Embed Size (px)
DESCRIPTION
Â
Citation preview
Protokoll Nr. 11
Abteilung Höhere Technische Bundeslehranstalt
Fischergasse 30 A-4600 Wels IT
Protokoll
Übungs Nr.: 11 Titel der Übung: Windows 2003 Richtlinien
Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang: 4 AIT
An dieser Übung haben mitgearbeitet:
Thomas Fischl Gruppe: B
Datum der Übung: 20.04.2006
Abgabe Datum: 27.04.2006
Übungsleiter: Prof. Sander
Übungsmaterial:
Wechselfestplatte (B-19) Schulrechner Windows Server 2003 Enterprise Edition Installations-CD’s
Beurteilung:
NWSY Übung Nr.: 12 Seite 1
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Windows 2003 Richtl inien
Aufgabenstellung Aufgabe1:
Welche Aspekte (7) können Gruppenrichtlinien verwalten? Erstelle eine Liste mit Bezeichnungen und kurzen Erklärungen.
Beantworte: In welchen Vorlagen wird die Registrierung der Clients beeinflusst? Wie werden Richtlinien vererbt? Wie bzw. wo können Gruppenrichtlinien zugewiesen werden? Wie heißt die oberste Gruppenrichtlinie? Welche Richtlinientypen gibt es? Wo kann man administrative Standardvorlagen finden und welche
Dateierweiterung haben diese administrative Vorlagen? Wo werden Richtlinien gespeichert Was ist ein Richtlinienergebnissatz?
Aufgabe 2:
Falls sie XP-Clients verwenden, so deaktivieren sie die beschleunigte Anmeldung, da sonst die Richtlinien erst nach mehrmaligem Neustart wirksam werden.
Eigenschaften von Domäne>Gruppenrichtlinie>Default Domain Policy> Computerkonfiguration>Administrative Vorlagen>System>Anmeldung>Beim
Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten>aktivieren.
Aufgabe 3: Einstellung von Windowskomponenten – Explorer und Internet Explorer
Erstelle eine Gruppenlinie in einer Organisationseinheit für Benutzer, falls noch nicht vorhanden.
Deaktiviere das externe Branding für den Internetexplorer und erkläre kurz
den Zweck. Konfigurieren sie die Symbolleistenschaltflächen
Blenden sie dabei Suchen, Medien, Extras, … aus Ändern sie den Browsertitel. Deaktivieren sie im Explorer die Registerkarten Hardware, Sicherheit, Entfernen sie die Option Netzlaufwerke verbinden und trennen. Stellen sie die Startseite und den Proxy für den IE ein,
fügen sie dazu die entsprechende *.adm Datei aus der Site „Gruppenrichtlinien“ – Beispiele ein! Unter Ansicht > Filterung „nur vollständig verwaltbare Sätze anzeigen“ aushaken, damit alle Elemente angezeigt werden.
Stellen sie weiters „Löschen der temporären Dateien“ beim Abmelden ein.
Überprüfe die effektiven Einstellungen mit einem Richtlinienergebnissatz in der MMC. Füge dazu das Snap-In Richtlinienergebnissatz in die MMC ein und generiere anschließend das Richtliniensatzergebnis. Wähle dabei die entsprechenden Container der Benutzer und Computer.
NWSY Übung Nr.: 12 Seite 2
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Aufgabe 4: Einschränkungen für Startmenü, Taskleiste, Systemsteuerung und Desktop
Verhindern sie den Zugriff auf die Systemsteuerung Blenden Sie die Netzwerkumgebung aus Verhindern sie die Möglichkeit zur Pfadänderung für die Eigenen Dateien Verhindern sie die Änderung des Hintergrundes Stellen sie einen Bildschirmschoner ein
Aufgabe 5: Starten von Programmen bei der Anmeldung Siehe dazu Administrative Vorlagen > System > Anmelden Lassen sie z.B. cmd.exe beim Anmelden starten Aufgabe 6: Weitere Einstellungen nach Wahl
NWSY Übung Nr.: 12 Seite 3
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Durchführung Aufgabe 1:
Um Gruppenrichtlinien hinzuzufügen oder zu verwalten Gehen Sie in die „Active Directory Benutzer und Computer Verwaltung“. Gehen Sie in die Eigenschaften der Organisationseinheit und wählen dort den Tab Gruppenrichtlinie.
Von Gruppenrichtlinien können folgende Aspekte verwaltet werden:
1) Software-Installation Dadurch können bestimmte Vorgaben wie Software auf den Arbeitscomputern installiert werden muss erzwungen werden.
2) Zuweisung von Anwendungsprogrammen Es können die Zuordnung von Dateitypen zu Programmen verwaltet werden,
3) Verteilung von Anwendungsprogrammen Es werden Anwendungsprogramme bereitgestellt die sich der Benutzer je nach Bedarf selbst installieren kann.
4) Sicherheitseinstellungen Es werden der Zugriff auf Ordner, Registrierungseinträge und Systemdienste ebenso wie die Nutzung von Ressourcen geregelt. Dies gilt gleichermaßen für lokale als auch Netzwerkressourcen.
5) Administrative Vorlagen Sind Gruppenrichtlinien-Einträge, die letztlich über die Eingriffe in die Client-Registrierungsdatenbank wirksam werden.
6) Umleitung von Ordnern Dient zum Umleiten von lokalen Desktopordnern auf den Server. So können sich Benutzer an beliebigen Clients anmelden und finden immer ihren persönlichen Desktop vor.
7) An- und Abmeldeskripte Hier können Skripte definiert werden die sich entweder beim an- oder abmelden des Benutzers starten oder gleich beim hoch- bzw. herunterfahren des Computers.
In welchen Vorlagen wird die Registrierung der Clients beeinflusst? Es gibt zwei Art und Weisen wie Gruppenrichtlinien in die Registrierungsdatenbank des Clients eingetragen werden.
NWSY Übung Nr.: 12 Seite 4
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
1. Systemrichtlinien werden direkt in die Registrierungsdatenbank des Clients eingetragen. Werden die Richtlinien gelöscht bleiben die Einträge trotzdem in der Registry des Clients enthalten.
2. Gruppenrichtlinien setzten Werte generell nicht direkt in der Registry des Clients sondern schreiben ihre Werte in einen dafür reservierten Bereich. Werden die Richtlinien entfernt, verschwinden die Einträge spurlos.
Wie werden Richtlinien vererbt? Richtlinien werden im Normalfall hierarchisch vererbt. Diese Kette kann allerdings unterbrochen werden. Treten zwei Richtlinien in Konflikt, so gewinnt jenen die sich näher am Objekt befindet. Außerdem haben im Falle eines Konflikts Computereinstellungen Vorrang vor Benutzereinstellungen. Wie bzw. wo können Gruppenrichtlinien zugewiesen werden? Unter Windows Server 2003 werden die Richtlinien wie oben beschrieben zugewiesen. Auf Windows XP System geht dies mit dem Gruppenrichtlinieneditor der über gpedit.msc aufgerufen. Wie heißt die oberste Gruppenrichtlinie? Welche Richtlinientypen gibt es? Es gibt die Computer- und die Benutzerkonfiguration. Unter dieser gibt es jeweils. Die Softwareeinstellungen, Windows-Einstellungen und Administrative Vorlagen. Wo kann man administrative Standardvorlagen finden und welche Dateierweiterung haben diese administrative Vorlagen? Die Erweiterung der Administrativen Vorlagen ist adm. Die mit Windows Server 2003 mitgelieferten Vorlagen findet man im Verzeichnis %Systemroot%\inf. Wo werden Richtlinien gespeichert? Lokale Gruppenrichtlinien auf einem Windows 2000 oder XP Systems werden in folgendem Verzeichnis abgelegt: %Systemroot%\System32\GroupPolicy. Gruppenrichtlinien der Domäne werden in einem GPO (Gruppenrichtlinien-Objekt) gespeichert. Dazu gibt es GPC (Gruppenrichtlinien-Container) und GPT (Gruppenrichtlinien-Templates). Dabei liegt das Basisverzeichnis in %Systemroot%\SYSVOL\sysvol\<domäne>\Policies\<GPT-GUID> Was ist ein Richtlinienergebnissatz? Mit dem Richtlinienergebnissatz (Resultant Set of Policy, RSoP) können Sie Richtlinieneinstellungen simulieren und testen, die mithilfe von Gruppenrichtlinien auf Computer oder Benutzer angewendet werden.
Aufgabe 2:
Um die beschleunigte Anmeldung auf einem Windows XP System zu deaktivieren gehen Sie in die Eigenschaften der Domäne in der sich der jeweilige Client befindet und dort unter Gruppenrichtlinien. Gehen Sie auf Hinzufügen und im erscheinenden Dialog auf den Tab Alle. Wählen Sie Default Domain Policy aus. Fügen Sie dieses hinzu.
NWSY Übung Nr.: 12 Seite 5
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Durch Doppelklicken auf die hinzugefügte Richtlinie öffnet sich der Gruppenrichtlinien-Editor. Gehen Sie hier nun unter Computerkonfiguration und Administrative Vorlagen. Hier wählen Sie System und Anmeldung aus. Suchen Sie die Richtlinie „Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten“. Aktivieren Sie diese im erscheinenden Dialogfeld.
Aufgabe 3:
Deaktiviere das externe Branding für den Internetexplorer und erkläre kurz den Zweck. Branding bedeutet, dass Firmen z.B. den Internet-Explorer mit eigenen Logos und Titelleisten versehen. Um dieses zu deaktivieren legen Sie ein neues Gruppenrichtlinienobjekt an und gehen dort unter Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer. Suchen Se die Richtlinie „Externes Branding von Internet Explorer deaktivieren“ und setzen diese auf Aktiviert. Konfigurieren sie die Symbolleistenschaltflächen
Blenden sie dabei Suchen, Medien, Extras, … aus Dazu gehen Sie wieder unter Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer. Und nun in den Ordner Symbolleisten.
NWSY Übung Nr.: 12 Seite 6
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Wählen Sie hier den Punkt „Symbolleistenschaltflächen konfigurieren“. Aktivieren Sie diese und aktivieren Sie die Punkte „Schaltfläche xxx anzeigen“ bis auf eben oben genannte.
Ändern sie den Browsertitel. Gehen Sie dazu in den Richtlinieneditor unter „Benutzerkonfiguration -> Windows-Einstellungen -> Internet Explorer-Wartung -> Benutzeroberfläche des Browsers“ und wählen hier den Punkt „Browsertitel“ aus. Aktivieren Sie die Option und vergeben Sie einen neuen Titel.
Deaktivieren sie im Explorer die Registerkarten Hardware, Sicherheit, Entfernen sie die Option Netzlaufwerke verbinden und trennen. Um die Registerkarte Sicherheit zu deaktivieren gehen Sie unter Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung und wählen hier „Sicherheitsseite deaktivieren“ aus. Aktivieren Sie diese Richtlinie. Um die Hardware-Seite zu deaktivieren wählen Sie im selben Ordner die Richtline „Verbindungsseite deaktivieren“ und aktivieren sie diese. Um die Optionen Netzlaufwerke verbinden und trennen zu deaktivieren gehen Sie unter Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten
NWSY Übung Nr.: 12 Seite 7
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
-> Windows Explorer. Aktivieren Sie hier die Richtline „Optionen ‚Netzlaufwerkverbinden’ und ‚Netzlaufwerk trennen’ entfernen“. Stellen sie die Startseite und den Proxy für den IE ein. Um die Einstellungen für den Proxy zu treffen gehen Sie unter „Benutzerkonfiguration -> Windows-Einstellungen -> Internet Explorer-Wartung -> Verbindung“ Wählen Sie hier Proxyeinstellungen aus und geben Sie im folgenden Dialog alle relevanten Daten ein.
Um die Einstellungen für den Proxy zu treffen gehen Sie unter „Benutzerkonfiguration -> Windows-Einstellungen -> Internet Explorer-Wartung -> URLs“ Wählen Sie hier „Wichtige URLs“ aus und geben Sie im folgenden Dialog alle relevanten Daten ein.
Stellen sie weiters „Löschen der temporären Dateien“ beim Abmelden ein.
Überprüfen der Einstellungen in mit eine Richtlinienergebnissatz in der MMC.
Dazu müssen Sie zuerst einen Richtlinienergebnissatz erstellen. Geben Sie dafür in Start -> Ausführen „mmc“ ein um die Microsoft Management Konsole zu öffnen. Gehen Sie hier nun auf Datei -> „Snap-In hinzufügen/entfernen“. Wählen Sie im Tab
NWSY Übung Nr.: 12 Seite 8
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
„Eigenständig“ den Punkt Hinzufügen aus. Suchen Sie im erscheinenden Dialog den Punkt Richtlinienergebnissatz und klicken Sie auf Hinzufügen.
Nun muss dieser nur noch getestet werden. Gehen Sie dazu in sie „Active Directory Benutzer und Computer Verwaltung“. Gehen Sie im Kontextmenü der entsprechenden Organisationseinheit auf den Punkt „Alle Tasks“ und „Richtlinienergebissatz (Planung)“. Es erscheint ein Dialog.
Hier müssen Sie nichts verändern klicken Sie sich bis zur Fertigstellung des Dialogs durch. Wenn Sie den Assistenten beenden erscheint der Richtlinienergebnissatz. Gehen Sie hier auf Datei -> „Snap-In hinzufügen/entfernen“ und wählen den zuvor erstellten Satz aus. Fügen Sie diesen hinzu.
Aufgabe 4:
Verhindern sie den Zugriff auf die Systemsteuerung Um den Zugriff zu verhindern. Gehen Sie im Gruppenrichtlinien-Editor unter „Benutzerkonfiguration -> Administrative Vorlagen -> Systemsteuerung“. Suchen Sie die Richtlinie „Zugriff auf die Systemsteuerung nicht zulassen“ und aktivieren Sie diese.
NWSY Übung Nr.: 12 Seite 9
Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012
Blenden Sie die Netzwerkumgebung aus Dazu deaktivieren Sie das Symbol Netzwerkumgebung auf dem Desktop. Unter„Benutzerkonfiguration -> Administrative Vorlagen -> Desktop“. Suchen Sie die Richtlinie „Desktopsymbol ‚Netzwerkumgebung’ ausblenden“ und aktivieren Sie diese. Verhindern sie die Möglichkeit zur Pfadänderung für die Eigenen Dateien Unter„Benutzerkonfiguration -> Administrative Vorlagen -> Desktop“. Suchen Sie die Richtlinie „Pfadänderung für den Ordner ‚Meine Dateien’ nicht zulassen“ und aktivieren Sie diese. Verhindern sie die Änderung des Hintergrundes Unter„Benutzerkonfiguration -> Administrative Vorlagen -> Anzeige“. Suchen Sie die Richtlinie „Ändern des Hintergrundes verhindern“ und aktivieren Sie diese. Stellen sie einen Bildschirmschoner ein Unter„Benutzerkonfiguration -> Administrative Vorlagen -> Anzeige“. Suchen Sie die Richtlinie „Bildschirmschoner“ und aktivieren Sie diese.
Aufgabe 5:
Starten von cmd bei der Anmeldung Gehen Sie dazu unter„Benutzerkonfiguration -> Administrative Vorlagen -> System -> Anmeldung“. Suchen Sie die Richtlinie „Diese Programme bei der Anmeldung ausführen“ und aktivieren Sie diese. Gehen Sie nun unter Anzeigen und im erscheinenden Dialog unter Hinzufügen. Fügen Sie das Objekt „cmd.exe“ hinzu.
Aufgabe 6:
Genug mit den Einstellungen gespielt. Aufgabe erfolgreich erledigt und mit Client getestet.
![ユーザーズガイド Windows Server 2003 IA-32版 Ver. 3 · Windows Server 2003 では、[Messenger]サービスがデフォルトでは、「無効」に設定されています。](https://img.pdfslide.org/doc/110x75/602ea2a2703273791a096925/ffff-windows-server-2003-ia-32c-ver-3-windows-server-2003.jpg)
