Das Festlegen eines
Bildschirmschoners gehört zu den häufigen Aufgaben für Administratoren.
Tipp: Da wir unsere Gruppenrichtlinien stets testen, bevor wir sie auf alle Benutzer oder Computer anwenden, haben wir folgende Testmöglichkeit im dreistufigen OU-Design implementiert: Unterhalb von Benutzer, Clients und Server gibt es jeweils eine Test-OU. Bestimmte Benutzer und Computer haben wir als Testobjekt festgelegt, in die Gruppe GG_Testgruppe aufgenommen und in die Test-OUs verschoben.
Abbildung 10.28: Test-OU für Computer mit Account eines TestcomputerDamit können wir mit einer Sicherheitsfilterung für die Gruppe GG_Testgruppe testen, aber auch mit dem Verwaltungsbereich der Testobjekte durch Verknüpfung der Gruppenrichtlinien mit den entsprechenden OUs.
In der Umsetzungsbeschreibung der folgenden Beispiele haben wir den stets vorhergehenden Test nicht mehr explizit beschrieben, um den Umfang der Beschreibungen auf die wesentlichen Inhalte beschränken zu können.
Anforderung
Auf allen Computer wird
nach einer Zeit von 5 Minuten der Bildschirmschoner aktiviert. Beim
Deaktivieren des Bildschirmschoners wird zur Eingabe von Benutzername und
Kennwort aufgefordert. Als Bildschirmschoner wird %Systemroot%\System32\scrnsave.scr verwendet.
Möglichkeiten
Der Bildschirmschoner
kann in einer Gruppenrichtlinie unter dem Pfad Benutzerkonfiguration/Richtlinien/Administrative
Vorlagen/Systemsteuerung/Anpassung
(Windows Vista und neuer) bzw. Benutzerkonfiguration/Administrative
Vorlagen/Systemsteuerung/Anzeige
(Windows XP) konfiguriert werden.
Tipp: Wenn Sie Einstellungen konfigurieren möchten, deren Pfade Sie in GPEdit nicht kennen, verwenden Sie den Schlüsselwortfilter für Administrative Vorlagen. Wenn Sie keine passenden Einträge finden, variieren Sie den Suchbegriff, z.B. Desktophintergrund, Bildschirmhintergrund, Hintergrundbild, Hintergrund.
Umsetzung
Wir erstellen über das
Kontextmenü von Gruppenrichtlinien eine neue Gruppenrichtlinie und vergeben einen
Namen, der unseren Konventionen entspricht. Wir bearbeiten die
Gruppenrichtlinie, navigieren zu dem oben angegebenen Pfad und aktivieren die
erforderlichen Einstellungen. Kommentare für die einzelnen Einstellungen
verwenden wir nicht, da die Bildschirmschonerkonfiguration offensichtlich ist.
Abbildung 10.29: Richtlinieneinstellungen für den
Bildschirmschoner
|
Dann bearbeiten wir
den Kommentar der Gruppenrichtlinie und tragen das Datum, ein Bearbeiter-Kürzel
und einen Bearbeitungsvermerk ein.
Abbildung 10.30: Kommentarfunktion mit Bearbeitungshistorie
|
Bildschirmschoner je nach Benutzer (-gruppe) festlegen
Wir haben im
vorhergehenden Abschnitt einen einheitlichen Bildschirmschoner für alle
Benutzer festgelegt. Oft ist es aber erforderlich, unterschiedliche Zeiten für
verschiedene Benutzer festzulegen.
Anforderung
Für alle Mitarbeiter
gilt ein Zeitlimit von 5 Minuten. Für Mitarbeiter der IT-Abteilung gilt ein abweichendes
Zeitlimit von 15 Minuten. Für Testbenutzer ist der Bildschirmschoner
deaktiviert.
Möglichkeiten
Die Gruppenrichtlinie
mit dem einheitlichen Bildschirmschoner muss gefiltert werden, und weitere Gruppenrichtlinien
für die unterschiedlichen Einstellungen sind erforderlich. Die Filterung von Gruppenrichtlinien
kann durch das Verknüpfen mit OUs realisiert werden. Alternativ können
Sicherheitsfilter verwendet werden, ggf. auch mit der Option Gruppenrichtlinie übernehmen verweigern.
Umsetzung
Wir erstellen für jede
unterschiedliche Konfiguration des Bildschirmschoners eine eigene Gruppenrichtlinie,
das den Bildschirmschoner vollständig konfiguriert. Damit müssen wir nicht
darauf achten, welche Konfigurationsteile des Bildschirmschoners aus welcher Gruppenrichtlinie
resultieren.
U_Bildschirmschoner_15 Minuten definiert ein Zeitlimit von 900 Sekunden. U_Bildschirmschoner_Aus deaktiviert den Bildschirmschoner.
Da sich die
Mitarbeiter der IT-Abteilung in einer eigenen OU befinden, verknüpfen wir die entsprechende
Gruppenrichtlinie mit dieser OU. Die Sicherheitsfilterung belassen wir auf Authentifizierte Benutzer.
Abbildung 10.31: Bildschirmschoner-Gruppenrichtlinie für die
IT-Abteilung
|
Die Testbenutzer
befinden sich ebenfalls in einer eigenen OU. Allerdings möchten wir
ausschließen, dass ein Testbenutzer versehentlich doch einen Bildschirmschoner
bekommt, auch wenn er nicht in diese OU verschoben wurde, und wir möchten keine
produktiven Gruppenrichtlinien mit den Test-OUs verknüpfen. Daher verwenden wir
für die Gruppenrichtlinie U_Bildschirmschoner_Aus in der Sicherheitsfilterung den Eintrag GG_Testgruppe,
so dass diese Gruppenrichtlinie nur für Mitglieder dieser Gruppe angewendet
wird. Die Gruppenrichtlinie verknüpfen wir mit der OU Benutzer und
ändern anschließend die Verknüpfungsreihenfolge so, dass U_Bildschirmschoner_Aus eine niedrigere Reihenfolgenummer und damit Vorrang vor U_Bildschirmschoner_Alle hat.
Abbildung 10.32: Bildschirmschoner-Gruppenrichtlinie für
Testbenutzer
|
Bildschirmschoner je nach Computer (-gruppe) festlegen
Häufig sollen auf
bestimmten Computern für alle Benutzer die gleichen Benutzereinstellungen
gelten, unabhängig davon welcher Benutzer sich anmeldet. Die Umsetzung, die wir
hier verwenden, lässt sich dabei mit allen Einstellungen unter Administrative Vorlagen verwenden, nicht nur für den Bildschirmschoner.
Anforderung
Auf Servern wird kein
Bildschirmschoner ausgeführt. Auf allen Computern in Besprechungsräumen gilt
ein Zeitlimit von 120 Minuten.
Möglichkeiten
Die
Bildschirmschoner-Konfiguration ist eine Benutzereinstellung. Diese soll jetzt
aber auf bestimmten Computern angewendet werden. Dafür gibt es zwei
verschiedene Wege.
- Aktivieren der Loopback-Verarbeitung: Wenn Loopback aktiv ist, werden Benutzereinstellungen angewendet, die in Gruppenrichtlinien im Verwaltungsbereich (Scope of Management, SOM) des Computers konfiguriert sind.
- Verwenden von GPP Registrierung: Einstellungen unter Administrative Vorlagen für Benutzer resultieren in Registrierungswerten unter HKCU. Wie diese Registrierungswerte erstellt werden, ist dabei egal – sie können genauso auch manuell oder mit GPP Registrierung konfiguriert werden.
Umsetzung
Für Server verwenden wir die Loopbackverarbeitung – auf
Terminalservern im Modus Zusammenführen, auf
allen anderen Servern im Modus Ersetzen. Die
Loopbackverarbeitung ist für Server ohnehin empfehlenswert, da wir damit
einheitliche Benutzereinstellungen gewährleisten können.
Abbildung 10.33: Deaktivieren des Bildschirmschoners auf Terminalservern |
Bei aktivierter Loopbackverarbeitung haben Gruppenrichtlinien
aus dem SOM des Computers immer Vorrang vor Gruppenrichtlinien aus dem SOM des
Benutzers. Die Bildschirmschoner-Konfiguration aus der Gruppenrichtlinie S_Bildschirmschoner_Aus ist also wirksam, unabhängig
davon, ob andere Gruppenrichtlinien unter der OU Benutzer
ebenfalls Bildschirmschonereinstellungen enthalten.
Achtung: Wenn Sie die Loopbackverarbeitung für Clientcomputer aktivieren, sollten Sie die Auswirkungen vorher sorgfältig überprüfen. Sonst können unerwartete Ergebnisse auftreten, angefangen bei langen Anmeldezeiten über das Fehlen vorher aktiver Einstellungen bis hin zu nicht mehr möglicher Anmeldung aufgrund fehlerhafter Profilpfade oder fehlendem Zugriff auf Dateien wegen falscher Ordnerumleitung.Für Clientcomputer verwenden wir GPP Registrierung statt der Loopbackverarbeitung. Diese bietet mit der Zielgruppenadressierung sehr flexible Filterungsmöglichkeiten. Zunächst müssen wir ermitteln, welche Registrierungswerte wir für den Bildschirmschoner benötigen. Alle Registrierungswerte sind in Tabellen dokumentiert, die im Download Center von Microsoft unter der Dokumenten-ID 36991 heruntergeladen werden können. Einfacher ist aber folgendes Vorgehen:
- Wir erstellen eine Gruppenrichtlinie mit den erforderlichen Einstellungen unter Administrative Vorlagen
- Wir öffnen die Datei registry.pol dieser Gruppenrichtlinie mit dem Programm PolViewer von SDM Software
Abbildung 10.34: Ermitteln von Registrierungswerten
mit PolViewer
|
Welcher Registrierungswert zu welcher Einstellung gehört,
ergibt sich oft aus den Wertnamen. Wenn wir nicht sicher sind, verwenden wir
die Excel-Tabellen von Microsoft aus dem Download Center (Artikelnummer id36991).
In GPP Registrierung erstellen
wir eine Sammlung, in der wir dann die Registrierungswerte konfigurieren. Für ScreenSaveTimeout legen wir als Wertdaten 7200 fest,
das sind 7.200 Sekunden oder 120 Minuten.
Abbildung 10.35: Registrierungswerte für die Bildschirmschonerkonfiguration |
Für die Sammlung konfigurieren wir über das Kontextmenü Eigenschaften die Zielgruppenadressierung für eine Sicherheitsgruppe,
in der alle Computer in Besprechungsräumen Mitglied sind.
Abbildung 10.36: Bildschirmschoner konfigurieren für Besprechungsräume |
Tipp: Wenn Sie mehrere Registrierungswerte mit der gleichen Zielgruppenadressierung benötigen, erstellen Sie eine Sammlung mit der gewünschten Zielgruppenadressierung. Diese müssen Sie damit nur einmal konfigurieren (nämlich für die Sammlung) und nicht für jeden Registrierungswert einzeln.
Wir haben jetzt also eine Möglichkeit konfiguriert, wie wir die Flexibilität der Zielgruppenadressierung von Group Policy Preferences auch für Einstellungen unter Administrative Vorlagen nutzen können. Damit bietet es sich natürlich an, dass wir auch alle anderen Anforderungen an den Bildschirmschoner auf die gleiche Weise konfigurieren. Ergebnis ist eine einzige Gruppenrichtlinie, das alle Anforderungen abdeckt.
Abbildung 10.37: Unterschiedliche Konfigurationen in einer
Gruppenrichtlinie
|
Die jeweils gültige
Konfiguration wird dabei durch die Zielgruppenadressierung für die
Sammlungselemente bestimmt. Ist keine der Zielgruppenadressierungen erfüllt,
dann gilt die Standardkonfiguration des Bildschirmschoners, die wir über Administrative Vorlagen definieren.
Tipp: Beim Anwenden von Gruppenrichtlinien wird die Client Side Extension (CSE) Registry (Administrative Vorlagen) vor der CSE Group Policy Registry ausgeführt. Die Registrierungswerte aus GPP Registrierung überschreiben also die Einstellungen aus Administrative Vorlagen, wenn eine der Zielgruppenadressierungen erfüllt ist.