Wenn man in Active Directory mit einer Gruppe oder einer Organisationseinheit (OU) arbeitet, stehen einem verschiedene Konfigurationsmöglichkeiten zur Verfügung.
Im Gegensatz zu einem Container lassen sich OUs direkt mit Gruppenrichtlinien (GPOs) verknüpfen, um beispielsweise bestimmte Funktionen zu sperren oder Benutzeraktionen gezielt umzuleiten.
Inhaltsverzeichnis
Einführung in den Gruppenrichtlinien-Editor (GPO Editor)
Erstellen einer Test-GPO Schritt für Schritt
GPO verknüpfen & Unterschiede der Richtlinienarten erklärt
MOTD-Richtlinie einrichten (Login-Nachricht für Clients)
GPO aktivieren und anwenden
Test der GPO auf einem Client
Bevor wir beginnen, benötigen wir zunächst eine Organisationseinheit (OU).
Nachdem diese erstellt wurde, öffnen wir auf unserem Windows Server den Gruppenrichtlinienverwaltungs-Editor (GPMC), um die gewünschte Gruppenrichtlinie zu konfigurieren.
Nachdem wir den Editor geöffnet haben, erscheint ein Fenster, das der Ansicht von „Active Directory-Benutzer und -Computer“ sehr ähnlich ist.
Wir sehen unsere Domäne mit den enthaltenen Containern sowie Organisationseinheiten (OUs). Der wesentliche Unterschied besteht darin, dass in den Containern keine Benutzer- oder Gruppenobjekte angezeigt werden, sondern die jeweils definierten Gruppenrichtlinienobjekte (GPOs) – zu Beginn ist diese Übersicht jedoch noch leer.
Wenn wir nun eine neue Richtlinie bzw. Gruppenrichtlinie erstellen möchten, wählen wir zuerst unsere Organisationseinheit (OU) aus.
Anschließend klicken wir mit der rechten Maustaste darauf und wählen „Gruppenrichtlinie erstellen und hier verknüpfen…“
Daraufhin öffnet sich ein kleines Fenster, in dem der Name der neuen Gruppenrichtlinie eingetragen werden muss.
In meinem Beispiel vergebe ich den Namen „Test-GPO“
Anschließend wurde ein Gruppenrichtlinienobjekt (GPO) für die ausgewählte Organisationseinheit erstellt.
Zum aktuellen Zeitpunkt sind jedoch noch keine Richtlinien innerhalb dieses GPOs festgelegt – das bedeutet, es ist zwar angelegt, enthält aber noch keine Konfigurationen oder Anweisungen, die auf die Benutzer oder Computer angewendet werden.
Darüber hinaus besteht die Möglichkeit, mehrere Gruppenrichtlinienobjekte zu erstellen und diese jeweils mit unterschiedlichen Richtlinien zu konfigurieren. So lassen sich verschiedene Anforderungen flexibel abbilden und gezielt auf bestimmte Organisationseinheiten anwenden.
Um unserer Test-GPO nun konkrete Richtlinien zuzuweisen, klicken wir erneut mit der rechten Maustaste auf das Gruppenrichtlinienobjekt und wählen „Bearbeiten“ aus.
Daraufhin öffnet sich ein neues Fenster, in dem wir die gewünschten Einstellungen konfigurieren können.
Im geöffneten Editor sehen wir nun, dass unsere GPO „Test-GPO“ ausgewählt ist.
An dieser Stelle können wir beginnen, die Richtlinie mit den gewünschten Einstellungen zu befüllen. Dabei ist es wichtig zu unterscheiden, dass es grundsätzlich zwei Arten von Richtlinien gibt:
Computerrichtlinien – gelten ausschließlich für Computerobjekte, unabhängig davon, welcher Benutzer angemeldet ist. Für explizite Benutzer werden hier keine Einstellungen vorgenommen.
Benutzerrichtlinien – gelten ausschließlich für Benutzerobjekte. Einstellungen für Computerobjekte werden hier nicht konfiguriert.
Das bedeutet: Eine Computerrichtlinie betrifft nie einzelne Benutzer, und eine Benutzerrichtlinie betrifft nie Computerobjekte.
Diese beiden Bereiche werden wir uns im nächsten Schritt genauer anschauen und anhand eines Beispiels erklären.
Um unsere GPO nun mit einer Richtlinie zu befüllen und diese anschließend zu testen, erstellen wir eine einfache Testrichtlinie.
Dafür nutzen wir die Computerrichtlinien, da wir möchten, dass auf allen Clients vor der Anmeldung eine MOTD-Nachricht (Message of the Day) angezeigt wird. Diese Nachricht können wir individuell gestalten – sowohl den Titel als auch den Nachrichtentext.
Damit diese Einstellung funktioniert, müssen wir sicherstellen, dass wir die richtige Organisationseinheit (OU) ausgewählt haben – davon gehe ich an dieser Stelle aus.
Um nun die gewünschte Computerrichtlinie zu erstellen, navigieren wir im Gruppenrichtlinienverwaltungs-Editor zu folgendem Pfad:
Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen
→ Lokale Richtlinien → Sicherheitsoptionen
→ Interaktive Anmeldung: Nachrichtentitel für Benutzer
→ Interaktive Anmeldung: Nachrichtentext für Benutzer
Dort können wir die MOTD-Nachricht (Message of the Day) mit einem individuellen Titel und Text einrichten, die beim Anmeldebildschirm aller Clients angezeigt wird.
Nun definieren wir sowohl den Titel als auch den Inhalt der Anmeldenachricht.
Dazu öffnen wir nacheinander:
„Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen“
→ Hier setzen wir den Haken bei „Diese Richtlinieneinstellung definieren“ und tragen den gewünschten Titel ein, z. B.:
ACHTUNG BENUTZER
- „Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen“
→ Auch hier aktivieren wir „Diese Richtlinieneinstellung in der Vorlage definieren“ und geben den Nachrichtentext ein, z. B.:
Hallo Dolunay! Willkommen auf deinem Rechner!
ACHTUNG: Du wirst überwacht!
Mit „Übernehmen“ und „OK“ werden die Einstellungen gespeichert.
Damit ist die Konfiguration abgeschlossen.
Nachdem wir auf „Übernehmen“ geklickt haben, müssen wir nur noch auf dem Windows Server den folgenden Befehl ausführen:
gpupdate /force
Dadurch werden die Gruppenrichtlinien aktualisiert und die Änderungen sofort übernommen. Ab diesem Zeitpunkt sollte die eingerichtete MOTD-Nachricht wie gewünscht auf den Clients angezeigt werden.
Sollte die Richtlinie dennoch nicht sofort greifen, kann man den gleichen Befehl auch direkt auf dem Client ausführen und den Rechner anschließend neu starten. Danach wird die Richtlinie in der Regel übernommen.
Standardmäßig werden neue Gruppenrichtlinien übrigens automatisch alle 30 Minuten auf den Clients aktualisiert – auch ohne den manuellen Befehl gpupdate /force.
