Gruppenrichtlinien

Aus Doku-Wiki
Zur Navigation springenZur Suche springen

Gruppenrichtlinien

GP aktualisieren

Wie kann ich erreichen, daß meine getroffenen Einstellungen auf dem Client sofort wirksam werden?

           secedit /refreshpolicy user_policy /enforce 
  • Unter Windows 2000 für den Computer:
           secedit /refreshpolicy machine_policy /enforce 
  • Unter Windows XP für den Benutzer:
           gpupdate /target:user /force /wait:0
  • Unter Windows XP für den Computer:
           gpupdate /target:computer /force /wait:0

Bereitstellen und Aktualisieren von Software

Sie können Software auf Remotecomputern in verwalteten Umgebungen mithilfe der Gruppenrichtlinie 
Softwareinstallation bereitstellen und aktualisieren, um Windows Installer-Pakete zuzuweisen. 
Windows Installer-Pakete werden innerhalb eines Gruppenrichtlinienobjekts bereitgestellt und verwaltet, 
das wiederum einem bestimmten Active Directory-Container zugeordnet ist, also einem Standort,  
einer Domäne oder einer Organisationseinheit. Zum Installieren, Aktualisieren oder Verwalten einer 
Anwendung auf einem lokalen Computer können Sie in der Systemsteuerung die Option Software verwenden. 
Sie können auch die Remotedesktopverbindung verwenden, um eine Anwendung mithilfe der Option Software 
auf einem Remotecomputer zu installieren oder zu aktualisieren. Weitere Informationen finden Sie unter 
Software (Übersicht) und Remotedesktopverbindung.

Zu den am häufigsten ausgeführten Aufgaben zählen das Bereitstellen von Software auf Remotecomputern, 
das Aktualisieren von Software auf Remotecomputern und das Installieren oder Aktualisieren von Software 
auf einem lokalen Computer.

Software über Gruppenrichtlinie installisieren

So stellen Sie Software auf Remotecomputern bereit
1.

- Öffnen Sie den Gruppenrichtlinienobjekt-Editor.

2.

- Führen Sie einen der folgenden Schritte aus:
--- Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, um Softwareanwendungen zu Computern zuzuweisen.
--- Doppelklicken Sie in der Konsolenstruktur auf Benutzerkonfiguration, um Softwareanwendungen für Benutzer zuzuweisen 
    oder zu veröffentlichen.

3.

- Doppelklicken Sie auf Softwareeinstellungen, und klicken Sie dann auf Softwareinstallation.
- Gruppenrichtlinienobjekt/Computerkonfiguration oder Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation

4.

- Klicken Sie mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu, und klicken Sie dann auf Paket.

5.

- Klicken Sie auf das zuzuweisende Windows Installer-Paket, und klicken Sie dann auf Öffnen.

6.

- Klicken Sie im Dialogfeld Software bereitstellen auf Zugewiesen.
--- Hinweise
----- Um dieses Verfahren abschließen zu können, müssen Sie als Mitglied der Sicherheitsgruppe Domänenadministratoren, 
      Organisationsadministratoren oder Richtlinien-Ersteller-Besitzer angemeldet sein.
----- Die Gruppenrichtlinie Softwareinstallation ist auf Computern unter Windows 2000, Windows XP Professional sowie 
      unter der Windows Server 2003-Produktfamilie in einer Active Directory-Umgebung verfügbar.
----- Wenn Sie die Gruppenrichtlinie Softwareinstallation verwenden möchten, müssen Sie ein neues Gruppenrichtlinienobjekt 
      erstellen oder ein bereits vorhandenes Gruppenrichtlinienobjekt für einen Standort, eine Domäne oder Organisationseinheit 
      bearbeiten. Sie können ein Gruppenrichtlinienobjekt auch mit einem Standort, einer Domäne oder einer Organisationseinheit 
      in Active Directory-Benutzer und -Computer oder in Active Directory-Standorte und -Dienste verknüpfen. 
      Weitere Informationen zu Möglichkeiten zum Öffnen des Gruppenrichtlinienobjekt-Editors finden Sie unter Gruppenrichtlinie.
----- Im Lieferumfang vieler Softwareanwendungen sind Windows Installer-Pakete (MSI-Dateien) enthalten. Weitere Informationen 
      finden Sie in der Dokumentation des Softwareherstellers.

Software über Gruppenrichtlinie aktualisieren

So aktualisieren Sie Software auf Remotecomputern
1.

Öffnen Sie den Gruppenrichtlinienobjekt-Editor.

2.

- Führen Sie einen der folgenden Schritte aus:
- Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, um Softwareanwendungen auf 
  Remotecomputern zu aktualisieren.
- Doppelklicken Sie in der Konsolenstruktur auf Benutzerkonfiguration, um Softwareanwendungen für 
  Benutzer zu aktualisieren.

3.

- Doppelklicken Sie auf Softwareeinstellungen, und klicken Sie dann auf Softwareinstallation.
-- Position: Gruppenrichtlinienobjekt/Computerkonfiguration oder 
             Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation

4.

- Klicken Sie mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu, 
  und klicken Sie dann auf Paket.

5.

- Klicken Sie auf das Windows Installer-Paket, das als Aktualisierungspaket dienen soll, 
  und klicken Sie dann auf Öffnen.

6.

- Klicken Sie im Dialogfeld Software bereitstellen auf Zugewiesen.

7.

- Klicken Sie im Detailfenster mit der rechten Maustaste auf das Windows Installer-Paket, 
  das als Update dienen soll (nicht auf das zu aktualisierende Paket).

8.

- Klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Aktualisierungen.

9.

- Mit Hinzufügen können Sie eine Liste der Pakete erstellen oder hinzufügen, die mithilfe des 
  aktuellen Pakets aktualisiert werden sollen.

10.

- Klicken Sie unter Paket wählen vom auf Aktuelles Gruppenrichtlinienobjekt oder auf Spezielles 
  Gruppenrichtlinienobjekt als Quelle für das zu aktualisierende Paket. Wenn Sie ein spezielles 
  Gruppenrichtlinienobjekt wählen, klicken Sie auf Durchsuchen, und klicken Sie dann auf das gewünschte 
  Gruppenrichtlinienobjekt.

11.

- Unter Zu aktualisierendes Paket wird eine Liste aller anderen Pakete aufgeführt, die mit dem 
  ausgewählten Gruppenrichtlinienobjekt zugewiesen oder veröffentlicht wurden. Diese Liste kann 
  keinen oder mehrere Einträge umfassen, abhängig vom Gruppenrichtlinienobjekt.

12.

- Klicken Sie auf das zu aktualisierende Paket, und führen Sie dann eine der folgenden Aktionen aus:
- Klicken Sie auf Bestehendes Paket deinstallieren, Aktualisierungspaket installieren, um eine Anwendung 
  durch eine ganz andere Anwendung zu ersetzen.	
- Klicken Sie auf Paket kann über das vorhandene Paket aktualisieren, um eine neuere Version desselben 
  Produkts zu installieren und gleichzeitig die Benutzereinstellungen für die Anwendung beizubehalten.

13.

- Aktivieren Sie auf der Registerkarte Aktualisierungen das Kontrollkästchen Vorhandene Pakete aktualisieren, 
  wenn die Aktualisierung obligatorisch sein soll. Wenn diese Aktualisierung in der Konsolenstruktur der 
  Gruppenrichtlinien unter Computerkonfiguration erfolgt, wird das Kontrollkästchen abgeblendet und aktiviert 
  dargestellt, weil Pakete nur zu Computern zugewiesen werden können, eine Veröffentlichung ist jedoch nicht möglich.
-- Hinweise
   --- Um dieses Verfahren abschließen zu können, müssen Sie als Mitglied der Sicherheitsgruppe 
       Domänenadministratoren, Organisationsadministratoren oder Richtlinien-Ersteller-Besitzer angemeldet sein.
   --- Die Gruppenrichtlinie Softwareinstallation ist auf Computern unter Windows 2000, Windows XP Professional 
       sowie unter der Windows Server 2003-Produktfamilie in einer Active Directory-Umgebung verfügbar.
   --- Wenn Sie die Gruppenrichtlinie Softwareinstallation verwenden möchten, müssen Sie ein neues 
       Gruppenrichtlinienobjekt erstellen oder ein bereits vorhandenes Gruppenrichtlinienobjekt für einen Standort, 
       eine Domäne oder Organisationseinheit bearbeiten. Sie können ein Gruppenrichtlinienobjekt auch mit einem Standort, 
       einer Domäne oder einer Organisationseinheit in Active Directory-Benutzer und -Computer oder in 
       Active Directory-Standorte und -Dienste verknüpfen. Weitere Informationen zu Möglichkeiten zum Öffnen des 
       Gruppenrichtlinienobjekt-Editors finden Sie unter Gruppenrichtlinie.
   --- Im Lieferumfang vieler Softwareanwendungen sind Windows Installer-Pakete (MSI-Dateien) enthalten. 
       Weitere Informationen finden Sie in der Dokumentation des Softwareherstellers.

ADM-Files

Speicherort der ADM-Vorlagen

\%systemroot%\inf

Einbinden Eigener ADM-Vorlagen

Originaldokumentation Microsoft

ADM-Vorlage: Update auf IE 7.0 verhindern

ADM-Vorlage von Microsoft
 CLASS MACHINE
	CATEGORY !!CAT_WindowsComponents
  		CATEGORY !!CAT_WindowsUpdate
			CATEGORY !!CAT_Blockers
				POLICY !!NoUpdate
					#if version >= 4
						SUPPORTED !!SUPPORTED_WindowsXPServer03
					#endif
					EXPLAIN !!NoUpdate_Explain
      					KEYNAME "SOFTWARE\Microsoft\Internet Explorer\Setup\7.0"
      					VALUENAME "DoNotAllowIE70"
      					VALUEON  NUMERIC 1
      					VALUEOFF NUMERIC 0
				END POLICY
  			END CATEGORY
		END CATEGORY
	END CATEGORY

[strings]
CAT_WindowsComponents="Windows Components"
CAT_WindowsUpdate="Windows Update"
CAT_Blockers="Automatic Updates Blockers"

NoUpdate="Do not allow delivery of Internet Explorer 7 through Automatic Updates"
NoUpdate_Explain="If you enable this policy you will disable delivery of Internet Explorer 7 through Automatic
Updates.\n\nInternet Explorer 7 includes important security improvements, so Microsoft strongly recommends that 
customers deploy this update as soon as possible.\n\nHowever, this policy setting allows organizations not using 
Systems Management Server (SMS), Software Update Services (SUS) or another update management solution and 
needing more time to plan the rollout of the Internet Explorer 7 to disable the delivery through Automatic 
Updates.\n\nThis policy setting does not prevent installation of Internet Explorer 7 through other mechanisms  
such as SMS, SUS, product disk and so on.\n\nIf you disable or do not configure this policy setting, Internet  
Explorer 7 will be available as an update through Automatic Updates.\n\nNOTE: This setting does not disable  
Automatic Updates or access to Windows Update. Nor does it prevent delivery of updates other than Internet  
Explorer 7 through Windows Update or Automatic Updates."
SUPPORTED_WindowsXPServer03="At least Microsoft Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1"

Gruppenrichlinien Client

Auf einem PC lassen sich die aktuell gültigen Gruppenrichtlinien mit folgendem Befehl aufrufen:

rsop.msc

Remote Desktop aktivieren

  • Firewall freischalten
Computerkonfiguration  >  Richtlinien  >  Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) 
 >  Netzwerk  >  Netzwerkverbindungen  >  Windows-Firewall  >  Domänenprofil  
 >  „Windows Firewall: Eingehende Remotedesktopausnahmen zulassen“ öffnen, 
    den Punkt auf „Aktiviert“ setzen und ein * in das Eingabefeld eingeben um von allen IP-Adressen auf die Clients verbinden zu können.
  • Remotedesktop Anmeldung zulassen
Computerkonfiguration  >  Richtlinien  >  Windows-Einstellungen  >  Sicherheitseinstellungen  >  Lokale Richtlinien 
   >  Zuweisen von Benutzerrechten  >  Anmelden über Remotedesktopdienste zulassen (Anmelden über Terminaldienste zulassen) 
  • Benutzer für Remotedesktop Anmeldung hinzufügen
Computerkonfiguration  >  Richtlinien  >  Windows-Einstellungen  >  Sicherheitseinstellungen  >  Lokale Richtlinien 
  >  Zuweisen von Benutzerrechten  >  Anmelden über Remotedesktopdienste zulassen öffnen, 
 
 dann bei „Diese Richtlinieneinstellungen definieren“ ein Haken setzen und mit dem Button „Benutzer oder Gruppe hinzufügen …“ die Benutzer oder Gruppen hinzufügen.