GPO-Neuerungen in Windows 8.1: Caching, verzögerte Login-Scripts

    GPO-Caching konfigurierenWindows 8.1 bringt nicht nur neue Einstellungen, um das System zentral zu verwalten. Auch bei der Ausführung von Gruppenrichtlinien gibt es etliche Neuerungen. Dazu zählt das lokale Caching von GPOs, der verzögerte Start von Login-Scripts, das Drive-Mapping im Hintergrund sowie Support für IPv6.

    Wie praktisch alle Windows-Updates führte auch die Version 8.1 zusätzliche Einstellungen ein, mit denen sich neue Features konfigurieren lassen. Dazu zählte etwa die Verwaltung von Boot to Desktop oder Start Screen Control, mit dem sich die Startseite zentral für alle User vorgeben lässt. Sämtliche neuen Einstellungen für Windows 8 und Server 2012 R2 sind in Microsofts GPO-Tabelle dokumentiert.

    Caching von Group Policy Objects

    Windows 8.1 erweitert nicht nur den Richtlinienumfang, sondern ändert auch das Verhalten der GPO-Engine selbst in einigen wichtigen Punkten. Sie verfolgen den Zweck, den Anmeldevorgang zu verkürzen oder zusätzliche Aktionen während der periodischen Aktualisierung von GPOs abzuarbeiten.

    Auch die am häufigsten erwähnte Neuerung, das Group Policy Caching, dient der Zwischenspeicherung von GPOs auf lokalen Laufwerken. Es ist allerdings auf langsame Netzwerke beschränkt, wo die Client Side Extensions auf das Herunterladen von GPOs vom Domänen-Controller verzichten und stattdessen lokale Kopien verwenden.

    Das Caching greift allerdings nicht bei der Abarbeitung von allen GPOs, sondern nur dann, wenn beim Starten von Windows und beim Anmelden eines Benutzers ein Vordergrundprozess läuft. Dagegen erfolgt die periodische Ausführung von GPOs während einer User-Session im Hintergrund. Als weitere Bedingung gilt, dass eine Aktion den synchronen Modus erzwingt. Das trifft zum Beispiel auf die Software-Installation oder die Ordnerumleitung zu.

    Aufgrund dieser Einschränkungen ist der Nutzen für das GPO Caching klar umrissen: Es soll das Booten von PCs oder das Anmelden von Benutzern beschleunigen, wenn der DC nur über ein langsames Netz erreichbar ist und eine Aktion ausgeführt werden soll, die nur synchron ablaufen kann. Entgegen mancher Erwartung dient das Feature keinesfalls dazu, GPOs dann anzuwenden, wenn der Client offline ist bzw. keine Verbindung mit einem DC hat.

    Über eine eigene Einstellung lässt sich das GPO-Caching konfigurieren oder abschalten.

    Wer dieses Feature deaktivieren möchte, kann diese über die folgende Einstellung abschalten: Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinie => Zwischenspeichern von Gruppenrichtlinien konfigurieren.

    Zeitverzögerte Login-Scripts unter Windows 8.1

    Eine weitere Neuerung von Windows 8.1, die den Anmeldevorgang beschleunigen soll, besteht in der zeitversetzten Ausführung von Login-Scripts. Sie starten per Voreinstellung erst 5 Minuten nachdem der Benutzer bereits den Desktop angezeigt bekommt.

    Dabei ist Microsoft wohl davon ausgegangen, dass die meisten Anwender das Mapping von Laufwerken und Druckern über Group Policy Preferences realisieren. Tun sie das nicht und setzen dafür weiterhin auf Login-Scripts, dann stehen Netzwerklaufwerke nach dem Anmelden noch nicht zur Verfügung.

    Die Anmeldeskriptverzögerung von Windows 8.1 lässt sich über eine eigene Einstellung konfigurieren oder abschalten.

    Möchte man diesen Zustand vermeiden, dann kann man die Wartefrist bis zum Start der Scripts reduzieren oder komplett eliminieren. Für diesen Zweck ist eine neue Einstellung unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinie => Anmeldeskriptverzögerung zuständig.

    Drive-Mapping im Hintergrund

    Group Policy Preferences können fast alle Aufgaben übernehmen, für die traditionell Login-Scripts verwendet werden. Sie ersparen dem Admin nicht nur die Programmierung von Batch-Dateien oder sonstigen Scripts, sondern lassen sich über das Item Level Targeting genauer bestimmten Computern oder Benutzern zuordnen.

    Windows 8.1 bringt eine weitere Verbesserung beim Verbinden von Netzlaufwerken über Group Policy Preferences, indem dieser Vorgang nun als Hintergrundprozess läuft. Das Drive-Mapping erfolgt daher nicht nur beim Anmelden des Benutzers, sondern bei der periodischen Ausführung von GPOs während einer User-Session oder nach dem Aufruf von gpupdate.

    In der Praxis kann also der Administrator die Laufwerkszuordnungen ändern, ohne dass sich die betroffenen User ab- und anmelden müssen. Seit Windows 8 lassen sich GPOs auch remote über die Gruppenrichtlinienverwaltung aktuali­sieren, so dass man in dringenden Fällen die Netzlaufwerke sofort verändern kann.

    Support für IPv6

    Eine Neuerung bringt Windows 8.1 schließlich mit der Unterstützung für IPv6 in den Group Policy Preferences. Diese erscheint in verschiedenen Kontexten. So kann man zum Beispiel die Geltung von GPOs über das Item Level Targeting auf bestimmte IPv6-Adressbereiche eingrenzen.

    Bei der Konfiguration von TCP/IP-Drucker kann man nun auch IPv6-Adressen eingeben.

    Der IPv6-Support zeigt sich auch beim Konfigurieren eines TCP/IP-Druckers, wo man nun alternativ zu IPv4 eine IPv6-Adresse verwenden kann. Die entsprechende Option Verwenden Sie eine IPv6-Adresse unter Einstellungen => Systemsteuerungs­einstellungen => Drucker ist aufgrund eines Darstellungsfehlers des lokalisierten Textes aber kaum zu entziffern.

    Keine Kommentare