Gruppenrichtlinien-Erweiterungen für Windows Server 2008
Ich hatte schon seit einigen Tag geplant, einen Beitrag zum Thema der Gruppenrichtlinienerweiterungen – die seit Windows Server 2008 existieren – zu schreiben. Gestern las ich dann via RSS Feed einen Beitrag von Nils Kaczenski (Betreiber des Blogs faq-o-matic.net), in dem die Verteilung von BGinfo mit Hilfe der neuen Gruppenrichtlinienerweiterungen beschrieben wird.
Ich erwähnte ja bereits in meinem Beitrag zum Thema BGinfo, dass bekanntlich viele Wege nach Rom führen – Nils geht in seinem Beitrag den Weg der Verteilung von BGinfo auf alle Server, indem die Dateien von einer zentralen Freigabe in ein lokales Verzeichnis auf dem entsprechenden Server kopiert und dann lokal ausgeführt werden. Dies hat zwar den Vorteil, das BGinfo auch bei getrennter Netzwerkverbindung ausgeführt wird, allerdings müsste bei meiner größeren Anzahl von Dateien (BGinfo, VBS-Scripte und Template) alle Dateien jedesmal neu synchronisiert werden.
Ich bevorzuge hier lieber den Weg eines zentralen Verzeichnisses im Netlogon Ordner der Domäne (\\FQDN\Netlogon\BGinfo), da dieser automatisch auf allen Domänencontrollern repliziert wird und ich so nur eine einzige Stelle habe, an der ich die Version (Template oder Skriptänderungen) pflegen muss. Der Aufruf erfolgt dann ebenfalls via GPO, nämlich in der Benutzerkonfiguration, Windows-Einstellungen, Skripts, Anmelden:
Name: \\FQDN\netlogon\bginfo\bginfo.exe
Parameter: \\FQDN\netlogon\bginfo\server.bgi /timer:0 /nolicprompt
Doch zurück zum eigentlichen Thema – den neuen Gruppenrichtlinienerweiterungen des Windows Server 2008. Zwei Dinge, die ich überaus schätze, sind zum einen die neuen Optionen und Funktionen, als auch die Möglichkeit diese Einstellungen nun in eine XML-Datei ex- und wieder importieren zu können. Letzteres ist von Florian (MVP für Gruppenrichtlinien) detailliert ein seinem Gastbeitrag beschrieben.
Heute möchte ich nun gern meine spezifischen Einstellungen zum Besten geben und verweise deshalb hier auch gleich auf den Downloadlink für meine Gruppenrichtlinienerweiterungen für Domänenadministratoren. Die ZIP-Datei beinhaltet mehrere XML-Dateien, 3 Computer- und 4 Benutzer-abhängige Einstellungen, die im Folgenden näher erklärt werden. Doch warum habe ich diese Einstellungen überhaupt getroffen? Ganz einfach, wenn ich mich als Systemadministrator auf einem Server (den ich betreue) anmelde, finde ich gern „meine gewohnte“ Umgebung vor. Dazu gehört BGinfo auf dem Desktop, Verknüpfungen im Startmenü und ein gestarteter Process Explorer um schnell den Überblick über laufende Prozesse zu erhalten.
Als Voraussetzung dafür sollte eine neue Gruppenrichtlinie (bei mir heißt sie Servereinstellungen [Administratoren]) erstellt werden, die entweder mit der Domäne (dann wirkt sie auf alle Server und Clients sofern die Vererbung nicht unterbrochen wurde) oder mit der OU (oder mehreren) verknüpft wird, in der sich die Server befinden. In der Sicherheitsfilterung habe ich die nur die Gruppe der Domänenadministratoren aktiviert – hier die entsprechende Gruppe der Administratoren hinzufügen (Authentifizierte Benutzer entfernen).
Anschließend können die Einstellungen der XML-Dateien in den jeweiligen Bereichen importiert werden:
Computerkonfiguration, Einstellungen, Windows-Einstellungen, Umgebung:
Computer-EnvironmentVariables.xml
Bei dieser Einstellung werden die Systemvariablen %TEMP% und %TMP% auf einen zentralen, temporären Ordner (%SystemDrive%\Temp) gesetzt. Warum? Ich mag es einfach nicht, wenn sämtliche temporäre Dateien irgendwo auf einem Serversystem verteilt „herumliegen“ – zumal Computer- und Benutzer-abhängig getrennt. Aus diesem Grund nutze ich seit langer Zeit eine Methode, die sich für mich mehr als bewährt hat. Achtung: Diese Einstellung bitte nur in Verbindung mit Computer-Folder-Temp.xml, User-Folder-Temp.xml und User-EnvironmentVariables.xml verwenden, da sonst der Ordner nicht erstellt wird und die Variablen ins „Leere“ zeigen!
Computerkonfiguration, Einstellungen, Windows-Einstellungen, Dateien:
Computer-Files-ProcessExplorer.xml
Mit dieser Einstellung wird aus dem zentralen Netlogon-Verzeichnis (\\FQDN\Netlogon) der Domäne (hier mit Unterverzeichnis Servertools) der ProcessExplorer von Sysinternals (ein sehr guter Taskmanager-Ersatz) in das lokale Windows-Verzeichnis kopiert. Warum das Windows-Verzeichnis? Weil sich dieses immer im lokalen Pfad befindet und so das Programm jederzeit sehr einfach ohne Pfadangabe aufgerufen werden kann (auf Kommandozeile oder im Startmenü von 2008 R2 über Programme durchsuchen).
Computerkonfiguration, Einstellungen, Windows-Einstellungen, Ordner:
Computer-Folder-Temp.xml
Mit dieser Einstellung wird der für die oben gesetzten Systemvariablen %TEMP% und %TMP% nötige Ordner %SystemDrive%\Temp erstellt.
Benutzerkonfiguration, Einstellungen, Windows-Einstellungen, Umgebung:
User-EnvironmentVariables.xml
Die folgenden Einstellungen betreffen ab hier den Benutzer. Auch hier werden die %TEMP% und %TMP% Variablen gesetzt, mit dem Unterschied, das, in dem von der Computereinstellung Computer-Folder-Temp.xml erstellten Order %SystemDrive%\Temp, ein weiterer Unterordner genutzt wird, nämlich der Benutzername %Username%. Erstellt wird der Ordner allerdings erst durch User-Folder-Temp.xml – an dieser Stelle wurden nur die Variablen gesetzt. Das Setzen der Variable %devmgr_show_nonpresent_devices% auf 1 bringt den Vorteil, dass bei Aufruf des Gerätemanagers die Option Ansicht, Ausgeblendete Geräte anzeigen genutzt und nicht mehr verwendete Treiber schnell aus dem System entfernt werden können.
Benutzerkonfiguration, Einstellungen, Windows-Einstellungen, Ordner:
User-Folder-Temp.xml
Mit dieser Einstellung wird der Ordner für die von User-EnvironmentVariables.xml gesetzten Variablen erstellt (%SystemDrive%\Temp\%Username%). Dadurch werden die temporären Dateien zwar alle unter %SystemDrive%\Temp gespeichert, aber mehrere angemeldete Benutzer konkurieren nicht miteinander.
Benutzerkonfiguration, Einstellungen, Windows-Einstellungen, Registrierung:
User-RegistrySettings-CmdBox.xml
Jetzt wird es langsam interessant. Mit den obigen Einstellungen habe ich mir sämtliche, mögliche Konfigurationsoptionen für den Aufruf der Kommandozeile (siehe auch User-Shortcuts.xml) für eine automatische Verteilung ermöglicht. Im Standard ist mir die Kommandozeile (cmd) zu unhandlich (große Schrift, kleines Fenster, kein Quick Edit Modus aktiviert), weshalb ich diese Einstellungen Benutzer-abhängig verteile.
Benutzerkonfiguration, Einstellungen, Windows-Einstellungen, Verknüpfungen:
User-Shortcuts.xml
Im letzten Teil der Benutzereinstellungen werden die Verknüpfungen für die Schnellstartleiste und den Autostart-Ordner erzeugt. In Letzterem wird die Verknüpfung für den lokal kopierten ProcessExplorer (siehe Computer-Files-ProcessExplorer.xml) angelegt, der dadurch nach der Anmeldung automatisch (minimiert in der Taskleiste) gestartet wird. Alle anderen Verknüpfungen betreffen die Schnellstartleiste, in der die Symbole für Desktop anzeigen, Computerverwaltung, Internet Explorer, Kommandbox, Windows Explorer und Logoff angelegt werden.
Selbstverständlich sind mit den Gruppenrichtlinienerweiterungen noch jede Menge weitere Möglichkeiten gegeben, hier sind nur die für meine Bedürfnisse wichtigsten Einstellungen aufgeführt. Wer Ideen, Ratschläge, Kritik oder Fragen bzw. Probleme dazu hat, kann sie jederzeit als Kommentar einstellen.
Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.