von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 3 - Windows 8.1 mit Gruppenrichtlinien verwalten
Sie können in Windows 8.1 festlegen, dass sich Windows nach einer bestimmten Anzahl von ungültigen Anmeldeversuchen automatisch sperrt. Navigieren Sie zu "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kontosperrungsrichtlinien" und klicken Sie doppelt auf "Kontensperrungsschwelle". Geben Sie die Anzahl zulässiger Login-Versuche bis zur Sperrung ein. Mit "Kontosperrdauer" legen Sie fest, wie lange das Konto gesperrt sein soll. Über "Zurücksetzungsdauer" des Kontosperrungszählers tragen Sie die noch Zeitspanne ein, nach der Windows erneut mit dem Zählen beginnt.
In manchen Situationen kann es außerdem passieren, dass Windows 8.1 den aktuellen Netzwerktyp (öffentlich, privat oder Arbeitsplatz) nicht erkennt und so einen falschen verwendet. Dies äußert sich in Problemen beim Netzwerkzugriff, vor allem bei Notebooks oder Heimarbeitsplätzen. Sie haben in Windows 8.1 Pro und Enterprise die Möglichkeit, über Gruppenrichtlinien nicht identifizierte Netzwerke manuell zuzuordnen:
Eine wichtige Neuerung in Windows Server 2012 R2 ist ein alter Bekannter, die Sitzungsspiegelung. Mit dieser Funktion konnten Administratoren in Vorgängerversionen von Windows Server 2012 R2 Sitzungen der Anwender spiegeln, um zum Beispiel bei Problemen zu helfen. Windows Server 2012 verfügt nicht mehr über diese Technik, doch in 2012 R2 hat Microsoft diese Funktion wieder integriert. Über das Kontextmenü von "Sitzungen" im Server-Manager können Sie auf Remotedesktop-Sitzungshosts Sitzungen von Anwendern anzeigen. Die Funktion wurde jetzt ebenfalls in den Server-Manager integriert, auch hier sind nun keinerlei Zusatzwerkzeuge mehr notwendig.
Damit die Verbindung funktioniert, muss der entsprechende Anwender natürlich zustimmen. Die Einstellungen lassen sich jetzt auch wieder in den Gruppenrichtlinien steuern. Sie finden die Konfiguration über "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host / Verbindungen".
Setzen Sie Remotedesktop-Sitzungshosts zusammen mit Gruppenrichtlinien ein, bietet es sich an, die Server in einer eigenen OU abzulegen und für diese OUs dann Gruppenrichtlinien mit den gewünschten Einstellungen zu aktivieren. Für diese Richtlinien sollten Sie auch den Loopbackverarbeitungsmodus aktivieren. Bei diesem Modus wendet die Gruppenrichtlinie auch Einstellungen des Benutzerbaums an, wenn das Konto der Anwender nicht in der OU gespeichert ist. So erhalten Sie die Möglichkeit, Benutzereinstellungen für Remotedesktopserver festzulegen, die nur bei der Anmeldung der Anwender auf den Remotedesktopservern angewendet werden, nicht bei der Anmeldung an ihren lokalen Computern.
Sie finden diese Einstellung über "Computer / Richtlinien / Administrative Vorlagen / System / Gruppenrichtlinie". Aktivieren Sie die Richtlinie "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie". Dabei können Sie zwischen zwei Modi auswählen:
Damit Sie in Windows 8.1 den Offline-Domänenbeitritt verwenden können, müssen Sie Windows Server 2008 R2, 2012 oder 2012 R2 als Betriebssystem einsetzen. Sie können diese Betriebssysteme aber auch in Domänen aufnehmen, die noch keine Domänencontroller unter Windows Server 2012 R2 betreiben.
In diesem Fall verwenden Sie die Option "/downlevel". Standardmäßig geht Djoin davon aus, dass eine Verbindung zu einem Domänencontroller unter Windows Server 2012 R2 besteht. Nur Benutzer, die über die Rechte verfügen, Computer einer Domäne hinzuzufügen, können Djoin nutzen.
Dazu müssen Sie entweder über Domänenadmin-Rechte verfügen oder ein Administrator muss die entsprechenden Rechte delegieren. Die Rechte, um Computer in eine Domäne aufzunehmen, können Sie über Gruppenrichtlinien setzen. Bearbeiten Sie dazu unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten" den Wert "Hinzufügen von Arbeitsstationen zur Domäne". Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.
Im Active Directory sollten die Uhren der Rechner und Server nicht mehr als fünf Minuten voneinander abweichen. Da das Active Directory bei der Authentifizierung mit Kerberos arbeitet – ein System das stark auf Tickets, Zeitstempel und damit gültige Uhrzeiten aufbaut – besteht die Gefahr, dass Authentifizierungsaufgaben nicht funktionieren, wenn die Uhren einzelner Rechner voneinander abweichen. Standardmäßig toleriert Kerberos in Active Directory eine Zeitdifferenz von 5 Minuten. Diese Einstellungen sollten Sie nicht ändern, Sie haben aber die Möglichkeit dazu. Sie müssen für diese Änderung die Gruppenrichtlinie der entsprechenden Computer anpassen. Navigieren Sie dazu zu "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kerberos-Richtlinie". Hier finden Sie die verschiedenen Einstellungen für die Gültigkeit der Tickets.
Fazit
Gruppenrichtlinien bieten ein mächtiges Werkzeug, um grundlegende Einstellungen an Windows-Rechnern anzupassen. Vor allem aus Sicherheitsgründen geben Sie mittels GPOs zentrale Einstellungen an die Rechner aus. Dadurch können Benutzer ihre Windows-Clients nur noch eingeschränkt verändern. Mit Windows 8.1 besteht dabei auch die Möglichkeit, GPOs lokal abzulegen und somit die Performance der Rechner zu verbessern.
Seite 1: Apps verwalten und Anmeldebildschirm steuern
Seite 2: Schneller booten und Sicherheit managen
Seite 3: Remote-Desktop und Offline-Domänenbeitritt
dr/ln/Thomas Joos
In manchen Situationen kann es außerdem passieren, dass Windows 8.1 den aktuellen Netzwerktyp (öffentlich, privat oder Arbeitsplatz) nicht erkennt und so einen falschen verwendet. Dies äußert sich in Problemen beim Netzwerkzugriff, vor allem bei Notebooks oder Heimarbeitsplätzen. Sie haben in Windows 8.1 Pro und Enterprise die Möglichkeit, über Gruppenrichtlinien nicht identifizierte Netzwerke manuell zuzuordnen:
- Navigieren Sie zu "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Netzwerklisten-Manager-Richtlinien".
- Öffnen Sie die Einstellung "Nicht identifizierte Netzwerke".
- Legen Sie hier die Einstellung fest, die Sie wünschen.
Eine wichtige Neuerung in Windows Server 2012 R2 ist ein alter Bekannter, die Sitzungsspiegelung. Mit dieser Funktion konnten Administratoren in Vorgängerversionen von Windows Server 2012 R2 Sitzungen der Anwender spiegeln, um zum Beispiel bei Problemen zu helfen. Windows Server 2012 verfügt nicht mehr über diese Technik, doch in 2012 R2 hat Microsoft diese Funktion wieder integriert. Über das Kontextmenü von "Sitzungen" im Server-Manager können Sie auf Remotedesktop-Sitzungshosts Sitzungen von Anwendern anzeigen. Die Funktion wurde jetzt ebenfalls in den Server-Manager integriert, auch hier sind nun keinerlei Zusatzwerkzeuge mehr notwendig.
Damit die Verbindung funktioniert, muss der entsprechende Anwender natürlich zustimmen. Die Einstellungen lassen sich jetzt auch wieder in den Gruppenrichtlinien steuern. Sie finden die Konfiguration über "Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host / Verbindungen".
Setzen Sie Remotedesktop-Sitzungshosts zusammen mit Gruppenrichtlinien ein, bietet es sich an, die Server in einer eigenen OU abzulegen und für diese OUs dann Gruppenrichtlinien mit den gewünschten Einstellungen zu aktivieren. Für diese Richtlinien sollten Sie auch den Loopbackverarbeitungsmodus aktivieren. Bei diesem Modus wendet die Gruppenrichtlinie auch Einstellungen des Benutzerbaums an, wenn das Konto der Anwender nicht in der OU gespeichert ist. So erhalten Sie die Möglichkeit, Benutzereinstellungen für Remotedesktopserver festzulegen, die nur bei der Anmeldung der Anwender auf den Remotedesktopservern angewendet werden, nicht bei der Anmeldung an ihren lokalen Computern.
Sie finden diese Einstellung über "Computer / Richtlinien / Administrative Vorlagen / System / Gruppenrichtlinie". Aktivieren Sie die Richtlinie "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie". Dabei können Sie zwischen zwei Modi auswählen:
- Ersetzen: Aktivieren Sie diesen Modus, ersetzt die Richtlinie Einstellungen, die bereits von anderen Richtlinien an gleicher Stelle gesetzt sind.
- Zusammenführen: Bei dieser Einstellung werden die normalen Richtlinien des Anwenders angewendet und die Einstellungen für den Benutzer in der Remotedesktopserver-Richtlinie. Gibt es Konflikte, gewinnt die Richtlinie der Remotedesktopserver.
Damit Sie in Windows 8.1 den Offline-Domänenbeitritt verwenden können, müssen Sie Windows Server 2008 R2, 2012 oder 2012 R2 als Betriebssystem einsetzen. Sie können diese Betriebssysteme aber auch in Domänen aufnehmen, die noch keine Domänencontroller unter Windows Server 2012 R2 betreiben.
In diesem Fall verwenden Sie die Option "/downlevel". Standardmäßig geht Djoin davon aus, dass eine Verbindung zu einem Domänencontroller unter Windows Server 2012 R2 besteht. Nur Benutzer, die über die Rechte verfügen, Computer einer Domäne hinzuzufügen, können Djoin nutzen.
Dazu müssen Sie entweder über Domänenadmin-Rechte verfügen oder ein Administrator muss die entsprechenden Rechte delegieren. Die Rechte, um Computer in eine Domäne aufzunehmen, können Sie über Gruppenrichtlinien setzen. Bearbeiten Sie dazu unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Zuweisen von Benutzerrechten" den Wert "Hinzufügen von Arbeitsstationen zur Domäne". Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen.
Im Active Directory sollten die Uhren der Rechner und Server nicht mehr als fünf Minuten voneinander abweichen. Da das Active Directory bei der Authentifizierung mit Kerberos arbeitet – ein System das stark auf Tickets, Zeitstempel und damit gültige Uhrzeiten aufbaut – besteht die Gefahr, dass Authentifizierungsaufgaben nicht funktionieren, wenn die Uhren einzelner Rechner voneinander abweichen. Standardmäßig toleriert Kerberos in Active Directory eine Zeitdifferenz von 5 Minuten. Diese Einstellungen sollten Sie nicht ändern, Sie haben aber die Möglichkeit dazu. Sie müssen für diese Änderung die Gruppenrichtlinie der entsprechenden Computer anpassen. Navigieren Sie dazu zu "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kerberos-Richtlinie". Hier finden Sie die verschiedenen Einstellungen für die Gültigkeit der Tickets.
Fazit
Gruppenrichtlinien bieten ein mächtiges Werkzeug, um grundlegende Einstellungen an Windows-Rechnern anzupassen. Vor allem aus Sicherheitsgründen geben Sie mittels GPOs zentrale Einstellungen an die Rechner aus. Dadurch können Benutzer ihre Windows-Clients nur noch eingeschränkt verändern. Mit Windows 8.1 besteht dabei auch die Möglichkeit, GPOs lokal abzulegen und somit die Performance der Rechner zu verbessern.
Seite 1: Apps verwalten und Anmeldebildschirm steuern
Seite 2: Schneller booten und Sicherheit managen
Seite 3: Remote-Desktop und Offline-Domänenbeitritt
| << Vorherige Seite | Seite 3 von 3 |
dr/ln/Thomas Joos