Scroll Top

Group Policy Schulungen und Weiterbildungen

Weiterbildungen On Prem

Group Policy Kurs

Zielgruppe

  • IT Mitarbeiter, welche täglichen Umgang mit Group Policy haben
  • Systemadministratoren, welche täglichen Umgang mit Group Policy haben

Dauer

Die Kursdauer beträgt 3 Tage.

Level

Mittlere Komplexität

Zertifikat

Schulungsteilnehmer erhalten ein Zertifikat.

Preis

2.550,00€ exkl. MwSt.
Inklusive Verpflegung (Mittagessen, Parkgebühren, warme und kalte Getränke, u.v.m.).

Buchung

Telefonisch: +49 731 1848699-0 oder
E-Mail: info@iqunit.com

Termine

+ 22. Oktober bis 24. Oktober 2024

+ 26. November bis 28. November 2024

An den Terminen ist die Teilnahme in Präsenz (in unserem Schulungsraum in Ulm) oder online möglich

Präsenzschulung in Ulm oder Online-Seminar

Beschreibung des Group Policy Workshops

Gruppenrichtlinien – oder im englischen Group Policy (GPO) – machen genau das nicht, was der Name suggeriert: Gruppen mit Richtlinien / Policies belegen. Hier scheint eine Analogie zum Zitronenfalter vorzuliegen; dieser faltet bekanntlich auch keine Zitronen.

Dennoch sind Gruppenrichtlinien unverändert eines der Standardwerkzeuge, wenn es darum geht große Mengen an Computerobjekten oder Userobjekten homogen zu administrieren / zu konfigurieren bzw. um das Arbeitsgerät im Büroalltag – den Computer – zu konfigurieren. Genau hier liegt der Bereicht der Wirksamkeit von GPOs: Einfluss auf die Registry eines Windows basierten (ab Windows 2000 / Server 2000) und mit einer Domänenmitgliedschaft belegten Computers auszuüben. Dieses schließt Workstations, Memberserver und Domain Controller gleichermaßen ein. Durch eine Schnittstelle zwischen einer GPO und dem Registry-Baum HKEY_LOCAL_MACHINE bzw. HKEY_CURRENT_USER können maschinenspezifische oder anwenderspezifische Einstellung zentral vorgenommen werden und an eine Vielzahl von Objekten angewendet werden (wobei der anwenderspezifische Teil in der Regel den maschinenspezifischen Teil überschreibt).

Historisch betrachtet hat sich dieses Werkzeug aus den alten NT4.0-Policies weiterentwickelt (poledit.exe / ntconfig.pol – Gruseln inklusive). Jeder Windows basierte Computer ab Windows 2000 / Server 2000 verfügt zusätzlich noch über eine lokale Richtlinie welche mit einer GPO (mehr oder minder) zusammenarbeitet. Manchmal werden in dieser Konstellation Einstellungen zusammengeführt, manchmal überschrieben und manchmal schlichtweg ignoriert. Spannend wird dieses Zusammenspiel, wenn mehrere GPOs eingesetzt werden (Vererbung oder Erzwingung) und dieses noch final mit dem Loopback-Processing (Vorzugsweise im Modus „Zusammenführen“ / „Merge“) ausgestattet ist. Zusammenfassend benötigen Sie eine Vorgehensweise (best practise), eine Diagnostik (gpresult.exe /r // gpresult.exe /h – was kommt real an) und was könnte ankommen (Group Policy Modeling – so rein theoretisch zumindest).

Den Aufbau von GPOs verstehen

Um das Verständnis für die Mechanik von Group Policy zu vermitteln müssen wir im Workshop untersuchen, wie GPOs aufgebaut sind (GPO, GPT), wie eine Versionierung durchgeführt wird und warum gelegentlich GPOs nicht mehr sauber abgearbeitet werden (DSA-Replikation vs. DFS-R). Ebenso spielen Filtermechanismen wie ACL und WMI eine wesentliche Rolle wie und wann GPOs beim Client ankommen. Hier wird auch ein Blick auf die, mittlerweile friedliche, Koexistenz vom Windows 10 und Windows 11-Central Store gesetzt.

2006 erwarb Microsoft eine Firma, welche das Werkzeug GPO um die sogenannten „Einstellungen“ / „Preferences“ erweiterte. Die Preferences sollen langfristig komplexe Logon- oder Startup-Skript abslösen. Allerdings stellt man später fest, dass Preferences eine eigene Logic (Update, Create, Delete, Modify) aufweisen und (anders als GPO) mit what-you-see-is-what-you-get (WYSIWYG – rot und grün sollten unterschieden werden können – F6 bis F8 nicht vergessen) arbeiten. Durch die historische Entwicklung der Preferences sind auch ein paar Sicherheitsaspekte zu beachten.

Group Policies zur konkreten Problemlösung

Ein sehr großer und zeitlich intensiver Block sind verschiedene Praxis-Szenarien, in denen Group Policy zur konkreten Problemlösung eingesetzt wird. Maßgeblich durch die nun bereits abgeschlossene Transition auf Windows 10 und die nun anstehende Transition auf Windowds 11 möchten wir hier den Schwerpunkt auf den Datenschutz unter Windows 10 / Windows 11 aber auch auf die Kontrolle (oder das Verbot) des Microsoft App-Stores setzen. Die plattformübergreifende Sicherheitsbrille für Kennwortänderungen (User-, Computer- und Dienstkonten-Kennwörter) wird aufgesetzt; ebenso für sicherheitsreleveante Einstellungen rund um Domain Controller oder administrativer Workstations.

Ein hohes Maß an Automatisierung wird auch bei Group Policy durch die Windows Powershell erreicht. Egal ob man die Richtlinien dokumentieren (Get-GPOReport) möchte oder die Zugriffslisten in der breiten Masse kontrollieren möchte (Set-GPPermissions) – überall kommt auch bei GPOs die Windows Powershell zum Einsatz.

Was mache ich aber, wenn die Gruppenrichtlinie nicht mehr wirkt, obwohl alles richtig schein? Troubleshooten! Neben dem Auswerten der relevanten Logs wird noch ein erweiterter Loggingmodus aktiviert und die EventLogs werden effizient durch XPath-Filter durchforstet. Gruppenrichtlinien werden automatisiert (Powershell) nach Versionierung, Replikation und inhaltlicher Konsistenz untersucht. In diesem Rahmen kann auch Gleichzeit nach Konsolidierungsmöglichkeiten per GPOTool geschaut werden.

In der Zusammenarbeit können sich Gruppenrichtlinien als Herausforderung herausstellen. Was mache ich, wenn viele Mitarbeiter gleichzeitig mit diesem Werkzeug arbeiten? Advanced Group Policy Managment kann hier ein Lösungsansatz sein. Durch die Installation eines AGPM-Servers und in Verbindung mit den AGPM-Clients kann konfliktärmer mit GPOs gearbeitet werden.

Zum Abschluss wird das Thema Tiering durch Group Policy addressiert. Tiering bezeichnet die logische und administrative Zuordnung von Benutzern und Systemen im Bereich der AD-Zuständigkeiten in verschiedene Zugriffsebenen, dieses führte Microsoft als ESAE (Enhanced Security Administrative Environment) ins Feld*. Tier0 bezeichnet die höchst privilegierte Ebene, Tier1 eine Privilegierung in einer mittleren Ebene und Tier2 kennzeichnet eine niedrig privilegierte Ebene.

Die Privilegierung wiederum bezieht sich auf den Grad der Berechtigungen: Tier0 betrifft Objekte welche im Active Directory sehr mächtig sind, Tier1 sind “mittelmächtig” und Tier2 mit wenig Macht im Active Directory ausgestattet.

Tier0 kann beispielsweise gleichgesetzt werden mit Domain Admins, Domain Controllern, PKI, Tier1 mit Memberservern und Serveradministratoren und Tier0 mit dem Userhelpdesk und Client-Computern.

Das Tiering über Group Policy stellt sicher, dass sich jeder User nur noch in seinem Tier bewegen / anmelden kann. Das ist, so wird man im Workshop sehen, spannender als es klingt.

 

*ESAE ist gem. Microsoft schon “retired”. Bitte verwenden Sie RAMP anstelle dessen, sofern Sie Azure / EntraID einsetzen, das notwendige Vertrauen in die Microsoft Cloud noch haben und, ganz wichtig, über das notwenige Kleingeld verfügen.

Übersicht zur Gruppenrichtlinien-Weiterbildung

  • Grundlagen und Überblick über Group Policy
  • Group Policy Objects (GPO)
  • Group Policy Preferences
  • Praxisbeispiele für Group Policy und Preferences
  • Administration der Group Policies durch die Windows Powershell
  • Group Policy Troubleshooting
  • Advanced Group Policy Management
  • Tiering gem. ESAE per Group Policy

Details zum Kursinhalt

Grundlagen und Überblick über Group Policy

  • Historie der Group Policy
  • HKEY_CURRENT_USER bzw. HKEY_LOCAL_MACHINE als Wirkungsbereiche
  • lokale Richtlinien (gpedit.msc) vs. Group Policy (gpmc.msc)
  • Vererbung von Group Policies, unterbrechen der Vererbung und erzwingen von Group Policies
  • Loopback-Processing (Zusammenführen oder Ersetzen) im Vergleich zu WMI-Filtern
  • Best-Practise für Group Policy und Organizational Units (OUs)

Group Policy Objects (GPO)

  • Group Policy Container Object (GPC) und Group Policy Template (GPT)
  • Versionierung von GPOs (GPC vs. GPT)
  • Einfluss des Domain Name Systems auf Group Policy
  • Active Directory Replication und Sysvol-Replication (NtFRS / DFS-R)
  • Filtern von Group Policies durch Access Control List
  • Filtern von Group Policies durch WMI-Filter

Group Policy Preferences

  • Entwicklungsgeschichte zu Group Policy Preferences
  • Windows Settings und Control Panel Settings
  • Item Level Targeting (WMI-Filter innerhalb der Preferences)
  • Sicherheitsaspekte bei Group Policy Preferences
  • Änderungen im Vergleich von den alten Windows 7 Preferences zu Windows 10 / Windows 11 Preferences

Praxisbeispiele für Group Policy und Preferences

  • Windows 11 Privatsphäre einstellen (soweit noch möglich)
  • Windows 11 Apps gestatten oder verbieten
  • Zugriff auf den Windows 11 AppStore administrieren
  • Scheduled Tasks bei Servern und Clients administrieren
  • Änderungsintevalle für Computerkennwörter alterieren
  • Security Policies für Domain Controller
  • Security Policies für administrative Workstations
  • LAPS und Windows LAPS per Group Policy konfigurieren
  • Bitlocker per Group Policy konfigurieren

Administration der Group Policies durch die Windows Powershell

  • Backup- und Restore der Group Policies durch die Windows Powershell
  • GPO-Berechtigungen alterieren durch die Windows Powershell
  • Dokumentieren der bestehenden Group Policies per Windows Powershell

Group Policy Troubleshooting

  • Group Policy Logging Mode einstellen
  • Group Policy Preferences Logging Mode einstellen
  • Event Logs System + Microsoft-Windows-GroupPolicy/Operational
  • XPath-Filtering auf die Logs System + Microsoft-Windows-GroupPolicy/Operational
  • Troubleshooting per Windows Powershell (Versionierung, Replikation und inhaltliche Konsistenz)
  • Group Policies konsolidieren (Synergien nutzen, Konflikte lösen und Dubletten auflösen)

Advanced Group Policy Management

  • Installation des AGPM-Servers
  • Installation der AGPM-Clients
  • administrative Veränderungen an den Group Policies für AGPM-Clients
  • Anwenden des AGPM-Clients

Tiering via Group Policy

  • Überblick über das Tiering-Konzept (warum ist Tiering notwendig)
  • Zuordnung zu den verschiedenen Tiers
  • Adressieren der notwendigen Privilegien
  • Tiering ausrollen
  • Troubleshooting und ggf. Rollback

    Kursameldung

    Firmendaten

    Personen

    Ort und Termin

    Wunschort des Kurses

    Wunschtermin des Kurses