Mit der Einführung von Windows Vista hat Microsoft das proprietäre ADM-Format für administrative Vorlagen auf das XML-basierte ADMX/ADML-Format umgestellt. Gruppenrichtlinien für Windows Vista und Windows 7 lassen sich deshalb mit der Group Policy Management Console von Windows Server 2003 nicht verwalten. Was aber, wenn man noch ein Active Directory auf Basis von Windows Server 2003 betreibt und neben Windows XP auch Clients mit Windows 7 einsetzen möchte? Können neuere Komponenten wie die Windows Firewall mit erweiterter Sicherheit trotzdem über Gruppenrichtlinien administriert werden?
Kurz und knapp: Ja – das Zauberwort heißt RSAT (Remote Server Administration Tools). Mit den Remoteserver-Verwaltungstools lassen sich bestimmte Funktionen eines Windows Servers von einer normalen Arbeitsstation aus verwalten. Unter anderem enthalten sie ein Programm zur Gruppenrichtlinienverwaltung, mit dem sich die neuen Gruppenrichtlinien von Windows Vista und Windows 7 konfigurieren und mit einem Objekt im Active Directory verknüpfen lassen.
Nach Download und Installation der Verwaltungstools für Windows 7 muss das Tool zur Gruppenrichtlinienverwaltung wie folgt aktiviert werden:
- Start -> Systemsteuerung -> Programme -> Programme und Funktionen
- Windows-Funktionen ein- oder ausschalten -> Remoteserver-Verwaltungstools
- Featureverwaltungstools -> Tools für die Gruppenrichtlinienverwaltung
Im Gegensatz zu ADM ermöglicht das ADMX-/ADML-Format außerdem die Verwendung eines zentralen Speicherorts für alle Richtliniendateien. So ist sichergestellt, dass bei Bearbeitung der Richtlinien immer dieselbe Quelle verwendet wird. Als Best Practice sollte deshalb bereits vor der ersten Bearbeitung der Richtlinien mittels RAST ein entsprechender Speicherort angelegt werden. Zunächst wird dafür der Ordner PolicyDefinitions an folgendem Ort im SYSVOL-Verzeichnis der Domäne erstellt:
\\FQDN\SYSVOL\FQDN\policies\Anschließend wird der gesamte Inhalt des lokalen Ordners C:\Windows\PolicyDefinitions von der Windows 7 Installation in das zentrale Verzeichnis kopiert.
Wird der zentrale Speicher verwendet, sollte im Tool zur Gruppenrichtlinienverwaltung beim Anklicken einer administrativen Vorlage unter „Einstellungen“ die Information „Richtliniendefinitionen (AMDX-Dateien) wurden aus dem zentralen Speicher abgerufen“ angezeigt werden:
Weitere Informationen zur Verwendung des zentralen Speicherorts finden sich im KB-Artikel 929841 bei Microsoft sowie im Blogeintrag „Best Practice bezüglich aktueller ADMX / ADML Dateien“ (Technet).
Anschließend steht der Erstellung und Bearbeitung von Gruppenrichtlinien für Windows Vista und Windows 7 nichts mehr im Weg. Entsprechende Richtlinien werden dabei wie gewohnt im SYSVOL-Verzeichnis der Domäne abgelegt und von den Clients verarbeitet – unabhängig von der Version des Active Directorys.
Nebenbei: Wer unter Windows 7 ein gpresult /v ausführt und sich wundert, dass dabei keine Computereinstellungen angezeigt werden: Die Ursache liegt am Fehlen von Rechten. Wird die Eingabeaufforderung als Administrator ausgeführt, werden die Ergebnisse ordnungsgemäß angezeigt.
layer9. 