgeschlagen.
Die Motivation dafür ist, dass sich die Implementierung der Ordnerumleitung von
Windows XP nach Windows Vista grundlegend geändert hat und Internet Explorer-Wartung in Windows 8 und mit Internet Explorer 10 in Windows 7 nicht mehr zur
Verfügung steht. Ein ähnliches Verhalten gilt für viele weitere Einstellungsbereiche
von Gruppenrichtlinien. Eine Liste von Abhängigkeiten der verschiedenen
Einstellungsbereiche zu bestimmten Betriebssystemversionen haben wir in Tabelle 10.2 zusammengestellt.
Einstellungsbereich
|
Betriebssystemabhängigkeit
|
Namensauflösungsrichtlinie
|
Ab Windows 7 und
Server 2008 R2 verfügbar
|
Bereitgestellte
Drucker
|
In Windows XP und
Server 2003 nur mit Anmeldeskript nutzbar
|
Remoteinstallationsdienste
|
Ab Windows Vista
und Server 2008 nicht mehr verfügbar
|
Windows-Firewall
|
Ab Windows Vista
und Server 2008 an einer anderen Stelle zu konfigurieren
(Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall, früher
Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall)
|
Richtlinien für
Kabelnetzwerke
|
Ab Windows Vista
und Server 2008 verfügbar
|
Drahtlosnetzwerkrichtlinien
|
Unterschiedliche
Konfigurationen erforderlich für XP/2003 und Vista/2008
|
Netzwerkzugriffsschutz
|
Ab Windows Vista
und Server 2008 verfügbar
|
Anwendungssteuerungsrichtlinien
|
Ab Windows Vista
und Server 2008 verfügbar, wirksam nur in Enterprise-Editionen
|
Erweiterte
Überwachungsrichtlinien-konfiguration
|
In Windows XP und
Server 2003 nicht verfügbar
In Windows Vista
und Server 2008 nur mit auditpol.exe konfigurierbar
Ab Windows 7 und
Server 2008 R2 in Gruppenrichtlinien konfigurierbar
|
Orderumleitung
|
Unterschiedliche
Konfigurationen erforderlich für Windows XP/Server 2003 und Windows Vista/Server
2008 und neuer
|
Internet
Explorer-Wartung
|
Ab Windows 8 und
Internet Explorer 10 in Windows 7 nicht mehr verfügbar
|
Administrative
Vorlagen
|
In Windows XP und
Server 2003 sprachabhängige ADM-Dateien
Ab Windows Vista
und Server 2008 sprachunabhängige ADMX/ADML-Dateien
Verfügbare
Einstellungen abhängig von Version der ADM- und ADMX-Dateien
|
GPP
Energieoptionen
|
Auswählbare
Betriebssystemversion abhängig von installierten Betriebssystem
In Windows Vista
und Server 2008: Energieoptionen für Windows XP
In Windows 7 und
Server 2008 R2: Energieoptionen für Windows XP, Energiesparplan für Windows
Vista und neuer
In Windows 8 und
Server 2012: Energieoptionen für Windows XP, Energiesparplan für Windows 7
und neuer
|
GPP
Interneteinstellungen
|
Auswählbare Internet
Explorer-Version abhängig vom installierten Betriebssystem
In Windows Vista
und Server 2008: IE 5 und 6, IE7
In Windows 7 und
Server 2008 R2: IE 5 und 6, IE 7, IE 8
In Windows 8 und
Server 2012: IE 5 und 6, IE 7, IE 8 und 9, IE 10
|
Tabelle 10.2: Betriebssystemabhängigkeiten von Gruppenrichtlinien-Einstellungen
Wenn Sie verschiedene Gruppenrichtlinien
für verschiedene Betriebssysteme verwenden, vermeiden Sie dadurch unerwartete
Ergebnisse beim Anwenden der Einstellungen, und Sie erkennen anhand der
jeweiligen Gruppenrichtlinie auch
- auf welches Betriebssystem wirkt die Gruppenrichtlinie
- unter welchem Betriebssystem kann die Gruppenrichtlinie bearbeitet werden
Die Vorgehensweise für die
Trennung nach Computer, Benutzer und Anwendung zeigen wir in den folgenden
Abschnitten. Inwieweit Sie diese Trennung für Ihr Active Directory umsetzen,
ist dabei Ihrer Entscheidung überlassen.
Gruppenrichtlinien für Benutzer
Für Benutzer haben Sie
nur eine Möglichkeit, betriebssystemabhängige Gruppenrichtlinien zu
realisieren: Sie verwenden WMI-Filter (siehe in Kapitel 2 den Abschnitt
»WMI-Filter«). Ein Benutzer kann sich an
unterschiedlichen Computern mit unterschiedlichen Betriebssystemen anmelden –
Sie benötigen also eine dynamische Filterung, die sich nur mit WMI-Filtern
realisieren lässt. In Tabelle 10.3 haben wir beispielhafte WMI-Abfragen
zusammengestellt, die für verschiedene Betriebssysteme zutreffen. Alle Abfragen
beginnen mit select * from
Win32_OperatingSystem where.
Betriebssystem/Anwendung
|
WMI-Abfrage
|
Windows 2000
|
WMI-Filter nicht
unterstützt
|
Windows Client
|
ProductType = 1
|
Windows Server
|
ProductType > 1
|
Windows XP
|
BuildNumber = 2600
|
Windows Server
2003
|
BuildNumber = 3790
|
Windows Vista SP1
|
BuildNumber > 5999 and BuildNumber <
7000 and ProductType = 1 and ServicePackMajorVersion = 1
|
Windows Vista und
neuer, 64 Bit
|
ProductType = 1 and Version > 5 and
OSArchitecture = "64-bit"
|
Windows 7 und
Server 2008 R2
|
BuildNumber > 7000 and
BuildNumber < 8000
|
Windows Server
2012
|
BuildNumber > 9000 and BuildNumber <
10000 and ProductType > 1
|
Windows Server
2012 Core
|
BuildNumber > 9000 and BuildNumber <
10000 and Name Like "%Core%"
|
Tabelle 10.3: WMI-Abfragen für verschiedene Betriebssystemversionen
In Windows XP und
Server 2003 ist die Eigenschaft BuildLevel als Unterscheidungsmerkmal ausreichend. Ab
Windows Vista und Server 2008 müssen weitere Eigenschaften für eine
Unterscheidung zwischen Client und Server verwendet werden. Soll zusätzlich auf
bestimmte Ausprägungen eines Betriebssystems gefiltert werden, muss auch der
Name geprüft werden.
Die Klasse Win32_OperatingSysten mit allen Eigenschaften ist unter der Artikelnummer aa394239 dokumentiert. Für die Abfrage auf bestimmte Betriebssystemversionen und -editionen sind folgende Eigenschaften relevant: BuildNumber, Name, OperatingSystemSKU, OSArchitecture, ProductType, ServicePackMajorVersion.
Gruppenrichtlinien für Computer
Für Computer haben Sie
folgende Möglichkeiten, betriebssystemabhängige Gruppenrichtlinien zu
realisieren:
- WMI-Filter für die Betriebssystemversion
- verschiedene OUs für Computer mit einem bestimmten Betriebssystem
- verschiedene Sicherheitsgruppen für Computer mit einem bestimmten Betriebssystem
Die Verwendung von OUs
oder Sicherheitsgruppen ist nur dann auf einfache Weise möglich, wenn Ihr
Installationsverfahren die Zuordnung der Computer automatisiert unterstützt.
Tut es das nicht, müssten Sie alle Computer manuell in die entsprechenden OUs
verschieben bzw. in die entsprechenden Sicherheitsgruppen aufnehmen. Da für
Benutzer-Gruppenrichtlinien ohnehin WMI-Filter verwendet werden müssen, ist es daher
am einfachsten, wenn Sie auch für Computer-Gruppenrichtlinien WMI-Filter
verwenden.