Freigeben über

Gruppenrichtlinien-Verwaltungskonsole

Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) bietet eine einheitliche Verwaltung aller Aspekte der Gruppenrichtlinie in mehreren Gesamtstrukturen in einer Organisation. Mit der Gruppenrichtlinien-Verwaltungskonsole können Sie alle Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), Windows-Verwaltungsinstrumentation-Filter (Windows Management Instrumentation, WWI) und gruppenrichtlinienbezogenen Berechtigungen in Ihrem Netzwerk verwalten. Stellen Sie sich die Gruppenrichtlinien-Verwaltungskonsole als primären Zugriffspunkt für Gruppenrichtlinien vor, wobei alle Gruppenrichtlinienverwaltungstools über die GPMC-Schnittstelle verfügbar sind.

Die GPMC besteht aus einer Reihe skriptfähiger Schnittstellen zur Verwaltung von Gruppenrichtlinien und einer MMC-basierten Benutzeroberfläche (UI). Die Gruppenrichtlinien-Verwaltungskonsole ist in Windows Server und den Remoteserver-Verwaltungstools enthalten.

Die GPMC bietet folgende Funktionen:

  • Importieren und Exportieren von GPOs.
  • Kopieren und Einfügen von GPOs.
  • Sichern und Wiederherstellen von GPOs
  • Suchen nach vorhandenen Gruppenrichtlinienobjekten
  • Berichtsfunktionen.
  • Gruppenrichtlinienmodellierung. Ermöglicht Ihnen, RsoP-Daten (Resultant Set of Policy) zur Planung der Bereitstellung von Gruppenrichtlinien zu simulieren, bevor Sie diese in der Produktionsumgebung implementieren.
  • Gruppenrichtlinienergebnisse. Ermöglicht es Ihnen, die Interaktion mit GPO anzuzeigen und Probleme bei Gruppenrichtlinienbereitstellungen zu beheben.
  • Unterstützung für Migrationstabellen, um das Importieren und Kopieren von Gruppenrichtlinienobjekten (GPOs) über Domänen und Gesamtstrukturen hinweg zu unterstützen. Eine Migrationstabelle ist eine Datei, die Verweise auf Benutzer, Gruppen, Computer und UNC-Pfade (Universal Naming Convention) in der Quell-GPO neuen Werten in der Ziel-GPO zuordnet.
  • Melden von GPO-Einstellungen und RSoP-Daten in HTML-Berichten, die Sie speichern und drucken können.
  • Skriptfähige Schnittstellen, die alle Vorgänge zulassen, die innerhalb der Gruppenrichtlinien-Verwaltungskonsole verfügbar sind. Sie können Skripts nicht verwenden, um in einem Gruppenrichtlinienobjekt einzelne Richtlinieneinstellungen zu bearbeiten.

Voraussetzungen

Um die GPMC verwenden zu können, müssen Sie die folgenden Voraussetzungen erfüllen.

  • Installieren Sie die Gruppenrichtlinienverwaltungsfunktion auf einem Computer mit Windows Server oder einem Windows-Clientbetriebssystem.
  • Sie verfügen über Bearbeitungseinstellungen, Löschen und Ändern von Sicherheitsberechtigungen für das GPO.
  • Um GPOs zu verknüpfen, benötigen Sie die Berechtigung zum Ändern auf dieser Site, Domäne oder OU. Standardmäßig verfügen nur Domänen-Administratoren und Unternehmensadministratoren über diese Berechtigung.
    • Benutzer und Gruppen mit der Berechtigung zum Verknüpfen von GPOs mit einer bestimmten Site, Domäne oder OU können GPOs verknüpfen, die Linkreihenfolge ändern und die Vererbung auf dieser Website blockieren, do Standard oder OU festlegen.

Erstellen eines nicht verknüpften GPO

Führen Sie die folgenden Schritte aus, um ein nicht verknüpftes GPO zu erstellen:

  1. Um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen, wählen Sie "Start aus, geben Sie Gruppenrichtlinienverwaltung in das Suchfeld ein, und wählen Sie dann Gruppenrichtlinienverwaltung.
  2. Klicken Sie in der GPMC-Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, in der Sie ein neues, nicht verknüpftes Gruppenrichtlinienobjekt erstellen möchten.
  3. Wählen Sie Neu aus.
  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt einen Namen für das neue Gruppenrichtlinienobjekt an, und wählen Sie dann OK.

Vorhandenes GPO bearbeiten

Führen Sie die folgenden Schritte aus, um Richtlinieneinstellungen in einem vorhandenen Gruppenrichtlinienobjekt zu ändern:

  1. Erweitern Sie in der GPMC-Konsolenstruktur Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt enthält.
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie bearbeiten möchten, und wählen Sie dann Bearbeiten aus.
  3. Erweitern Sie in der Konsolenstruktur des Gruppenrichtlinienverwaltungs-Editors Elemente nach Bedarf, um das Richtlinienelement zu suchen, das die Richtlinieneinstellungen enthält, die Sie ändern möchten. Wählen Sie ein Element aus, um die zugehörigen Richtlinieneinstellungen im Detailbereich anzuzeigen.
  4. Doppelklicken Sie im Detailbereich auf die Namen der Richtlinieneinstellung, die Sie bearbeiten möchten.
  5. Ändern Sie im Dialogfeld Eigenschaften die Richtlinieneinstellungen nach Bedarf, und wählen Sie dann OK.
  6. Schließen Sie nach Abschluss der erforderlichen Änderungen den Gruppenrichtlinienverwaltungs-Editor.

Die primäre Möglichkeit, die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt auf Benutzer und Computer anzuwenden, besteht darin, das Gruppenrichtlinienobjekt mit einem Container in Active Directory zu verknüpfen. GPOs können mit drei Typen von Containern in Active Directory verknüpft werden: Sites, Domänen und Organisationseinheiten (OUs). Ein Gruppenrichtlinienobjekt kann mit mehreren Active Directory-Containern verknüpft werden.

GPOs werden pro Domäne gespeichert. Wenn Sie z. B. ein GPO mit einer OU verknüpfen, wird das GPO nicht in dieser OU gespeichert. Ein GPO ist ein domänenbezogenes Objekt, das überall in der Gesamtstruktur verknüpft werden kann. Die Benutzeroberfläche in der GPMC hilft dabei, die Unterscheidung zwischen Verknüpfungen und tatsächlichen GPOs zu verdeutlichen.

In der GPMC können Sie ein vorhandenes Gruppenrichtlinienobjekt mit Active Directory-Containern verknüpfen, indem Sie eine der folgenden Methoden verwenden:

  • Klicken Sie mit der rechten Maustaste auf eine Site, Domäne oder ein OU-Element, und wählen Sie dann Vorhandenes GPO verknüpfen aus. Für dieses Verfahren ist erforderlich, dass das GPO bereits in der Domäne vorhanden ist.
  • Ziehen Sie ein Gruppenrichtlinienobjekt (GPO) aus dem Element „Gruppenrichtlinienobjekte“ in die Organisationseinheit, mit der Sie das Gruppenrichtlinienobjekt verknüpfen möchten. Diese Drag-and-Drop-Funktion funktioniert nur innerhalb derselben Domäne.

Innerhalb jeder Site, Domäne und Organisationseinheit steuert die Verknüpfungsreihenfolge die Reihenfolge, in der Gruppenrichtlinienobjekte angewendet werden. Um die Rangfolge eines Links zu ändern, können Sie die Verknüpfungsreihenfolge ändern, wobei jeder Link in der Liste an den entsprechenden Speicherort nach oben oder unten verschoben wird. Links mit der niedrigsten Zahl haben eine höhere Priorität für eine bestimmte Site, Domäne oder OU.

Beispielsweise möchten Sie, dass das zuletzt hinzugefügte Gruppenrichtlinienobjekt die höchste Priorität hat. Sie können die Verknüpfungsreihenfolge des Gruppenrichtlinienobjekts an eine Verknüpfungsreihenfolge von 1 anpassen, um sie zum höchsten zu machen. Um die Verknüpfungsreihenfolge für GPO-Verknüpfungen für eine Site, Domäne oder Organisationseinheit zu ändern, verwenden Sie die GPMC.

Das Aufheben der Verknüpfung eines Gruppenrichtlinienobjekts bedeutet, dass das verknüpfte Gruppenrichtlinienobjekt nicht mehr auf den Speicherort angewendet wird, an dem es ursprünglich verknüpft wurde. So heben Sie die Verknüpfung eines GPO auf:

  1. Erweitern Sie in der GPMC-Konsolenstruktur die Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das Gruppenrichtlinienobjekt enthält, dessen Verknüpfung Sie aufheben möchten.
  2. Wählen Sie das GPO aus, dessen Verknüpfung Sie aufheben möchten.
  3. Wählen Sie im Detailbereich die Registerkarte Bereich aus.
  4. Klicken Sie im Abschnitt "Links" mit der rechten Maustaste auf das Active Directory-Objekt mit dem Link, den Sie löschen möchten, und wählen Sie "Verknüpfungen löschen" aus.

Das Löschen eines Links zu einem Gruppenrichtlinienobjekt unterscheidet sich von dem Löschen eines Gruppenrichtlinienobjekts. Bei einer GPO-Verknüpfung bleibt das GPO weiterhin verfügbar. Auch andere Links von anderen Domänen zu dieser Gruppenrichtlinie bleiben bestehen. Wenn Sie ein Gruppenrichtlinienobjekt löschen, werden Sie aufgefordert, das Gruppenrichtlinienobjekt und alle Links dazu in der ausgewählten Domäne zu löschen. Durch Ausführen des Gruppenrichtlinienobjekts und aller Links werden keine Links zum Gruppenrichtlinienobjekt aus anderen Domänen gelöscht. Entfernen Sie links zum Gruppenrichtlinienobjekt in anderen Domänen, bevor Sie dieses Gruppenrichtlinienobjekt aus dieser Domäne löschen.

Deaktivieren von Benutzerkonfigurations- oder Computerkonfigurationseinstellungen in einem Gruppenrichtlinienobjekt

Um ein Gruppenrichtlinienobjekt zu erstellen, um nur benutzerbezogene Richtlinieneinstellungen festzulegen, deaktivieren Sie die Computerkonfigurationseinstellungen im Gruppenrichtlinienobjekt. Durch das Deaktivieren der Computerkonfiguration wird die Startzeit des Computers geringfügig verkürzt, da die Computerkonfigurationseinstellungen im Gruppenrichtlinienobjekt nicht ausgewertet werden müssen. Wenn Sie nur computerbezogene Richtlinieneinstellungen konfigurieren, deaktivieren Sie die Benutzerkonfigurationseinstellungen im Gruppenrichtlinienobjekt. So deaktivieren Sie die Benutzerkonfiguration oder Computerkonfiguration:

  1. Erweitern Sie in der GPMC-Konsolenstruktur die Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, die das Gruppenrichtlinienobjekt mit den Richtlinieneinstellungen enthält, die Sie deaktivieren möchten.
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das die Richtlinieneinstellungen enthält, die Sie deaktivieren möchten.
  3. Wählen Sie in der GPO-Statusliste eine der folgenden Optionen aus:
    • Alle Richtlinieneinstellungen deaktiviert
    • Computerkonfigurationseinstellungen deaktiviert
    • Aktiviert (Standardeinstellung)
    • Benutzerkonfigurationseinstellungen deaktiviert

Zugehöriger Inhalt