Windows-Gruppenrichtlinie

Die Windows-Gruppenrichtlinie stellt eine Erweiterung für erweiterbare Windows 2000/XP- und Active Directory-Richtlinien dar. Es gibt einige Überschneidungen in den Richtlinieneinstellungen der Windows-Gruppenrichtlinien und der erweiterbaren Desktop Management-Richtlinien, beispielsweise bei "Benutzerkonfiguration" > "Administrative Vorlagen". Weitere Informationen zu erweiterbaren Richtlinien finden Sie unter Erweiterbare Computer-/Benutzerrichtlinien (Arbeitsstations-/Benutzerpakete).

HINWEIS:  Konfigurieren Sie Gruppenrichtlinien auf einem Windows 2000-Domänencontroller nicht mit ConsoleOne. Um Gruppenrichtlinien über ConsoleOne zu bearbeiten, sollten Sie Windows 2000-Gruppenrichtlinien auf einer Windows 2000-Arbeitsstation und WindowsXP-Gruppenrichtlinien auf einer WindowsXP-Arbeitsstation bearbeiten.

Wenn eine Arbeitsstation zwar Mitglied einer Active Directory-Domäne ist, jedoch nicht mit der Domäne verbunden ist, gelten die im Benutzer- und im Arbeitsstationspaket enthaltenen Windows-Gruppenrichtlinien nicht.

Sie müssen UNC-Pfade anstelle zugeordneter Laufwerke verwenden, um diese Richtlinie in Desktop Management zu importieren. Dies hat folgende Gründe:

• Benutzer können ihre Anmeldeskripten und damit die Laufwerkzuordnungen ändern.
• Arbeitsstationsobjekte werden meistens vor den Benutzern angemeldet. Deshalb sind keine Laufwerkzuordnungen verfügbar.

Bei Verwendung von UNC-Pfaden wird die Richtlinie gefunden, solange der Server verfügbar ist.

Die Gruppenrichtlinien haben sich seit der ersten Version von ZENworks for Desktops3 wesentlich geändert. Weitere Informationen hierzu finden Sie in folgenden Abschnitten:

• Additive Gruppenrichtlinien
• Überprüfen der Revision
• Caching von Gruppenrichtlinien
• Dauerhafte und temporäre Einstellungen
• Verwenden von Gruppenrichtlinien auf Terminalservern

Konfigurieren der Windows-Gruppenrichtlinie im Benutzerpaket

1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzerpaket, klicken Sie auf "Eigenschaften" und klicken Sie dann auf die gewünschte Plattformseite.

   Bei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:

   • Windows NT: Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie unter "Interoperabilität mit Windows NT 4-Arbeitsstationen" im Novell ZENworks 6.5 Desktop Management-Installationshandbuch.

   • Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.

     In ZENworks 6.5 SP 1 wurde die Option "Bearbeiten" der Plattformseite "Windows NT/2000/XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.

2. Aktivieren Sie das Kontrollkästchen unter der Spalte "Aktiviert" für die Windows-Gruppenrichtlinie.

   Dadurch wird die Richtlinie ausgewählt und aktiviert.

3. Klicken Sie auf "Eigenschaften", um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

   
   

4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

   Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.

   Falls Sie im Feld "Netzwerkstandort bestehender/neuer Gruppenrichtlinien" eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, die die Gruppenrichtlinie erhalten. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.

5. (Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf "Richtlinie importieren".

   Weitere Informationen hierzu finden Sie unter Windows-Gruppenrichtlinien importieren (Benutzer- und Arbeitsstationspakete).

6. (Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf "Richtlinien bearbeiten".

   Weitere Informationen hierzu finden Sie unter Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.

7. (Optional) Aktivieren Sie das Kontrollkästchen "Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam", um festzulegen, dass die übertragenen Gruppenrichtlinien nach dem Abmelden des Benutzers auf dem Windows-Desktop wirksam bleiben.

   WICHTIG:   Die Einstellungen "Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam" und "Benutzerkonfiguration im Cache speichern" sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.

8. (Optional) Aktivieren Sie das Kontrollkästchen "Benutzerkonfiguration im Cache speichern".

   Das Ablegen von Benutzerkonfigurations-Einstellungen im Cache unterscheidet sich vom Aktivieren des Kontrollkästchens "Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam".

   Die Funktion "Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam" bietet Verwaltern die Möglichkeit, die Gruppenrichtlinieneinstellungen des letzten angemeldeten Benutzers beizubehalten. Diese Einschränkung hat zur Folge, dass jeder Benutzer, der sich lokal anmeldet (nur Arbeitsstation), die Gruppenrichtlinieneinstellungen der letzten Person erhält, die sich auf dieser Arbeitsstation im Netzwerk angemeldet hat. Wenn sich ein Verwalter als letzter Benutzer auf einer bestimmten Arbeitsstation im Netzwerk angemeldet hat, erhält jeder Benutzer, der sich danach anmeldet, die Richtlinieneinstellungen des Verwalters.

   Um das Auftreten einer solchen Situation zu vermeiden, können Sie das Kontrollkästchen "Benutzerkonfiguration im Cache speichern" aktivieren, damit alle Benutzereinstellungen in den Cache übernommen werden.

   Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Benutzerpakets aktivieren:

   • Die Funktion für das Caching von Benutzereinstellungen kann sowohl unter NetWare als auch unter Windows auf dem Backend ausgeführt werden. Wenn Sie einen Windows-Server auf dem Backend verwenden, müssen Sie Folgendes berücksichtigen:
     • Der Benutzer muss mit einem lokalen Benutzerkonto angemeldet sein; es darf sich nicht um ein im Cache enthaltenes Domänenkonto handeln. Die Windows-Gruppenrichtlinieneinstellungen gelten für Domänenkonten, solange sich der Benutzer bei einer Domäne anmeldet. Wenn sich der Benutzer nicht bei einer Domäne anmeldet, aber ein im Cache enthaltenes Domänenkonto verwendet, gelten die Windows-Gruppenrichtlinieneinstellungen von Desktop Management nicht.
     • Wenn Sie Gruppenrichtliniendateien auf einem Active Directory-Server speichern, müssen Benutzername und Passwort für Active Directory mit dem eDirectory-Berechtigungsnachweis übereinstimmen.
   • Benutzer müssen über eindeutige lokale Benutzerkonten verfügen. Die Windows-Gruppenrichtlinien werden im lokalen Benutzerprofil im Cache gespeichert; daher benötigen Benutzer mit verschiedenen gültigen Windows-Gruppenrichtlinien auch unterschiedliche lokale Benutzerkonten.
   • Jeder Benutzer benötigt ein Profil auf dem Computer, auf dem die Einstellungen im Cache gespeichert werden sollen. Sie können das Profil mithilfe lokaler Benutzerkonten oder dynamischer lokaler Benutzerkonten (DLU, Dynamic Local User) zur Verfügung stellen; das Konto kann jedoch nicht entfernt werden. Wenn die DLU-Richtlinie das lokale Benutzerkonto entfernt (entweder mithilfe eines temporären Benutzerkontos oder eines abgelaufenen im Cache gespeicherten temporären Benutzerkontos), kann sich der Benutzer nicht lokal anmelden.
   • Nur die Einstellungen aus der Datei \user\registry.pol werden im Cache gespeichert. Dies entspricht in etwa den Benutzereinstellungen im Gruppenrichtlinieneditor mit Ausnahme der Anmelde-/Abmeldeskripten (diese werden im Skriptordner unter \User gespeichert und daher nicht in den Cache übernommen).

   Wird das Kontrollkästchen "Benutzerkonfiguration im Cache speichern" aktiviert, werden die Benutzerkonfigurationseinstellungen der gültigen Windows-Gruppenrichtlinien jedes Benutzers im lokalen Profil der jeweiligen Benutzer gespeichert. Wenn sich die Benutzer lokal anmelden, werden die Benutzereinstellungen aus der im Cache abgelegten Kopie der Datei registry.pol im Profil des jeweiligen Benutzers gelesen und dann angewendet. Es werden nur die in der Datei registry.pol im Benutzerordner gespeicherten Einstellungen in den Cache übernommen. Andere Einstellungen werden nicht in den Cache übernommen, einschließlich Anmelde-/Abmeldeskripten, Computer- und Sicherheitseinstellungen.

   WICHTIG:   Die Einstellungen "Gruppenrichtlinien bleiben auch nach Abmeldung des Benutzers wirksam" und "Benutzerkonfiguration im Cache speichern" sollten nicht in einer Umgebung verwendet werden, in der die Gruppenrichtlinien für Benutzer an verschiedene Benutzer auf gemeinsamen Arbeitsstationen übertragen werden.

9. Aktivieren Sie im Feld "Angewandte Einstellungstypen" die gewünschten Optionen.

   Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.

   Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter "Benutzerkonfiguration" über die Windows-Gruppenrichtlinie durch.

   Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter "Computerkonfiguration" (ausgenommen Sicherheitseinstellungen) über die Windows-Gruppenrichtlinie durch.

   Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter "Computerkonfiguration" > "Windows-Einstellungen" > "Sicherheitseinstellungen" aktiviert, einschließlich der folgenden: Kontenrichtlinien, Lokale Richtlinien, Richtlinien für öffentliche Schlüssel und IP-Sicherheitsrichtlinien auf dem lokalen Computer. Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.

   HINWEIS:  Auf Terminalserver werden nur die Einstellungen unter "Benutzerkonfiguration" unter "Angewandte Einstellungstypen" angewendet. Die Optionen "Computerkonfiguration" und "Sicherheitseinstellungen" stehen für Terminalserver nicht zur Verfügung.

10. Klicken Sie auf die Registerkarte "Richtlinienzeitplan" > wählen Sie einen Zeitplantyp aus:

       Paketzeitplan

       Ereignis

       Täglich

       Wöchentlich

       Monatlich

       Jährlich

    Sie können auf "Erweiterte Einstellungen" klicken, um zusätzliche Einstellungen festzulegen, beispielsweise "Beendigung", "Fehler", "Identitätsannahme", "Priorität" und "Zeitlimit". Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche "Hilfe" auf jeder Registerkarte.

11. Klicken Sie auf "OK", um die Richtlinie zu speichern.

12. Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten unter Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.

Konfigurieren der Windows-Gruppenrichtlinie im Arbeitsstationspaket

1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Arbeitsstationspaket, klicken Sie auf "Eigenschaften" und klicken Sie dann auf die gewünschte Plattformseite.

   Bei der Auswahl der entsprechenden Plattformseite sollte Folgendes berücksichtigt werden:

   • Windows NT: Weitere Informationen zur Unterstützung von Desktop Management für die Windows NT-Plattform finden Sie unter "Interoperabilität mit Windows NT 4-Arbeitsstationen" im Novell ZENworks 6.5 Desktop Management-Installationshandbuch.

   • Plattformseite "Windows NT-2000-XP": Aufgrund der Unterschiede zwischen Windows 2000 und Windows XP im Hinblick auf das Speichern von Sicherheitseinstellungen können Sie die Windows-Gruppenrichtlinien nicht mithilfe der Plattformseite "Windows NT/2000/XP" bearbeiten. Bei Windows 2000 werden Sicherheitseinstellungen in der Datei gpttml.inf gespeichert, bei Windows XP in der Datei xpsec.dat. Beide Dateien finden Sie im Verzeichnis \Gruppenrichtlinien\machine\microsoft\windows nt\secedit.

     In ZENworks 6.5 SP 1 wurde die Option "Bearbeiten" der Plattformseite "Windows NT/2000/XP" deaktiviert. Gruppenrichtlinien müssen auf einer der spezifischen Plattformseiten bearbeitet werden.

2. Aktivieren Sie das Kontrollkästchen unter der Spalte "Aktiviert" für die Windows-Gruppenrichtlinie.

   Dadurch wird die Richtlinie ausgewählt und aktiviert.

3. Klicken Sie auf "Eigenschaften", um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

   
   

4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

   Stellen Sie sicher, dass die Benutzer über ausreichende Rechte für den Zugriff auf dieses Netzwerkverzeichnis verfügen.

   Falls Sie im Feld "Netzwerkstandort bestehender/neuer Gruppenrichtlinien" eine Umgebungsvariable verwenden, müssen Sie die Umgebungsvariable zunächst auf der Verwaltungsarbeitsstation einrichten, auf der ConsoleOne ausgeführt wird, sowie auf allen Arbeitsstationen, die die Gruppenrichtlinie erhalten. Die Variable wird erst erkannt, nachdem ConsoleOne beendet und neu gestartet wurde.

5. (Bedingt) Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf "Richtlinie importieren".

   Weitere Informationen hierzu finden Sie unter Windows-Gruppenrichtlinien importieren (Benutzer- und Arbeitsstationspakete).

6. (Bedingt) Falls Sie vorhandene Gruppenrichtlinien bearbeiten möchten, klicken Sie auf "Richtlinien bearbeiten".

   Weitere Informationen hierzu finden Sie unter Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten.

7. (Optional) Aktivieren Sie das Kontrollkästchen "Arbeitsstationseinstellungen beibehalten".

   Hiermit geben Sie an, dass alle von Desktop Management unterstützten Arbeitsstationseinstellungen (Benutzer-, Computer- und Sicherheitseinstellungen) in der Windows-Gruppenrichtlinie des Arbeitsstationspakets unabhängig von der Netzwerkverbindung gültig bleiben können (im Cache gespeichert werden).

   Berücksichtigen Sie folgende Aspekte, bevor Sie das Caching von Einstellungen in der Windows-Gruppenrichtlinie des Arbeitsstationspakets aktivieren:

   • Die Funktion zum Beibehalten von Arbeitsstationseinstellungen kann sowohl unter NetWare als auch unter Windows auf dem Backend ausgeführt werden. Wenn ein Windows-Server auf dem Backend verwendet wird und Windows-Gruppenrichtliniendateien auf einem Windows-Server gespeichert werden, muss die Arbeitsstation ein Mitglied dieser Domäne sein.
   • Wenn Sie die Funktion zum Beibehalten von Arbeitsstationseinstellungen verwenden möchten, dürfen Sie die Option "Gruppenrichtlinien-Loopback-Unterstützung" in der mit den Arbeitsstationen, für die Einstellungen im Cache gespeichert werden sollen (hierzu zählen auch die Optionen "Ersetzungsmodus" und "Zusammenführungsmodus"), verknüpften Windows-Gruppenrichtlinie nicht aktivieren. Wird die Loopback-Unterstützung nicht aktiviert, hat beim Auftreten von Konflikten hinsichtlich der Einstellungen die Konfiguration in der Richtlinie des Benutzers stets Vorrang vor der Konfiguration in der Windows-Gruppenrichtlinie des Arbeitsstationspakets.

   Wird das Kontrollkästchen "Arbeitsstationseinstellungen beibehalten" aktiviert, werden die bereits unter Windows-Verzeichnis\system32\group policy.wkscache gespeicherten gültigen Windows-Gruppenrichtlinieneinstellungen der Arbeitsstation angewendet, auch wenn sich die Arbeitsstation nicht als Arbeitsstationsobjekt im Netzwerk anmelden kann (zum Beispiel wenn keine Verbindung zwischen Arbeitsstation und Netzwerk besteht).

8. Aktivieren Sie im Feld "Angewandte Einstellungstypen" die gewünschten Optionen.

   Mit diesen Optionen können Windows-Einstellungen für Benutzer, Computer und Sicherheitsmerkmale über eine Benutzer- bzw. Arbeitsstationsrichtlinie durchgesetzt werden. Dieses Verfahren unterscheidet sich von früheren Versionen, in denen Benutzereinstellungen über Benutzerpakete und Computer- bzw. Sicherheitseinstellungen über Arbeitsstationspakete durchgesetzt wurden.

   Benutzerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter "Benutzerkonfiguration" über die Windows-Gruppenrichtlinie durch.

   Computerkonfiguration: Mit dieser Option setzen Sie die Einstellungen unter "Computerkonfiguration" (ausgenommen Sicherheitseinstellungen) über die Windows-Gruppenrichtlinie durch.

   Sicherheitseinstellungen: Mit dieser Option setzen Sie Windows-Sicherheitseinstellungen über die Windows-Gruppenrichtlinie durch. Durch Aktivieren dieser Option werden alle Einstellungen unter "Computerkonfiguration" > "Windows-Einstellungen" > "Sicherheitseinstellungen" aktiviert, einschließlich der folgenden: Kontenrichtlinien, Lokale Richtlinien, Richtlinien für öffentliche Schlüssel und IP-Sicherheitsrichtlinien auf dem lokalen Computer. Sie können Richtlinien nicht einzeln durchsetzen, sie sind auch nicht additiv.

9. (Optional) Aktivieren Sie das Kontrollkästchen "Gruppenrichtlinien-Loopback-Unterstützung" und wählen Sie dann einen Modus aus.

   Durch Aktivieren dieser Option erhalten die Arbeitsstationspaketrichtlinien Vorrang vor den Benutzerpaketrichtlinien. Die Loopback-Unterstützung verfügt über zwei Modi, den Ersetzungsmodus und den Zusammenführungsmodus.

   Richtlinieneinstellungen des Benutzers nicht anwenden (Ersetzungsmodus): Wählen Sie dieses Option aus, wenn alle Richtlinieneinstellungen des Benutzers ignoriert werden sollen: Richtlinieneinstellungen der Arbeitsstation werden jedoch angewendet.

   Richtlinieneinstellungen der Arbeitsstation zuletzt anwenden (Zusammenführungsmodus): Wählen Sie diese Option aus, um zuerst die Richtlinieneinstellungen des Benutzers und dann die der Arbeitsstation anzuwenden. Hiermit können Sie Benutzereinstellungen anwenden; bei Konflikten haben jedoch die Arbeitsstationseinstellungen Vorrang. Wenn eine Benutzereinstellung keinen Konflikt verursacht, bleibt sie in Kraft.

10. Klicken Sie auf die Registerkarte "Richtlinienzeitplan" > wählen Sie einen Zeitplantyp aus:

       Paketzeitplan

       Ereignis

       Täglich

       Wöchentlich

       Monatlich

       Jährlich

    Da das Laden der Windows-Desktop-Dateien beendet ist, bevor die Einstellungen der Gruppenrichtlinien geladen werden, kann es bei einigen Gruppenrichtlinien im Arbeitsstationspaket zu Fehlern kommen, sofern diese bei der Benutzeranmeldung ausgeführt werden sollen. Insbesondere werden keine Änderungen der Desktopeinstellungen durchgeführt (z. B. das Verbergen von Symbolen). Ebenso wenig werden Programme gestartet, die bei der Benutzeranmeldung mittels Anmeldeskript gestartet werden. Wenn sich der Benutzer ab- und wieder anmeldet, werden die Einstellungen korrekt angezeigt.

    Um dies zu vermeiden, konfigurieren Sie die Gruppenrichtlinien im Arbeitsstationspaket so, dass sie nicht bei der Anmeldung ausgeführt werden. Konfigurieren Sie sie stattdessen so, dass sie regelmäßig (z. B. täglich) beim Systemstart ausgeführt werden.

    Wenn Sie Gruppenrichtlinien so konfigurieren, dass sie Startskripten ausführen, und festlegen, dass die Richtlinien beim Systemstart ausgeführt werden, sollten Sie die Option "Arbeitsstationseinstellungen beibehalten" aus Schritt 7 auswählen. Da Windows 2000/XP nach Startskripten sucht und diese ausführt, bevor der Arbeitsstations-Manager Richtlinien beglaubigt und anwendet, können Gruppenrichtlinien, für die Sie die Ausführung von Startskripten konfigurieren, möglicherweise nicht ausgeführt werden, wenn ihr Start beim Systemstart geplant ist. Wenn Sie die Option "Arbeitsstationseinstellungen beibehalten" auswählen, werden die Gruppenrichtlinieneinstellungen des Arbeitsstationspakets (und die Startskripten) im Cache gespeichert. Sie können dann beim nächsten Systemstart ordnungsgemäß angewendet werden.

    Sie können auf "Erweiterte Einstellungen" klicken, um zusätzliche Einstellungen festzulegen, beispielsweise "Beendigung", "Fehler", "Identitätsannahme", "Priorität" und "Zeitlimit". Detaillierte Informationen zu jeder Einstellung erhalten Sie über die Schaltfläche "Hilfe" auf jeder Registerkarte.

11. Klicken Sie auf "OK", um die Richtlinie zu speichern.

12. Wenn alle Richtlinien für dieses Paket konfiguriert wurden, fahren Sie mit den Schritten unter Verknüpfen des Benutzer- oder Arbeitsstationspakets fort, um das Richtlinienpaket zu verknüpfen.

Vorhandene Windows-Gruppenrichtlinien (Benutzer- und Arbeitsstationspakete) bearbeiten

1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket und klicken Sie dann auf die entsprechende Plattformseite.

2. Aktivieren Sie das Kontrollkästchen unter der Spalte "Aktiviert" für die Windows-Gruppenrichtlinie.

   Dadurch wird die Richtlinie ausgewählt und aktiviert.

3. Klicken Sie auf "Eigenschaften", um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

5. Klicken Sie auf "Richtlinien bearbeiten".

   Wenn Sie auf die Schaltfläche "Richtlinien bearbeiten" klicken, wird der MMC-Editor (Microsoft Management Console) gestartet, in dem Sie eine Benutzerpaketrichtlinie oder eine Arbeitsstationspaketrichtlinie bearbeiten können. Weitere Informationen hierzu finden Sie über die Schaltfläche "Hilfe" der Dialogfelder. Nachdem Sie die Richtlinie bearbeitet haben, klicken Sie auf die Schaltfläche "Schließen".

   Beachten Sie beim Bearbeiten von Gruppenrichtlinien die folgenden Punkte:

   • Verzeichnispfad: Stellen Sie sicher, dass Sie den richtigen Verzeichnispfad gewählt haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse Adm, User und Machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.

   • Sicherheitseinstellungen, die in Windows XP nicht bearbeitet werden können: Aufgrund von Änderungen in Windows XP können Sie die folgenden Windows XP-Sicherheitseinstellungen nicht mit Desktop Management bearbeiten:

     • Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie:

          Kennwort muss Komplexitätsvoraussetzungen entsprechen
          Kennwort mit umkehrbarer Verschlüsselung speichern

     • Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen:

          Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
          Konten: Verwalterkontostatus
          Konten: Gastkontostatus

   • Überprüfung der Betriebssystemversion und der Service Pack-Stufe in ZENworks 6.5 SP 1: ZENworks 6.5 SP 1 wurde eine neue Funktion hinzugefügt, mit der die Betriebssystemversion und die Service Pack-Stufe bei der Bearbeitung von Gruppenrichtlinien auf allen Plattformen geprüft werden, auf denen Gruppenrichtlinien bearbeitet werden können (Windows 2000, Windows XP und Windows Server 2003). Wenn Sie beispielsweise eine Gruppenrichtlinie auf einer Arbeitsstation mit Windows XP SP 2 bearbeiten, die auf einer Arbeitsstation mit Windows XP SP 1 (oder einer früheren Version) erstellt wurde, zeigt ZENworks SP 1 ein Warnungsdialogfeld an. ZENworks 6.5 SP 1 verhindert außerdem, dass Sie eine Gruppenrichtlinie bearbeiten, die auf einer Arbeitsstation mit Windows XP SP 2 erstellt wurde, wenn Sie eine Arbeitsstation mit Windows XP oder Windows XP SP 1 verwenden.

   • Deaktivieren von Gruppenrichtlinieneinstellungen unter Verwendung von ZENworks 6.5 SP 1: In ZENworks 6.5 Support Pack 1 (SP 1) wurde eine neue Funktion hinzugefügt, mit der Sie bestimmte Gruppenrichtlinieneinstellungen deaktivieren können, ohne die zukünftige Bearbeitung der Richtlinie zu verhindern.

     In früheren Versionen von ZENworks wurde durch das Deaktivieren bestimmter Einstellungen der Gruppenrichtlinieneditor deaktiviert. Die Richtlinie konnte dann zukünftig nicht mehr bearbeitet werden. Hierbei handelt es sich unter anderem um folgende Einstellungen (je nach Betriebssystem und Service Pack-Stufe sind möglicherweise nicht alle Einstellungen vorhanden):

     • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console:

          Autorenmodus für Benutzer nicht zulassen
          Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken

     • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console > Eingeschränkte/Zugelassene Snap-Ins > Gruppenrichtlinie:

          Gruppenrichtlinienverwaltung
          Gruppenrichtlinienobjekt-Editor

     • Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Management Console > Eingeschränkte/Zugelassene Snap-Ins > Gruppenrichtlinie > Gruppenrichtlinien-Snap-In-Erweiterungen:

          Administrative Vorlagen (Computer)
          Administrative Vorlagen (Benutzer)
          Ordnerumleitung
          Internet Explorer-Wartung
          Remoteinstallationsdienste
          Skripts (Anmelden/Abmelden)
          Skripts (Start/Herunterfahren)
          Sicherheitseinstellungen
          Softwareinstallation (Computer)
          Softwareinstallation (Benutzer)
          Richtlinien für Drahtlosnetzwerke (IEEE 802.11)

     Wenn Sie eine dieser Einstellungen deaktivieren und anschließend versuchen, die Richtlinie zu bearbeiten, wird eine Fehlermeldung angezeigt. Diese informiert Sie darüber, dass das Snap-In durch die Richtlinie eingeschränkt wurde. Darüber hinaus wird der Gruppenrichtlinieneditor nicht geöffnet.

     Um dieses Problem zu vermeiden, wurden diese Einstellungen in ZENworks 6.5 SP 1 aus der Gruppenrichtlinie entfernt und an einem temporären lokalen Speicherort abgelegt. Wenn Sie den Editor schließen, werden die Einstellungen in der temporären Datei mit den Einstellungen in der neu konfigurierten Gruppenrichtlinie zusammengeführt. Wenn Sie bei geöffnetem Editor Änderungen an diesen Einstellungen vorgenommen haben, die nun einen Konflikt mit den in der temporären Datei gespeicherten Einstellungen aufweisen, haben die neuen Einstellungen Vorrang vor den in die temporäre Datei übernommenen ursprünglichen Einstellungen.

   • Verwendung von Windows XP SP 2 und ZENworks 6.5:Windows XP SP 2 beinhaltet zwei neue Zuweisungen von Benutzerrechten in den Sicherheitseinstellungen der Gruppenrichtlinien: "Erstellen globaler Objekte" und "Annehmen der Clientidentität nach Authentifizierung". Diese Zuweisungen von Benutzerrechten sind unter "Computerkonfiguration" > "Windows-Einstellungen" > "Sicherheitseinstellungen" > "Lokale Richtlinien" > "Zuweisen von Benutzerrechten" im Gruppenrichtlinieneditor (gpedit.msc) zu finden.

     Aufgrund dieser Änderungen wird die Richtlinie mit Windows XP SP 2-Einstellungen gespeichert, wenn Sie eine Gruppenrichtlinie bearbeiten, die auf einer Arbeitsstation unter Windows XP SP 1 (oder einer früheren Version) unter Verwendung einer Windows XP SP 2-Arbeitsstation gespeichert wurde oder umgekehrt. Dies kann zu Problemen bei der Übertragung an Arbeitsstationen unter Windows XP SP 1 (oder einer früheren Version) führen.

     Wenn Sie zur Verwaltung von Gruppenrichtlinien ZENworks 6.5 (im Gegensatz zu ZENworks 6.5 SP 1) verwenden, sollten Sie aufgrund bekannter Probleme keine Aktualisierung auf Windows XP SP 2 durchführen. Diese Probleme wurden in ZENworks 6.5 SP 1 behoben.

     Wenn Sie bereits Windows XP SP 2 installiert haben und weiterhin ZENworks 6.5 verwenden möchten, finden Sie weitere Informationen hierzu unter TID10095342.

6. Klicken Sie auf "OK", um die Richtlinie zu speichern.

Windows-Gruppenrichtlinien importieren (Benutzer- und Arbeitsstationspakete)

1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf das Benutzer- oder Arbeitsstationspaket und klicken Sie dann auf die entsprechende Plattformseite.

2. Aktivieren Sie das Kontrollkästchen unter der Spalte "Aktiviert" für die Windows-Gruppenrichtlinie.

   Dadurch wird die Richtlinie ausgewählt und aktiviert.

3. Klicken Sie auf "Eigenschaften", um die Seite "Windows-Gruppenrichtlinien" anzuzeigen.

4. Geben Sie das Netzwerkverzeichnis für neue oder vorhandene Gruppenrichtlinien an.

5. Wenn Sie Gruppenrichtlinien aus Active Directory importieren möchten, klicken Sie auf "Richtlinie importieren" und füllen Sie dann die folgenden Felder aus.

   1. Wählen Sie eine Importoption aus:

      Active Directory-Ordner importieren: Hiermit können Sie alle Gruppenrichtlinien in den Active Directory-Ordner importieren. Geben Sie bei Wahl dieser Option im Feld "Quellverzeichnis" den UNC-Pfad des Ordners mit den von Active Directory erstellten Gruppenrichtlinien an, die zu dem im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen des Verzeichnisses kennen, von dem aus Sie die Active Directory-Gruppenrichtlinie importieren, oder diesen suchen. Den eindeutigen Namen finden Sie in den Eigenschaften der Active Directory-Gruppenrichtlinie.

      Sicherheitseinstellungsdatei importieren: Hiermit können Sie Sicherheitseinstellungen aus einer Datei importieren. Geben Sie bei Wahl dieser Option im Feld "Quellverzeichnis" den UNC-Pfad der Datei mit den von Active Directory erstellten Sicherheitseinstellungen an, die zu dem im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" angegebenen Verzeichnis migriert werden sollen. Sie müssen den eindeutigen Namen der Datei kennen, die Sie in die Gruppenrichtlinie importieren.

      WICHTIG:  Verwenden Sie für Gruppenrichtlinien UNC-Pfade statt zugeordneter Laufwerke.

   2. Klicken Sie auf "Importieren".

      Dadurch wird die Active Directory-Gruppenrichtlinie oder -Datei in das im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" angegebene Verzeichnis kopiert. Falls das angegebene Verzeichnis noch nicht vorhanden ist, wird es erstellt.

      ACHTUNG:  Stellen Sie sicher, dass Sie im Feld "Zielverzeichnis für migrierte Gruppenrichtlinien" den richtigen Verzeichnispfad angegeben haben, da andernfalls Daten zerstört werden könnten. Alle übrigen Dateien in dem ausgewählten Verzeichnis sowie die Unterverzeichnisse Adm, User und Machine werden gelöscht, bevor die Active Directory-Gruppenrichtlinie in das Verzeichnis kopiert wird.

      Mithilfe von importierten Sicherheitseinstellungen können Verwalter lediglich bestimmte Sicherheitseinstellungen festlegen, ohne dass sich dies auf alle übrigen Sicherheitseinstellungen auswirkt. Sicherheitseinstellungen können aus einer Active Directory-Gruppenrichtlinie importiert oder mit dem Snapin "Sicherheitskonfiguration und -analyse" von Microsoft Management Console (MMC) generiert werden.

      Wenn Sie eine Active Directory-Gruppenrichtlinie mit Sicherheitseinstellungen oder eine Sicherheitseinstellungsdatei importieren, werden die importierten Einstellungen in einer neuen Datei mit der Bezeichnung zensec.inf gespeichert.

      Die Sicherheitseinstellungen in der Datei zensec.inf werden anstelle der bei der Bearbeitung der Gruppenrichtlinie in MMC angezeigten regulären Sicherheitseinstellungen verwendet. Die in MMC angezeigten Sicherheitseinstellungen sind nicht korrekt und vorgenommene Änderungen werden nicht angewendet. Wenn bei der Bearbeitung einer Gruppenrichtlinie importierte Sicherheitseinstellungen ermittelt werden, wird der Benutzer in einer Meldung darüber informiert, dass anstelle der regulären Sicherheitseinstellungen die Einstellungen aus der Datei zensec.inf verwendet werden. Außerdem erhält der Benutzer die Möglichkeit, die Einstellungen aus der Datei zensec.inf anzuzeigen.

6. Klicken Sie auf "OK", um die Richtlinie zu speichern.