Gruppenrichtlinien Tipps und Tricks

Gruppenrichtlinien Tipps und Tricks könnte ich auch „Spaß mit Gruppenrichtlinien“ nennen. Gruppenrichtlinien sind eine Kernkomponente jeder Active Directory und maximal nützlich, um alle an das Active-Directory angebunden Windows Systeme zu konfigurieren. Doch so nützlich und mächtig die Gruppenrichtlinien sind, so bieten die auch viel Gefahrenpotential die gewünschte Funktion/Einstellung falsch umzusetzen.

Auch ich mache immer wieder die Erfahrung, dass das Erstellen einer zunächst einfach wirkenden Gruppenrichtlinie, fix zum Zeitfresser wird. Doch ist die Gruppenrichtlinie erstellt und auf den aktuellen Windows Betriebssystemen erfolgreich getestet, ist kaum noch weiterer Aufwand notwendig.

Um dem Internet etwas Wissen zurück zu geben, findet ihr hier ein paar typische Konfigurationen von Gruppenrichtlinien und vielleicht findet ihr der Eine oder Andere die letzte fehlende Information.

Gesagt sei dazu, dass die Funktionen in den Gruppenrichtlinien stets mehr werden und es auch nicht immer eine goldenen Weg gibt, as Ziel zu erreichen. Ihr müsst nur wissen, dass die erstellten Gruppenrichtlinien entsprechende Werte in der Regitry auf den Windows Clients verändert und das, wenn eine Funktion die „klickbar“ in der GPO einstellbar ist, vor manuellen verteilen von Registry keys vozuziehen ist.

Ein Beispiel ist das Ausblenden des „Task Managers“ nach STRG+Alt+Entf. In der GPO kann das entweder unter „User Configuration > Policies > Administrative Templates > System > Ctrl+Alt+Del Options > Remove Taskmanager“ eingestellt werden oder ihr verteilt direkt den Registry Key unter „User Configuration > Preferences > Windows Settings > Registry > Registry Key ‚DisableTaskMgr’“.

Kurz zu mir. Seit 2004 arbeite ich mit Gruppenrichtlinien und konnte viel Erfahrung bei Kunden sammeln. Seit ein paar Jahren arbeite in der Inhouse-IT von einem Kreuzfahrtunternehmen und kümmere mich unter Anderem auch um die GPO’s der „schwimmenden“ Standorte.

Lokale Windows Nutzer und Berechtigungen per Gruppenrichtlinien Objekt konfigurieren

• lokalen Adminnutzer umbenennen
• lokalen Nutzern oder Domänen-Nutzern lokale Adminberechtigen geben
• lokale Nutzer deaktivieren

Übersicht der dazugehörigen Artikel

• GPO – per Gruppenrichtlinie lokale Nutzer und Gruppen bearbeiten

automatische Anmeldung / Autologin via GPO

Es gibt natürlich aus Anwendungsfälle, in denen das automatische Anmelde am Windows System Sinn macht. Digital Signage Devices, Kioske oder Präsentationsgeräte oder auch Server auf denen der Start einer Anwendung notwendig ist. Wir können dazu das Autologon Tool von Sysinternals verwenden und auf jedem Zielgerät ausführen oder eine GPO definieren und den entsprechenden Systemen zu weisen. Wie ihr eine GPO Gruppenrichtlinien für den Autologin konfiguriert, könnt ihr hier lesen.

Übersicht der dazugehörigen Artikel

• GPO – Autostart von Anwendungen nach dem Login
• GPO – automatische Anmeldung / Autologin

Bildschirmschoner und Bildschirm sperren konfigurieren

• Bildschirm nach gewisser Inaktivität sperren
• Bildschirm sperren deaktivieren auch unter Windows 10
• Energieprofil / schema ändern
• GPO – Shortcuts / Verknüpfungen auf dem Desktop erstellen
• Disclaimer bzw. Anmeldenachricht über GPO konfigurieren
• Autorun deaktivieren

Remotedesktop mit GPO konfigurieren

• RDP Sitzung nach Inaktivität abmelden
• RDP Sitzung nach Inaktivität trennen
• spezifischen Nutzer anmelden am Windows Computer ermöglichen

Software via GPO verteilen

Wer keine Software Deployment Lösung hat, kann auch über die Gruppenrichtlinien „Software“ auf vielerlei Weise verteilen.

• per Loginscript (inkl. Prüfung ob die Software bereits installiert ist)
• direkt per MSI innerhalb der GPO
• per GPO verteilten „scheduled Task“ der die Installation antriggert

per Script

Die Variante über über Scripte ist wohl bekannt. Doch um die Software nicht bei jedem Login bzw ausführen des Loginscripts neu zu installieren, sollte eine Prüfung eingebaut werden, ob die Software bereits existierte. Zum Beispiel mit „if exists (PFAD_ZUR_EXE)“.

per MSI-File und GPO

Via scheduled task

weitere

• Bildschirmhintergrund konfigurieren
• scheduled Task via GPO verteilen
• Tastaturlayout auf DE per GPO umstellen: mehr GPO – Tastaturlayout einheitlich setzen Windows 10
• Autostart von Anwendungen: mehr GPO – Autostart von Anwendungen nach dem Login
• Explorer nicht starten nach Anmeldung: mehr GPO – Autostart von Anwendungen nach dem Login

Drucker über GPO zuweisen

Auch das Zuweisen von freigebenen Drucker ist stellt heute kein Problem mehr da. Früher musste man sich bei Loginscripten in VBS ganz schön verausgaben und Code erzeugen. Heute ist das zum Glück Geschichte und einfach umzusetzen.

Netzlaufwerke über GPO zuweisen

Ich kann mich noch an die Zeiten erinnern, in den umfangreiche Batch-Scripte geschrieben werden mussten, um den Windows Clients Netzwerklaufwerke zuzuweisen. Richtig obstrus wurde dann nochmal wenn anhand von Active-Directory Gruppen die Laufwerkszuweisungen erfolgen sollten. Die damals erstellten Batch-Script oder Login-Scripte wurde dann beim Login ausgeführt.

Heut zu Tage ist das Zuweisen von Netzlaufwerken anhand von Active-Directory Gruppen kein Ding mehr. Irgendwann zu Windows 7 Hochzeiten erweiterte Microsoft durch den Zukauf der Technologie oder der Firma die Funktionalitäten der Gruppenrichtlinien. Stichwort: Client Side Extensions (CSE).

WSUS / Windows Updates

• Minimalsetup per Registry-Import einspielen: mehr WSUS Client – minimale Registry Einstellungen

weitere Beiträge zum Thema Gruppenrichtlinien, Tipps, Tricks und Anleitungen

• GPO – Login nur für einzelne Nutzer erlauben16. Februar 2021
• GPO – Unterschiede zwischen Create, Replace, Update, Delete12. Februar 2021
• GPO – Tastaturlayout einheitlich setzen Windows 109. Februar 2021
• Gruppenrichtlinien Tipps und Tricks8. Februar 2021
• GPO – per Gruppenrichtlinie lokale Nutzer und Gruppen bearbeiten8. Februar 2021