Zuletzt aktualisiert am 25. Dezember 2023 von Lars
Ich bin nach wie vor ein grosser Fan der Logon-Skripts. Ein Stück weit liegt das an meiner Faulheit, aber die Skripte haben halt auch den Charme, dass jede Änderung sofort aktiv wird und es leicht zu kontrollieren ist, ob das Skript an alle relevanten Server repliziert wurde.
Bei der Arbeit mit GPOs darf man nicht das
gpupdate /force
vergessen. In der Praxis scheint es mir immer am Besten zu sein, auf dem Server, auf dem man die Gruppenrichtlinien editiert, gpupdate zu starten, dieses durchlaufen zu lassen und dann das gleiche auf dem Testclient durchzuexerzieren. Meldet gpupdate, dass eine Abmeldung oder ein Neustart nötig ist, dann sind diese Anweisungen unbedingt zu befolgen. Funktioniert eine Gruppenrichtline auf dienem Client nicht, dann überprüft man erst mit dem Befehl...
gpresult /r
...ob die Gruppenrichtlinie überhaupt angewendet wird. Ist dies nicht der Fall, sind die Berechtigungen und die richtige Positionierung der GPO zu überprüfen. Eine Benutzerrichtlinie muss für das gewünschte Benutzerobjekt zugreifbar sein, eine Computerrichtlinie für das gewünschte Computerobjekt.
Hilfreich ist immer auch ein Blick in das Ereignisprotokoll und / oder einfach mal ein Neustart des Clients.
So, nun aber zu den gängigsten Aufgaben. Alle hier gezeigten Gruppenrichtlinien sind Benutzerrichtlinien, werden also sinnvollerweise in der OU positioniert, die auch die Benutzer enthält.
Laufwerksbuchstaben mit GPO verbinden
Diese Einstellung konfiguriert man unter:
- User Configuration
- Windows Settings
- Drive Maps
...oder auf deutsch...
- Benutzerkonfiguration
- Windows-Einstellungen
- Laufwerkszuordnungen
Drucker mit GPO verbinden
Diese Einstellung konfiguriert man unter:
- User Configuartion
- Control Panel Settings
- Printers
- Shared Printer
...oder auf deutsch...
- Benutzerkonfiguration
- Systemsteuerungseinstellungen
- Drucker
- Freigegebener Drucker
Dateien per GPO z.B. von einem Netzwerkshare auf ein lokales Laufwerk kopieren.
Wir haben im Geschäft noch eine alte Software, die sich zwar vom Netzwerkshare aus starten lässt, aber eine lokale ini-Datei benötigt. Hierfür ist diese GPO sinnvoll.
Anstatt mit einem copy-Befehl im Skript konfiguriert man:
- User Configuration
- Preferences
- Windows Settings
- Files
In dem Screenshot oben wird die Datei \srv01sharealle.txt nach c:installe.txt kopiert.
...oder auf deutsch...
- Benutzerkonfiguration
- Einstellungen
- Windows-Einstellungen
- Dateien
Weitere nützliche Funktionen
Weitere nützliche Funktionen finden sich unter:
- User Configuration
- Prferences
- Windows Settings
- Environment: Setzen von Umgebungsvariablen
- Folders: Erstellen von Ordnern
- Ini files: Erstellen von ini-Filesy
- Registry: Setzen von Registry-Keys
- Shortcuts: Setzen von Verknüpfungen
Ordner-Umleitung / Folder-Redirection
Hier stossen wir jetzt auf die Grenzen des Login-Skriptes. Per GPO lassen sich Dinge einstellen, die sich via Skript so einfach realisieren lassen. Z.B. die Ordnerumleitung. Hiermit wird erreicht, dass die eigenen Dokumente, Music, Bilder, Videos automatisch auf einem Netzlaufwerk landen. Folder-Redirections ist aber nicht identisch Roaming-Profiles. Zwar funktioniert beides ähnlich, bei einem gesetzen Roaming-Profile-Pfad (in Active-Directory Users- und Computer zu setzen) wird aber immer das komplette Profil ausgelagert, hier nur die angegeben Ordner.
- User Configuration
- Policies
- Windows Settings
- Folder Redirection
Jetzt sieht man die möglichen umzuleitenden Ordner (z.B. Desktop, Startmenü, Dokumente). Um die Umleitung zu konfigurieren klickt man auf den gewünschten Ordner mit der rechten Maustaste und wählt Eigenschaften.
...oder auf deutsch...
- Benutzerkonfiguration
- Richtlinien
- Windows-Einstellungen
- Ordnerumleitung
Übrigens: In diesem Microsoft Technet-Artikel ist erwähnt, wie die Berechtigung auf den Basis-Ordner für die Umleitung zu setzen ist.
Profil-Beschränkungen mit GPOs
Support-Fälle treten häufig im Zusammenhang mit Profil-Problemen auf. Diese werden zu gross, weil z.B. der Dropbox-Ordner mit rein fällt.
Über die Gruppenrichtlinie...
- User Configuration
- Policies
- System/User Profiles
- Exlude directories in roaming profile
...oder auf deutsch...
- Benutzerkonfiguration
- Richtlinie
- System/Benutzerprofile
- Verzeichnisse aus servergespeichertem Profil ausschliessen
...lassen sich Ausschlüsse für Roaming Profiles definieren.
Über die Gruppenrichtlinie...
- User Configuration
- Policies
- System/User Profiles
- Limit profile size
...oder auf deutsch...
- Benutzerkonfiguration
- Richtlinie
- System/Benutzerprofile
- Profilgrösse beschränken
...konfiguriert man eine Warnung beim Überschreiten einer bestimmten Profilgrösse.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!