10.3 Richtlinien und Richtlinienpakete von ZENworks Desktop Management

Um die Komponente Arbeitsstationsverwaltung von Desktop Management vollständig einzurichten, müssen Sie die erforderlichen Richtlinien und Richtlinienpakete in ConsoleOne konfigurieren, aktivieren und verknüpfen.

Eine Richtlinie ist ein Satz von Regeln, die definieren, wie Arbeitsstationen, Benutzer und Server konfiguriert und gesteuert werden. Dazu gehören auch die Verfügbarkeit von bzw. der Zugriff auf Anwendungen, der Dateizugriff und das Erscheinungsbild sowie der Inhalt von individuellen Desktops. Die Richtlinien sind in Richtlinienpaketen enthalten, in denen sie auch verwaltet und angepasst werden.

Ein Richtlinienpaket ist ein Novell eDirectory™-Objekt, das individuelle Richtlinien enthält. Ein Richtlinienpaket gruppiert Richtlinien entsprechend der Funktion und vereinfacht dadurch die Verwaltung. Richtlinienpakete bieten dem Verwalter die Möglichkeit, Richtlinieneinstellungen zu ändern und zu bestimmen, wie diese andere eDirectory-Objekte beeinflussen.

Folgende Abschnitte enthalten Informationen zu den Desktop Management-Richtlinien und -Richtlinienpaketen:

10.3.1 Richtlinienpakete

Die Desktop Management-Richtlinien werden in Richtlinienpakete gruppiert, damit sie problemlos verwaltet werden können. Richtlinienpakete können Sie mithilfe von ConsoleOne erstellen und verwalten.

Die Eigenschaftsseite für jedes Richtlinienpaket enthält eine oder mehrere plattformspezifische Registerkarten mit Richtlinien, die für diese Plattform und dieses Paket gelten. Diese Seiten kennzeichnen jeweils eine Betriebssystemplattform, beispielsweise "Allgemein", "NetWare", "Windows" (9x/NT/2000/XP) oder "Windows Terminal Server" (2000/XP). Jede Richtlinie, die Sie auf der Seite "Allgemein" aktivieren, gilt für alle Plattformen, die auf den anderen Seiten angegeben werden. Richtlinienkonfigurationen jedoch, die für eine bestimmte Plattform festgelegt werden, setzen vergleichbare Richtlinien auf der Seite "Allgemein" außer Kraft.

Die folgenden Desktop Management-Richtlinienpakete stehen zur Verfügung:

Das Containerpaket und das Servicestandortpaket sind identisch mit den Richtlinienpaketen, die in ZENworks Server Management verwendet werden. Das Serverpaket ist auch in ZENworks Server Management vorhanden. Es enthält jedoch in ZENworks Desktop Management unterschiedliche Richtlinien. Das Benutzerpaket und das Arbeitsstationspaket sind in Desktop Management eindeutig. Weitere Informationen hierzu finden Sie in Abschnitt 11.0, Erstellen von Richtlinienpaketen.

10.3.2 ZENworks Desktop Management-Richtlinien

Eine Richtlinie ist ein Satz von Regeln, die definieren, wie Arbeitsstationen, Benutzer und Server konfiguriert und gesteuert werden. Dazu gehören auch die Verfügbarkeit von bzw. der Zugriff auf Anwendungen, der Dateizugriff und das Erscheinungsbild sowie der Inhalt von individuellen Desktops. Die Richtlinien sind in Richtlinienpaketen enthalten, in denen sie auch verwaltet und angepasst werden. Mit Desktop Management-Richtlinien können Server-, Benutzer- und Arbeitsstationskonfigurationen, -prozesse und -verhaltensmerkmale automatisch verwaltet werden. Sie können beispielsweise eine Benutzerrichtlinie einrichten, die die Darstellung eines bestimmten Benutzer-Desktops festlegt, und zwar unabhängig von dem Computer, auf dem sich die Benutzer anmelden. Sie können aber auch eine Arbeitsstationsrichtlinie einrichten, die die Darstellung eines bestimmten Computer-Desktops festlegt, und zwar unabhängig davon, welche Benutzer sich anmelden.

Mit Richtlinien können Sie Folgendes definieren:

  • Parameter für den Import von Arbeitsstationsobjekten in den Baum
  • Die Baumebene, bis zu der die Suche nach wirksamen Richtlinien durchgeführt wird
  • Parameter für die Erfassung des Hardware- und Software-Inventars
  • Parameter für die Fernsteuerung einer Arbeitsstation
  • Ereignis- und Aktionsplanung

Die Eigenschaften jeder Richtlinie enthalten eine oder mehrere Registerkarten, auf denen Sie abhängig vom Richtlinientyp Einstellungen oder Konfigurationen angeben können, die sich auf Benutzer-, Arbeitsstations-, Gruppen- oder Containerobjekte beziehen. Weitere Informationen hierzu finden Sie in Abschnitt 11.0, Erstellen von Richtlinienpaketen.

10.3.3 Mehrfachrichtlinien

Mit Mehrfachrichtlinien können Sie mehrere Instanzen des gleichen Richtlinientyps innerhalb des gleichen Richtlinienpakets oder als wirksame Richtlinie haben. Desktop Management beinhaltet eine Mehrfachrichtlinie sowohl in den Benutzer- als auch in den Arbeitsstationsrichtlinienpaketen mit dem Standardnamen der geplanten Aktion.

Da Sie verschiedene Aktionen bei verschiedenen Zeitplänen ausführen können, wählen Sie beim Hinzufügen einer Richtlinie für geplante Aktionen zum Richtlinienpaket einen Namen aus, der sich auf die geplante Aktion bezieht.

Bei Desktop Management steht die Mehrfachrichtlinie für geplante Aktionen für alle Plattformen im Benutzerpaket und im Arbeitsstationspaket zur Verfügung. Weitere Informationen zur Richtlinie für geplante Aktionen finden Sie in Abschnitt 15.6, Richtlinie für geplante Aktionen (Benutzer- und Arbeitsstationspakete).

10.3.4 Aktivieren von Richtlinien

Wenn die Arbeitsstationsverwaltung geändert werden muss, können Sie eine Richtlinie mit einer der drei Statusangaben für Richtlinieneinstellungen aktivieren, deaktivieren oder bearbeiten:

Tabelle 10-1 Statuswerte für Richtlinieneinstellungen

Zustand

Beschreibung

Aktiviert

Aktiviert die Richtlinieneinstellungen. Diese werden jedoch erst dann angewendet, wenn das Richtlinienpaket ebenfalls mit einem Objekt verknüpft ist.

Deaktiviert

Deaktiviert eine Richtlinie. Das Deaktivieren einer Richtlinie in ConsoleOne wirkt sich jedoch nicht sofort auf die Arbeitsstation aus. Die Arbeitsstation führt die Richtlinie mit den deaktivierten Einstellungen aus, da die Einstellungen für jede Richtlinie in der Registrierung der Arbeitsstation gespeichert sind.

Ignoriert

Das Löschen oder Aktivieren einer Richtlinie wird nicht garantiert, da auf der Arbeitsstation weiterhin die vorherigen Richtlinieneinstellungen ausgeführt werden können.

Wenn Sie ein Richtlinienpaket erstellen, werden die entsprechenden Richtlinien standardmäßig deaktiviert. Nachdem Sie eine Richtlinie aktiviert haben, sind einige Standardeinstellungen aktiviert.

Eine Richtlinie kann aktiviert werden, wenn Sie

  • ein Richtlinienpaket erstellen.
  • ein Richtlinienpaket ändern.

Eine Richtlinie kann außerdem jederzeit von den meisten Listen aus, in denen die Richtlinie angezeigt wird, aktiviert werden.

10.3.5 Planung von Richtlinien

Einige Richtlinien können geplant werden, um zu einer bestimmten Zeit ausgeführt zu werden. Während des Erstellvorgangs wird allen Richtlinienpaketen ein Standard-Zeitplan für die Ausführung zugeteilt. Dies bedeutet, dass alle verfügbaren Richtlinien in diesem Paket entsprechend dem Standard-Zeitplan ausgeführt werden. Sie können jedoch den gesamten Richtlinienpaket-Zeitplan ändern. Sie können auch festlegen, dass eine Richtlinie innerhalb des Pakets zu einem anderen Zeitpunkt als die übrigen Pakete ausgeführt wird.

Wenn Sie eine Richtlinie aktivieren, sie jedoch nicht planen, wird die Richtlinie entsprechend dem Zeitplan ausgeführt, der derzeit im Standardzeitplan des Pakets definiert ist.

10.3.6 Richtlinienpaketverknüpfungen

Nachdem Sie eine Richtlinie aktiviert haben, müssen Sie diese anschließend verknüpfen, damit sie wirksam wird. Durch das Konfigurieren, Aktivieren und Planen einer Richtlinie wird diese lediglich eingerichtet. Eine Richtlinie wird erst durch die Verknüpfung mit einem Verzeichnisobjekt aktiviert, beispielsweise einem Server-, Container-, Benutzer-, Gruppen- oder Arbeitsstationsobjekt.

Da Richtlinienpaketverknüpfungen in einem Baum weitergegeben werden wie vererbte Rechte im Verzeichnis, können Sie ein Richtlinienpaket direkt mit einem Objekt verknüpfen. Sie können ein Richtlinienpaket auch indirekt verknüpfen, beispielsweise mit dem übergeordneten Container des Objekts.

Wenn Sie die verknüpften Richtlinienpakete für ein Objekt anzeigen, beginnt Desktop Management standardmäßig bei dem Objekt und sucht im Baum aufwärts nach den verknüpften Richtlinienobjekten, wobei die nachstehende Reihenfolge eingehalten wird (es sei denn, die Reihenfolge wurde durch eine Suchrichtlinie geändert):

  1. Das Objekt selbst
  2. Jeder Gruppe, bei der das Objekt Mitglied ist
  3. Jeder Container oberhalb des Objekts bis zu [Root]

Vergleichbar mit dem Zuweisen unterschiedlicher Rechte für verschiedene Benutzer im Verzeichnis können Sie eine gemeinsame Richtlinie für die meisten Benutzer und eindeutige Richtlinien für eindeutige Benutzer festlegen.

Sie müssen Schreibzugriff auf das Richtlinienpaket und das Objekt haben, um diese miteinander verknüpfen zu können.

Sie können ein Richtlinienpaket mit Server-, Container-, Benutzer-, Gruppen- oder Arbeitsstationsobjekten verknüpfen, wenn Sie

  • das Richtlinienpaket erstellen oder ändern.
  • das Server-, Container-, Benutzer-, Gruppen- oder Arbeitsstationsobjekt erstellen oder ändern.
  • ein Richtlinienpaket mit einer Gruppe oder einem Container verknüpfen, bei dem die Benutzer- oder Arbeitsstationsobjekte Mitglied sind.

WICHTIG:Verknüpfen Sie Richtlinienpakete nicht mit Alias-Objekten. Alias-Objekte werden nicht unterstützt.

10.3.7 Suchrichtlinie

Die Suchrichtlinie wird verwendet, um Suchvorgänge zu minimieren. Sofern in einer Suchrichtlinie nicht anders angegeben, beginnt Desktop Management bei der Suche nach Richtlinienpaketen, die mit einem Objekt verknüpft sind, bei dem Objekt und sucht im Baum aufwärts. Wenn in Desktop Management keine Suchrichtlinien definiert sind, wird im Baum aufwärts gesucht, bis das Stammobjekt ermittelt wird. Dies kann zu unnötigem Netzwerkverkehr führen. Verwenden Sie deshalb bei Bedarf immer Suchrichtlinien.

Falls nicht durch eine Suchrichtlinie anders festgelegt, haben alle aktivierten Richtlinien in einem Richtlinienpaket, das direkt mit einem Objekt verknüpft ist, Vorrang vor entgegengesetzten Richtlinien in Richtlinienpaketen höher im Baum.

Weitere Informationen zur Konfiguration der Suchrichtlinie finden Sie in Einrichten der Suchrichtlinie im Containerpaket .

10.3.8 Wirksame Richtlinien

Wirksame Richtlinien für ein Verzeichnisobjekt wurden konfiguriert, aktiviert und mit dem Objekt verknüpft. Richtlinienpaketverknüpfungen werden wie effektive Rechte im Verzeichnis im Baum nach unten weitergegeben.

Folgende Abschnitte enthalten weitere Informationen zu wirksamen Richtlinien:

Bestimmung von wirksamen Richtlinien

Wenn Desktop Management die wirksamen Richtlinien für ein Objekt ermittelt, wird mit allen Richtlinienpaketen begonnen, die mit diesem Objekt verknüpft sind. Dann wird im Baum aufwärts nach mit Gruppenobjekten verknüpften Richtlinienpaketen und dann nach mit Containern verknüpften Richtlinienpaketen gesucht (vorausgesetzt, die Suche beginnt beim Blattobjekt und wird in Richtung des Stamms durchgeführt).

Auflösung von Paketverknüpfungen zur Bestimmung von wirksamen Richtlinien

Da Desktop Management-Richtlinien durch Richtlinienpaketverknüpfungen eine Verwaltung nach Ausnahmen enthalten, setzt eine niedrigere Paketverknüpfung eine höhere Paketverknüpfung außer Kraft. Anders ausgedrückt: Ein mit einem Benutzerobjekt verknüpftes Paket setzt alle vergleichbaren Einstellungen in einem Paket außer Kraft, das mit dem Containerobjekt des Benutzers verknüpft ist.

Die folgende Abbildung veranschaulicht die Verknüpfung von Richtlinienpaketen:

Abbildung 10-1 Verzeichnisbaum mit Richtlinienpaketverknüpfungen

In dieser Abbildung enthält das Benutzerpaket 1 beispielsweise drei aktivierte Richtlinien: "Desktop-Standardeinstellungen für Windows", "Inventar" und "Fernsteuerung". Das Benutzerpaket  2 enthält eine aktivierte Richtlinie: "Desktop-Standardeinstellungen für Windows". Die Einstellungen der Richtlinie "Desktop-Standardeinstellungen für Windows" im Benutzerpaket 2 setzen die vergleichbaren Richtlinieneinstellungen für das Benutzerobjekt im Benutzerpaket 1 außer Kraft.

Die wirksamen Richtlinien für den Benutzer sind die Richtlinie "Desktop-Standardeinstellungen für Windows" im Richtlinienpaket 2 und die Inventarrichtlinien und Fernsteuerungsrichtlinien im Richtlinienpaket 1. Die Registerkarte Verknüpfungen für dieses Benutzerobjekt enthält die Richtlinie im Benutzerpaket 2, die aktiviert wurde. Die beiden aktivierten Richtlinien im Benutzerpaket 1 sind außerdem in der Registerkarte Verknüpfungen des Benutzerobjekts aufgeführt. Anders ausgedrückt: Wirksame Richtlinien sind die Summe aller aktivierten Richtlinien in allen Richtlinienpaketen, die direkt oder indirekt mit einem Objekt verknüpft sind.

Erweiterbare Richtlinien

Sie können mit einer erweiterbaren Richtlinie in jedem mit Windows kompatiblen Softwareprogramm beliebige Anwendungsfunktionen steuern, die in der Windows-Registrierung konfiguriert sind. Mit Desktop Management können Sie erweiterbare Richtlinien einfach und schnell über das Netzwerk anpassen und einrichten. So werden die Richtlinien speziell auf Ihr Unternehmen abgestimmt.

Unter Windows XP werden erweiterbare Richtlinien nicht unterstützt. Verwenden Sie Windows-Gruppenrichtlinien, um Richtlinien für Windows XP-Computer zu konfigurieren. Darüber hinaus empfiehlt es sich, für Windows 2000 oder eine neuere Windows-Version anstelle erweiterbarer Richtlinien Windows-Gruppenrichtlinien zu verwenden. Für die Windows 9.x-Plattformen sollten weiterhin erweiterbare Richtlinien verwendet werden.

Weitere Informationen hierzu finden Sie in Abschnitt 15.2.1, Erweiterbare Richtlinien.