Gruppenrichtlinien
Aus Doku-Wiki
Zur Navigation springenZur Suche springenInhaltsverzeichnis
Gruppenrichtlinien
GP aktualisieren
Wie kann ich erreichen, daß meine getroffenen Einstellungen auf dem Client sofort wirksam werden?
- Website zu Gruppenrichtlinien
- Unter Windows 2000 für den Benutzer:
secedit /refreshpolicy user_policy /enforce
- Unter Windows 2000 für den Computer:
secedit /refreshpolicy machine_policy /enforce
- Unter Windows XP für den Benutzer:
gpupdate /target:user /force /wait:0
- Unter Windows XP für den Computer:
gpupdate /target:computer /force /wait:0
Bereitstellen und Aktualisieren von Software
Sie können Software auf Remotecomputern in verwalteten Umgebungen mithilfe der Gruppenrichtlinie Softwareinstallation bereitstellen und aktualisieren, um Windows Installer-Pakete zuzuweisen. Windows Installer-Pakete werden innerhalb eines Gruppenrichtlinienobjekts bereitgestellt und verwaltet, das wiederum einem bestimmten Active Directory-Container zugeordnet ist, also einem Standort, einer Domäne oder einer Organisationseinheit. Zum Installieren, Aktualisieren oder Verwalten einer Anwendung auf einem lokalen Computer können Sie in der Systemsteuerung die Option Software verwenden. Sie können auch die Remotedesktopverbindung verwenden, um eine Anwendung mithilfe der Option Software auf einem Remotecomputer zu installieren oder zu aktualisieren. Weitere Informationen finden Sie unter Software (Übersicht) und Remotedesktopverbindung. Zu den am häufigsten ausgeführten Aufgaben zählen das Bereitstellen von Software auf Remotecomputern, das Aktualisieren von Software auf Remotecomputern und das Installieren oder Aktualisieren von Software auf einem lokalen Computer.
Software über Gruppenrichtlinie installisieren
So stellen Sie Software auf Remotecomputern bereit
1.
- Öffnen Sie den Gruppenrichtlinienobjekt-Editor.
2.
- Führen Sie einen der folgenden Schritte aus: --- Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, um Softwareanwendungen zu Computern zuzuweisen. --- Doppelklicken Sie in der Konsolenstruktur auf Benutzerkonfiguration, um Softwareanwendungen für Benutzer zuzuweisen oder zu veröffentlichen.
3.
- Doppelklicken Sie auf Softwareeinstellungen, und klicken Sie dann auf Softwareinstallation. - Gruppenrichtlinienobjekt/Computerkonfiguration oder Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation
4.
- Klicken Sie mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu, und klicken Sie dann auf Paket.
5.
- Klicken Sie auf das zuzuweisende Windows Installer-Paket, und klicken Sie dann auf Öffnen.
6.
- Klicken Sie im Dialogfeld Software bereitstellen auf Zugewiesen. --- Hinweise ----- Um dieses Verfahren abschließen zu können, müssen Sie als Mitglied der Sicherheitsgruppe Domänenadministratoren, Organisationsadministratoren oder Richtlinien-Ersteller-Besitzer angemeldet sein. ----- Die Gruppenrichtlinie Softwareinstallation ist auf Computern unter Windows 2000, Windows XP Professional sowie unter der Windows Server 2003-Produktfamilie in einer Active Directory-Umgebung verfügbar. ----- Wenn Sie die Gruppenrichtlinie Softwareinstallation verwenden möchten, müssen Sie ein neues Gruppenrichtlinienobjekt erstellen oder ein bereits vorhandenes Gruppenrichtlinienobjekt für einen Standort, eine Domäne oder Organisationseinheit bearbeiten. Sie können ein Gruppenrichtlinienobjekt auch mit einem Standort, einer Domäne oder einer Organisationseinheit in Active Directory-Benutzer und -Computer oder in Active Directory-Standorte und -Dienste verknüpfen. Weitere Informationen zu Möglichkeiten zum Öffnen des Gruppenrichtlinienobjekt-Editors finden Sie unter Gruppenrichtlinie. ----- Im Lieferumfang vieler Softwareanwendungen sind Windows Installer-Pakete (MSI-Dateien) enthalten. Weitere Informationen finden Sie in der Dokumentation des Softwareherstellers.
Software über Gruppenrichtlinie aktualisieren
So aktualisieren Sie Software auf Remotecomputern
1.
Öffnen Sie den Gruppenrichtlinienobjekt-Editor.
2.
- Führen Sie einen der folgenden Schritte aus: - Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, um Softwareanwendungen auf Remotecomputern zu aktualisieren. - Doppelklicken Sie in der Konsolenstruktur auf Benutzerkonfiguration, um Softwareanwendungen für Benutzer zu aktualisieren.
3.
- Doppelklicken Sie auf Softwareeinstellungen, und klicken Sie dann auf Softwareinstallation. -- Position: Gruppenrichtlinienobjekt/Computerkonfiguration oder Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation
4.
- Klicken Sie mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu, und klicken Sie dann auf Paket.
5.
- Klicken Sie auf das Windows Installer-Paket, das als Aktualisierungspaket dienen soll, und klicken Sie dann auf Öffnen.
6.
- Klicken Sie im Dialogfeld Software bereitstellen auf Zugewiesen.
7.
- Klicken Sie im Detailfenster mit der rechten Maustaste auf das Windows Installer-Paket, das als Update dienen soll (nicht auf das zu aktualisierende Paket).
8.
- Klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Aktualisierungen.
9.
- Mit Hinzufügen können Sie eine Liste der Pakete erstellen oder hinzufügen, die mithilfe des aktuellen Pakets aktualisiert werden sollen.
10.
- Klicken Sie unter Paket wählen vom auf Aktuelles Gruppenrichtlinienobjekt oder auf Spezielles Gruppenrichtlinienobjekt als Quelle für das zu aktualisierende Paket. Wenn Sie ein spezielles Gruppenrichtlinienobjekt wählen, klicken Sie auf Durchsuchen, und klicken Sie dann auf das gewünschte Gruppenrichtlinienobjekt.
11.
- Unter Zu aktualisierendes Paket wird eine Liste aller anderen Pakete aufgeführt, die mit dem ausgewählten Gruppenrichtlinienobjekt zugewiesen oder veröffentlicht wurden. Diese Liste kann keinen oder mehrere Einträge umfassen, abhängig vom Gruppenrichtlinienobjekt.
12.
- Klicken Sie auf das zu aktualisierende Paket, und führen Sie dann eine der folgenden Aktionen aus: - Klicken Sie auf Bestehendes Paket deinstallieren, Aktualisierungspaket installieren, um eine Anwendung durch eine ganz andere Anwendung zu ersetzen. - Klicken Sie auf Paket kann über das vorhandene Paket aktualisieren, um eine neuere Version desselben Produkts zu installieren und gleichzeitig die Benutzereinstellungen für die Anwendung beizubehalten.
13.
- Aktivieren Sie auf der Registerkarte Aktualisierungen das Kontrollkästchen Vorhandene Pakete aktualisieren, wenn die Aktualisierung obligatorisch sein soll. Wenn diese Aktualisierung in der Konsolenstruktur der Gruppenrichtlinien unter Computerkonfiguration erfolgt, wird das Kontrollkästchen abgeblendet und aktiviert dargestellt, weil Pakete nur zu Computern zugewiesen werden können, eine Veröffentlichung ist jedoch nicht möglich. -- Hinweise --- Um dieses Verfahren abschließen zu können, müssen Sie als Mitglied der Sicherheitsgruppe Domänenadministratoren, Organisationsadministratoren oder Richtlinien-Ersteller-Besitzer angemeldet sein. --- Die Gruppenrichtlinie Softwareinstallation ist auf Computern unter Windows 2000, Windows XP Professional sowie unter der Windows Server 2003-Produktfamilie in einer Active Directory-Umgebung verfügbar. --- Wenn Sie die Gruppenrichtlinie Softwareinstallation verwenden möchten, müssen Sie ein neues Gruppenrichtlinienobjekt erstellen oder ein bereits vorhandenes Gruppenrichtlinienobjekt für einen Standort, eine Domäne oder Organisationseinheit bearbeiten. Sie können ein Gruppenrichtlinienobjekt auch mit einem Standort, einer Domäne oder einer Organisationseinheit in Active Directory-Benutzer und -Computer oder in Active Directory-Standorte und -Dienste verknüpfen. Weitere Informationen zu Möglichkeiten zum Öffnen des Gruppenrichtlinienobjekt-Editors finden Sie unter Gruppenrichtlinie. --- Im Lieferumfang vieler Softwareanwendungen sind Windows Installer-Pakete (MSI-Dateien) enthalten. Weitere Informationen finden Sie in der Dokumentation des Softwareherstellers.
ADM-Files
Speicherort der ADM-Vorlagen
\%systemroot%\inf
Einbinden Eigener ADM-Vorlagen
Originaldokumentation Microsoft
ADM-Vorlage: Update auf IE 7.0 verhindern
ADM-Vorlage von Microsoft CLASS MACHINE CATEGORY !!CAT_WindowsComponents CATEGORY !!CAT_WindowsUpdate CATEGORY !!CAT_Blockers POLICY !!NoUpdate #if version >= 4 SUPPORTED !!SUPPORTED_WindowsXPServer03 #endif EXPLAIN !!NoUpdate_Explain KEYNAME "SOFTWARE\Microsoft\Internet Explorer\Setup\7.0" VALUENAME "DoNotAllowIE70" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY END CATEGORY END CATEGORY END CATEGORY [strings] CAT_WindowsComponents="Windows Components" CAT_WindowsUpdate="Windows Update" CAT_Blockers="Automatic Updates Blockers" NoUpdate="Do not allow delivery of Internet Explorer 7 through Automatic Updates" NoUpdate_Explain="If you enable this policy you will disable delivery of Internet Explorer 7 through Automatic Updates.\n\nInternet Explorer 7 includes important security improvements, so Microsoft strongly recommends that customers deploy this update as soon as possible.\n\nHowever, this policy setting allows organizations not using Systems Management Server (SMS), Software Update Services (SUS) or another update management solution and needing more time to plan the rollout of the Internet Explorer 7 to disable the delivery through Automatic Updates.\n\nThis policy setting does not prevent installation of Internet Explorer 7 through other mechanisms such as SMS, SUS, product disk and so on.\n\nIf you disable or do not configure this policy setting, Internet Explorer 7 will be available as an update through Automatic Updates.\n\nNOTE: This setting does not disable Automatic Updates or access to Windows Update. Nor does it prevent delivery of updates other than Internet Explorer 7 through Windows Update or Automatic Updates." SUPPORTED_WindowsXPServer03="At least Microsoft Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1"
Gruppenrichlinien Client
Auf einem PC lassen sich die aktuell gültigen Gruppenrichtlinien mit folgendem Befehl aufrufen:
rsop.msc
Remote Desktop aktivieren
- Firewall freischalten
Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) > Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil > „Windows Firewall: Eingehende Remotedesktopausnahmen zulassen“ öffnen, den Punkt auf „Aktiviert“ setzen und ein * in das Eingabefeld eingeben um von allen IP-Adressen auf die Clients verbinden zu können.
- Remotedesktop Anmeldung zulassen
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden über Remotedesktopdienste zulassen (Anmelden über Terminaldienste zulassen)
- Benutzer für Remotedesktop Anmeldung hinzufügen
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden über Remotedesktopdienste zulassen öffnen, dann bei „Diese Richtlinieneinstellungen definieren“ ein Haken setzen und mit dem Button „Benutzer oder Gruppe hinzufügen …“ die Benutzer oder Gruppen hinzufügen.