Die GPMC ermöglicht das verwalten von Domänen sowie Standorten eines und mehreren Gesamtstrukturen mit Hilfe einer GUI (Grafical User Interface - grafische Bildschirmoberfläche), die auch für unsere ‚Maus-Schubser' sehr geeignet ist, nicht nur das man dort auch die Funktion des Drap-and-Drop verwenden kann ;-)

Die Vorteile von GPMC sind:

• Vereinheitlichte grafische Benutzeroberfläche (GUI) zur deutlich einfacheren Verwendung von Gruppenrichtlinien
• Sichern und Wiederherstellen von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs)
• Importieren und Exportieren sowie Kopieren und Einfügen von GPOs und WMI-Filtern (Windows Management Instrumentation)
• Vereinfachte Verwaltung der Sicherheit im Zusammenhang mit Gruppenrichtlinien
• HTML-Berichterstellung für GPO-Einstellungen und Daten aus dem Richtlinienergebnissatz (Resultant Set of Policy, RSOP)
• Skripterstellung für Gruppenrichtlinientasks, die in diesem Tool offen gelegt werden (nicht für Einstellungen in einem GPO)

1. Windows Server 2003
2. Windows XP Professional

Falls man mit GPMC auch Windows Server 2000 verwalten möchte, sollten diese das empfohlene SP3 (oder höher) installiert haben.
Siehe: http://support.microsoft.com/kb/325465/de
Man kann auch eine reine 2000er Domäne mit dem GPMC verwalten, allerdings muss dann das GPMC entweder auf einem Windows Server 2003 Memberserver oder einem XP Professional Client installiert werden.

Bisher mussten Administratoren mehrere Microsoft-Tools verwenden um GPOs zu managen, als die wäre:

1. Active Directory Benutzer- und Computer - Snap-In
2. Active Directory Standorte- und Dienste - Snap-In
3. Resultant Set of Policy (RSoP) - Snap In
4. ACL Editor
5. Delegierungsassistent

Diese ganzen Tools sind jetzt alle im GPMC enthalten und somit brauch man bloß ein Snap In zu bedienen als vorher 5.

Installation der GPMC

Die Installation geht recht einfach und schnell von statten.
Hier kann man sich die GPMC mit SP1 downloaden:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=de

und schon kann es mit der Installation auf einem XP-Pro oder Windows Server 2003 losgehen.
Der Assistent begrüßt mit der Willkommen-Seite, mit klick auf ‚Weiter' geht es zum nächsten Schritt über

Als nächstes muss man dem Lizenzvertrag (EULA) zustimmen, falls man an dieser Stelle dem nicht zustimmt, wird die Installation an dieser Stelle beendet.
Mit ‚Ich stimme zu' und einem klick auf ‚Weiter' sind wir auch schon fast fertig, anschließend beginnt die Installation.

Nach kurzer Zeit ist der Assistent dann auch fertig und mit klick auf ‚Fertig stellen' ist man dann auch durch mit der Installation des GMPC.

Um dann die GPMC aufzurufen, geht man auf START - PROGRAMME - VERWALTUNG - Gruppenrichtlinienverwaltung..

.. und bekommt dann dieses Fenster zu Gesicht. Hier kann man sehr schön erkennen, dass schon eine Policy mit der Domäne verknüpft ist, nämlich die Default Domain Policy

Die Domäne heißt hier „intra.dikmenoglu.de".
Es gibt auch schon Standardmäßig zwei Policys, nämlich die ‚Default Domain Controller Policy' und die ‚Default Domain Policy'.
Hier werden Gruppenrichtlinien im Ordner - Gruppenrichtlinienobjekte - erstellt.

Um eine Gruppenrichtlinie zu erstellen, in meinem Beispiel hier möchte ich die Titelleiste des IE meinen Text hinzufügen, klickt man mit rechts auf den Container ‚Gruppenrichtlinienobjekte' und wählt dann ‚Neu' aus.

Als nächstes gilt es einen Namen für das neue Gruppenrichtlinienobjekt zu vergeben.
Mit klick auf OK ist das neue Gruppenrichtlinienobjekt erstellt und es gilt diese nun zu konfigurieren.

In der Übersicht taucht nach ggf. aktualisieren der Ansicht mit F5 das neue Gruppenrichtlinienobjekt auf.

Wenn man auf das Gruppenrichtlinienobjekt selbst drauf klickt ‚IE-Titelleiste Unterwegs-im.net' sieht man, dass die Richtlinie mit noch keinem Standort, Domäne oder Organisationseinheit (Ou) verknüpft ist. An dieser Stelle sei es erwähnt, dass man GPOs nur an diese 3 genannten Einheiten verknüpfen kann.

Jetzt gilt es die Gruppenrichtlinie den Bedürfnissen anzupassen.
Im Container ‚Gruppenrichtlinienobjekte' einen rechts-klick auf den soeben erzeugten Eintrag ‚IE-Titelleiste Unterwegs-im.net' und auf ‚Bearbeiten...' geklickt.

Danach öffnet sich der Gruppenrichtlinienobjekt-Editor (GPEDIT.MSC) wo man seine Einstellungen vornehmen kann. In diesem Beispiel klickt man unter Benutzerkonfiguration auf Windows-Einstellungen danach Internet Explorer-Wartung und auf Benutzeroberfläche des Browsers. Nun erscheint im Hauptfenster (rechts) der Eintrag Browsertitel mit der Beschreibung ‚Einstellungen für den Titel'. Da dieser erstellt werden soll, geht es mit einem Doppelklick auf den Eintrag weiter.

Es folgt ein Fenster wo man den Text der Titelleiste eintragen muss.
Dieser - so wie es auch in dem Screenshot steht, darf nicht länger als 25 Zeichen lang sein (inkl. Leerzeichen versteht sich ;-) ).

Das Beispiel sieht dann so aus und mit klick auf OK hat man dann auch die Richtlinie fertig konfiguriert.

Nun kann man auch sehen, wenn man auf den Eintrag ‚IE-Titelleiste Unterwegs-im.net' (linkes Fenster) klickt - was an dieser Richtlinie konfiguriert wurde im Reiter Einstellungen

Nun gilt es, die soeben erstellte Gruppenrichtlinie mit der dementsprechenden Organisationseinheit / Domäne / Standort zu verknüpfen. Das ganze geschieht per Drag&Drop, hier auf die Domäne.

Sicherheitshalber fragt einen die GPMC ob man die Richtlinie auch tatsächlich mit der gewählten Einheit verknüpfen möchte

Nun taucht unter der Domäne „intra.dikmenoglu.de" eine weitere Gruppenrichtlinie bzw. Verknüpfung, nämlich die „IE-Titelleiste Unterwegs-im.net" dort auf. Wie man hier auch erkennen kann, taucht im Hauptfenster (rechte Seite) unter Verknüpfungen die Domäne ebenfalls auf, damit man sicher sein kann das man die Gruppenrichtlinie mit der richtigen Einheit auch verknüpft hat. Hier ist VORSICHT geboten, da man doch per Drag & Drop schnell mal eine nicht erwünschte Verknüpfung erstellen könnte, was evtl. zu Störung der Produktiven Systeme führen kann.

Jetzt kommt der spannende Moment, die Anwendung auf die Clients sowie Server.
Man hat 3 Möglichkeiten um die Richtlinie Wirksam werden zu lassen:

• Neustart des PCs / Servers
• Aufforderung zur sofortigen Ausführung mit dem Befehl „gpupdate /force"
• Abwarten der Hintergrundaktualisierung (bei Memberservern sowie Clients 90 Minuten zusätzlich 30 Minuten Verzögerung, bei DCs alle 5 Minuten)

Auch dieses Aktualisierungsintervall kann man durch eine andere/weitere Gruppenrichtlinie „Gruppenrichtlinien-Aktualisierungsintervall für Computer" oder „Domänencontroller" beeinflussen, unter „Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien.

Das ganze gibt es noch mal für den Benutzer „Gruppenrichtlinien-Aktualisierungsintervall für Benutzer" unter Benutzerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien.

Der Aktualisierungswert kann zwischen 0 (was effektiv 7 Sekunden bedeutet) und 64800 Minuten (45 Tage) liegen.
Das Verzögerungsintervall kann zwischen 0 und 1440 Minuten (24 Stunden) liegen und wird zum Aktualisierungsintervall addiert.

So sieht es aus wenn man die sofortige Anwendung der Richtlinie erzwingen möchte, über die Kommandozeile CMD mit dem Befehl gpupdate /force

Das Wichtigste dabei ist, dass die User und/oder Gruppen das Leserecht auf diese Gruppenrichtlinie haben, denn sonst schlägt es fehl. Wenn man die Richtlinie anklickt und auf den Reiter „Delegierung" geht, sieht man wer alles welches Recht auf diese Gruppenrichtlinie besitzt.

Diese kann man bearbeiten und mit einem Klick auf Erweitert kann man im nun erscheinenden Fenster genauer verifizieren. Wichtigster Punkt hier ist: Gruppenrichtlinie übernehmen sowie das Lesen

Das Ergebnis sieht man hier - an der Titelleiste des Internet Explorers

Man kann auch auf der Kommandozeile prüfen welche Richtlinien an der Maschine an der man gerade sitzt angewendet werden, mit dem Befehl GPRESULT

Für unsere ‚Maus-Schubser' gibt es auch ein Tool mit dem man sich es sogar sehr Komfortabel ansehen kann, unter START - HILFE und SUPPORT - Tools zum Anzeigen von Computerinformationen und Ermitteln von Fehlerursachen verwenden dann in der linken Spalte auf Erweiterte Systeminformationen und danach im Hauptfenster auf Angewendete Gruppenrichtlinieneinstellungen anzeigen, dort unter dem Punkt Gruppenrichtlinienergebnisse für <Domäne>\<angemeldeter User>

Bei Windows 2000 wurden die Richtlinien synchron verarbeitet, was heißen soll das man erst mit dem System interagieren/arbeiten konnte, wenn erst alle Richtlinien verarbeitet wurden. Seit XP ist das anders, dort werden Gruppenrichtlinie asynchron verarbeitet, man kann mit dem Desktop schon arbeiten bevor alle Richtlinien angewendet wurden, somit bekommt der User das Gefühl übermittelt, dass XP schneller Betriebsbereit sei wie Windows 2000, dem ist nicht so - sondern alles bloß Augenscheinlich.

• Bei dem ersten Startvorgang eines Computers in der Domäne
• Wenn der Benutzer über synchron zu verarbeitende Skripts verfügt
• Wenn der Benutzer ein servergespeichertes Profil hat
• Bei der ersten Anmeldung eines Domänenbenutzers an einem Client

Was wiederum beim Windows Server 2003 anders ist, dieser verarbeitet die Richtlinien in der Vordergrundanwendung (Starten und Anmelden) synchron, die zyklische Aktualisierung (alle 5 min.) asynchron sowie die manuelle Aktualisierung ebenfalls asynchron.

Die Verarbeitungsreihenfolge von Computer- sowie Benutzerrichtlinien ist folgende, zuerst werden die Computerrichtlinien angewendet und erst wenn diese angewendet wurden erscheint der Anmeldescreen. Nach der Anmeldung des Users an der Domäne erfolgt die Anwendung der Benutzerrichtlinien.

Weiter muss auch noch erwähnt werden, dass wenn man die GPMC installiert, viele weitere Scripts sich im Pfad „%PROGRAMFILES%\GPMC\Scripts" mit installieren die einem das tägliche Administrations-Leben erleichtern wie z.B. das „BackupAllGPOs" - Script, was man dazu nutzen könnte, um sich per Batch täglich die GPOs zu sichern, damit man in einem Restore-Fall nicht gleich das System State zurück sichen muss wegen ‚einer' Richtlinie und somit ein Serverneustart erspart bleibt.

Hier noch wichtige Links zum Thema Gruppenrichtlinien

DIE Gruppenrichtlinien - Seite schlechthin von - MVP Mark Heitbrink
http://www.gruppenrichtlinien.de

Webcast zum Thema Gruppenrichtlinie von Daniel Melanchthon
http://www.mcseboard.de/media/community_cast.zip

GPMC mit SP1
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=de