In der heutigen Geek School-Lektion erklären wir Ihnen, wie Sie mit dem Editor für lokale Gruppenrichtlinien Änderungen an Ihrem PC vornehmen, die auf keine andere Weise verfügbar sind.
Wir sollten gleich im Vorfeld beachten, dass der Gruppenrichtlinien-Editor nur in den Pro-Versionen von Windows verfügbar ist – Home- oder Home Premium-Benutzer haben keinen Zugriff darauf. Es lohnt sich trotzdem, etwas darüber zu lernen.
Gruppenrichtlinien sind eine sehr leistungsstarke Methode, um ein Unternehmensnetzwerk mit jedem gesperrten Computer einzurichten, damit Benutzer sie nicht mit unerwünschten Änderungen verwechseln und unter anderem verhindern können, dass nicht genehmigte Software ausgeführt wird.
In der häuslichen Umgebung möchten Sie jedoch wahrscheinlich keine Einschränkungen für die Kennwortlänge festlegen oder sich zwingen, Ihr Kennwort zu ändern. Und Sie müssen Ihre Computer wahrscheinlich nicht sperren, um nur bestimmte genehmigte ausführbare Dateien auszuführen.
Es gibt jedoch viele andere Dinge, die Sie konfigurieren können, z. B. das Deaktivieren von Windows-Funktionen, die Ihnen nicht gefallen, das Blockieren der Ausführung bestimmter Anwendungen oder das Erstellen von Skripten, die während der Anmeldung oder Abmeldung ausgeführt werden.
Die Schnittstelle verstehen
Die Benutzeroberfläche ist jedem anderen Verwaltungstool sehr ähnlich. In der Baumansicht links können Sie nach Einstellungen in einer hierarchischen Ordnerstruktur suchen. Es gibt eine Liste mit Einstellungen und ein Vorschaufenster, in dem Sie weitere Informationen zu den jeweiligen Einstellungen erhalten.
Es sind zwei Ordner der obersten Ebene zu beachten:
- Computerkonfiguration – enthält Einstellungen, die auf Computer angewendet werden, unabhängig davon, welcher Benutzer sich anmeldet.
- Benutzer Konfiguration – enthält Einstellungen, die auf Benutzerkonten angewendet werden.
Unter jedem dieser Ordner befinden sich einige Ordner, mit denen Sie die verfügbaren Einstellungen genauer untersuchen können:
- Softwareeinstellungen – Dieser Ordner ist für softwarebezogene Konfigurationen vorgesehen und unter Client-Windows standardmäßig leer.
- Windows-Einstellungen – Dieser Ordner enthält Sicherheitseinstellungen und Skripte für das Anmelden / Abmelden und Starten / Herunterfahren.
- Administrative Vorlagen – Dieser Ordner enthält registrierungsbasierte Konfigurationen, mit denen Sie Einstellungen auf Ihrem Computer oder für Ihr Benutzerkonto schnell anpassen können. Es sind viele Einstellungen verfügbar.
Sicherheitsregeln optimieren
Wenn Sie im obigen Screenshot auf das Element «Zugriff auf die Eingabeaufforderung verhindern» doppelklicken, wird ein Fenster angezeigt, das wie folgt aussieht. Tatsächlich werden die meisten Einstellungen unter «Administrative Vorlagen» angezeigt ähnlich.
Mit dieser speziellen Einstellung können Sie den Zugriff auf die Eingabeaufforderung für Benutzer auf dem PC blockieren. Sie können die Einstellung im Dialogfeld auch so konfigurieren, dass auch Batchdateien blockiert werden.
Mit einer anderen Option im selben Ordner können Sie eine Einstellung für «Nur bestimmte Windows-Anwendungen ausführen» erstellen. Sie würden die Einstellung auf «Aktiviert» konfigurieren und dann eine Liste der zulässigen Anwendungen bereitstellen. Alles andere würde am Laufen gehindert.
Wenn Sie in diesem Fall eine Anwendung ausführen, die nicht in der Liste enthalten ist, wird eine Fehlermeldung wie diese angezeigt.
Es ist erwähnenswert, dass Sie durch das Durcheinander mit solchen Regeln von Ihrem PC ausgeschlossen werden können, wenn Sie etwas falsch machen. Seien Sie also vorsichtig.
Optimieren der UAC-Einstellungen für die Sicherheit
Im Ordner Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen finden Sie eine Reihe interessanter Einstellungen, um Ihren Computer ein bisschen sicherer zu machen.
Die erste Option befindet sich in diesem Ordner als Element «Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Administratoren». Wenn Sie «Auf dem sicheren Desktop nach Anmeldeinformationen fragen» auswählen, werden Sie (oder ein anderer Benutzer) dazu gezwungen Geben Sie Ihr Passwort immer dann ein, wenn Sie versuchen, etwas im Administratormodus auszuführen.
Mit dieser Option funktioniert Windows eher wie Linux oder Mac, wo Sie jedes Mal aufgefordert werden, Ihr Kennwort anzugeben, wenn Sie Änderungen vornehmen müssen. Da auf dem Secure Desktop keine anderen Anwendungen mit dem Dialogfeld herumspielen können, ist dies viel mehr sichern.
Andere nützliche Optionen:
- Benutzerkontensteuerung: Erhöhen Sie nur ausführbare Dateien, die signiert und validiert sind – Diese Option verhindert, dass Anwendungen, die nicht digital signiert sind, als Administrator ausgeführt werden.
- Wiederherstellungskonsole, automatische Administratoranmeldung zulassen – Wenn Sie die Wiederherstellungskonsole zum Ausführen von Systemaufgaben verwenden müssen, müssen Sie im Allgemeinen das Administratorkennwort angeben. Wenn Sie dieses Passwort vergessen haben, können Sie es leichter zurücksetzen. (Und da Sie ein Windows-Kennwort leicht löschen können, ist es nicht weniger sicher).
Bemerkenswert ist, dass viele der Richtlinien in der Liste nicht für jede Windows-Version gelten. Im folgenden Screenshot ist die Einstellung «Symbol» Eigene Dokumente entfernen «beispielsweise nur für Windows XP und 2000 verfügbar. Bestimmte andere Richtlinien sagen» Mindestens Windows XP «oder ähnliches, was bedeutet, dass sie weiterhin funktionieren alle Versionen.
Es gibt eine enorme Anzahl von Einstellungen im Gruppenrichtlinien-Editor, daher lohnt es sich auf jeden Fall, einige Zeit damit zu verbringen, sie durchzusehen, wenn Sie neugierig sind. Mit den meisten Einstellungen können Sie Windows-Funktionen deaktivieren, die Ihnen nicht besonders gefallen. Nur wenige bieten Funktionen, die Sie standardmäßig nicht hatten.
Einrichten von Skripten für die Ausführung beim Anmelden, Abmelden, Starten oder Herunterfahren
Ein weiteres Beispiel für etwas, das Sie nur mit dem Gruppenrichtlinien-Editor tun können, ist das Einrichten eines Abmelde- oder Herunterfahrskripts, das bei jedem Neustart Ihres PCs ausgeführt wird.
Dies kann sehr nützlich sein, um Ihr System bei jedem Herunterfahren zu bereinigen oder eine schnelle Sicherung bestimmter Dateien zu erstellen. Sie können auch Batch-Dateien oder sogar PowerShell-Skripte verwenden. Die einzige Einschränkung besteht darin, dass diese Skripte unbeaufsichtigt ausgeführt werden müssen, da sonst der Abmeldevorgang blockiert wird.
Es gibt zwei verschiedene Arten von Skripten, die Sie ausführen können.
- Skripte zum Starten / Herunterfahren – Diese Skripte befinden sich unter Computerkonfiguration -> Windows-Einstellungen -> Skripte und werden unter dem lokalen Systemkonto ausgeführt, sodass sie Systemdateien bearbeiten können, jedoch nicht als Benutzerkonto ausgeführt werden.
- Anmelde- / Abmeldeskripte – Diese Skripte befinden sich unter Benutzerkonfiguration -> Windows-Einstellungen -> Skripte und werden unter Ihrem Benutzerkonto ausgeführt.
Beachten Sie, dass Sie mit den Anmelde- und Abmeldeskripten keine Dienstprogramme ausführen können, für die Administratorzugriff erforderlich ist, es sei denn, Sie haben die Benutzerkontensteuerung vollständig deaktiviert.
Für das heutige Beispiel erstellen wir ein Abmeldeskript, indem wir zu Benutzerkonfiguration -> Windows-Einstellungen -> Skripte gehen und auf Abmelden doppelklicken.
Im Fenster Abmeldeeigenschaften können Sie mehrere Abmeldeskripts zum Ausführen hinzufügen.
Sie können stattdessen auch PowerShell-Skripts konfigurieren.
Das wirklich Wichtige dabei ist, dass sich Ihre Skripte in einem bestimmten Ordner befinden müssen, damit sie ordnungsgemäß funktionieren.
Anmelde- und Abmeldeskripts müssen sich in den folgenden Ordnern befinden:
- C: Windows System32 GroupPolicy User Scripts Logoff
- C: Windows System32 GroupPolicy User Scripts Logon
Während des Starts und Herunterfahrens müssen sich die Skripte in folgenden Ordnern befinden:
- C: Windows System32 GroupPolicy Machine Scripts Shutdown
- C: Windows System32 GroupPolicy Machine Scripts Startup
Sobald Sie Ihr Abmeldeskript konfiguriert haben, können Sie es testen. Wir richten ein einfaches Skript ein, das eine Textdatei auf dem Desktop erstellt und dann ab- und wieder abgemeldet hat. Aber Sie könnten es dazu bringen, alles zu tun, was Sie wollten.
Und wenn Sie stattdessen ein Anmeldeskript ausführen, können natürlich Anwendungen gestartet werden.
Eine wichtige Sache, die Sie beachten sollten, ist, dass Windows beim Herunterfahren oder Abmelden für 10 Minuten hängen bleibt, wenn Ihr Skript zur Benutzereingabe auffordert, bevor das Skript beendet wird und Windows neu gestartet werden kann. Dies sollten Sie beim Entwerfen Ihres Skripts unbedingt berücksichtigen.
Gruppenrichtlinien enden hier nicht
Wir haben gerade die Oberfläche zerkratzt, um herauszufinden, was Gruppenrichtlinien wirklich können, und in einer Unternehmensdomänenumgebung ist sie eines der leistungsstärksten und wichtigsten Tools, die Ihnen zur Verfügung stehen. Da es in dieser Serie nicht um IT-Benutzer geht, werden wir nicht auf den Rest eingehen, aber es lohnt sich, selbst zu recherchieren.