Alternative zu Login-Scripts: Group Policy Preferences

    GPP ThumbnailEine der seit Windows Server 2008 neuen Funktionen sind die Group Policy Preferences. Sie unterscheiden sich von den althergebrachten Gruppenrichtlinien in wichtigen Eigenschaften: Sie verteilen keine Vorgaben, sondern lediglich Einstellungen. Diese werden zwar angewendet, die entsprechenden GUI-Elemente jedoch nicht ausgegraut.

    Diese Voreinstellungen werden ganz normal in der Registry hinterlegt, das heißt, Administratoren können auch Anwendungen, die mit Richtlinien normalerweise nichts anfangen können, sinnvolle Voreinstellungen verpassen oder Windows-Einstellungen konfigurieren, für die es keine Gruppenrichtlinien gibt.

    Im Unterschied zu Gruppenrichtlinien, die alle 90 Minuten neu appliziert werden, kann man Group Policy Preferences auch so konfigurieren, dass sie lediglich einmalig angewendet werden. Dies gibt dem Benutzer die Wahlmöglichkeit, sie als Vorschlag zu sehen und entweder zu belassen oder wieder zu ändern.

    Mission: Weg mit den Anmelde-Scripts!

    Per Group Policy Preferences lassen sich etwa Orderoptionen einstellenDer Bedarf an sinnvollen Voreinstellungen für Einstellungen von Windows und für Software, die nicht per Gruppenrichtlinien verteilt werden können, ist natürlich nicht über Nacht entstanden, sondern besteht schon länger. Normalerweise lösen Administratoren derlei Aufgaben durch Scripts, die bei der Anmeldung die Einstellungen setzen.

    Je nach der Anzahl von unterschiedlichen Typen an Geräten und Benutzern entsteht auf diese Weise recht schnell ein unübersichtlicher Wildwuchs an Scripts mit komplizierten Unterscheidungsabfragen, ob auf Zielgeräten bestimmte Eigenschaften, Dateien oder sonstige Voraussetzungen vorhanden sind.

    Group Policy Preferences bieten die Möglichkeit, diese Scripts zu reduzieren oder gar ganz abzuschaffen. Folgende Aufgaben können direkt per Group Policy Preferences erledigt werden und damit entsprechende Scripts sparen:

    • Netzlaufwerke zuweisen,
    • Umgebungsvariablen zuweisen,
    • Registry-Einträge vornehmen,
    • Drucker einrichten, konfigurieren, löschen und Standarddrucker festlegen,
    • Energieschemata erstellen oder ändern,
    • Ordneroptionen konfigurieren,
    • Einstellungen für den Internet Explorer festlegen,
    • lokale Benutzern anlegen, bearbeiten oder entfernen,
    • Regions- und Spracheinstellungen festlegen,
    • ODBC-Datenquellen anlegen, ändern oder entfernen,
    • Startmenü-Einstellungen ändern,
    • Dateien und Ordner auf Clients kopieren, erstellen, ändern oder entfernen,
    • Verknüpfungen auf Clients erstellen, ändern oder entfernen,
    • Taskplaner-Aufgaben für Clients einrichten

    Wo die Group Policy Preferences landen, legt man per Zielgruppenadressierung festInteressant sind die Kriterien, nach denen die Objekte verteilt werden können. Per Zielgruppenadressierung (Targeting Editor) lässt sich diese sehr viel feiner granulieren, als dies bei Gruppenrichtlinien der Fall ist, etwa nach Computernamen, IP-Adressbereich, Datum und Zeit, Speicherplatz, Benutzereigenschaften und weiteren Kriterien. Bei der Verteilung legt man außerdem fest, was im Falle eines Fehlers bei der Abarbeitung geschehen soll, ob ein Objekt nur einmal oder wiederholt verteilt werden soll, in welchem Sicherheitskontext das Ganze stattfindet und ob ein Objekt dauerhaft entfernt werden soll, falls es aus irgendeinem Grund in einem Fall nicht angewendet werden konnte.

    Deployment der Group Policy Preferences

    In einer Windows-Server-2008/Windows-Server-2008-R2-Umgebung mit Windows-7-Clients können Group Policy Preferences sofort angewendet werden. Die gibt es natürlich in dieser Reinform kaum irgendwo. Alle Client-Rechner mit einer Windows-Version kleiner als 7 müssen zunächst mit der Existenz dieser Einstellungen vertraut gemacht werden. Dies geschieht per CSE, die es unter KB 943729 herunterzuladen gibt und man am besten über den lokalen WSUS-Server auf den Clients installiert.

    Auf Serverseite benötigt man etwa einen Rechner ab Windows Server 2008, der keine besondere Rolle haben muss. Ebenfalls möglich ist die Verteilung der Group Policy Preferences über einen Windows Server 2003 ab Servicepack 1, auf dem die CSE installiert sind. Bei letzterer Konfiguration kann man sie allerdings nicht am Server selbst bearbeiten, sondern nur mittels RSAT von einem PC mit Windows Vista ab SP 1 oder Windows 7 aus.

    Keine Kommentare