Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

Group Policy

DEep dive kurs – Group policy

Zielgruppe

IT Mitarbeiter und Systemadministratoren welche täglichen Umgang mit Group Policy haben.

Dauer

Die Kursdauer beträgt 3 Tage.

Level

mittlere Komplexität

Zertifikat

Schulungsteilnehmer erhalten ein Zertifikat.

Preis

2450,- € inkl. MwSt.
Inklusive Verpflegung.

termine

Dezember 2019

02dezGanzer Tag05Group Policy Schulung

Beschreibung

Gruppenrichtlinien – oder im englischen Group Policy (GPO) – machen genau das nicht, was der Name suggeriert: Gruppen mit Richtlinien / Policies belegen. Hier scheint eine Analogie zum Zitronenfalter vorzuliegen; dieser faltet bekanntlich auch keine Zitronen.

Dennoch sind Gruppenrichtlinien unverändert eines der Standardwerkzeuge, wenn es darum geht große Mengen an Computerobjekten oder Userobjekten homogen zu administrieren / zu konfigurieren. Genau hier liegt der Bereicht der Wirksamkeit von GPOs: Einfluss auf die Registry eines Windows basierten (ab Windows 2000 / Server 2000) und mit einer Domänenmitgliedschaft belegten Computers auszuüben. Durch eine Schnittstelle zwischen einer GPO und dem Registry-Baum HKEY_LOCAL_MACHINE bzw. HKEY_CURRENT_USER können maschinenspezifische oder anwenderspezifische Einstellung zentral vorgenommen werden und an eine Vielzahl von Objekten angewendet werden (wobei der anwenderspezifische Teil in der Regel den maschinenspezifischen Teil überschreibt).

Historisch betrachtet hat sich dieses Werkzeug aus den alten NT4.0-Policies weiterentwickelt (poledit.exe / ntconfig.pol – Gruseln inklusive). Jeder Windows basierte Computer ab Windows 2000 / Server 2000 verfügt zusätzlich noch über eine lokale Richtlinie welche mit einer GPO (mehr oder minder) zusammenarbeitet. Manchmal werden in dieser Konstellation Einstellungen zusammengeführt, manchmal überschrieben und manchmal schlichtweg ignoriert. Spannend wird dieses Zusammenspiel, wenn mehrere GPOs eingesetzt werden (Vererbung oder Erzwingung) und dieses noch final mit dem Loopback-Processing (Vorzugsweise im Modus „Zusammenführen“ / „Merge“) ausgestattet ist. Zusammenfassend benötigen Sie eine Vorgehensweise (best practise), eine Diagnostik (gpresult.exe – was kommt real an) und was könnte ankommen (Group Policy Modeling – so rein theoretisch zumindest).

Um das Verständnis für die Mechanik von Group Policy zu vermitteln müssen wir im Workshop untersuchen, wie GPOs aufgebaut sind (GPO, GPT), wie eine Versionierung durchgeführt wird und warum gelegentlich GPOs nicht mehr sauber abgearbeitet werden (DSA-Replikation vs. DFS-R). Ebenso spielen Filtermechanismen wie ACL und WMI eine wesentliche Rolle wie und wann GPOs beim Client ankommen.

2006 erwarb Microsoft eine Firma, welche das Werkzeug GPO um die sogenannten „Einstellungen“ / „Preferences“ erweiterte. Die Preferences sollen langfristig komplexe Logon- oder Startup-Skript abslösen. Allerding stellt man später fest, dass Preferences eine eigene Logic (Update, Create, Delete, Modify) aufweisen und (anders als GPO) mit what-you-see-is-what-you-get (WYSIWYG – rot und grün sollten unterschieden werden können – F6 bis F8 nicht vergessen) arbeiten. Durch die historische Entwicklung der Preferences sind auch ein paar Sicherheitsaspekte zu beachten.

Ein sehr großer und zeitlich intensiver Block sind verschiedene Praxis-Szenarien, in denen Group Policy zur konkreten Problemlösung eingesetzt wird. Maßgeblich durch die nun bereits vollzogenen aber auch noch kommenden Migrationen von Windows 7 auf Windows 10 möchten wir hier den Schwerpunkt auf den Datenschutz unter Windows 10 aber auch auf die Kontrolle (oder das Verbot) des Microsoft App-Stores setzen. Die plattformübergreifende Sicherheitsbrille für Kennwortänderungen (User-, Computer- und Dienstkonten-Kennwörter) wird aufgesetzt; ebenso für sicherheitsreleveante Einstellungen rund um Domain Controller oder administrativer Workstations.

Ein hohes Maß an Automatisierung wird auch bei Group Policy durch die Windows Powershell erreicht. Egal ob man die Richtlinien dokumentieren möchte oder die Zugriffslisten in der breiten Masse kontrollieren möchte – überall kommt auch bei GPOs die Windows Powershell zum Einsatz.

Was mache ich aber, wenn die Gruppenrichtlinie nicht mehr wirkt, obwohl alles richtig schein? Troubleshooten! Neben dem Auswerten der relevanten Logs wird noch ein erweiterter Loggingmodus aktiviert und die EventLogs werden effizient durch XPath-Filter durchforstet. Gruppenrichtlinien werden automatisiert (Powershell) nach Versionierung, Replikation und inhaltlicher Konsistenz untersucht. In diesem Rahmen kann auch Gleichzeit nach Konsolidierungsmöglichkeiten per GPOTool geschaut werden.

In der Zusammenarbeit können sich Gruppenrichtlinien als Herausforderung herausstellen. Was mache ich, wenn viele Mitarbeiter gleichzeitig mit diesem Werkzeug arbeiten? Advanced Group Policy Managment kann hier ein Lösungsansatz sein. Durch die Installation eines AGPM-Servers und in Verbindung mit den AGPM-Clients kann konfliktärmer mit GPOs gearbeitet werden.

Zum Abschluss wird noch Desired State Configuration (DSC) in Verbindung mit der Azure-Cloud von Microsoft gearbeitet. Sofern der Pull-Server in Azure-Cloud steht können nicht nur Domänenmitglieder administriert werden (was auch GPO kann), sondern auch Workgroup-Maschinen und zwei Linux-Derivate (welche sich erst mal GPOs entziehen). Die Einrichtung und Konfiguration mit fertigen Lösungen von einem Pull-Server, sowie das Anbinden der DSC-Clients werden durchgeführt.

Übersicht

  • Grundlagen und Überblick über Group Policy
  • Group Policy Objects (GPO)
  • Group Policy Preferences
  • Praxisbeispiele für Group Policy und Preferences
  • Administration der Group Policies durch die Windows Powershell
  • Group Policy Troubleshooting
  • Advanced Group Policy Management
  • Desired State Configuration (DSC) als Alternative / Ergänzung für Group Policy

Details zum Kursinhalt

Grundlagen und Überblick über Group Policy
  • Historie der Group Policy
  • HKEY_CURRENT_USER bzw. HKEY_LOCAL_MACHINE als Wirkungsbereiche
  • lokale Richtlinien (gpedit.msc) vs. Group Policy (gpmc.msc)
  • Vererbung von Group Policies, unterbrechen der Vererbung und erzwingen von Group Policies
  • Loopback-Processing (Zusammenführen oder Ersetzen) im Vergleich zu WMI-Filtern
  • Best-Practise für Group Policy und Organizational Units (OUs)
Group Policy Objects (GPO)
  • Group Policy Container Object (GPC) und Group Policy Template (GPT)
  • Versionierung von GPOs (GPC vs. GPT)
  • Einfluss des Domain Name Systems auf Group Policy
  • Active Directory Replication und Sysvol-Replication (NtFRS / DFS-R)
  • Filtern von Group Policies durch Access Control List
  • Filtern von Group Policies durch WMI-Filter
Group Policy Preferences
  • Entwicklungsgeschichte zu Group Policy Preferences
  • Windows Settings und Control Panel Settings
  • Item Level Targeting (WMI-Filter innerhalb der Preferences)
  • Sicherheitsaspekte bei Group Policy Preferences
  • Änderungen im Vergleich von Windows 7 Preferences zu Windows 10 Preferences
Praxisbeispiele für Group Policy und Preferences
  • Windows 10 Privatsphäre einstellen (soweit noch möglich)
  • Windows 10 Apps gestatten oder verbieten
  • Zugriff auf den Windows 10 AppStore administrieren
  • Scheduled Tasks bei Servern und Clients administrieren
  • Änderungintevalle für Userkennwörter alterieren
  • Änderungintevalle für Managend Service Accounts / group Managend Service Accounts alterieren
  • Änderungintevalle für Computerkennwörter alterieren
  • Security Policies für Domain Controller
  • Security Policies für administrative Workstations
Administration der Group Policies durch die Windows Powershell
  • Backup- und Restore der Group Policies durch die Windows Powershell
  • GPO-Berechtigungen alterieren durch die Windows Powershell
  • Dokumentieren der bestehenden Group Policies per Windows Powershell
Group Policy Troubleshooting
  • Group Policy Logging Mode einstellen
  • Group Policy Preferences Logging Mode einstellen
  • Event Logs System + Microsoft-Windows-GroupPolicy/Operational
  • XPath-Filtering auf die Logs System + Microsoft-Windows-GroupPolicy/Operational
  • Troubleshooting per Windows Powershell (Versionierung, Replikation und inhaltliche Konsistenz)
  • Group Policies konsolidieren (Synergien nutzen, Konflikte lösen und Dubletten auflösen)
Advanced Group Policy Management
  • Installation des AGPM-Servers
  • Installation der AGPM-Clients
  • administrative Veränderungen an den Group Policies für AGPM-Clients
  • Anwenden des AGPM-Clients
Desired State Configuration (DSC) als Alternative / Ergänzung für Group Policy
  • Überblick über DSC in der Server- und Clientadministration
  • Erstellen und verteilen / einsetzen einer DSC-Konfiguration

X