Drücken sie Ctrl/Cmd + P zum drucken
oder zum Speichern als PDF.

GPO: Sammlung von Gruppenrichtlinien

Voraussetzungen

  • Windows Server 2022 Standard

Kurzbefehle

  • Ausgabe welche Gruppenrichtlien auf dem Client wirken (ggf. cmd als Admin starten um alle GPOs anzuzeigen)
    gpresult /r
  • Ausgabe eines entfernten Clients
    gpresult /s %PC-NAME% /r
  • Gruppenrichtlinien auf Client sofort übernehmen
    gpupdate /force

User

Dateinamenerweiterungen einblenden
  • zeigt Dateinamen bei allen Dateien wieder an (z.B. anstatt Präsentation -> Präsentation.pptx)
  • ausgeblendete Erweiterungen können ein Sicherheitsrisiko sein, da Schadsoftware Dateien in der Form Präsentation.pptx.exe benennt
  • diese wird dann bei ausgeblendeten Dateinamenerweiterung wie folgt angezeigt -> Präsentation.pptx
  • der Hacker setzt darauf, dass der User beim anblick der bekannten Dateiendung pptx auf die Datei klickt und das Anwendungssysmbol ignoriert, da es ja eigentlich eine Ausführbare Datei mit der Dateiendung exe ist, die aber nicht angezeigt wird

Einstellungen in der Gruppenrichtlinie

Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Ordneroptionen ->
Rechtsklick -> Neu -> Ordneroptionen (mindestens Windows Vista) -> Erweiterung bei bekannten Dateitypen ausblenden -> deaktivieren
Drucker einbinden
  • Netzwerkdrucker auf einem Windows Server installieren und freigeben
  • dass kann z.B. über die Druckerverwaltung auf einem Windows Server eingestellt werden
  • dazu Drucker freigeben – Freigabename vergeben – im Verzeichnis anzeigen auswählen
  • anschließend eine Gruppenrichtlinie anlegen, mit der später die Drucker einer OU zugewiesen werden können

Einstellungen in der Gruppenrichtlinienverwaltung

Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Drucker -> Rechtsklick -> Neu -> Freigegebener Drucker -> 
Aktion: Aktualisieren
Freigabepfad: Drucker auswählen
Drucker als Standarddrucker festlegen...: je nach Bedarf

Computer

Servermanager Autostart verhindern
  • bei Windows Serversystemen wird bei jeder Anmeldung am Server der Servermanager automatisch gestartet und in den Vordergrund gebracht
  • z.B. auf Remotesystemen ist es nicht wünschnswert, dass für jeden Benutzer der Servermanager startet
  • dieses Verhalten lässt sich per GPO steuern

Einstellungen in der Gruppenrichtlinienverwaltung

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System => Servermanager -> 
Server-Manager beim Anmelden nicht automatisch anzeigen -> aktivieren
Ereignisanzeige für Herunterfahren unterbinden
  • auf Serverbetriebssystemen von Windows kommt nach einem ungeplanten Neustart die Abfrage nach dem Grund des Herunterfahrens
  • auch wenn das als Admin vielleicht Sinn macht zu wissen ob der Server einen ungeplanten Neustart hinter sich hat, so ist es eher hinderlich wenn auf einem Terminalserver jedem Nutzer diese Abfrage eingeblendet wird
  • die Abfrage kann per GPO unterbunden werden, allerdings gilt das dann für alle Nutzer, auch die Admins
Computerkonfiguration -> Administrative Vorlagen -> System -> Ereignisprotokollierung für Herunterfahren anzeigen -> deaktivieren
Herunterfahren beim Remoteserver erlauben
  • auf Terminalservern ist es nicht gewünscht, das der normale User den Server herunterfahren oder rebooten kann, da sonst parall laufende Sitzungen von anderen Usern einfach beendet werden würden
  • Standardmäßig ist deshalb den Administratoren vorbehalten auf Terminalservern einen Neustart zu veranlassen
  • möchte man dieses Recht besser steuern, trägt man alle berechtigten User / Gruppen hier ein:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzer­rechten -> Herunterfahren des Systems