Gruppenrichtlinien
Reihenfolge der Abarbeitung:
- Lokale Richtlinie (Local Policy)
- (Multi Lokale Richtlinien, mit Vista eingeführt)
- Standortrichtlinien (Site)
- Domänenrichtlinien (Domain)
- OU-Richtlinien von der übergeordneten OU zur untergeordneten. (OU)
Der letzte Wert gewinnt.
* Anzeige des Gruppenrichtlinien-Ergebnisses für aktuellen Benutzer und PC mit gpresult.exe.
Komfortabler: MMC "Richtlinien-Ergenissatz".
* Aktualisierung der Gruppenrichtlinien mit gpupdate /force.
* Konto-Richtlinien (Kennwortlänge..) werden nur einmal pro Domain abgearbeitet, i.Allg. in der Default Domain Policy.
* Richtlinien abfragen mit: gpresult /scope computer /v >c:\GPO.txt
Domain auf neue Version aktualisieren: als Schema-Admin "adprep /forestprep" und "adprep /domainprep" von der jeweiligen Server-CD ausführen.
• Ablageort lokal: C:\Windows\PolicyDefinitions
• Ablageort Domain: \\<Domainname>\SYSVOL\Policies\PolicyDefinitions
Der komplette Ordnerinhalt kann gelöscht werden.
Jede darin enthaltene Datei läßt sich aus einem laufenden System oder aus dem Internet herunter laden.
ADMX-Dateien sind austauschbare Objekte mit GPO-Einstellungen +Anzeigenamen für die Konfigurationsdatei registry.pol.
Domain-GPO überschreibt lokale GPO, außer in der lokalen Registry gibt es diesen Eintrag:
HKEY_LOKAL_MASCHINE\Software\Policies\Microsoft\Windows\Group Policy
EnableLocalStoreOverride=1 (Reg_DWord)
Konfigurationsdatei registry.pol kann angepasst werden durch ADMX-Dateien oder MS PowerShell CMDlets (https://www.dsinternals.com/en/).
• Set-GPRegistryValue
• Remove-GPRegistryValue
Links und Quellen:
- Gruppenrichtlinien, Infos, Anleitungen: gruppenrichtlinien.de
- Microsoft Policy Analizer (vergleicht Vorlagen und zeigt Unterschiede vor dem Einfügen) und Baseline Security Vorlagen-Downloads: https://www.it-administrator.de/suche/ "hs2a3"
- BSI SiSyPHuS GPO - Berücksichtigung aller deutschen Anforderungen (nur Windows 10): https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/
- Security Technical Implementation Guides (STIG) des Department of Defense mit GPO-Download (Betriebssystem, Browser, Office, Adobe, Chrome, Mozilla) https://public.cyber.mil/stigs/
(entspricht MS Baseline, wird mehrfach jährlich aktualisiert, ca. 25 einzelne Vorlagen, zum Import muss manifest.xml jedes einzelnen Ordners ausgewählt werden) - GPO CentralStore mit Anleitungen und Vorlagen für Windows, Office, Adobe, Firefox https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen