Saturday, December 21, 2013

GPOs in der Praxis (1): Gruppenrichtlinien für unterschiedliche Betriebssysteme


Hinweis: Der folgende Blogbeitrag ist ein Auszug aus dem Buch »Windows Server 2012 R2 - Gruppenrichtlinien«, erschienen bei Microsoft Press.

 

Druck-ISBN 978-3-86645-695-2
PDF-ISBN    978-3-8483-3067-6
EPUB-ISBN  978-3-8483-0226-0
MOBI-ISBN  978-3-8483-1203-0

 

Wer mehr lesen möchte, dem empfehle ich, sich dieses Buch zuzulegen – es gibt in deutscher Sprache kein besseres Referenzwerk.

 

Das Buch kann in allen Buchläden und –shops erworben werden, z.B. bei Amazon oder Thalia. (C) 2014 O'Reilly Verlag GmbH & Co. KG, Balthasarstraße 81, 50670 Köln.



Gruppenrichtlinien für unterschiedliche Betriebssysteme

Wir haben im Abschnitt »Design für Gruppenrichtlinien-Inhalte« bereits zwei getrennte Gruppenrichtlinien für Ordnerumleitung und eine eigene Gruppenrichtlinie für Internet Explorer-Wartung vorgeschlagen. Die Motivation dafür ist, dass sich die Implementierung der Ordnerumleitung von Windows XP nach Windows Vista grundlegend geändert hat und Internet Explorer-Wartung in Windows 8 und mit Internet Explorer 10 in Windows 7 nicht mehr zur Verfügung steht. Ein ähnliches Verhalten gilt für viele weitere Einstellungsbereiche von Gruppenrichtlinien. Eine Liste von Abhängigkeiten der verschiedenen Einstellungsbereiche zu bestimmten Betriebssystemversionen haben wir in Tabelle 10.2 zusammengestellt.

Einstellungsbereich
Betriebssystemabhängigkeit
Namensauflösungsrichtlinie
Ab Windows 7 und Server 2008 R2 verfügbar
Bereitgestellte Drucker
In Windows XP und Server 2003 nur mit Anmeldeskript nutzbar
Remoteinstallationsdienste
Ab Windows Vista und Server 2008 nicht mehr verfügbar
Windows-Firewall
Ab Windows Vista und Server 2008 an einer anderen Stelle zu konfigurieren (Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall, früher Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall)
Richtlinien für Kabelnetzwerke
Ab Windows Vista und Server 2008 verfügbar
Drahtlosnetzwerkrichtlinien
Unterschiedliche Konfigurationen erforderlich für XP/2003 und Vista/2008
Netzwerkzugriffsschutz
Ab Windows Vista und Server 2008 verfügbar
Anwendungssteuerungsrichtlinien
Ab Windows Vista und Server 2008 verfügbar, wirksam nur in Enterprise-Editionen
Erweiterte Überwachungsrichtlinien-konfiguration
In Windows XP und Server 2003 nicht verfügbar
In Windows Vista und Server 2008 nur mit auditpol.exe konfigurierbar
Ab Windows 7 und Server 2008 R2 in Gruppenrichtlinien konfigurierbar
Orderumleitung
Unterschiedliche Konfigurationen erforderlich für Windows XP/Server 2003 und Windows Vista/Server 2008 und neuer
Internet Explorer-Wartung
Ab Windows 8 und Internet Explorer 10 in Windows 7 nicht mehr verfügbar
Administrative Vorlagen
In Windows XP und Server 2003 sprachabhängige ADM-Dateien
Ab Windows Vista und Server 2008 sprachunabhängige ADMX/ADML-Dateien
Verfügbare Einstellungen abhängig von Version der ADM- und ADMX-Dateien
GPP Energieoptionen
Auswählbare Betriebssystemversion abhängig von installierten Betriebssystem
In Windows Vista und Server 2008: Energieoptionen für Windows XP
In Windows 7 und Server 2008 R2: Energieoptionen für Windows XP, Energiesparplan für Windows Vista und neuer
In Windows 8 und Server 2012: Energieoptionen für Windows XP, Energiesparplan für Windows 7 und neuer
GPP Interneteinstellungen
Auswählbare Internet Explorer-Version abhängig vom installierten Betriebssystem
In Windows Vista und Server 2008: IE 5 und 6, IE7
In Windows 7 und Server 2008 R2: IE 5 und 6, IE 7, IE 8
In Windows 8 und Server 2012: IE 5 und 6, IE 7, IE 8 und 9, IE 10
Tabelle 10.2: Betriebssystemabhängigkeiten von Gruppenrichtlinien-Einstellungen

Wenn Sie verschiedene Gruppenrichtlinien für verschiedene Betriebssysteme verwenden, vermeiden Sie dadurch unerwartete Ergebnisse beim Anwenden der Einstellungen, und Sie erkennen anhand der jeweiligen Gruppenrichtlinie auch
  • auf welches Betriebssystem wirkt die Gruppenrichtlinie
  • unter welchem Betriebssystem kann die Gruppenrichtlinie bearbeitet werden
Die Vorgehensweise für die Trennung nach Computer, Benutzer und Anwendung zeigen wir in den folgenden Abschnitten. Inwieweit Sie diese Trennung für Ihr Active Directory umsetzen, ist dabei Ihrer Entscheidung überlassen.

Gruppenrichtlinien für Benutzer

Für Benutzer haben Sie nur eine Möglichkeit, betriebssystemabhängige Gruppenrichtlinien zu realisieren: Sie verwenden WMI-Filter (siehe in Kapitel 2 den Abschnitt »WMI-Filter«). Ein Benutzer kann sich an unterschiedlichen Computern mit unterschiedlichen Betriebssystemen anmelden – Sie benötigen also eine dynamische Filterung, die sich nur mit WMI-Filtern realisieren lässt. In Tabelle 10.3 haben wir beispielhafte WMI-Abfragen zusammengestellt, die für verschiedene Betriebssysteme zutreffen. Alle Abfragen beginnen mit select * from Win32_OperatingSystem where.

Betriebssystem/Anwendung
WMI-Abfrage
Windows 2000
WMI-Filter nicht unterstützt
Windows Client
ProductType = 1
Windows Server
ProductType > 1
Windows XP
BuildNumber = 2600
Windows Server 2003
BuildNumber = 3790
Windows Vista SP1
BuildNumber > 5999 and BuildNumber < 7000 and ProductType = 1 and ServicePackMajorVersion = 1
Windows Vista und neuer, 64 Bit
ProductType = 1 and Version > 5 and OSArchitecture = "64-bit"
Windows 7 und Server 2008 R2
BuildNumber > 7000 and BuildNumber < 8000
Windows Server 2012
BuildNumber > 9000 and BuildNumber < 10000 and ProductType > 1
Windows Server 2012 Core
BuildNumber > 9000 and BuildNumber < 10000 and Name Like "%Core%"
Tabelle 10.3: WMI-Abfragen für verschiedene Betriebssystemversionen

In Windows XP und Server 2003 ist die Eigenschaft BuildLevel als Unterscheidungsmerkmal ausreichend. Ab Windows Vista und Server 2008 müssen weitere Eigenschaften für eine Unterscheidung zwischen Client und Server verwendet werden. Soll zusätzlich auf bestimmte Ausprägungen eines Betriebssystems gefiltert werden, muss auch der Name geprüft werden.
Die Klasse Win32_OperatingSysten mit allen Eigenschaften ist unter der Artikelnummer aa394239 dokumentiert. Für die Abfrage auf bestimmte Betriebssystemversionen und -editionen sind folgende Eigenschaften relevant: BuildNumber, Name, OperatingSystemSKU, OSArchitecture, ProductType, ServicePackMajorVersion.

Gruppenrichtlinien für Computer

Für Computer haben Sie folgende Möglichkeiten, betriebssystemabhängige Gruppenrichtlinien zu realisieren:
  • WMI-Filter für die Betriebssystemversion
  • verschiedene OUs für Computer mit einem bestimmten Betriebssystem
  • verschiedene Sicherheitsgruppen für Computer mit einem bestimmten Betriebssystem
Die Verwendung von OUs oder Sicherheitsgruppen ist nur dann auf einfache Weise möglich, wenn Ihr Installationsverfahren die Zuordnung der Computer automatisiert unterstützt. Tut es das nicht, müssten Sie alle Computer manuell in die entsprechenden OUs verschieben bzw. in die entsprechenden Sicherheitsgruppen aufnehmen. Da für Benutzer-Gruppenrichtlinien ohnehin WMI-Filter verwendet werden müssen, ist es daher am einfachsten, wenn Sie auch für Computer-Gruppenrichtlinien WMI-Filter verwenden.