Mit den neuesten Windows-Versionen kommen auch diverse neue Gruppenrichtlinien und Einstellungen. Wir haben einige Neuerungen zusammengefasst.
Thomas Joos ist selbständiger IT-Consultant, Fachbuchautor und freiberuflicher Mitarbeiter unserer Schwesterpublikation TecChannel. Windows 8.1 und Windows Server 2012 R2 hat Microsoft einige neue Gruppenrichtlinien-Einstellungen spendiert. Viele dieser Neuerungen können die Arbeit mit Windows 8.1 auf Rechnern, aber auch mit Servern deutlich verbessern. Die Einstellungen lassen sich mit dem Gruppenrichtlinien-Editor modifizieren. Das Tool starten Sie durch Eingabe von gpedit.msc auf der Startseite. Haben Sie bereits Rechner mit Windows 8.1 im Einsatz, nutzen aber noch Domänencontroller mit Windows Server 2012, können Sie die neuen Einstellungen über ADMX-Dateien verfügbar machen. Danach können Sie Einstellungen für Windows 8.1 auch in Windows Server 2012 vornehmen. Die Vorlagendateien stellt Microsoft im Download-Center zur Verfügung.
Unter Windows 8.1 haben Sie die Möglichkeit, das Aussehen der Startseite an einem Muster-Client anzupassen, die Einstellungen zu exportieren und danach die Konfigurations-Datei per Gruppenrichtlinie an die anderen Rechner in Ihrem Unternehmens-Netzwerk zu verteilen. Der Export wird in eine XML-Datei vorgenommen. Das File speichern Sie anschliessend auf den Domänencontrollern oder an einem zentralen Ort auf den einzelnen Client-Computern. Für den Export verwenden Sie das Cmdlet «Export-StartLayout», zum Beispiel mit der folgenden Syntax:
! KASTEN !
Neben der Möglichkeit, die XML-Datei im Netzwerk zu verteilen und so das Aussehen der Startseite zu vereinheitlichen, können Sie Änderungen der Startseite auch verbieten. Nächste Seite: Booten auf den Desktop Die Einstellungen für die Startseite finden Sie über «Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste». Über «Startseitenlayout» aktivieren Sie die zentrale Verteilung der Startseite und geben auch den Pfad zur XML-Datei mit. Sie können diese Einstellung aber nicht nur auf Benutzerbasis im Bereich «Benutzerkonfiguration» vornehmen, sondern auch im Bereich «Computerkonfiguration», also unabhängig von angemeldeten Benutzern.
Hier haben Sie auch die Option, neue Apps direkt auf der Startseite zu platzieren. Sie können hier auch eine Liste von Apps pflegen, die bei der Installation automatisch an die Startseite gepinnt werden. Standardmässig ist das in Windows 8.1 nicht mehr der Fall. Sie verwenden dazu die Einstellung «Anheften der App an die Startseite bei der Installation». Neu besteht die Möglichkeit, Windows 8.1 direkt auf den Desktop zu starten, ohne die Startseite anzeigen zu müssen. Dies können Sie einstellen über Eigenschaften der Startseite auf der Registerkarte «Navigation» mit der Option «Beim Anmelden oder schliessen sämtlicher Apps anstelle der Startseite den Desktop anzeigen». Natürlich können Sie diese Einstellung auch über Richtlinien vornehmen. In Windows 8.1 Update ist die Einstellung automatisch gesetzt. Hier startet Windows 8.1 immer in den Desktop, auch wenn die Option nicht gesetzt ist. Über Richtlinien lässt sich das Verhalten mit der Option «Beim Anmelden anstatt der Startseite den Desktop anzeigen steuern». Die Einstellung ist bei «Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste» zu finden. Viele Anwender wollen den Sperrbildschirm nicht nutzen. Dieser hat zunächst auch nichts mit der eigentlichen Anmeldung zu tun, sondern zeigt nur Informationen an. Sie können in Windows 8.1 den Sperrbildschirm deaktivieren. Die Einstellungen sind bei «Computerkonfiguration/Administrative Vorlagen/Systemsteuerung/Anpassung» zu finden. Aktivieren Sie dazu die Einstellung «Sperrbildschirm nicht anzeigen». In Windows 8.1 können Anwender auf der Startseite auch eine Diashow anzeigen. Wollen Sie den Sperrbildschirm anzeigen, das Verwenden einer Diashow aber unterbinden, aktivieren Sie die Option «Aktivieren der Diashow auf dem Sperrbildschirm verhindern». Die Suche auf der Startseite in Windows 8.1 sucht auch nach Treffern im Web. Wollen Sie das generell verhindern, aktivieren Sie die Option «Nicht im Internet suchen» bei «Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste». Nächste Seite: Remotedesktop-Sitzungen spiegeln
Remotedesktop-Sitzungen lassen sich mit Windows Server 2012 R2 und Windows 8.1 wieder spiegeln. In Windows Server 2012 hat Microsoft diese Möglichkeit entfernt. Die Einstellungen dazu lassen sich über Gruppenrichtlinien steuern. Die Spiegelung selbst nehmen Sie über den Server-Manager vor. Wollen Sie den Server-Manager in Windows 8.1 verfügbar machen, brauchen Sie die Remoteserver-Verwaltungstools für Windows 8.1. Diese enthalten auch den Server-Manager und die Möglichkeit, Benutzersitzungen zu spiegeln, ohne dass Sie weitere Tools installieren müssen. Berechtigen Sie Anwender zum Spiegeln von Sitzungen, zum Beispiel Support-Mitarbeiter oder den Helpdesk, installieren Sie auf den Rechnern der Mitarbeiter am besten die Remoteserver-Verwaltungstools und fügen zum Server-Manager die Remotedesktop-Sitzungshosts (ehemals Terminalserver) hinzu. Die Verwaltung der Remotedesktopdienste findet im Server-Manager über den Bereich «Remotedesktopdienste» statt. Wenn Sie die Farm eingerichtet haben, sehen Sie die angebundenen Anwender im Bereich «Verbindungen», wenn Sie auf den Namen der entsprechenden Sammlung klicken. Über das Kontextmenü verwalten Sie die Benutzer und starten auf Wunsch auch die Spiegelung. Nächste Seite: Remotedesktopsitzung in der Praxis
Für die Spiegelung klicken Sie eine Sitzung mit der rechten Maustaste an. Hier haben Sie diverse Möglichkeiten, die Benutzer zu verwalten. Diese Optionen standen auch unter Windows Server 2012 zur Verfügung. Neu ist die Option «Schatten» im Kontextmenü der «Benutzersitzungen». Mit dieser Option können Sie Sitzungen spiegeln. Es sind dazu keine weiteren Konfigurationen notwendig. Sobald Sie eine Sammlung erstellen und RemoteApps veröffentlichen, sind die Anwendungen zur Spiegelung bereit. Klicken Sie die Option zum Spiegeln an (Schatten), wählen Sie zunächst aus, ob Sie die Sitzung nur sehen wollen, ohne selbst steuern zu können (Anzeige), oder ob Sie in der Sitzung auch Eingaben vornehmen wollen (Steuerelement). Standardmässig ist nach der Installation der Remotedesktop-Sitzungshosts beides möglich. Einstellungen für die Spiegelung nehmen Sie über lokale Richtlinien oder in der Gruppenrichtlinie vor, die Sie den Remotedesktop-Sitzungshosts zuweisen. Sie finden die Konfiguration über «Benutzerkonfiguration/(Richtlinien)/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Verbindungen». Hier finden Sie die Einstellung «Regeln für Remotesteuerung von Remotedesktopdienstebenutzern» festlegen. Um Einstellungen zu ändern, aktivieren Sie also die Richtlinie und wählen dann aus dem Drop-Down-Menü aus den Optionen aus:
Keine Remotesteuerung zulassen: Administratoren können keine Remotesteuerung verwenden oder Remotebenutzersitzungen anzeigen. Eine Spiegelung ist daher nicht erlaubt. Wenn ein Administrator eine Sitzung spiegeln will, signalisiert eine Meldung, dass die Funktion über Richtlinien geblockt ist.
Vollzugriff mit Erlaubnis des Benutzers: Erlaubt Administratoren mit der Zustimmung des Benutzers die Steuerung einer Sitzung, also auch die Bedienung. Auch das Anzeigen ist dann erlaubt.
Vollzugriff ohne Erlaubnis des Benutzers: Erlaubt Administratoren auch ohne Zustimmung des Benutzers die Steuerung der Sitzung. In diesem Fall können Administratoren beim Spiegeln auch den Haken bei der Option entfernen, dass der Benutzer gefragt werden muss. Auch die Anzeige-Funktion ist mit dieser Einstellung erlaubt.
Sitzung mit Erlaubnis des Benutzers anzeigen: Erlaubt Administratoren das Anzeigen von Sitzungen mit Zustimmung des Benutzers. Eine Steuerung der Sitzungen ist aber nicht erlaubt.
Sitzung ohne Erlaubnis des Benutzers anzeigen: Ermöglicht Administratoren das Anzeigen von Sitzung auch ohne Zustimmung des Users.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Administratoren mit der Zustimmung des Benutzers in dessen Remotedesktopdienste-Sitzung eingreifen und Sitzungen spiegeln. Das funktioniert auch, wenn Sie gar nichts konfigurieren. Nächste Seite: Cloud-Nutzung steuern Windows 8.1 ist noch enger mit OneDrive (ehemals SkyDrive) verbunden als Windows 8. In Unternehmen ist die Nutzung der Cloud nicht immer gewünscht. Sie haben daher die Möglichkeit, den Cloud-Zugriff einzuschränken. Sollen Ihre Anwender in Windows 8.1 kein OneDrive verwenden, deaktivieren Sie die Anbindung über Gruppenrichtlinien. Dazu navigieren Sie zu «Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/OneDrive». Hier finden Sie die Einstellung «Verwendung von OneDrive für die Datenspeicherung verhindern». Ausserdem können Sie hier die Option deaktivieren, dass Windows-8.1-Rechner die Daten über getaktete Verbindungen synchronisieren, also zum Beispiel Notebooks über mobile UMTS-Verbindungen. Die Synchronisierung findet dann nur bei der Anbindung an ein Netzwerk oder WLAN statt.
App-Store sperren
Seit Windows 8.1 Update lassen sich Apps von der Startseite auch direkt über die Taskleiste anpinnen und starten, auch der Store. Das ist in vielen Unternehmen aber nicht gewünscht. Oftmals ist die generelle Verwendung von Apps eher unerwünscht. Daher stört es durchaus, wenn Windows-8-Apps auf einmal in der Taskleiste auftauchen. Der einfachste Weg ist, wenn Sie den App-Store auf Firmenrechnern komplett deaktivieren. Diese Option werden vermutlich die meisten Unternehmen nutzen wollen. Dann wird auch das Icon in der Taskleiste entfernt. Wenn Sie die Gruppenrichtlinie zum Deaktivieren des App-Stores vor der Installation von Windows 8.1 Update im Unternehmen durchsetzen, wird auch das Icon nicht in der Taskleiste angepinnt. Die Einstellung mit der Bezeichnung «Store-Anwendung deaktivieren» finden Sie in der Computerkonfiguration oder der Benutzerkonfiguration unter «Administrative Vorlagen\Windows-Komponenten\Store». Alternativ können Sie natürlich auch die Einstellung «Angeheftete Programme aus Taskleiste entfernen» im Bereich «Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste» aktivieren. Achten Sie aber darauf, dass von dieser Einstellung nicht nur Windows-8-Apps sondern auch herkömmliche Anwendungen betroffen sind. Nach dem Aktivieren der Einstellung können Anwender keinerlei Programme mehr an die Taskleiste anpinnen. Eine Alternative ist das Entfernen über ein Skript. Das Skript lässt sich wiederum über Richtlinien verteilen. Microsoft bietet dazu im Script Center ein passendes Skript an. Nächste Seite: PC-Start beschleunigen
Immer, wenn ein Rechner im Netzwerk startet, überträgt er die notwendigen Gruppenrichtlinien vom Domänencontroller auf den Client. Das kann bei zahlreichen Clients natürlich durchaus Zeit kosten und den Start des Rechners verzögern. Hier bieten Windows 8.1 und Windows Server 2012 R2 eine echte Verbesserung: Denn die Gruppenrichtlinien lassen sich zwischenspeichern. Verwenden Sie diese Option, muss Windows 8.1 nur noch die Neuerungen der Richtlinien über das Netzwerk kopieren, der Rest wird aus dem Cache gelesen. Das beschleunigt die Anmeldung in Active-Directory-Umgebungen und entlastet das Netzwerk. Ein häufiges Problem bei der Verwendung von Windows 8.1 ist das verzögerte Anwenden von Skripten, die Sie über Gruppenrichtlinien verteilen. Oftmals der Grund ist die Einstellung «Anmeldeskriptverzögerung konfigurieren». Sind hier falsche Einstellungen gesetzt, kann es passieren, dass Skripte erst Minuten nach der eigentlichen Anmeldung von Anwendern gestartet werden. Die entsprechende Einstellung finden Sie über «Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie». Aktivieren Sie die Einstellung «Anmeldeskriptverzögerung konfigurieren» und setzen Sie den Wert auf «0».
Fazit: Mehrwert Gruppenrichtlinien
Viele Unternehmen scheuen sich davor, Windows 8.1 einzusetzen, da die Bedienung ungewohnt für Anwender sind. Allerdings bieten die neuen Möglichkeiten für die Einstellungen über Gruppenrichtlinien echten Mehrwert. Vor allem die Steuerung der Startseite und des Desktops, sowie andere Einstellungen können Anwender dabei unterstützen, besser mit Windows 8.1 zu arbeiten. Mit etwas Konfigurationsarbeit können Anwender von der höheren Geschwindigkeit und Verbesserung der Bedienung profitieren, ohne durch die neue Oberfläche eine zu starke Beeinträchtigung zu erfahren.
