Thursday, May 01, 2014

GPOs in der Praxis (4): Administrative Vorlagen - Bildschirmschoner



Das Festlegen eines Bildschirmschoners gehört zu den häufigen Aufgaben für Administratoren.

Tipp: Da wir unsere Gruppenrichtlinien stets testen, bevor wir sie auf alle Benutzer oder Computer anwenden, haben wir folgende Testmöglichkeit im dreistufigen OU-Design implementiert: Unterhalb von Benutzer, Clients und Server gibt es jeweils eine Test-OU. Bestimmte Benutzer und Computer haben wir als Testobjekt festgelegt, in die Gruppe GG_Testgruppe aufgenommen und in die Test-OUs verschoben.
Abbildung 10.28: Test-OU für Computer mit Account eines Testcomputer
Damit können wir mit einer Sicherheitsfilterung für die Gruppe GG_Testgruppe testen, aber auch mit dem Verwaltungsbereich der Testobjekte durch Verknüpfung der Gruppenrichtlinien mit den entsprechenden OUs.

In der Umsetzungsbeschreibung der folgenden Beispiele haben wir den stets vorhergehenden Test nicht mehr explizit beschrieben, um den Umfang der Beschreibungen auf die wesentlichen Inhalte beschränken zu können.

Anforderung

Auf allen Computer wird nach einer Zeit von 5 Minuten der Bildschirmschoner aktiviert. Beim Deaktivieren des Bildschirmschoners wird zur Eingabe von Benutzername und Kennwort aufgefordert. Als Bildschirmschoner wird %Systemroot%\System32\scrnsave.scr verwendet.

Möglichkeiten

Der Bildschirmschoner kann in einer Gruppenrichtlinie unter dem Pfad Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Anpassung (Windows Vista und neuer) bzw. Benutzerkonfiguration/Administrative Vorlagen/Systemsteuerung/Anzeige (Windows XP) konfiguriert werden.

Tipp: Wenn Sie Einstellungen konfigurieren möchten, deren Pfade Sie in GPEdit nicht kennen, verwenden Sie den Schlüsselwortfilter für Administrative Vorlagen. Wenn Sie keine passenden Einträge finden, variieren Sie den Suchbegriff, z.B. Desktophintergrund, Bildschirmhintergrund, Hintergrundbild, Hintergrund.

Umsetzung

Wir erstellen über das Kontextmenü von Gruppenrichtlinien eine neue Gruppenrichtlinie und vergeben einen Namen, der unseren Konventionen entspricht. Wir bearbeiten die Gruppenrichtlinie, navigieren zu dem oben angegebenen Pfad und aktivieren die erforderlichen Einstellungen. Kommentare für die einzelnen Einstellungen verwenden wir nicht, da die Bildschirmschonerkonfiguration offensichtlich ist.

Abbildung 10.29: Richtlinieneinstellungen für den Bildschirmschoner

Dann bearbeiten wir den Kommentar der Gruppenrichtlinie und tragen das Datum, ein Bearbeiter-Kürzel und einen Bearbeitungsvermerk ein.

Abbildung 10.30: Kommentarfunktion mit Bearbeitungshistorie
Um die Gruppenrichtlinie zu testen, entfernen wir aus der Sicherheitsfilterung die Gruppe Authentifizierte Benutzer und tragen stattdessen unsere Testgruppe GG_Testgruppe ein. Jetzt ist die Gruppenrichtlinie fertig, und wir verknüpfen sie mit der OU Testbenutzer. Nach erfolgreichem Test (Anmelden mit einem Testbenutzer und Prüfen der Einstellungen durch Erstellen eines RSoP-Berichts sowie Abwarten der Sperrzeit) ersetzen wir GG_Testgruppe wieder durch Authentifizierte Benutzer, löschen die Verknüpfung mit der OU Testbenutzer und erstellen eine neue Verknüpfung mit der OU Benutzer.

Bildschirmschoner je nach Benutzer (-gruppe) festlegen

Wir haben im vorhergehenden Abschnitt einen einheitlichen Bildschirmschoner für alle Benutzer festgelegt. Oft ist es aber erforderlich, unterschiedliche Zeiten für verschiedene Benutzer festzulegen.

Anforderung

Für alle Mitarbeiter gilt ein Zeitlimit von 5 Minuten. Für Mitarbeiter der IT-Abteilung gilt ein abweichendes Zeitlimit von 15 Minuten. Für Testbenutzer ist der Bildschirmschoner deaktiviert.

Möglichkeiten

Die Gruppenrichtlinie mit dem einheitlichen Bildschirmschoner muss gefiltert werden, und weitere Gruppenrichtlinien für die unterschiedlichen Einstellungen sind erforderlich. Die Filterung von Gruppenrichtlinien kann durch das Verknüpfen mit OUs realisiert werden. Alternativ können Sicherheitsfilter verwendet werden, ggf. auch mit der Option Gruppenrichtlinie übernehmen verweigern.

Umsetzung

Wir erstellen für jede unterschiedliche Konfiguration des Bildschirmschoners eine eigene Gruppenrichtlinie, das den Bildschirmschoner vollständig konfiguriert. Damit müssen wir nicht darauf achten, welche Konfigurationsteile des Bildschirmschoners aus welcher Gruppenrichtlinie resultieren.
U_Bildschirmschoner_15 Minuten definiert ein Zeitlimit von 900 Sekunden. U_Bildschirmschoner_Aus deaktiviert den Bildschirmschoner.
Da sich die Mitarbeiter der IT-Abteilung in einer eigenen OU befinden, verknüpfen wir die entsprechende Gruppenrichtlinie mit dieser OU. Die Sicherheitsfilterung belassen wir auf Authentifizierte Benutzer.
Abbildung 10.31: Bildschirmschoner-Gruppenrichtlinie für die IT-Abteilung
Die Testbenutzer befinden sich ebenfalls in einer eigenen OU. Allerdings möchten wir ausschließen, dass ein Testbenutzer versehentlich doch einen Bildschirmschoner bekommt, auch wenn er nicht in diese OU verschoben wurde, und wir möchten keine produktiven Gruppenrichtlinien mit den Test-OUs verknüpfen. Daher verwenden wir für die Gruppenrichtlinie U_Bildschirmschoner_Aus in der Sicherheitsfilterung den Eintrag GG_Testgruppe, so dass diese Gruppenrichtlinie nur für Mitglieder dieser Gruppe angewendet wird. Die Gruppenrichtlinie verknüpfen wir mit der OU Benutzer und ändern anschließend die Verknüpfungsreihenfolge so, dass U_Bildschirmschoner_Aus eine niedrigere Reihenfolgenummer und damit Vorrang vor U_Bildschirmschoner_Alle hat.
Abbildung 10.32: Bildschirmschoner-Gruppenrichtlinie für Testbenutzer

Bildschirmschoner je nach Computer (-gruppe) festlegen

Häufig sollen auf bestimmten Computern für alle Benutzer die gleichen Benutzereinstellungen gelten, unabhängig davon welcher Benutzer sich anmeldet. Die Umsetzung, die wir hier verwenden, lässt sich dabei mit allen Einstellungen unter Administrative Vorlagen verwenden, nicht nur für den Bildschirmschoner.

Anforderung

Auf Servern wird kein Bildschirmschoner ausgeführt. Auf allen Computern in Besprechungsräumen gilt ein Zeitlimit von 120 Minuten.

Möglichkeiten

Die Bildschirmschoner-Konfiguration ist eine Benutzereinstellung. Diese soll jetzt aber auf bestimmten Computern angewendet werden. Dafür gibt es zwei verschiedene Wege.
  • Aktivieren der Loopback-Verarbeitung: Wenn Loopback aktiv ist, werden Benutzereinstellungen angewendet, die in Gruppenrichtlinien im Verwaltungsbereich (Scope of Management, SOM) des Computers konfiguriert sind.
  • Verwenden von GPP Registrierung: Einstellungen unter Administrative Vorlagen für Benutzer resultieren in Registrierungswerten unter HKCU. Wie diese Registrierungswerte erstellt werden, ist dabei egal – sie können genauso auch manuell oder mit GPP Registrierung konfiguriert werden.

Umsetzung

Für Server verwenden wir die Loopbackverarbeitung – auf Terminalservern im Modus Zusammenführen, auf allen anderen Servern im Modus Ersetzen. Die Loopbackverarbeitung ist für Server ohnehin empfehlenswert, da wir damit einheitliche Benutzereinstellungen gewährleisten können.
Abbildung 10.33: Deaktivieren des Bildschirmschoners auf Terminalservern
Bei aktivierter Loopbackverarbeitung haben Gruppenrichtlinien aus dem SOM des Computers immer Vorrang vor Gruppenrichtlinien aus dem SOM des Benutzers. Die Bildschirmschoner-Konfiguration aus der Gruppenrichtlinie S_Bildschirmschoner_Aus ist also wirksam, unabhängig davon, ob andere Gruppenrichtlinien unter der OU Benutzer ebenfalls Bildschirmschonereinstellungen enthalten.
Achtung: Wenn Sie die Loopbackverarbeitung für Clientcomputer aktivieren, sollten Sie die Auswirkungen vorher sorgfältig überprüfen. Sonst können unerwartete Ergebnisse auftreten, angefangen bei langen Anmeldezeiten über das Fehlen vorher aktiver Einstellungen bis hin zu nicht mehr möglicher Anmeldung aufgrund fehlerhafter Profilpfade oder fehlendem Zugriff auf Dateien wegen falscher Ordnerumleitung. 
Für Clientcomputer verwenden wir GPP Registrierung statt der Loopbackverarbeitung. Diese bietet mit der Zielgruppenadressierung sehr flexible Filterungsmöglichkeiten. Zunächst müssen wir ermitteln, welche Registrierungswerte wir für den Bildschirmschoner benötigen. Alle Registrierungswerte sind in Tabellen dokumentiert, die im Download Center von Microsoft unter der Dokumenten-ID 36991 heruntergeladen werden können. Einfacher ist aber folgendes Vorgehen:
  1. Wir erstellen eine Gruppenrichtlinie mit den erforderlichen Einstellungen unter Administrative Vorlagen
  2. Wir öffnen die Datei registry.pol dieser Gruppenrichtlinie mit dem Programm PolViewer von SDM Software
Abbildung 10.34: Ermitteln von Registrierungswerten mit PolViewer
Welcher Registrierungswert zu welcher Einstellung gehört, ergibt sich oft aus den Wertnamen. Wenn wir nicht sicher sind, verwenden wir die Excel-Tabellen von Microsoft aus dem Download Center (Artikelnummer id36991).

In GPP Registrierung erstellen wir eine Sammlung, in der wir dann die Registrierungswerte konfigurieren. Für ScreenSaveTimeout legen wir als Wertdaten 7200 fest, das sind 7.200 Sekunden oder 120 Minuten.
Abbildung 10.35: Registrierungswerte für die Bildschirmschonerkonfiguration
Für die Sammlung konfigurieren wir über das Kontextmenü Eigenschaften die Zielgruppenadressierung für eine Sicherheitsgruppe, in der alle Computer in Besprechungsräumen Mitglied sind.
Abbildung 10.36: Bildschirmschoner konfigurieren für Besprechungsräume
Tipp: Wenn Sie mehrere Registrierungswerte mit der gleichen Zielgruppenadressierung benötigen, erstellen Sie eine Sammlung mit der gewünschten Zielgruppenadressierung. Diese müssen Sie damit nur einmal konfigurieren (nämlich für die Sammlung) und nicht für jeden Registrierungswert einzeln. 

Wir haben jetzt also eine Möglichkeit konfiguriert, wie wir die Flexibilität der Zielgruppenadressierung von Group Policy Preferences auch für Einstellungen unter Administrative Vorlagen nutzen können. Damit bietet es sich natürlich an, dass wir auch alle anderen Anforderungen an den Bildschirmschoner auf die gleiche Weise konfigurieren. Ergebnis ist eine einzige Gruppenrichtlinie, das alle Anforderungen abdeckt.
Abbildung 10.37: Unterschiedliche Konfigurationen in einer Gruppenrichtlinie
Die jeweils gültige Konfiguration wird dabei durch die Zielgruppenadressierung für die Sammlungselemente bestimmt. Ist keine der Zielgruppenadressierungen erfüllt, dann gilt die Standardkonfiguration des Bildschirmschoners, die wir über Administrative Vorlagen definieren.
Tipp: Beim Anwenden von Gruppenrichtlinien wird die Client Side Extension (CSE) Registry (Administrative Vorlagen) vor der CSE Group Policy Registry ausgeführt. Die Registrierungswerte aus GPP Registrierung überschreiben also die Einstellungen aus Administrative Vorlagen, wenn eine der Zielgruppenadressierungen erfüllt ist. 

Hinweis: Dieser Blogbeitrag ist ein Auszug aus dem Buch »Windows Server 2012 R2 - Gruppenrichtlinien«, erschienen bei Microsoft Press. 

Druck-ISBN 978-3-86645-695-2
PDF-ISBN    978-3-8483-3067-6
EPUB-ISBN  978-3-8483-0226-0
MOBI-ISBN  978-3-8483-1203-0

Wer mehr lesen möchte, dem empfehle ich, sich dieses Buch zuzulegen – es gibt in deutscher Sprache kein besseres Referenzwerk.

Das Buch kann in allen Buchläden und –shops erworben werden, z.B. bei Amazon oder Thalia. (C) 2014 O'Reilly Verlag GmbH & Co. KG, Balthasarstraße 81, 50670 Köln.