19.04.2023

Gruppenrichtlinien

Active Directroy Export Import
Active Directroy Schema
Offline Defragmentierung der Verzeichnisdatenbank (NTDS.DIT)
Nichtautorisierte Wiederherstellung der Verzeichnisdatenbank
Autorisierte Wiederherstellung der Verzeichnisdatenbank
umbenennen des Active Directory Domain Controller
DNS Server einrichten
DNS-Namen mit einfacher Bezeichnung
Active Directory® auf Betriebssystemupgrade vorbereiten (ADPREP)
Active Directory® auf neuen DC migrieren
Active Directory® auf einem DC deinstallieren/bereinigen
Active Directory® auf einem DC reparieren
Active Directory® Papierkorb aktivieren
DFS-Replikation mit Fehlerbehebung
einen DFS Stamm nach umbenennen des Servers löschen
Nach einer Rücksicherung von SYSVOL Replikation der DCs wieder aufnehmen
Active Directory Benutzer/Objekte wiederherstellen
Gruppenrichtlinien
Zertifizierungsstelle
Active Directory Server Grundeinrichtung
Managed Service Account (MSA) und Group Managed Service Account (GMSA)
Active Directory testen
sonstiges

Navigation:

Links:
Administrative Templates (.admx) for Windows 8 und Server 2012
Administrative Templates (.admx) for Windows 8.1 und Server 2012 R2
Administrative Templates (.admx) for Windows 10
Group Policy Administrative Templates Catalog
GPSearch
Gruppenrichtlinien.de

Ordner Path Beschreibung
Ablage der .admx .adml Dateien für die Gruppenrichtlinie
%WinDir%\PolicyDefinitions Lokale Ablage der Gruppenrichtliniendefinitionsdateien
C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions
oder
\\<Server>\SYSVOL\<Domain>\Policies		 Zentrale Ablage der Gruppenrichtliniendefinitionsdateien

Zentralen Speicher für GPOs erstellen

den Ordner %WinDir%\PolicyDefinitions nach \\<Server>\SYSVOL\<Domain>\Policies kopieren

 

Seitenanfang

GPO Update

Gruppenrichtlinien manuell aktualisieren, mit target wird angegeben ob Computereinstellungen oder Benutzereinstellungen aktualisiert werden sollen, es wird nicht der ZielPC angegeben. GPUPDATE kann nur lokal ausgeführt werden.

gpupdate /target:computer
gpupdate /target:user
gpupdate /force

Unter W2k und WinXP SP1 gibt es ein Problem mit gpedit, es kann nur Strings mit 255 Zeichen verarbeiten. Fehlermeldung "Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten." MS-Patch für GPEdit

Seitenanfang

TerminalServer GPOs

Zielstellung

Gruppenrichtlinie für TerminalServer Benutzer, die keine Auswirkung für die Benutzer hat, wenn diese sich an ihrem lokalen Arbeitsplatz anmelden. Die Einstellung die unter Benutzerkonfiguration konfiguriert ist, soll keine Auswirkungen auf die Administratoren des TerminalServers haben.

Vorraussetzungen

- TerminalServer ist MemberServer in einer Domain
- GPO bearbeiten, Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Gruppenrichtlinien | Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert

Mögliche Modies
Ersetzen - TerminalServer GPO ersetzt die Standard GPO des Users
Zusammenführen - Standard GPO des Users wird mit der TerminalServer GPO zusammengeführt, bei Konflikten gewinnten die Einstellungen der TerminalServer GPO

Hinweis: als Modus sollte Ersetzen gewählt werden.

Der Loopbackverarbeitungsmodus sorgt dafür, das die GPO des Terminalservers Vorrang vor der Standard GPO des Benutzers hat.

- Wenn für das AD-Benutzerkonto ein Servergespeichertes Benutzerprofil aktiviert wurde, die aber bei einem TerminalServer lokal gespeichert werden soll, muss in der GPO des Terminalservers noch folgende Einstellungen aktivert werden.
Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerprofile
Nur lokale Benutzerprofile zulassen = aktivieren

Einstellungen die getroffen werden müssen

- eine Globale Gruppe mit allen TerminalBenutzern erstellen, aber ohne Administratoren.
- Sicherheit der GPO einstellen
Gruppe Authentifizierte Benutzer entfernen
Computerkonto des TerminalServers und der Globalen Gruppe der TerminalBenutzer das Recht Lesen und Gruppenrichtlinien übernehmen erteilen.
Gruppe Domain-Admins nicht das Recht Gruppenrichtlinie übernehmen zuteilen
Gruppe TerminalServerBenutzer (ist eine Standardgruppe von Windows) nicht das Recht Gruppenrichtlinie übernehmen zuteilen, da die Administratoren hier auch Mitglied sind, wenn sie sich anmelden.

Die Einstellung die unter Computerkonfiguration getroffen werden, gelten auch für die Administratoren, die Einstellung unter Benutzerkonfiguration werden nur von den Nutzern der Gruppe TerminalBenutzern übernommen.

Beispiel für Win2008 R2

Benutzerkonfiguration | Einstellungen | Windows-Einstellungen | Registrierung

- Desktop Hintergrundfarbe

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="70 70 70"

- Aero Snap deaktivieren

[HKEY_CURRENT_USER\Control Panel\Desktop]
"WindowArrangementActive"="0"

- Desktop Icon auf Kleine Symbole setzen

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags\1\Desktop]
"IconSize"=dword:00000020

- Suchlistenanbieter festlegen
RegDatei erstellen und Importieren

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FE4259F3-3E70-413A-8847-A8E96F1D3FC4}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"DisplayName"="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"TopResultURLFallback"="http://www.bing.com/search?q={searchTerms}&src=ie9tr"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\SearchScopes\{FE4259F3-3E70-413A-8847-A8E96F1D3FC4}]
"DisplayName"="Google"
"URL"="http://www.google.com/search?q={searchTerms}&amp;sourceid=ie7&amp;rls=com.microsoft:{language}:{referrer:source}&amp;ie={inputEncoding?}&oe={outputEncoding?}"
"ShowSearchSuggestions"=dword:00000001
"SuggestionsURL"="http://clients5.google.com/complete/search?q={searchTerms}&hl=de&gl=de&client=ie8&mw={ie:maxWidth}&sh={ie:sectionHeight}&rh
={ie:rowHeight}&inputencoding={inputEncoding}&outputencoding={outputEncoding}"
"OSDFileURL"="http://www.iegallery.com/DownloadHandler.ashx?ResourceId=14627"
"FaviconURL"="http://www.google.com/favicon.ico"

GPO unter Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Internet Explorer
Der Suchanbieterliste des Benutzers eine spezielle Suchanbieterliste hinzufügen: aktivieren

Benutzerkonfiguration | Einstellungen | Windows-Einstellungen | Registrierung

Struktur:	HKEY_CURRENT_USER
Schlüssel:	Software\Microsoft\Internet Explorer\SearchScopes
Name:		DefaultScope
Werttyp:	REG_SZ
Wertdaten:	{FE4259F3-3E70-413A-8847-A8E96F1D3FC4}

Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Internet Explorer
Konfiguration des Popupverhaltens bei der Registernavigation deaktivieren: aktivieren
Konfiguration der Fensterwiederverwendung deaktivieren: aktivieren

Benutzerkonfiguration | Einstellungen | Systemsteuerungseinstellungen | Interneteinstellungen

GPO IE9 administrative Vorlage

%WinDir%\PolicyDefinitions\inetres.admx

- Internet Explorer 9 Sprachdatei

%WinDir%\PolicyDefinitions\LCID\inetres.adml

- Explorer Ordneroptionen vorgeben

Benutzerkonfiguration | Einstellungen | Systemsteuerungseinstellungen | Ordneroptionen

Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | Systemsteuerung | Anpassung
Bestimmten visuellen Stil oder "Windows - klassisch" erzwingen: aktivieren

%windir%\Resources\Ease of Access Themes\classic.theme

Startmenü Terminalserver konfigurieren

- mit der Powershell das Startmenü des aktuellen Benutzers exportieren

Export-StartLayout -Path \\Server\Freigabe\StartLayout.xml -As XML

Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | Startmenü und Taskleiste
Startseitenlayout = aktivieren
Startlayoutdatei
C:\Users\StartLayout.xml

Der Benutzer muss mind. Leserechte auf die Datei haben, das er diese anwenden kann.
Nach dem definieren der Richtlinie, kann der Benutzer das Startmenü nicht mehr ändern.

Blog Artikel Startmenü für den Neutzer änderbar

Seitenanfang

ADM / ADMX importieren

ADM Import (bis Server 2003 R2)

Gruppenrichtlinieneditor öffnen, Administrative Vorlagen markieren, Vorlage hinzufügen/entfernen wählen.

Neue Vorlagen werden unter %systemroot%\Inf\*.adm abgelegt.

ADMX Import (ab Server 2008)

Download der Vorlagen unter dem Link oben auf der Seite, Administrative Templates (.admx) for Windows X. Installation erfolgt dann unter C:\Windows.

Gruppenrichtlinienvorlagen, Ablage unter folgenden Path.

%systemroot%\PolicyDefinitions\*.admx
%systemroot%\PolicyDefinitions\de-DE\*.adml

 

Seitenanfang

Umleiten von Standard OUs

MS KB Artikel

- Umleiten von "CN=Users" zu einer vom Administrator festgelegten Organisationseinheit

redirusr OU=Benutzer,OU=_Firma,DC=<Domain>,DC=zz

- Umleiten von "CN=Computers" zu einer vom Administrator festgelegten Organisationseinheit

redircmp OU=Computer,OU=_Firma,DC=<Domain>,DC=zz

Die Struktur der Domain kann man sich mit Adsiedit.msc oder ldp.exe anzeigen lassen

Im Attribut WellKnownObjects im Root der Domain, sind die Standardspeicherorte, gelöschte Objekte u.a. hinterlegt.

ldp.exe ausführen
Verbindung | Verbinden...
Server: <Servername>
Port: 389
Ohne Verbindung: Deaktiviert

Verbindung | Binden...
Benutzername: Administrator
Kennwort: ***
Domain: domain.zz
Bindung mit Anmeldeinformationen: Aktiviert

Ansicht | Struktur
Basis-DN: DC=domain,DC=zz

Das Attribut wellKnownObjects

A9D1CA15768811D1ADED00C04FD8D5CD - Standardordner für User
AA312825768811D1ADED00C04FD8D5CD - Standardordner für Computer der Domain
18E2EA80684F11D2B9AA00C04F79F805 - gelöschte Objekte

Beispiel nach gelöschten Objekten suchen
Durchsuchen | Suchen
Basis-DN: <WKGUID=18E2EA80684F11D2B9AA00C04F79F805,dc=<domain>,dc=zz>
Filter: (objectClass=*)
Bereich: Unterstruktur
Attribute: *
Optionen | Steuerelemente
Objektkennung: 1.2.840.113556.1.4.417
Wert:
Steuerelementtyp: Server
Kritisch: Deaktiviert

Einchecken >> anklicken, dannach Ok

Zeitlimit: 60
Größenlimit: 0
Seitengröße: 0
Such-Aufruftyp: Erweitert
Nur Attribute: Deaktiviert
Verweise nachverfolgen: Deaktiviert
Ergebnisse anzeigen: Aktiviert

Seitenanfang

GPO Grundausstattung einer Domain

Voraussetzung, am einfachsten erstellt man im AD eine OU für die Firma, darin eine OU für Benutzer, Computer und Gruppen. Der OU Firma ordnet man dann die GPO Verknüpfungen zu. Die Computer der Domain müssen dann noch aus der OU Computers der Würzel in die OU Firma\Computer verschoben werden, das die Richtlinien die der Computerkonfiguration zugeordnet sind greifen können.

- Domain-Struktur anlegen (Powershell)

###############################################################
# AD-Structur.ps1
# erstellt die AD Struktur
###################
# Variablen
###################
$Domain = "DC=domain,DC=zz"
Import-Module ActiveDirectory
###################
NEW-ADOrganizationalUnit "_Firma" -path "$Domain"
NEW-ADOrganizationalUnit "Benutzer" -path "OU=_Firma,$Domain"
NEW-ADOrganizationalUnit "Computer" -path "OU=_Firma,$Domain"
NEW-ADOrganizationalUnit "Gruppen"  -path "OU=_Firma,$Domain"
###################
# Umleitung der Standard OUs
###################
redirusr "OU=Benutzer,OU=_Firma,$Domain"
redircmp "OU=Computer,OU=_Firma,$Domain"
#
# Ende des Scripts
###############################################################

_Firma
|-- Benutzer
|-- Computer
|-- Gruppen

Rechte auf GPO für eine Gruppe setzen

Wenn man in der Gruppenrichtlinienverwaltung eine GPO nur für eine bestimmte Benutzergruppe zuweisen möchte, muss man die Gruppe unter Sicherheitsfilter hinzufügen und die Gruppe der "DomänenComputer". Die GPO kann nur zugewiesen werden, wenn auch der Computer auf diese GPO Zugriff hat.
Das gilt nicht, wenn es die Gruppe der "Authentifizierten Benutzer" ist. Diese Gruppe kann Solo zugeordnet werden.

Netzwerkerkennung aktivieren

zeigt alle Clients in der Netzwerkumgebung an

- bis WinXP

netsh firewall set service type=fileandprint mode=enable profile=all

- ab Vista

netsh advfirewall firewall set rule group=Netzwerkerkennung new enable=yes

 

Seitenanfang

GPO Scripte ausführen

Domain An-, Abmeldezeit speichern

GPO Benutzerkonfiguration | Richtlinien | Windows-Einstellungen | Skripts (Anmelden/Abmelden)
Speicherort der Scripte am besten unter \\Server\SYSVOL\Domain.tld\scripts

@REM UserLogIn.bat
@echo off
FOR /F %%a in ('time/T') do set zeit=%%a
ECHO Anmeldung: %username% %computername% %date% %zeit% >> \\Server\Freigabe\Login.txt
@REM UserLogOut.bat
@echo off
FOR /F %%a in ('time/T') do set zeit=%%a
ECHO Abmeldung: %username% %computername% %date% %zeit% >> \\Server\Freigabe\Logout.txt

 

Seitenanfang

GPO Zertifikate verteilen

- Zentrales Zertifikat der CA in der Domain verteilen

Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für öffentlicher Schlüssel | Vertrauenswürdige Stammzertifizierungsstellen

 

Seitenanfang

Fehlersuche

- Report erstellen, welche GPOs werden auf Rechner/Computer abgearbeitet

gpresult /H report.html

- Report in der Eingabeaufforderung ausgeben, Report für einen bestimmten User erstellen

gpresult /r
GPRESULT /User Domain\User /Z

- Gruppenrichtlinien Änderungen übernehmen und PC neu starten

gpupdate /sync /boot

 

RSOP.MSC

 

Seitenanfang

sonstiges

auf Dateien/Links oder Verzeichnisse Zugriffsrechte setzen
Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Dateisystem

Aktionen auf Dateien ausführen (erstellen, ersetzen, aktualisieren, löschen)
Computerkonfiguration | Einstellungen | Windows-Einstellungen | Dateien
Benutzerkonfiguration | Einstellungen | Windows-Einstellungen | Dateien

%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\System Tools\Windows PowerShell.lnk
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk
%USERPROFILE%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows PowerShell.lnk
%USERPROFILE%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Server Manager.lnk

Fehlermeldung beim Zugriff als Terminalserver Benutzer auf eine Freigabe

Der Zugriff auf die Ressource XXX wurde gesperrt

unter Verwaltung | Gruppenrichtlinienverwaltung | GPO des Terminalservers bearbeiten
Benutzerkonfiguration | Administrative Vorlagen | Startmenü und Taskleiste
Menüeintrag “ Ausführen” aus dem Menü “Start” entfernen auf deaktiviert setzen.

Script unter einem anderen Userkontext ausführen

PSEXEC

@echo off
if %1.==. goto ENDE
psexec.exe -u <user> -p <passwort> %1
:ENDE

Syntax

psexec.exe \\Remotecomputer -u Kennung  -p Kennwort  auszuführende_Routine

weitere Produkte:
RunasSpc
Steel RunAs

PsPasswd - zum ändern von Passwörtern auf Remotecomputer

automatische Upgrades auf Windows 10 deaktivieren

KB3080351 - Verwalten von Benachrichtungs- und Upgradeoptionen für Windows 10
KB3035583 - Das Update installiert die App Get Windows 10 in Windows 8.1 und Windows 7 SP1

Computerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Windows-Update
"Turn off the upgrade to the latest version of Windows through Windows Update" aktivieren

um im Netzwerk ein Upgrade auf Windows 10 zu verhindern.

Unterschlüssel: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DWORD-Wert: DisableOSUpgrade = 1

Fehlermeldung, nach dem Einspielen der Windows 10 ADMX Erweiterung

Namespace 'Microsoft.Policies.Sensors.WindowsLocationProvider' ist bereits als den Zielnamespace für eine andere Datei im Speicher definiert.

Lösung: folgende Dateien umbenennen in z.B. .bak

%systemroot%\PolicyDefinitions\microsoft-windows-geolocation-wlpadm.admx
%systemroot%\PolicyDefinitions\de-DE\microsoft-windows-geolocation-wlpadm.adml

Fehlermelung am Client unter Win10 Build 1607

Bei aktivierten servergespeicherten Benutzerprofile erscheint folgende Fehlermeldung:
Keine Anmeldung beim Konto möglich

Gruppenrichtlinien | Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerprofile
Zwischengespeicherte Kopien von servergespeicherten Profilen löschen: Deaktiviert
vieleicht auch noch unter Win10
Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen: 5