Grundlegendes
Wenn man ein typisches Serverclient Modell hat, wo ein Server als Domänencontroller fungiert und die Clients Mitglieder davon sind, gibt es verschiedene Varianten um die Arbeitsplätze der einzelnen Clients zu konfigurieren. Eine Variante ist eben die Erstellung einer Gruppenrichtlinie in der Active Directory.
Neben Scripten und dem Benutzerprofil gibt es noch die Gruppenrichtlinien, welches ein sehr mächtiges Werkzeug sind. Mit einem sogenannten Gruppenrichtlinienobjekt (GPO Group Policy Object) hat man eine Vielzahl an Einstellungsmöglichkeiten für Computer und Benutzer.
Nach der Installation eines Domänencontrollers mit dessen Active Directory sind neben der Default-Domain Policy keine weiteren GPOs vorhanden.
Wenn man neue erstellen möchte, muss man dieses erzeugen sowie anschließend mit der Domäne, einem Standort oder eine Organisationseinheit verknüpfen.
Konfiguration der Gruppenrichtlinie in der Active Directory
In der folgenden Anleitung soll die grundlegende Bearbeitung und Erstellung einer Gruppenrichtlinie erläutert werden.
Dabei soll per Richtlinien die Struktur der Domäne so konfiguriert werden, dass jeder Domänen-Benutzer ein Passwort mit mindestens 6 Zeichen haben muss und sein Account nach fünfmaligem falsch Anmelden gesperrt wird.
Im ersten Schritt öffnet man dazu die Gruppenrichtlinienverwaltung. Diese erreicht man über den Server-Manager und anschließend Tools. Auf der linken Seite sieht man jetzt die Domäne mit dem Namen schule.local.
Darunter befindet sich ganz oben die Default Domain Policy und anschließend darunter die Organisationseinheiten wie z.B. Domain Controllers oder wie in meiner Konfiguration die OU SperrenVerweigert.
Per Rechtsklick auf die Default-Domain Policy erhält man dazu ein Kontextmenü. Mit „Bearbeiten“ kann man jetzt die Richtlinie konfigurieren. Es öffnet sich jetzt der Gruppenrichtlinienverwaltungs-Editor.
Auch hier ist links wieder ersichtlich, wofür Einstellungen vorgenommen werden können. Also entweder auf Computer oder Benutzer.
Da in dieser Anleitung die Richtlinie für das Passwort geändert werden soll, wird die Computerkonfiguration benötigt. Der komplette Pfad ist dabei folgender:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen ->Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinien
Unter diesem Menüpunkt sind verschiedene Richtlinien zum Kennwort vorhanden. U. a. findet man dort auch das maximale Kennwortalter, die Komplexitätsvoraussetzungen und natürlich auch die minimale Kennwortlänge.
Auch hier werden über einen Rechtsklick die Einstellungen konfiguriert. Sobald man einen neuen Benutzer in der Active Directory anlegen möchte, muss er ein Passwort verwenden, welches mindestens 6 Zeichen enthält.
Sollte übrigens die Richtlinie bisher nicht aktiv sein, was in der Regel immer etwas Zeit in Anspruch nimmt, kann man auch mit der Kommandozeile ein Update der Gruppenrichtlinien erzwingen.
gpupdate /forceDie zweite Einstellung in dieser Struktur soll sein, dass der Benutzer nach dreimaligem falschen Anmelden gesperrt wird. Auch diese Richtlinie befindet sich fast im gleichen Pfad.
Wenn man jetzt die Kontosperrungsschwelle aktiviert und dort angibt, dass der Account nach drei falschen Anmeldeversuchen gesperrt wird, so wird auch automatisch die Richtlinie für die Kontosperrdauer und die Zurücksetzungsdauer des Kontosperrungszählers aktiviert.
Standardmäßig sind diese Werte bei 30 Minuten. Natürlich kann man diese beliebig anpassen.
Fazit
Diese Erklärung soll die grundlegende Konfiguration von Gruppenrichtlinien zeigen. Dabei gibt es generell bei der Planung von den Richtlinien noch viele Sachverhalte, welche unbedingt beachtet werden müssen. So können z. B. Gruppenrichtlinien nur auf Standorte, Domänen und Organisationseinheiten angewendet werden. Jedoch nicht direkt auf Benutzergruppen.
Solche detaillierten Konfigurationen kann man über die Sicherheitsfilterung implementieren. Auch muss man beachten, dass die Richtlinien nach einer gewissen Reihenfolge abgearbeitet werden.
So könnte man sich als Faustregel merken:
Es gilt immer die Richtlinie, welche am nächsten bei dem Objekt ist. Wenn jetzt z. B. ein Benutzer in einer OU ist, welche für das Passwort eine andere Richtlinie hat, als in der Default-Domain Policy steht. So wird letztlich die der OU angewendet.
Empfohlene Beiträge
Hallo und guten Abend,
habe zu den GPOs eine Frage, dies müsste doch auch mit PowerShell funktionieren, bzw. mit einer Remote-PowerShell-Sitzung.
Den ich habe das Problem, wenn ich GPOs mit PowerShell anlege, werden diese zwar erstellt, aber es werden keine Werte definiert.
Hallo Mike,
auch mit der Windows PowerShell sollten die GPOs verteilt werden können! Was meinst du genau mit Werte definiert? Einstellungen in den GPOs?
Hallo Markus,
leider hab ich keine Nachricht bekommen dass Du schon geantwortet hast.
folgender Schnipsel
try {
# Definieren des Zeitlimits für den Bildschirmschoner in Sekunden (300 Sekunden = 5 Minuten)
$ScreensaverTimeoutSeconds = 300
# GPO Display TimeOut
$GPO = New-GPO -Name „ScreenTimeoutPolicy“ -Comment „Setzt den Bildschirm-Timeout auf 300 Sekunden“
# überprüfen, ob der Registrierungsschlüssel existiert
$keyPath = „HKCU:\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“
if (!(Test-Path -Path $keyPath)) {
New-Item -Path $keyPath -Force | Out-Null
}
# Festlegen der Gruppenrichtlinieneinstellungen für den Bildschirmschoner
Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaveTimeOut -Type STRING -Value $ScreensaverTimeoutSeconds
Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaverIsSecure -Type STRING -Value 1
Set-GPRegistryValue -Name $GPO.DisplayName -Key „HKCU\\Software\\Policies\\Microsoft\\Control Panel\\Desktop“ -ValueName ScreenSaveActive -Type STRING -Value 1
# Richtlinieneinstellung im GPO setzen
New-GPLink -Name $GPO.DisplayName -Target „dc=$using:DomainName,dc=$using:TopLevelDomain“ -LinkEnabled Yes
} catch {
Write-ErrorLog „$_ – $($_.Exception.Message)“
}
es wird die GPO zwar erstellt, aber wenn ich in am Server die Gruppenrichtlinien prüfe bei Bearbeiten, wird mir angezeigt, dass die nicht definiert ist.
Egal ob ich das jetzt direkt am Server mache oder per Remote-PowerShell-Sitzung, immer das gleiche Ergebnis das nichts definiert wird.