Windows-Dienste über Gruppenrichtlinien starten und beenden

    Windows-ServicesWenn man bestimmte Windows-Services auf einer größeren Zahl von PCs benötigt oder über­flüssige Dienste deaktivieren möchte, dann lassen sie sich zentral über Gruppenrichtlinien steuern. Dafür stehen neben den herkömmlichen Richtlinien auch die Group Policy Preferences zur Verfügung.

    Windows-Dienste sind bekanntlich Programme, die ähnlich wie Daemons unter Unix im Hintergrund laufen, unabhängig davon, ob ein User angemeldet ist. Die nötigen Rechte vorausgesetzt, kann man die Services interaktiv über GUI- oder Kommandozeilen-Tools starten, beenden oder anhalten. Wenn man dies für bestimmte Services zentral tun will, dann sind GPOs dazu in der Lage.

    Nutzung herkömmlicher Richtlinien

    Ein Grund für Steuerung von Windows-Dienste mittels Gruppenrichtlinien kann sein, dass man einen Service wie etwa Remoteregistrierung, der standardmäßig deaktiviert ist, auf mehreren PCs anschalten will, weil man ihn für die Systemverwaltung benötigt. Umgekehrt könnte man Dienste abschalten, die nicht benötigt werden, um den Ressourcenverbrauch des Systems zu verringern und die Angriffsfläche zu reduzieren.

    Über die Einstellung Systemdienste lassen sich der Starttyp und die Zugriffsrechte für Services ändern.

    Die Startmodi eines Dienstes (automatisch, manuell, deaktiviert) lassen sich über herkömmliche Gruppenrichtlinien konfigurieren. Die entsprechende Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen =>Sicherheitseinstellungen => Systemdienste.

    Zusätzlich bieten sie die Möglichkeit, die Rechte für diese Dienste zu verwalten. Wenn man möchte, dass der angemeldete Benutzer Services kontrollieren kann, dann muss man INTERAKTIV das Recht für Starten, anhalten und unterbrechen erteilen.

    Öffnet man die Einstellung im GPO-Editor, dann findet sich in der rechten Fensterhälfte eine Liste von Services, die man konfigurieren kann. Allerdings enthält sie nur solche Dienste, die auf dem lokalen Rechner installiert sind. Möchte man jedoch welche starten oder beenden, die im GPO-Editor nicht aufscheinen, dann muss man für das Erstellen der Richtlinie auf einen PC wechseln, auf dem sie präsent sind.

    Mehr Optionen mit den GPP

    Alternativ zur genannten Einstellung kann man Group Policy Preferences (GPP) nutzen, um Windows-Dienste zentral zu verwalten. Sie bieten erheblich mehr Möglichkeiten als bloß den Starttyp zu verändern. Dennoch sind sie nicht in der Lage, die oben genannte Richtlinie gänzlich zu ersetzen, weil man mit den GPP nicht die Zugriffsrechte regeln kann. Im ungünstigsten Fall muss man also beide Mechanismen bemühen, wobei zu beachten ist, dass sich bei Konflikten zwischen den Einstellungen die klassische Gruppenrichtlinie durchsetzt.

    Die GPP bieten wesentlich mehr Möglichkeiten, Windows-Dienste zentral zu verwalten.

    Die zuständige GPP-Funktion findet sich unter Computerkonfiguration => Einstellungen => Systemsteuerungseinstellungen => Dienste. Führt man dort den Befehl Neu => Dienst aus, dann kann man im folgenden Dialog entweder einen Dienst aus der angebotenen Liste auswählen oder seinen Namen einfach eingeben.

    Neben der Option, den Starttyp zu ändern, lassen sich hier auch Aktionen festlegen, die bei jedem GPO-Refresh ausgeführt werden. Dazu zählen das (Neu-)starten und Beenden des betreffenden Dienstes. Darüber hinaus kann man bestimmen, unter welchem Konto der Service ausgeführt wird.

    Auf der Registerkarte Wiederherstellung erlauben die GPP zusätzlich die Konfiguration von Aktionen, wenn der Hintergrundprozess abstürzt. Dazu zählen neben dem (mehrfachen) Neustart des Dienstes auch das Ausführen eines beliebigen Programms oder der Reboot des Rechners.

    Wie gewohnt bieten die GPP auch beim Management von Windows-Services mit Hilfe des Item Level Targeting auf Basis zahlreicher Kriterien eine fein einstellbare Ausrichtung auf bestimmte Computer.

    Keine Kommentare