Windows Server 2003 AD und Windows 7 Gruppenrichtlinien

Mit der Einführung von Windows Vista hat Microsoft das proprietäre ADM-Format für administrative Vorlagen auf das XML-basierte ADMX/ADML-Format umgestellt. Gruppenrichtlinien für Windows Vista und Windows 7 lassen sich deshalb mit der Group Policy Management Console von Windows Server 2003 nicht verwalten. Was aber, wenn man noch ein Active Directory auf Basis von Windows Server 2003 betreibt und neben Windows XP auch Clients mit Windows 7 einsetzen möchte? Können neuere Komponenten wie die Windows Firewall mit erweiterter Sicherheit trotzdem über Gruppenrichtlinien administriert werden?

Kurz und knapp: Ja – das Zauberwort heißt RSAT (Remote Server Administration Tools). Mit den Remoteserver-Verwaltungstools lassen sich bestimmte Funktionen eines Windows Servers von einer normalen Arbeitsstation aus verwalten. Unter anderem enthalten sie ein Programm zur Gruppenrichtlinienverwaltung, mit dem sich die neuen Gruppenrichtlinien von Windows Vista und Windows 7 konfigurieren und mit einem Objekt im Active Directory verknüpfen lassen.

Nach Download und Installation der Verwaltungstools für Windows 7 muss das Tool zur Gruppenrichtlinienverwaltung wie folgt aktiviert werden:

  1. Start -> Systemsteuerung -> Programme -> Programme und Funktionen
  2. Windows-Funktionen ein- oder ausschalten -> Remoteserver-Verwaltungstools
  3. Featureverwaltungstools -> Tools für die Gruppenrichtlinienverwaltung

Im Gegensatz zu ADM ermöglicht das ADMX-/ADML-Format außerdem die Verwendung eines zentralen Speicherorts für alle Richtliniendateien. So ist sichergestellt, dass bei Bearbeitung der Richtlinien immer dieselbe Quelle verwendet wird. Als Best Practice sollte deshalb bereits vor der ersten Bearbeitung der Richtlinien mittels RAST ein entsprechender Speicherort angelegt werden. Zunächst wird dafür der Ordner PolicyDefinitions an folgendem Ort im SYSVOL-Verzeichnis der Domäne erstellt:

    \\FQDN\SYSVOL\FQDN\policies\

Anschließend wird der gesamte Inhalt des lokalen Ordners C:\Windows\PolicyDefinitions von der Windows 7 Installation in das zentrale Verzeichnis kopiert.

Wird der zentrale Speicher verwendet, sollte im Tool zur Gruppenrichtlinienverwaltung beim Anklicken einer administrativen Vorlage unter „Einstellungen“ die Information „Richtliniendefinitionen (AMDX-Dateien) wurden aus dem zentralen Speicher abgerufen“ angezeigt werden:

Weitere Informationen zur Verwendung des zentralen Speicherorts finden sich im KB-Artikel 929841 bei Microsoft sowie im Blogeintrag „Best Practice bezüglich aktueller ADMX / ADML Dateien“ (Technet).

Anschließend steht der Erstellung und Bearbeitung von Gruppenrichtlinien für Windows Vista und Windows 7 nichts mehr im Weg. Entsprechende Richtlinien werden dabei wie gewohnt im SYSVOL-Verzeichnis der Domäne abgelegt und von den Clients verarbeitet – unabhängig von der Version des Active Directorys.

Nebenbei: Wer unter Windows 7 ein gpresult /v ausführt und sich wundert, dass dabei keine Computereinstellungen angezeigt werden: Die Ursache liegt am Fehlen von Rechten. Wird die Eingabeaufforderung als Administrator ausgeführt, werden die Ergebnisse ordnungsgemäß angezeigt.

6 Responses to “Windows Server 2003 AD und Windows 7 Gruppenrichtlinien”


  1. 1 dave August 25, 2010 um 3:00 pm

    Den PolicyDefinitions Ordner aus Windows 7 hab ich wie beschrieben nach \\FQDN\SYSVOL\FQDN\policies\ kopiert. Nach meinem Verständnis müsste ich jetzt in der Gruppenrichtlinienverwaltung auf dem Windows 7 PC mit RSAT unter „Starter-Gruppenrichtlinienobjekte“ jede Menge neue Objekte zu Windows 7 haben, richtig? Da sehe ich aber nur jeweils 4 Objekte zu XP und Vista.

  2. 2 layer9 August 26, 2010 um 8:12 am

    Bei mir sind auch nur die Objekte zu Vista + XP vorhanden. Offenbar gibt es keine Starterobjekte für Windows 7:

    http://social.technet.microsoft.com/Forums/en/w7itprogeneral/thread/b26fc509-c563-41d6-b92a-218943ca4585

    Die Policies für Windows 7 / 2008 R2 sind bei mir trotzdem alle verfügbar.

    • 3 dave August 27, 2010 um 9:15 am

      Danke, hab mittlerweile rausgefunden, dass ich schlicht am falschen Ort geschaut habe: Besagte Policies sieht man ja erst beim Editieren eines neuen Group Policy Objekts im Editor. Problem erledigt. :o)

  3. 4 S1 Dezember 22, 2010 um 10:17 am

    Vielen Dank für den tollen Artikel!

  4. 5 Markus Dezember 4, 2011 um 7:27 pm

    Hallo, ich habe ein bestehendes System übernommen mit XP und Win7 clients. Den besagten Ordner PolicyDefinitions gibt es bereits im AD und ich kann auch GPOs für win7 erstellen. Nun möchte ich aber sicher gehen, dass ich alle GPOs für win7 habe, wie kann ich das herausfinden? Gibt es außerdem Aktualisierungen der GPOs für win7 für zum Beispiel neue Features?

    thx, lg, Markus

  5. 6 layer9 Dezember 8, 2011 um 3:53 pm

    Wenn Du unter Computer Configuration -> Windows Settings -> Security Settings die „Windows Firewall with Advanced Security“ hast, sind die GPOs für Win7 aktiv inkl. der Aktualisierungen vorhandener GPOs.


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: