Gruppenrichtlinien mit Longhorn und Vista

  • Article

Zurzeit bin ich in Deutschland mit dem TechNet Seminar Gruppenrichtlinien mit Windows Vista und Windows Server "Longhorn" unterwegs. Im Rahmen des Seminars erkläre ich die Grundlagen von Gruppenrichtlinien sowie die Neuerungen, die mit Windows Vista kommen. Windows Server "Longhorn" selbst ist dabei keine Voraussetzung für die neuen Funktionen - sie lassen sich auch in Netzen mit Domänencontrollern basierend auf Windows 2000 Server oder Windows Server 2003 (R2) anwenden.

Die Infrastruktur der Gruppenrichtlinien wurde mit Windows Vista grundlegend aktualisiert. Die Abarbeitung erfolgt jetzt in einem eigenen Gruppenrichtliniendienst. Weitere Neuerungen sind eine verbesserte Netzwerk-Awareness, die Möglichkeit des Einsatzes multipler lokaler Gruppenrichtlinienobjekte für Umgebungen ohne Active Directory, eine verbesserte Fehlermeldung und Problembehandlung sowie die Ablösung des Formats bisheriger Gruppenrichtlinienvorlagedateien.

Gruppenrichtliniendienst

Vor Windows Vista wurden Gruppenrichtlinien vom Winlogon-Dienst verarbeitet. In Windows Vista gibt es jetzt einen eigenen Gruppenrichtliniendienst, der eine sicherere und zuverlässigere Anwendung von Gruppenrichtlinien gewährleistet. Dieser Dienst ist zusätzlich gehärtet, so dass er auch nicht von lokalen Administratoren gestoppt oder ausgeschaltet werden kann und wird automatisch neu gestartet, wenn er unplanmäßig beendet wird.

Netzwerk-Awareness

Frühere Windows-Versionen ermittelten über ICMP-Pakete (Ping) die Geschwindigkeit der Anbindung sowie die Verfügbarkeit eines Domänencontrollers. Dieser Ansatz ist in der Praxis manchmal problematisch, da zum Teil Administratoren ICMP auf den internen Routern deaktiviert haben oder ICMP-Pakete >1kb filtern. Weiterhin ist die Berechnung der Leitungsbandbreite aufgrund der Laufzeiten von großen und kleinen Ping-Paketen für Verbindung über High-Latency-Links (zum Beispiel via Satellit) unzuverlässig. Darüber hinaus stellen Computer mit Windows Vista sowie mobile Clients ein Problem dar, da sie Ruhezustand und Standbymodus anstelle des physikalischen Ausschaltens benutzen. Weiterhin wurden Gruppenrichtlinien nicht auf Clients angewendet, die sich über ein VPN einwählen.

Der Gruppenrichtliniendienst unter Windows Vista setzt jetzt auf Network Location Awareness 2.0 (NLA v2) auf. NLA sendet immer dann eine Benachrichtigung an den Gruppenrichtliniendienst, wenn ein Domänencontroller verfügbar ist. In einem solchen Fall wird die Gruppenrichtlinie bei Bedarf aktualisiert, unabhängig über welche Verbindung der Client mit dem Netzwerk verbunden ist.

Multiple lokale Gruppenrichtlinienobjekte

Bisher konnte auf lokalen Computern, die zum Beispiel als Kiosk konfiguriert werden sollen und kein Mitglied einer Active Directory-Domäne waren, nur ein lokales Gruppenrichtlinienobjekt benutzt werden. Damit wirken sich Einschränkungen auf alle Benutzer und Administratoren aus, die diesen Computer verwenden. Unter Windows Vista können jetzt mehrere lokale Gruppenrichtlinienobjekte basierend auf Gruppenrichtlinienobjektschichten eingesetzt werden. Diese Fähigkeit wird wahrscheinlich hauptsächlich auf Systemen eingesetzt, die nicht in einer Active Directory-Domäne zusammengefasst sind. Aber auch Benutzer in Unternehmensumgebungen werden u. U. von dieser Funktion profitieren.

Die neuen Funktionen zur Unterstützung multipler lokaler Gruppenrichtlinienobjekte basiert auf Schichten. Die erste Schicht stellt das lokale Standardgruppenrichtlinienobjekt dar, welches für den Kontext des lokalen Computersystems gilt. Seine Computer- und Benutzereinstellungen betreffen alle Benutzer des Systems. Zusätzlich gibt es eine zweite Schicht, welche entweder die Mitglieder der Gruppe der lokalen Administratoren oder die Gruppe der Benutzer auf dem lokalen System (Non-Admins) behandelt. Diese Schicht ermittelt, ob es sich beim Benutzer um einen lokalen Administrator oder einen einfachen Benutzer handelt und wendet das entsprechende Gruppenrichtlinienobjekt (entweder Admin oder Non-Admin) an. Darüber hinaus existiert eine dritte Schicht, welche ein Gruppenrichtlinienobjekt für ein lokales Benutzerkonto mit einem bestimmten Namen definiert.

Sobald der Computer allerdings Mitglied einer Active Directory-Domäne wird, haben die zentralen Richtlinien aus dem Active Directory Vorrang vor den lokalen Richtlinien. Domänenadministratoren können die gesamte Verarbeitung der lokalen Gruppenrichtlinienobjekte unter Windows Vista auch zentral ausschalten.

Fehlermeldungen und Problembehandlung

Mit Windows Vista wurde für die Fehlermeldungen und Problembehandlung vor allem das Ereignisprotokollsystem grundlegend überarbeitet. Der Gruppenrichtliniendienst nutzt das neue Ereignisprotokoll (Windows Eventing 6.0) und schreibt seine Ereignisse in zwei besondere Protokolle: Das administrative Systemprotokoll speichert Probleme im Umgang mit Gruppenrichtlinien. Als Quelle steht dort jetzt der Gruppenrichtliniendienst und nicht mehr der Userenv-Prozess. Ein neues Protokoll für Anwendungen und Dienste speichert speziell für den Gruppenrichtliniendienst operative Ereignisse rund um die Gruppenrichtlinien. Dieses Protokoll ersetzt im Wesentlichen die Debugprotokollierung für die Benutzerumgebung (Userenv-Logging).

Neues Format der Gruppenrichtlinienvorlagedateien

Seit Windows NT 4.0 existieren als Grundlage für Gruppenrichtlinien sogenannte Definitionsvorlagen als ADM-Dateien. Diese Vorlagen bestimmen, was in der jeweiligen Gruppenrichtlinie unter Benutzerkonfiguration > Administrative Vorlagen und Computerkonfiguration > Administrative Vorlagen konfigurierbar ist. Vor Windows Vista wurden diese Definitionsvorlagen mit jedem Gruppenrichtlinienobjekt im SYSVOL gespeichert, was einen Overhead von ca. 4 MB pro Richtlinie ausmacht und beim Einsatz von vielen Gruppenrichtlinienobjekten zu vermehrtem Platzverbrauch sowie zu erhöhter Replikationslast führt. Darüber hinaus sind ADM-Dateien sprachabhängig und in einer Syntax und Semantik verfasst die sicher dem einen oder anderen obskur erscheint.

Mit Windows Vista werden die ADM-Dateien durch neue ADMX-Richtliniendefinitionsdateien abgelöst. ADMX-Dateien basieren auf XML und sind damit mit allen XML-Tools wie zum Beispiel XML Notepad 2007 erzeug- und bearbeitbar. So stellt Microsoft mit dem ADMX Migrator ein Tool von FullAmor kostenfrei zum Herunterladen zur Verfügung, welches das Erstellen von Vorlagen im neuen ADMX-Format für Windows Vista über eine einfache, grafische Benutzerschnittstelle erlaubt und neben der Hilfe beim Erstellen eigener Vorlagendateien für Gruppenrichtlinien auch eine Migration bestehender ADM-Dateien in das neue ADMX-Format anbietet.

Weiterhin sind ADMX-Dateien sprachneutral durch die Verbindung mit einer oder mehreren sprachspezifischen ADML-Dateien. Das ADMX-Format unterstützt die Ablage in einem zentralen Speicher, wodurch der Platzverbrauch und die Replikationslast minimiert werden kann. Dazu muss ein Domänenadministrator den zentralen Speicher einmal für jede Active Directory-Domäne im SYSVOL manuell erzeugen. Sobald der zentrale Speicher erreichbar ist, verwendet die Gruppenrichtlinienverwaltungskonsole unter Windows Vista diesen automatisch, um Gruppenrichtlinienobjekte zu erstellen und zu verwaltenden. Auch diese Funktion ist, wie schon oben geschrieben, unabhängig davon, ob die Domäne auf Windows Server "Longhorn", Windows Server 2003 oder Windows 2000 basiert.

Zum Umfang von Windows Vista gehören 132 ADMX-Dateien, welche die bisherigen ADM-Dateien vollständig ersetzen. Auf einem Windows Vista Computer befinden sich im Verzeichnis %WINDIR%\Inf keine ADM-Dateien mehr, so dass es auch zu keinen Problemen mit bisherigen Gruppenrichtlinienobjekten kommt, wenn man mit einem administrativen Windows Vista Client in einer bestehenden Domäne Gruppenrichtlinien administriert. Die neuen Vorlagedateien befinden sich in einem eigenen Verzeichnis %WINDIR%\PolicyDefinitions. Darunter existieren jeweils sprachabhängige Unterordner, die die sprachspezifischen Teile als ADML-Dateien enthalten.

Weitere Neuerungen

Zu den bisher mehr als 1.800 möglichen Registry-basierenden Richtlinieneinstellungen kommen mit Windows Vista ca. 1.000 neue Richtlinieneinstellungen hinzu. Diese Einstellungen finden sich in vielen schon bekannten sowie in einigen neuen Kategorien, die bisher nicht vorhanden waren oder nicht unter der Kontrolle der Gruppenrichtlinie standen. Dazu gehören die Netzwerkrichtlinie für verkabelte und drahtlose Netzwerke, die Windows Firewall und IPsec, die Druckverwaltung, die Desktop-Shell, Remoteunterstützung, Tablet-PC spezifische Einstellungen, die Verwaltung von Wechseldatenträgern, die Energieverwaltung, die Benutzerkontensteuerung (UAC), die Windows-Fehlerberichterstattung, der Netzwerkzugriffsschutz, Windows Defender und einige mehr.

Um Richtlinien mit den neuen Einstellmöglichkeiten erstellen oder bearbeiten zu können, muss ein Administrator diese Richtlinien von einem Computer mit Windows Vista (oder Windows Server "Longhorn") bearbeitet. Hier wird jetzt endlich standardmäßig die Gruppenrichtlinien-Verwaltungskonsole (GPMC),  benutzt. Bisher stand diese kostenfreie zum Herunterladen für Windows XP Clients und Windows Server 2003 zur Verfügung. In Windows Vista ist sie jetzt direkt integriert - erreichbar an der Windows Vista-Eingabeaufforderung über Start > Suchen > GPMC.MSC.

Für den Zeitrahmen der Veröffentlichung von Windows Server "Longhorn" sind weitere Verbesserungen für die Administration von Gruppenrichtlinien geplant, welche über ein Service-Pack oder andere Erweiterungsmechanismen auch für Windows Vista verfügbar gemacht werden. Drei wichtige Verbesserungsbereiche sind für die Zukunft schon festgelegt: Kommentare, Vorlagen sowie Such- und Filtermöglichkeiten.

Weitere Informationen

Zum Abschluss noch Links zu weiteren Informationen, auf die ich im Seminar hinweise oder die im Zusammenhang mit Gruppenrichtlinien und Windows Vista und Windows Server "Longhorn" stehen:

BTW: Wenn jemand Vorschläge, Verbesserungswünsche oder Feedback an das Produktteam weitergeben möchte - WindowsServerFeedback.com steht dafür rund um die Uhr zur Verfügung.