Vorwort. Das Geheimnis des Erfolgs. Die 1%-Regel Wenn es mal nicht mehr weitergeht

Transkript

1 Vorwort XV XVI XVI XVIII Das Geheimnis des Erfolgs Die 1%-Regel Wenn es mal nicht mehr weitergeht Danksagung Das Geheimnis des Erfolgs Die effiziente Verwaltung einer IT-Infrastruktur steht auf der Hitliste vieler Administratoren ganz oben. Darüber reden ist die eine Sache, die Realisierung jedoch eine andere. Viele Kolleginnen und Kollegen verwickeln sich mit der Zeit in ein eigen gestricktes Dickicht zweifelsfrei leistungsfähiger Einzellösungen. Früher oder später ist niemand sonst mehr in der Lage den gestellten Anforderungen in einer derartigen Perfektion gerecht zu werden. Leider wird dabei vergessen, dass gerade die Informationstechnologie einem ständigen Wandel unterliegt. Der Alterungsprozess eines Computersystems und damit auch der darauf eingesetzten Software ist oft kürzer als die Mindesthaltbarkeit manch eines Produkts aus dem Frischeregal Ihres Supermarkts. Verändern sich die Anforderungen des Unternehmens an die Leistungsmerkmale solcher Insellösungen, ist der Ärger vorprogrammiert. Besser beraten sind deshalb Entwickler und Administratoren, welche die Anforderungen der Unternehmensleitung an die hauseigene IT abstrakter und somit allgemeingültiger formulieren. Kein Geschäftsführer macht sich gerne von Einzelkämpfern abhängig, die ihr Wissen nicht gerne mit anderen Kollegen teilen. IT- Abteilungen, die solche Exemplare beherbergen sind näher an der Outsourcing-Diskussion als sie sich vorstellen können. Stattdessen sollten diese Zeitgenossen ihre Energie in die Schaffung einfach administrierbarer Lösungen investieren, welche auch von Kollegen mit geringerem Ausbildungsgrad beherrscht werden können. Der große Vorteil dieser revolutionären Strategie: der Leistungsgrad und somit auch die Qualität dieser IT-Abteilung werden steigen. Die Mitarbeiterinnen und Mitarbeiter sind motivierter und die Geschäftsführung wird die steigende Flexibilität sowohl der Software als auch der Mitarbeiter zu schätzen wissen. Das Geheimnis des Erfolgs externer IT-Dienstleister liegt in deren Angebot. Sie bieten Flexibilität an, die Unternehmensleitungen vermissen. Dass in solchen Angeboten meist nur ein Bruchteil dessen definiert ist, was sich Unternehmer wirklich erhoffen, merkt man leider oft viel zu spät. Warum also in Lethargie verfallen und den Outsourcing-Hype über sich ergehen lassen? Übernehmen Sie doch einfach selbst die Rolle des externen Dienstleisters. Sorgen Sie für die Bereitstellung der gewünschten Technologien. Mit diesem Buch will ich Ihnen beweisen, dass diese Aufgabe mit einem noch so kleinen Team um Sie herum realisierbar ist. Ich hoffe, es ist mir gelungen, notwendige technische Beschreibungen sowie zugegebenermaßen recht trockene Arbeitsschrittbeschreibungen und die praktischen Tipps in ein ausgewogenes Verhältnis zu bringen. Die Grafiken tragen hoffentlich ihren Teil bezüglich ihrer Aussagekraft dazu bei. XV

2 Mit diesem Buch will Ihnen dabei helfen, die Funktion Ihrer hausinternen IT-Abteilung zu überdenken und wenn Sie wollen auch neu zu definieren. Sie müssen nicht in einer Vertriebsfirma für Computerspiele beschäftigt sein, um die an Sie gestellten Anforderungen mit Spaßfaktor erfüllen zu können. Dabei ist es erst einmal völlig nebensächlich, für welche Plattform oder Applikationen Sie sich entscheiden. Wichtig ist nur, dass Sie eine einheitliche Strategie verfolgen. Wenn Sie in Ihrem Unternehmen beispielsweise unterschiedliche Betriebssystemprodukte einsetzen, müssen Sie unterschiedliches Know-how vorhalten. Auch wenn Sie Ihren Beruf mit Spaßfaktor ausüben, bedeutet das noch lange nicht, dass Sie Ihr Oberstes aus den Augen verlieren dürfen: Sicherstellung der Verfügbarkeit aller für die Durchführung der Geschäftsprozesse benötigten Soft- und Hardware. Soviel zum Thema Binsenweisheiten. Verschwenden Sie deshalb keine Zeit für die Einarbeitung in ein halbes Dutzend unterschiedlicher Betriebssystemvarianten. Ihr Unternehmen wird deswegen keine einzige Schraube, keinen Liter Milch oder auch kein Blatt Papier mehr verkaufen. Investieren Sie in die Aus- und Weiterbildung einer homogenen Infrastruktur. Eine solche Landschaft kann nämlich auch von einem kleinen, hoch professionellen Team beherrscht werden. Ich bin diesen Weg mit einem kleinen siebenköpfigen Team gegangen und ich denke, es hat sich sowohl für das Unternehmen als auch für meine Mitarbeiter bis zum heutigen Tage ausgezahlt. Innerhalb von fünf Jahren nahm die Zahl der Server um rund 100 % auf 60 Installationen zu. Im gleichen Zeitraum stieg die Anzahl der unterstützten Clientcomputer von 250 auf circa 700. Dahinter verbirgt sich letztendlich nur eine einzige Strategie: falls irgendwie möglich alles aus einer Hand. Die 1%-Regel Bücher wie diesem sitzt ein besonderer Fluch im Nacken: Die behandelten Themen wurden in irgendeiner Form und Ausprägung bereits an anderer Stelle dokumentiert und diskutiert. Der Betrachtung aus dem Blickwinkel einer unter wirtschaftlichen Aspekten betriebenen Administration hat sich bis heute zumindest in Deutschland noch kein Buchautor angenommen. Dennoch bestand natürlich das große Risiko, schon veröffentlichte Inhalte lediglich zusammen zu tragen und im geeigneten Kapitel leicht adaptiert zu veröffentlichen. Es wird Sie nicht überraschen, dass ich mich für eine andere Strategie entschieden habe. Oberstes Ziel bei der Komposition der Inhalte war für mich, Sie zum Umdenken zu bewegen. Unkonventionelle Wege zu gehen, macht nicht nur mehr Spaß. Sie werden sehr schnell auch die ersten Erfolge verzeichnen, wenn Sie wirklich hinter dieser Devise stehen. Es käme einer gefährlichen Doppelmoral gleich, wenn ich deshalb einfach nur abschreiben und zusammentragen würde. Deshalb haben Sie lediglich die Chance, circa 1 % des Inhalts an anderer Stelle in den Originaldokumentationen der einzelnen Produkte wiederzufinden. Die restlichen Seiten entstammen aus eigener Feder und Erfahrung. Ich hoffe, dass meine seit 1983 gesammelten praktischen Erfahrungen in Sachen Microsoft Ihnen helfen werden, Ihren IT-Alltag zu überdenken und am Ende interessanter und erfolgreicher zu gestalten. Alle in diesem Buch besprochenen Themen beruhen auf Erfahrungen praktischer Einsatzszenarien. Ich selbst bin leider schon viel zu oft mit der Aussage:» so sollte es zumindest funktionieren «vertröstet worden. Wenn es mal nicht mehr weitergeht Es wird immer wieder einmal die eine oder andere Situation geben, in der Sie nicht mehr weiter wissen und den Moment bereuen, an dem Sie mit einem Doppelklick auf die Datei Setup.exe mit der Installation einer Serverapplikation begonnnen haben. Diese Art der Frustration sollte nach dem Studium dieses Abschnitts eigentlich der Vergangenheit angehören. Denn neben den Möglichkeiten einer professionellen Weiterbildung bietet neben Drittanbietern auch Microsoft selbst seine Dienstleistungen an. Schauen wir uns einige der Möglichkeiten etwas genauer an. XVI Vorwort

3 b Microsoft Official Curriculum (MOC) ist die hauseigene Seminarreihe von Microsoft. Diese Seminare werden ausschließlich von zertifizierten Ausbildungszentren, den Microsoft CTECs angeboten. Als Kursleiter sind grundsätzlich nur Spezialisten mit einer adäquaten Ausbildung zugelassen. Diese so genannten Microsoft Certified Trainer (MCTs) müssen neben pädagogischen Kenntnissen auch das entsprechende Fachwissen nachweisen. Nach dem Besuch dieser MOC- Kurse können auf Wunsch Prüfungen abgelegt werden. Ich kann Ihnen den Besuch dieser Seminare wirklich empfehlen. Insbesondere bei Serverprodukten erreichen Sie für gewöhnlich innerhalb einer Woche einen Bildungsstand, den Sie im Eigenstudium keinesfalls in der gleichen Zeit erreichen können. Mein Geheimrezept: Versuchen Sie, einige Wochen eigene Erfahrungen mit einem Serverprodukt zu sammeln. Buchen Sie erst dann das gewünschte Seminar. Eines der großen, bundesweit agierenden CTECs ist beispielsweise die TRIA AG ( b Online-Wissensdatenbank. Unter haben Sie Zugriff auf die Knowledge Base von Microsoft. Die leistungsfähigen Suchfunktionen sind den meisten Administratoren bekannt und bieten Zugriff auf Lösungsvorschläge bekannter und aktueller Probleme. b Microsoft Technet. Unter finden Sie eine Vielzahl von Hinweisen, welche die Leistungsfähigkeit der offiziellen Wissensdatenbank noch einmal übertrifft. Wenn Sie sich für das gebührenpflichtige Technet-Abonnement entscheiden, werden Sie auf monatlicher Basis mit Service Packs, Resource Kits, Produktbeschreibungen, Trainings, Fallstudien, Artikeln aus der Microsoft Knowledge Base und vielem mehr versorgt. b Mit den Microsoft Services bietet Microsoft unterschiedliche Dienstleistungspakete bezogen auf die individuellen Anforderungen Ihres Unternehmens an. Die Palette reicht von strategischer Beratung bis zum technischen Support. Beispiele hierfür sind das Rundum-Sorglos-Paket Premier Support oder aber auch die Consulting Services. Alles, was Sie dazu wissen müssen, finden Sie auf der Internetseite b mbuf e.v. - eine ergänzende Alternative. Zeitgleich zur Veröffentlichung dieses Buches nimmt der Microsoft Business User Forum e.v. seine Arbeit auf. Die Ziele dieses Vereins im Überblick: b Die Bündelung und der Austausch anwenderbezogenen Informationen für die frühzeitige Vermittlung und Überprüfung von Produktentwicklungsstrategien der Firma Microsoft b Förderung und Organisation des Informationstransfers zwischen den Mitgliedern untereinander und gegenüber Microsoft b Herstellung und Förderung eines guten Verhältnisses zwischen der Firma Microsoft und den Vereinsmitgliedern b Die Steigerung der Investitionssicherheit in die Microsoft-Plattform Der Verein ist in seiner Arbeit unabhängig von der Microsoft Deutschland GmbH. Nach und nach werden im gesamten Bundesgebiet Arbeitskreise ins Leben gerufen. In den themen- und branchenspezifischen Arbeitskreisen des Microsoft Business User Forums können IT-Verantwortliche von Unternehmen und Behörden auf hohem Niveau tagesaktuelle, aber auch übergreifende Themen erarbeiten. Die Veranstaltungen sollen Ihnen Gelegenheit zum Austausch mit sachkundigen Gesprächspartnern über Themen wie zum Beispiel Standardisierung oder ERP-Architekturen, Risiken und Potenziale von Mobile Computing, E-Learning oder Lizenzierung bieten. Mehr Informationen über das Microsoft Business User Forum e.v. finden Sie im Internet unter Vorwort XVII

4 Danksagung Seit der ersten Idee zu diesem Buch bis zu diesem Abschnitt sind rund zwei Jahre vergangen. Über diese Zeit haben einige Menschen bewusst oder auch unbewusst ihren Einfluss auf den Inhalt dieses Buchs ausgeübt. Ich denke, dass man beim ersten Buch immer versucht ist, alle fünfhundert Namen, die einem in diesem Moment durch den Kopf geistern, an dieser Stelle zu erwähnen. Das will ich Ihnen natürlich ersparen. Dennoch gibt es da eine Reihe von Personen, die ich an dieser Stelle gerne nennen möchte. Beginnen möchte ich mit Markus Weisbrod, der Autor der SharePoint Portal Server- Bücher aus dem Microsoft Press Verlag. Er hat mir den Weg zu meinem Lektor Florian Helmchen geebnet und mir damit die Chance eröffnet, ihm dieses Buchprojekt zu erklären. Florian möchte ich dafür danken, dass er an mich geglaubt und mein unkonventionelles Konzept für ein Lösungsbuch unterstützt hat. Mein Dank gilt auch den Microsoft-Mitarbeitern Marcus Flohr, Thiemo Mirthes, Dierk Schlawatzki, Thomas Theiner und ganz besonders Carsten Kinder sowie Bernd Rössler von der TRIA AG und Gunnar Heinrich von der PICA AG. Das größte Geheimnis eines jeden Erfolgs liegt meines Erachtens in entgegengebrachtem Vertrauen. Während meines bisherigen Beruflebens hatte ich immer wieder das Glück, solchen Persönlichkeiten zu begegnen. Ganz besonders möchte ich hier Bruno O. Schwelling, Mitglied des Vorstands der Papierfabrik August Koehler AG, sowie Karl Schindler, Bereichsleiter IT der August Koehler AG, für Ihre Unterstützung und Ihr Vertrauen danken. Gemeinsam mit meinem Team Karl Haas, Thomas Meier, Ilker Özkusakli, Thomas Schäfer, Karlheinz Schnurr und Torsten Winkler ist die Koehler AG mittlerweile zu einem internationalen Vorzeigeunternehmen für effizient und wirtschaftlich genutzte Informationstechnologie auf Microsoft-Basis geworden. Entstanden ist dieses Buch an vielen Abenden und Wochenenden der letzten Monate. In dieser Zeit musste meine Familie sicherlich die größten Opfer bringen. Ich möchte mich deshalb bei meiner Frau Antje bedanken, die sehr viel Verständnis für den immensen Zeitaufwand aufbrachte und in dieser Zeit auf einiges verzichten musste. Aber das Allerwichtigste sind meine zwei Mädels Sophie und Alexa. Ich habe sehr viel Respekt vor deren Verständnis und Toleranz über diesen langen Zeitraum und bin nicht nur deshalb ganz besonders stolz auf euch. Alle Kolleginnen und Kollegen, Mitstreiter und Administratoren, die ich an dieser Stelle nicht namentlich erwähnt habe, bitte ich um Verzeihung. Keine und keiner ist vergessen. Ohne Sie und euch wäre dieses Buch niemals zustande gekommen. Alexander Fischer XVIII Vorwort

5 8 Softwareverteilung mit Gruppenrichtlinien 430 Überblick über Gruppenrichtlinienobjekte 434 Erstellen von Gruppenrichtlinienobjekten 437 Strategische Ansätze für eine effiziente Softwareverteilung mit Gruppenrichtlinien 441 Letzte Voraussetzungen vor dem Start 443 Erstellen eines Gruppenrichtlinienobjekts 447 Die verfügbaren Steuerungsmechanismen 464 Die Grenzen der Softwareverteilung über Active Directory Die Einsatzszenarien der in diesem Buch vorgestellten Möglichkeiten zur Softwareverteilung bilden eindeutige Schnittmengen, wie Sie der Abbildung 8.1 entnehmen können. Keines der Werkzeuge deckt das gesamte Anforderungsspektrum ab. Während RIS seine Stärken bei der unbeaufsichtigten Installation der unterstützten Betriebssysteme entfaltet, kümmert sich die im Active Directory integrierte Funktionalität der Softwarewareinstallation um die Aktualisierung bereits installierter Betriebssysteme. Abbildung 8.1: Wer kann was? Alle hier beschriebenen Technologien besitzen ihre Spezialdisziplinen. Richtig kombiniert erreichen Sie die höchste Effektivität für Ihr Unternehmen. 429

6 Dadurch wird die zu erfüllende Aufgabe keineswegs unübersichtlicher. Wie Sie dem vorherigen Kapitel entnehmen können, sind auch die Remoteinstallationsdienste durchaus in der Lage, die Verteilung der im Unternehmen eingesetzten Standardapplikation mit zu übernehmen. Die Einflussmöglichkeiten, die Sie auf eine derart installierte Ausgangsbasis haben sind aber erheblicher größer, wenn Sie den Aufgabenbereich der Softwareinstallation den Gruppenrichtlinien überlassen. Der Systems Management Server erfüllt diese Anforderung ebenfalls. Mit ihm ist eine Verteilung erheblich detaillierter möglich. Das Motto von Teil B dieses Buches sind jedoch die integrierten Administrationswerkzeuge und im Gegensatz zu den Mitbewerbern ist SMS nun einmal keine kostenfreie Komponente. Integriert heißt in diesem Zusammenhang gleichzeitig auch kostenneutral. Ob Active Directory, Remoteinstallationsdienste, DFS, Fernzugriff oder die Softwareverteilung: All diese Techniken müssen Sie nur aktivieren und konfigurieren. Einzige Voraussetzung ist ein betriebsbereites Windows Server 2003-Betriebssystem. TIPP: Die Softwareverteilung auf Basis von Gruppenrichtlinienobjekten ist wie RIS auch ein Bestandteil der Microsoft IntelliMirror-Verwaltungstechnologien. Folgende Funktionen werden unter diesem Begriff zusammengefasst: b Verwaltung der Benutzerdaten b Installieren und Warten von Software b Verwalten und Warten von Software b Verwaltung der Computereinstellungen b Remoteinstallationsdienste Wenn Sie weitere Informationen zu IntelliMirror wünschen, empfehle ich Ihnen die kostenfreie Online-Hilfe auf jedem Windows Server 2003-Betriebssystem: b Klicken Sie auf Start/Hilfe und Support. b Tragen Sie im Datenfeld Suchen links oben im nun angezeigten Dialogfeld den Begriff Intellimirror ein. Drücken Sie danach die Eingabe-Taste. Die dort auffindbaren Erläuterungen beschreiben in ausreichendem Umfang, was sich hinter der IntelliMirror-Technologie verbirgt. Ich könnte Ihnen an dieser Stelle lediglich eine Abschrift der Dokumentation liefern. Überblick über Gruppenrichtlinienobjekte Mit Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) steuern Sie das Verhalten einer beliebigen Anzahl von Computern in Ihrem Unternehmen. Gleichzeitig nehmen Sie Einfluss auf die Funktionen und Anwendungen, die einem Anwender auf dem Arbeitsplatzrechner zur Verfügung stehen. Für eine effiziente Softwareverteilung bedarf es der Definition einiger wichtiger Grundbegriffe im Zusammenhang mit den Gruppenrichtlinienobjekten: Architektur. Gruppenrichtlinienobjekte setzen sich aus einer Vielzahl einzelner Einstellmöglichkeiten, den so genannten Gruppenrichtlinien zusammen. Es sind quasi Gerüste, die standardmäßig einige Gruppenrichtlinien beinhalten und eine beliebige Anzahl weiterer Einstellungen verwalten können. Anwendbarkeit. Erstes Angriffsziel von Gruppenrichtlinienobjekten sind Organisationseinheiten, welche Sie mittels der Administratorkonsole Active Directory-Benutzer und -Computer verwalten können. Eine Organisationseinheit ist ein Behälter (Container), der unter anderem Computer- und Benutzerobjekte beinhalten kann. Wird ein Gruppenrichtlinienobjekt einer Organisationseinheit zugewiesen, werden die Gruppenrichtlinieneinstellungen auf die Objekte innerhalb der Organisationseinheit angewendet, was Sie in Abbildung 8.2 sehen können. 430 Kapitel 8

7 Abbildung 8.2: GPO in Action. Aber Achtung: Nicht auf alle Container lassen Sie Gruppenrichtlinienobjekte anwenden. Vererbung. GPOs werden auf alle Objekte innerhalb eines Containers angewendet. Befinden sich in diesem Container wiederum Container, so werden die im Gruppenrichtlinienobjekt getroffenen Einstellungen standardmäßig nach unten weitervererbt. Betrachten wir uns dazu noch einmal die Abbildung 8.2. Die Einstellungen der GPO2 werden auf alle Computer- und Benutzerkonten in der Organisationseinheit Vertrieb angewendet. Sofern keine zusätzlichen Einstellungen vorgenommen worden sind, profitieren auch Konten innerhalb der Container Inland und Ausland von diesen Konfigurationen. Sicherheit. Wie alle anderen Objekte innerhalb einer Active Directory-Struktur, besitzen auch GPOs Sicherheitsattribute. Damit sind Sie in der Lage, die Anwendung einer Gruppenrichtlinie auf ganz bestimmte Computer- und Benutzerkonten innerhalb einer Organisationseinheit einzugrenzen. Ein Beispiel: Sie wollen Microsoft Visio 2003 auf bestimmten Maschinen zur Verfügung automatisiert installieren lassen. Diese Arbeitsplatzcomputer fassen Sie in einer Active Directory-Sicherheitsgruppe zusammen. Nun erstellen Sie ein Gruppenrichtlinienobjekt, welches Sie auf der Organisationseinheit höchster Ebene anwenden. Damit nicht plötzlich auf allen Clientcomputern in Ihrem Unternehmen Visio 2003 installiert wird, weisen Sie ausschließlich der erstellten Active Directory-Sicherheitsgruppe das Recht zu, diese Regel anzuwenden. Zuweisung der Konfigurationen. Innerhalb eines Gruppenrichtlinienobjekts werden die Einstellungen separat für Computer- und Benutzerobjekte vorgenommen. Beziehen wir das auf die Aspekte der Softwareverteilung, so kann eine Installation abhängig vom angemeldeten Benutzer erfolgen. Alternativ findet die Softwareinstallation abhängig vom Computerkonto statt. Sowohl die Computer- als auch die Benutzerkonfiguration lassen sich unabhängig voneinander deaktivieren. Diese Option ist besonders hilfreich, wenn es um die Fehlersuche geht. Auch wenn es auf den ersten Blick nicht so aussieht, so hört die synchrone Optik unterhalb der Ordnerstruktur aus Abbildung 8.3 auf. Sehr viele Konfigurationsmöglichkeiten machen im Bereich der Benutzerkonfiguration keinen Sinn und stehen nur innerhalb der Computerkonfiguration zur Verfügung. Entsprechend sieht es auf der Seite der Benutzerkonfiguration aus. Softwareverteilung mit Gruppenrichtlinien 431

8 Abbildung 8.3: Charakteristischer Aufbau eines Gruppenrichtlinienobjekts. Bei Bedarf schalten Sie einen der beiden Konfigurationsbereiche einfach ab. Hierarchische Anwendung. Die Anwendung von Gruppenrichtlinienobjekten ist wie folgt geregelt: b Innerhalb der Active Directory-Struktur werden Gruppenrichtlinienobjekte von oben nach unten vererbt. b Innerhalb einer Organisationseinheit werden Gruppenrichtlinienobjekte von unten nach oben also genau entgegengesetzt angewendet. Daran sollten Sie bei der Konzeptionierung Ihrer Unternehmensrichtlinien denken. Betrachten Sie dazu Abbildung 8.4. Nehmen Sie einmal an, auf der Organisationseinheit Vertrieb würden eigene Gruppenrichtlinienobjekte Anwendung finden. Demnach würden auf die Benutzer- und Computerkonten, welche in den Organisationseinheiten Inland und Ausland verwaltet werden, alle Gruppenrichtlinienobjekte aus der übergeordneten Hierarchie Anwendung finden. Erst danach finden die GPOs der Organisationseinheiten Vertrieb und Inland, beziehungsweise Vertrieb und Ausland Anwendung. Abbildung 8.4: Kleine Kontrollkästchen mit großer Wirkung: Die Aktivierung des Kontrollkästchens Richtlinienvererbung deaktivieren ignoriert die Einstellungen aus Gruppenrichtlinienobjekten übergeordneter Organisationseinheiten. 432 Kapitel 8

9 TIPP: Der populärste Fehler bei der Erstellung von Gruppenrichtlinienobjekten ist nicht die fehlerhafte Konfiguration der Richtlinien. Problem Nummer 1 ist meiner Erfahrung nach die Kreation einer nicht mehr überschaubaren Menge unterschiedlicher Gruppenrichtlinienobjekte. Reduzieren Sie die Anzahl dieser Objekte auf ein absolutes Minimum. Für die Steuerung von Standardanwendern innerhalb eines Unternehmens beliebiger Größe steuern Sie mit einem einzigen Gruppenrichtlinienobjekt alle relevanten Einstellungen. Einzig für die effiziente Steuerung einer Softwareverteilung empfehle ich Ihnen die Erstellung gesonderter GPOs. Einstellmöglichkeiten. Richtlinien innerhalb eines Gruppenrichtlinienobjekts können grundsätzlich einen der drei Konfigurationszustände annehmen: b Nicht konfiguriert b Aktiviert b Deaktiviert Sind mehrere Gruppenrichtlinienobjekte im Spiel, zählt die Reihenfolge der Anwendung. Keiner der Zustände übertrumpft einen anderen. Die Abbildung 8.5 zeigt Ihnen vier verschiedene Resultate bei einer kombinierten Anwendung von Gruppenrichtlinienobjekten. Bitte beachten Sie, dass die Zustände Aktiviert und Deaktiviert dem Anwender die Möglichkeit nehmen, die Vorgaben zu verändern. Es handelt sich bei Einstellungen aus Gruppenrichtlinienobjekten also nicht um Vorschlagswerte, sondern um obligatorische Vorgabewerte. Für eine Vorgabe von veränderbaren Vorschlagswerten sind Gruppenrichtlinien nicht geeignet. Abbildung 8.5: Wer zuletzt lacht : Die Gruppenrichtlinien werden in definierter Reihenfolge abgearbeitet. Softwareverteilung mit Gruppenrichtlinien 433

10 Erstellen von Gruppenrichtlinienobjekten Gruppenrichtlinienobjekte lassen sich an einer Vielzahl verschiedener Orte innerhalb einer Active Directory-Infrastruktur erstellen. Das derzeit mit Abstand komfortabelste Werkzeug zur Verwaltung von GPOs ist die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Ich werde deren Funktionalität im weiteren Verlauf dieses Buches detaillierter erläutern. Begnügen wir uns an dieser Stelle erst einmal mit den Möglichkeiten, welche uns bereits seit der Einführung von Windows 2000 Server zur Verfügung stehen. Hier, wie auch in der aktuellen Betriebssystemversion können die GPOs gleich an der Stelle angelegt werden, an der sie auch zum Einsatz gelangen: direkt in der Administratorkonsole Active Directory-Benutzer und -Computer. Schauen Sie sich in diesem Zusammenhang bitte Abbildung 8.6 an. Wie Sie sehen, existieren innerhalb der Domäne ecit.msft zahlreiche Gruppenrichtlinienobjekte. Diese Objekte werden in einem gewöhnlichen Verzeichnis (\SYSVOL\<Domänenname>\Policies) gespeichert. GPOs sind von dieser Seite aus betrachtet nichts anderes als eine Ansammlung von Verzeichnissen und Dateien. Wenden Sie eine GPO auf eine Organisationseinheit an, so wird lediglich eine Verknüpfung zwischen Organisationseinheit und Gruppenrichtlinienobjekt erstellt. Abbildung 8.6: Die zwei Gesichter: Gruppenrichtlinienobjekte werden auf dem Verzeichnissystem in einer besonderen Verzeichnisstruktur gespeichert, die für alle Anmeldeserver zugänglich ist. 434 Kapitel 8

11 Um ein Gruppenrichtlinienobjekt zu erstellen führen Sie die nachfolgenden Schritte aus: 1. Melden Sie sich auf einem Domänencontroller mit einem administrativen Benutzerkonto an. 2. Klicken Sie auf Start/Ausführen und geben Sie als Befehl dsa.msc ein. Drücken Sie danach die Eingabe-Taste. Dadurch wird die Administratorkonsole Active Directory-Benutzer und -Computer gestartet. 3. Navigieren Sie zu der Organisationseinheit, auf die Sie ein Gruppenrichtlinienobjekt anwenden wollen. 4. Klicken Sie mit der rechten Maustaste auf den Namen der Organisationseinheit und wählen Sie im Kontextmenü den Eintrag Eigenschaften aus. 5. Klicken Sie auf die Registerkarte Gruppenrichtlinie. 6. Klicken Sie auf die Schaltfläche Neu. Vergeben Sie danach dem neuen Gruppenrichtlinienobjekt einen sprechenden Namen. Drücken Sie danach die Eingabe-Taste. Das waren bereits alle notwendigen Schritte, die für die Anlage eines Gruppenrichtlinienobjekts notwendig sind. Lassen Sie uns kurz deren Charakterzüge erläutern: b Eindeutiger Name. Jedes Gruppenrichtlinienobjekt besitzt einen eindeutigen Namen. Diesen sehen Sie, wenn Sie das Gruppenrichtlinienobjekt markieren und danach auf die Schaltfläche Eigenschaften klicken. Es handelt sich dabei um eine hexadezimale Zeichenfolge (zum Beispiel: {728A5C39-30C BFF7-2744DBAE6D99}), welche weltweit einmalig ist. b Speicherung. Ein Replikat eines jeden Gruppenrichtlinienobjekts wird auf jedem Anmeldeserver im Verzeichnis \SYSVOL\<Domänenname>\Policies gespeichert. b Änderungen. Wenn Sie Veränderungen an einem Gruppenrichtlinienobjekt vornehmen wollen, landen Sie grundsätzlich auf dem Domänencontroller, der gleichzeitig die Aufgabe der PDC-Emulation übernommen hat. In einer weit verteilten Active Directory-Infrastruktur mit schmalbandigen Leitungen zwischen den Standorten kommt beim Remotezugriff nicht immer Freude auf. Deshalb können Sie diese Einstellung auch ändern: b Klicken Sie in der Administratorkonsole Gruppenrichtlinienobjekt-Editor auf den Menüpunkt Ansicht. b Wählen Sie im Menü den Eintrag DC-Optionen. b Ich empfehle Ihnen im Dialogfeld Optionen für die Domänencontrollerauswahl die Selektion der Option Von den Active Directory-Snap-Ins verwendeter Domänencontroller (Abbildung 8.7). Klicken Sie danach auf die Schaltfläche OK. Diese Anpassung wird mit dem nächsten Aufruf des Gruppenrichtlinienobjekt-Editors angewendet. Abbildung 8.7: Komfortabler in verteilten Infrastrukturen: Die Bearbeitung der Gruppenrichtlinienobjekte findet standardmäßig immer auf dem so genannten PDC-Emulator statt. b Replikation. Änderungen an Gruppenrichtlinienobjekten werden auf alle Domänencontroller innerhalb einer Active Directory-Domäne repliziert. Beachten Sie in diesem Zusammenhang die gegebenenfalls von Ihnen angepassten Replikationszyklen zwischen Active Directory-Standorten. Softwareverteilung mit Gruppenrichtlinien 435

12 b Revision. Jedes Gruppenrichtlinienobjekt erhält so genannte Revisionsnummern. Diese spiegeln die Anzahl der durchgeführten Veränderungen wider. Dabei wird zwischen Änderungen an der Benutzerkonfiguration und Änderungen an der Computerkonfiguration unterschieden. Des Weiteren wird für jedes Gruppenrichtlinienobjekt das Erstellungsdatum gespeichert und das Datum der letzten Änderungen fortgeschrieben. Sie können sich diese Werte anzeigen, indem Sie das entsprechende Objekt wie in Abbildung 8.8 gezeigt markieren und danach auf die Schaltfläche Eigenschaften klicken. Abbildung 8.8: Das aktivierte Kontrollkästchen Richtlinienvererbung deaktivieren unterbindet die Anwendung übergeordneter Gruppenrichtlinienobjekte auf diese Organisationseinheit. b Löschen. Wenn Sie wie in Abbildung 8.8 auf die Schaltfläche Löschen klicken, werden Ihnen die folgenden Optionen angeboten: b Verknüpfung aus der Liste entfernen. Die Auswahl dieser Option bewirkt, dass der Zeiger des Gruppenrichtlinienobjekts von dieser Organisationseinheit entfernt wird. Das Gruppenrichtlinienobjekt selbst bleibt weiterhin erhalten und kann somit auch auf anderen Organisationseinheiten angewendet werden. b Verknüpfungen entfernen und das Gruppenrichtlinienobjekt unwiderruflich löschen. Die Beschreibung dieser Selektion ist deutlich. Wird dieses Gruppenrichtlinienobjekt noch auf andere Organisationseinheiten innerhalb der Domäne angewendet, so würden auch diese nach der unwiderruflichen Löschaktion von dessen Anwendung befreit. Abbildung 8.9: Kann fatale Folgen haben: Ich empfehle Ihnen immer erst die Selektion der oberen Option. 436 Kapitel 8

13 HINWEIS: Die in diesem Abschnitt angesprochenen Aspekte decken nur ein Teil dessen ab, was Sie über das Thema Gruppenrichtlinien wissen sollten. Ich will Sie daran erinnern, dass der aktuelle Fokus auf der Erstellung von Gruppenrichtlinienobjekten für effiziente Softwareverteilung liegt. Im weiteren Verlauf des Buchs werden wir uns auch die Gruppenrichtlinien-Verwaltungskonsole genauer anschauen. Allerdings werden wir auch hier nicht allzu tief in die schier unendlichen Konfigurationsmöglichkeiten der vorhandenen, beziehungsweise implementierbaren Richtlinien einsteigen. Hierfür gibt es auch einen plausiblen Grund. Einerseits würde die intensivere Besprechung der Details den Rahmen dieses Buchprojekts sprengen. Zum anderen steht Ihnen mit dem ebenfalls bei Microsoft Press erschienenen Buchtitel Netzwerkverwaltung mit Windows Server 2003-Gruppenrichtlinien von Marco Schneimann ein umfassendes Kompendium bereits zur Verfügung. Strategische Ansätze für eine effiziente Softwareverteilung mit Gruppenrichtlinien Bevor wir uns um die technische Umsetzung der Softwareverteilung mittels Gruppenrichtlinienobjekten kümmern, sollte die strategische Zielsetzung genauer beleuchtet werden. Grundsätzlich lässt sich die automatisierte Installation eines Office 2003-Pakets innerhalb einer Infrastruktur mit einem einzigen Gruppenrichtlinienobjekt erledigen. Anstatt Grundsätzlich können Sie in diesem Zusammenhang auch den Begriff Theoretisch einsetzen. Denn in der praktischen Anwendung werden Sie sich mit dieser Vorgehensweise keine Freunde machen. In Abbildung 8.10 habe ich versucht, dieses Problem zu illustrieren. Wird ein Softwarepaket mit nur einer einzigen Gruppenrichtlinien verteilt, werden alle Clientcomputer an allen Standorten auf einen einzigen Datenserver zugreifen. Eine dynamische Differenzierung zwischen unterschiedlichen Standorten bei der Softwareverteilung sieht das Gruppenrichtlinienkonzept nicht vor. Diese Disziplin beherrscht Systems Management Server und sicherlich auch viele andere professionelle und skalierbare Softwareverteilungssysteme erheblich besser. Auch wenn SMS 2003 nicht in Ihrem Unternehmen zum Einsatz kommt, müssen Sie nicht auf die Möglichkeiten einer verteilten Installationsbasis verzichten. Die Lösung liegt in der Erstellung jeweils eines Gruppenrichtlinienobjekts pro Standort. Sind an einem Standort mehrere Datenserver installiert, welche das zu verteilende Datenpaket bevorraten, erstellen Sie pro Datenserver ein Gruppenrichtlinienobjekt. Bei Zuweisung von Softwarepaketen müssen die Pfade in UNC-Schreibweise (Universal Naming Convention) angegeben werden. Das bedeutet, dass die Installationsanweisungen in der Form \\<Servername>\<Freigabename>\Installationspaket.msi angegeben werden. Diese Art der Pfadangabe lässt einen flexiblen und von der Auslastung des Datenservers abhängigen Zugriff erst einmal nicht zu, da Sie sich dabei immer auf ein eindeutiges Server- oder Clustersystem beziehen. Für Sie als verantwortlichen Administrator bedeutet das in erster Linie mehr Verwaltungsaufwand. Je höher die Anzahl der in einer Active Directory-Infrastruktur angewendeten Gruppenrichtlinienobjekte, desto höher die Gefahr, den Überblick über die effektiven Einstellungen zu verlieren. Ich empfehle Ihnen deshalb, sich an den folgenden Spielregeln zu orientieren: b Differenzieren Sie zwischen Gruppenrichtlinienobjekten, welche Sie für die Softwareverteilung nutzen (GPO-SD) und Gruppenrichtlinienobjekten, welche Sie für die Anwendung voreingestellter Konfigurationen (GPO-CFG) nutzen. b Erstellen Sie GPO-SDs abhängig von den vorhandenen Datenservern. b Nutzen Sie GPO-SDs nicht zur Anwendung irgendwelcher Konfigurationen. b GPOs sollten Sie in einem Labor ausgiebig auf deren Einfluss auf Computer und Benutzer testen, bevor Sie sie in einer produktiven Infrastruktur einsetzen. Softwareverteilung mit Gruppenrichtlinien 437

14 b Reduzieren Sie die Anzahl der GPO-CFGs auf das absolut notwendige Minimum. Wenn sich eine unternehmensweit gültige Konfiguration durchsetzen lässt, reicht im Idealfall eine einzige GPO- CFG. Abbildung 8.10: Auf die richtige Strategie kommt es an: Effizienter Einsatz von Gruppenrichtlinien bedeutet nicht gleichzeitig eine Reduktion der Richtlinien auf eine Einzige. Gruppenrichtlinienobjekte sind sehr schnell erstell- und ebenso einfach anpassbar. Ohne die Microsoft Gruppenrichtlinien-Verwaltungskonsole, welche wir uns im nächsten Kapitel genauer anschauen werden, verlieren Sie jedoch schnell den Überblick. Im Verlauf der von mir unterstützten Active Directory-Integrationen hat sich immer wieder gezeigt, dass die Anzahl der GPOs vom Wissenstand des zuständigen Administrators in Sachen Gruppenrichtlinien abhängig ist. Je schlechter die Vorbereitung, desto höher die Anzahl. Die Reduzierung auf eine geringe Menge von GPOs erhöht die administrative Effektivität. Lassen Sie mich die Leistungsfähigkeit einer guten Strategie mit zwei konträren Aussagen belegen. Zuerst einmal die positive Betrachtungsweise: b Mit einem einzigen Mausklick können Sie allen Benutzern den Zugriff auf ein eventuell im Arbeitsplatzcomputer eingebautes Floppy-Laufwerk erlauben oder verbieten. Allein an diesem exemplarischen Beispiel lassen sich die Einflussmöglichkeiten erahnen, die Sie durch ein einstufiges GPO-Konzept besitzen. 438 Kapitel 8

15 Unter pessimistischen Gesichtspunkten hört sich das leicht verändert an: b Bitte entwickeln Sie ein exaktes Verständnis über die Auswirkungen der Einstellungen innerhalb eines Gruppenrichtlinienobjekts..Mit einem einzigen vermeintlich richtigen Eintrag innerhalb der Computerkonfiguration im Bereich Windows-Einstellungen/Sicherheitseinstellungen/Registrierung oder Windows-Einstellungen/Sicherheitseinstellungen/Dateisystem sind alle Clientcomputersysteme spätestens nach dem nächsten Neustart nicht mehr nutzbar. Ich will mit diesen Aussagen keinen blinden Aktionismus betreiben. Leider liegt jedoch erfahrungsgemäß der Ursprung vieler Falschaussagen über vermeintliche Fehlfunktionen einer Active Directory- Infrastruktur in der Fehlbedienung durch Administratoren. Andererseits gibt es ebenso wenig die einzig richtige Vorgehensweise, denn diese richtet sich einzig und allein nach den individuellen Bedürfnissen des jeweiligen Unternehmens. Abbildung 8.11: Alles drin: Vorsicht ist geboten beim Einsatz von Gruppenrichtlinienobjekten. Diese können nicht nur innerhalb der Administratorkonsole Active Directory-Benutzer und -Computer Anwendung finden, sondern beispielsweise auch auf Standortebene. Was zählt, ist die effektive Anwendung. Oft wird übersehen, dass Gruppenrichtlinienobjekte nicht nur auf der Ebene von Organisationseinheiten angewendet werden können. Wie Sie in Abbildung 8.11 erkennen können, sind GPOs auch auf der Standortebene anwendbar. Welche Einstellungen letztendlich zur Anwendung gelangen ist das Ergebnis einer im Grunde banalen Schnittmengenberechnung. Wenn Sie also fundamentale Grundkenntnisse in der mathematischen Theorie der Mengenlehre besitzen, sind Sie klar im Vorteil. Betrachten wir uns das einmal anhand eines Beispiels und im Kontext der Abbildung 8.11: b Karl Haas ist Mitarbeiter der Entwicklung. Aufgrund eines aktuellen international relevanten Forschungsprojekts hat er seinen Schreibtisch von Hannover nach Belek verlegt. Das Benutzerkonto von Herrn Haas befindet sich in der Organisationseinheit Entwicklung. Sein Computerkonto wird standardmäßig in der Organisationseinheit Computers verwaltet. Die Standorte des Unternehmens arbeiten alle mit eigenen Subnetzen. Die Clientcomputer beziehen Ihre IP-Adressen von einem jeweils am lokalen Standort installierten DHCP-Serverdienst, der auf einem Windows Ser- Softwareverteilung mit Gruppenrichtlinien 439

16 ver 2003-Domänencontroller ausgeführt wird. Daraus ergibt sich, dass die konfigurierten Richtlinien folgender GPOs in der Reihenfolge ihrer Auflistung Anwendung finden werden: b GPO-SD-E, weil Karl Haas sein Notebook am lokalen Netz in Belek anschließen und somit eine IP-Adresse vom lokalen DHCP-Server beziehen wird. Das Gruppenrichtlinienobjekt GPO- SD-E ist dem Standort Belek zugeordnet. b GPO-CFG-1, weil es auf die gesamte Domänenstruktur angewendet wird, unabhängig davon, wo sich das Benutzer- oder Computerkonto befindet. b GPO-SD-A, weil die Softwareinstallationen aus diesem Gruppenrichtlinienobjekt auf alle Objekte angewendet werden, die sich in der Organisationseinheit ECIT IT und den darunter angeordneten Organisationseinheiten befinden. Beachten Sie bitte, dass im konkreten Beispiel nur Softwarepakte installiert werden, welche über die Benutzerkonfiguration zugeteilt worden sind. Der Computer von Herrn Haas befindet sich nämlich in der Organisationseinheit Computers und auf diese Organisationseinheit hat das Gruppenrichtlinienobjekt GPO-SD-A keinen Einfluss. b GPO-CFG-2, weil die Konfigurationseinstellungen aus diesem Gruppenrichtlinienobjekt auf alle Objekte angewendet werden, die sich in der Organisationseinheit ECIT IT und den darunter angeordneten Organisationseinheiten befinden. Aufgrund der Reihenfolgeregelung werden Gruppenrichtlinienobjekte auf gleicher Ebene immer von unten nach oben angewendet (vergleichen Sie bitte hierzu Abbildung 8.4 etwas weiter oben in diesem Kapitel). In diesem Beispiel habe ich besondere Optionen wie beispielsweise Kein Vorrang oder Richtlinienvererbung deaktivieren nicht berücksichtigt. Diese sollten in der Praxis unbedingt zum Einsatz kommen, würden aber dieses Szenario noch komplexer gestalten. Beachten Sie bitte ebenfalls, dass ich bewusst auf die Differenzierung zwischen Computer- und Benutzerkonfiguration verzichtet habe. Ziel dieser Übung ist lediglich, eine Diskussionsgrundlage für eine schlecht geplante oder auch eine übertrieben gut gemeinte GPO-Strategie zu schaffen. Ebenso habe ich bewusst auf den Einsatz lokaler Gruppenrichtlinienobjekte verzichtet, die zumindest auf Clientcomputern bei einer effizienten Domänenverwaltung keine besondere Rolle mehr spielen sollten. WICHTIG: Beachten Sie bitte die folgende Grundregel bei der Anwendung von Gruppenrichtlinienobjekten: Liegen mehrere Gruppenrichtlinienobjekte vor, werden sie in der nachstehenden Reihenfolge verarbeitet: b Lokaler Computer b Standort b Domäne b Organisationseinheit Neben einer eher konservativen Anwendung von Gruppenrichtlinienobjekten spielt die Frage nach der optimalen Anzahl und Aufstellung der Datenserver die wohl größte Rolle bei der Konzeptionierung einer effizienten Softwareverteilung. Setzen Sie den Systems Management Server (SMS) in Ihrem Untenehmen ein, verfügen Sie bereits über die dafür notwendige Infrastruktur. Auch SMS nutzt für sich die Technologie von Datenserver, der so genannten Verteilungspunkte (Distribution Server, DS). Auf diesen Servermaschinen steht gewöhnlich genügend freier Festplattenplatz zur Verfügung, sodass die Softwareverteilung mittels Gruppenrichtlinienobjekten ebenfalls über die Hardwareplattform abgewickelt werden kann. Um die Datenbestände für die Softwareverteilung sicher zu stellen, ist jedoch Einfallsreichtum gefragt. Im einfachsten Fall erstellen Sie für jeden Standort eine eigene Gruppenrichtlinie, die dann die benötigte Software vom jeweils lokalen Datenserver abholt. Wählen Sie diese Variante, müssen Sie für die Datenkonsistenz der Datenserver sorgen. Aber selbst diese Disziplin lässt sich mit bereits vorhandenen Funktionen automatisieren. Mithilfe des verteilten 440 Kapitel 8

17 Dateisystems (Distributed File System, DFS) automatisieren Sie den Vorgang der Datenverteilung und reduzieren im Idealfall die Anzahl der hierfür benötigten Gruppenrichtlinienobjekte auf genau eine einzige. Werfen Sie deshalb einen Blick in das X Kapitel 10. Letzte Voraussetzungen vor dem Start Die Softwareverteilung auf Basis von Gruppenrichtlinienobjekten lässt sich wie so vieles andere auch am besten am praktischen Beispiel erklären. Im Verlauf dieses und der folgenden Abschnitte kümmern wir uns deshalb um die Verteilung des so genannten Clients für vorherige Versionen, mit dem Ihre Anwender selbständig und ohne die üblichen Rücksicherungsszenarien versehentlich gelöschte Daten auf einem Datenserver wiederherstellen können. Die dafür notwendige Software wird in einem Windows Installer-Paket zur Verfügung gestellt. Kümmern wir uns nun noch um die folgenden Voraussetzungen, um anschließend endlich mit der Erstellung eines Gruppenrichtlinienobjekts beginnen zu können: b Nur MSI-Pakete können in Gruppenrichtlinienobjekte verwendet werden. b Die Konfiguration des Datenservers muss abgeschlossen sein. Schauen wir uns die notwendigen Schritte deshalb genauer an: b Nur MSI-Pakete können verwendet werden. Über Gruppenrichtlinienobjekte können nur Softwarepakete verteilt werden, deren Ausführung durch ein Windows Installer-Paket gestartet wird. Diese Anwendungen besitzen die Dateierweiterung.msi. Installationsroutinen, welche sich beispielsweise nur durch.bat-skripte oder.exe-anwendungen aufrufen lassen, sind für diese Art der automatisierten und unbeaufsichtigten Softwareinstallation nicht vorgesehen. Unser Client für vorherige Versionen kann also problemlos mittels eines Gruppenrichtlinienobjekts verteilt werden. Ähnlich einfach sieht die Verteilung eines erheblich komplexeren Office-Pakets aus. Glücklicherweise bietet uns diese Technologie ausreichend Möglichkeit zur Einflussnahme auf die Charakteristik und Ausprägung der zu verteilenden Software. Installationen auf Grundlage von MSI- Paketen können mit so genannten Transformationsdateien individuell angepasst werden. Diese MST-Dateien werden mit speziellen Transformationswerkzeugen erstellt. Diese Transformationswerkzeuge sind auf die Leistungsmerkmale des jeweiligen Softwarepakets abgestimmt. Der zusätzliche Aufwand für die Erstellung einer MST-Datei hält sich in Grenzen und erspart Ihnen, ein Office Paket in mehrfacher Ausfertigung auf Ihren Datenservern verfügbar zu halten. Die Abbildung 8.12 zeigt am Beispiel von Office 2003 die Idee hinter dieser Technik. Mit einer einzigen administrativen Office 2003 Installation realisieren Sie sämtliche, in Ihrem Unternehmen gewünschten Installationsvarianten. Im Gegensatz zum Office-Paket bietet der Client für vorherige Versionen standardmäßig keine Transformationsdateien an. Das ist bei einem Werkzeug mit einem derart spezialisierten Funktionsumfang auch nicht unbedingt notwendig und liegt wie bereits erwähnt im Ermessensspielraum des Entwicklers. Softwareverteilung mit Gruppenrichtlinien 441

18 Abbildung 8.12: Beliebig flexibel: Mit dem zusätzlichen Transformationswerkzeug aus dem Office Resource Kit erzeugen Sie mit geringem Aufwand beliebige Installationsvarianten auf Basis einer einzigen administrativen Installation. b Die Konfiguration des Datenservers. Bei der Softwareverteilung über Gruppenrichtlinienobjekte ist darauf zu achten, dass die Pfadangaben immer in UNC-Schreibweise (Universal Naming Convention) und nicht in Form absoluter Pfadangaben vorgenommen werden. Wenn Sie also beispielsweise ein Softwareverteilverzeichnis für das Programm Client für vorherige Versionen einrichten wollen, wenden Sie die nachfolgende strategische Schrittfolge an: b Erstellen Sie auf der Festplatte Ihres Datenservers, auf der ausreichend Plattenplatz zur Verfügung steht, ein Verzeichnis mit einer sprechenden Bezeichnung. Wählen Sie beispielsweise den Begriff Softwareverteilung. b Erstellen Sie eine Freigabe für dieses Verzeichnis. Wählen Sie auch hier eine sprechende Bezeichnung und nutzen Sie die Möglichkeit der versteckten Verzeichnisfreigabe. Fügen Sie dem Freigabenamen hierfür das Dollar-Symbol an. Geben Sie das Verzeichnis Softwareverteilung beispielsweise mit dem Namen softvert$ an. b Erteilen Sie der Benutzergruppe Authentifizierte Benutzer die Freigabeberechtigung Lesen. Die anderen Gruppen- oder Benutzernamen können aus der Liste der Freigabeberechtigungen entfernt werden. Die NTFS-Zugriffsrechte müssen nicht angepasst werden. b Erstellen Sie auf dem Datenserver unterhalb des Verzeichnisses Softwareverteilung ein weiteren Ordner für jedes Softwarepaket. Für unseren Client für vorherige Versionen erstellen Sie somit ein Verzeichnis mit der Bezeichnung twclient. b Kopieren Sie die Datei twcli32.msi aus dem Verzeichnis %windir%\system32\clients\twclient\x86 in das Verzeichnis \Softwareverteilung\twclient\ auf der von Ihnen gewählte Festplatte des Datenservers. 442 Kapitel 8

19 Erstellen eines Gruppenrichtlinienobjekts Gruppenrichtlinienobjekte (GPO) sind grundsätzlich immer mindestens einer Organisationseinheit (Organizational Unit, OU) zugeordnet. Das muss aber nicht immer so sein. Vielleicht erinnern Sie sich an Abbildung 8.9 weiter oben in diesem Kapitel. Wenn Sie GPOs von einer OU entfernen, so kann diese Löschaktion zwei verschiedene Ausprägungen besitzen. Entscheiden Sie sich dafür, lediglich die Verknüpfung zwischen OU und GPO zu entfernen, bleibt das Gruppenrichtlinienobjekt weiterhin verfügbar. Eine komfortable Möglichkeit zur Verwaltung solcher herrenloser GPOs ergibt sich erst mit dem Einsatz der Gruppenrichtlinie-Verwaltungskonsole (Group Policy Management Console, GPMC). Ohne GPMC ist die Administration domänenweit eingesetzter Richtlinien erfahrungsgemäß an eine der beiden Administratorkonsolen Active Directory-Standorte und -Dienste oder Active Directory-Benutzer und -Computer gekoppelt. Im nachfolgenden Beispiel werden wir deshalb ebenfalls eine dieser Administratorkonsolen nutzen und die im vorherigen Abschnitt bereitgestellte Software dem neu zu erstellenden Gruppenrichtlinienobjekt GPO SD ECIT TWC zuweisen. Da das Ganze in der Theorie schrecklich chaotisch klingt hoffe ich mit Abbildung 8.13 eine aussagekräftige Illustration unseres gemeinsamen Vorhabens erstellt zu haben. Abbildung 8.13: Dick ist schick: Für die Erstellung unseres Gruppenrichtlinienobjekts ist nur die fett gezeichnete Spur von Relevanz. Wie Sie der Abbildung 8.13 entnehmen können, werden wir die Softwareverteilung über den Computerkonfigurationsteil des Gruppenrichtlinienobjekts vornehmen. Der angemeldete Benutzer hat also somit keinen Einfluss darauf, ob der Client für vorherige Versionen auf dem Arbeitsplatzrechner installiert wird oder nicht. Die Software wird nach dem Start des Computers und während der erstmaligen Abarbeitung der Einstellungen aus dem Gruppenrichtlinienobjekt GPO SD ECIT TW installiert. Softwareverteilung mit Gruppenrichtlinien 443

20 WICHTIG: Beachten Sie bitte folgende wichtige Voraussetzungen für eine erfolgreiche Durchführung der Installation: b Die Clientcomputer müssen sich in der Organisationseinheit ECIT IT oder einer untergeordneten Organisationseinheit befinden. b Befinden sich die Computer in einer untergeordneten Organisationseinheit, darf dort die Funktion Richtlinienvererbung deaktivieren nicht aktiviert sein. Der Name des Gruppenrichtlinienobjekts ist übrigens völlig beliebig zu wählen. Ich bin ein Freund von sprechenden und plakativen Bezeichnungen. Viel zu oft habe ich bedauerlicherweise zugeben müssen, dass ich mit meinen genialen Wortschöpfungen wie Test 1, Softverteil01 oder GPO_Wichtig nach einem Jahr nichts mehr anfangen konnte. Fassen wir die nun folgenden Schritte noch einmal zusammen: b Erstellen des Gruppenrichtlinienobjekts GPO SD ECIT TW und Zuweisung zur Organisationseinheit ECIT IT b Konfiguration der notwendigen Parameter innerhalb des Gruppenrichtlinienobjekts b Integration des Softwarepakets in das Gruppenrichtlinienobjekt Achten Sie bitte darauf, dass Sie mit einem administrativen Benutzerkonto auf einem Domänencontroller angemeldet sind. Die Übung lässt sich auch auf einer Arbeitsstation ausführen, welche Domänenmitglied ist und auf der die administrativen Werkzeuge installiert sind. Allerdings muss auch in diesem Fall das genutzte Benutzerkonto über ausreichende administrativen Berechtigungen innerhalb der Domäne verfügen. Zur Erstellung des benötigten Gruppenrichtlinienobjekts führen Sie die nachfolgenden Schritte aus: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur gewünschten Organisationseinheit. In unserem Szenario nutzen wir die Organisationseinheit ECIT IT, welche sich direkt unterhalb der Stammdomäne befindet. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Menüeintrag Eigenschaften. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. 4. Klicken Sie auf die Schaltfläche Neu. Dadurch wird ein neues Gruppenrichtlinienobjekt angelegt, welches erst einmal die Bezeichnung Neues Gruppenrichtlinienobjekt erhält. 5. Ändern Sie die Bezeichnung des neuen Gruppenrichtlinienobjekts auf GPO SD ECIT TW ab. Sie können bei Bedarf auch eine andere Bezeichnung wählen. Belassen Sie den Namen jedoch nicht auf der Standardbezeichnung Neues Gruppenrichtlinienobjekt. Drücken Sie nach der Namensänderung die Eingabe-Taste, um die Änderung zu übernehmen. 6. Achten Sie darauf, dass das neu angelegte Gruppenrichtlinienobjekt weiterhin markiert ist. Klicken Sie auf die Schaltfläche Eigenschaften. Ihnen wird das Dialogfeld Eigenschaften von GPO SD ECIT TW angezeigt. 7. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Benutzerdefinierte Konfigurationseinstellungen deaktivieren. Bestätigen Sie die daraufhin angezeigte Warnmeldung mit einem Klick auf die Schaltfläche Ja. 8. Klicken Sie auf die Schaltfläche OK, um die Änderung zu übernehmen. Das Dialogfeld Eigenschaften von GPO SD ECIT TW wird dadurch wieder geschlossen und die Gesamtliste der mit dieser Organisationseinheit verknüpften GPOs wird wieder angezeigt. Das Gruppenrichtlinienobjekt ist somit erstellt. Wie Sie in Abbildung 8.14 sehen, wird die Deaktivierung der benutzerdefinierten Konfigurationseinstellungen optisch durch ein Ausrufezeichen im Gruppenrichtliniensymbol unterstützt. Es werden somit nur Konfigurations- und Softwareeinstellun- 444 Kapitel 8

21 gen abgearbeitet, welche im Teilbereich Computerkonfiguration eingestellt worden sind. Diese Einstellung ist Teil des Gruppenrichtlinienobjekts. Nutzen Sie diese GPO also auch an einer anderen Stelle innerhalb Ihrer Active Directory-Infrastruktur, so wird auch dort nur der computerbezogene Teil verarbeitet. Abbildung 8.14: Taube Ohren: Die Organisationseinheit ECIT IT sowie alle hierarchisch tiefer angelegten Organisationseinheiten ignorieren Gruppenrichtlinienobjekte aufgrund des aktivierten Kontrollkästchens Richtlinienvererbung deaktivieren. Machen Sie sich ebenso bewusst, dass die Gruppenrichtlinienobjekte mit der Organisationseinheit lediglich verknüpft sind, wie Sie der Listüberschrift in Abbildung 8.14 (Gruppenrichtlinienobjekt- Verknüpfungen) entnehmen können. Wenn Sie also das Objekt SD ECIT TW zusätzlich an anderen Stellen innerhalb der Active Directory-Infrastruktur einsetzen, so reden wir jederzeit vom gleichen Konfigurationssatz. Gefährlich und sehr unübersichtlich wird es dann, wenn Sie GPOs gleiche Bezeichnungen verpassen. Das ist leider möglich, da das Betriebssystem auf eine eindeutige Wahl der Bezeichnungen keinen Wert legt. Beachten Sie in diesem Zusammenhang gegebenenfalls den X Abschnitt»Erstellen von Gruppenrichtlinienobjekten«weiter oben in diesem Kapitel. Kümmern wir uns nun um die Konfiguration der notwendigen Parameter innerhalb des Gruppenrichtlinienobjekts. Viele der möglichen Einstellungen sind für die erfolgreiche Verteilung unseres Softwarepakets nicht von Bedeutung. Um die Übersichtlichkeit nicht zu gefährden und um das ursprüngliche gesetzte Ziel nicht aus den Augen zu verlieren konzentrieren wir uns auf die wesentlichen Punkte. Zur Konfiguration der benötigten Einstellungen innerhalb des Gruppenrichtlinienobjekts führen Sie die nachfolgenden Schritte aus: 1. Klicken Sie doppelt auf das neue Gruppenrichtlinienobjekt. Alternativ markieren Sie das Gruppenrichtlinienobjekt und klicken Sie auf die Schaltfläche Bearbeiten. Dadurch wird der Gruppenrichtlinienobjekt-Editor gestartet. 2. Navigieren Sie im linken Fensterbereich zu Computerkonfiguration/Softwareeinstellungen und klicken Sie im rechten Fenster mit der rechten Maustaste auf den Container Softwareinstallation und wählen Sie den Menüeintrag Eigenschaften. Sie bekommen nun das Dialogfeld Eigenschaften von Softwareinstallation angezeigt. 3. Tragen Sie im Feld Standardpfad für Pakete auf der Registerkarte Allgemein den Pfad \\<Servername>\softvert$ ein, wobei <Servername> dem NetBIOS-Namen des Datenservers entspricht. Softwareverteilung mit Gruppenrichtlinien 445

22 4. Selektieren Sie die Option Erweitert im Abschnitt Neue Pakete. 5. Klicken Sie auf die Registerkarte Kategorien. Klicken Sie hier auf die Schaltfläche Hinzufügen. Tragen Sie im Feld Kategorie den Begriff Administrative Werkzeuge ein und drücken Sie danach die Eingabe-Taste. 6. Klicken Sie im Dialogfeld Eigenschaften von Softwareinstallation auf die Schaltfläche OK. Die soeben durchgeführten Schritte haben keinen Einfluss auf das Gelingen unserer Mission. Es handelt sich dabei lediglich um die Vorbelegung von Standardwerten, die uns den Zugriff auf die Paketquellen (Standardpfad für Pakete) etwas erleichtern und die verfügbaren Möglichkeiten zur Beeinflussung des Installationsvorgangs umfassend anzeigen (Option Erweitert im Abschnitt Neue Pakete). Schon wären wir beim dritten und gleichzeitig wichtigsten Akt angelangt. Was nun noch fehlt, ist die Integration des Softwarepakets in das Gruppenrichtlinienobjekt. Die Abbildung 8.15 zeigt die aktuelle Ausgangssituation. Abbildung 8.15: Die Ruhe vor dem Sturm: In diesem Abschnitt werden wir nach Abschluss der notwendigen Vorbereitungen für Leben im Container Softwareinstallation sorgen. Um das Softwarepaket in das nun vorhandene Gruppenrichtlinienobjekt zu integrieren, sind die nachfolgenden Schritte auszuführen: 1. Sollten Sie bereits den Inhalt aus Abbildung 8.15 vor sich sehen, so beginnen Sie bitte mit Schritt Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit ECIT IT. Diese befindet sich direkt unterhalb der Stammdomäne. 3. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Eintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. 4. Klicken Sie auf die Registerkarte Gruppenrichtlinie. 5. Starten Sie die Bearbeitung des Gruppenrichtlinienobjekts Gruppenrichtlinien GPO SD ECIT TW mit einem Doppelklick auf den gleich lautenden Eintrag in der Auswahlliste Gruppenrichtlinienobjekt-Verknüpfungen. 6. Sie sehen nun den Inhalt aus Abbildung Navigieren Sie im linken Fensterbereich zu Computerkonfiguration/Softwareeinstellungen und klicken Sie mit der rechten Maustaste auf den Container Softwareinstallation. 446 Kapitel 8

23 8. Wählen Sie im Kontextmenü den Untermenübefehl Neu/Paket. Aufgrund der im vorherigen Schritt vorgenommenen Einstellungen wird Ihnen direkt das Softwareverteil-Verzeichnis Ihres Datenservers angezeigt. 9. Klicken Sie doppelt auf das Verzeichnis twclient. Markieren Sie die nun angezeigte Datei twcli32.msi. Dadurch wird die Bezeichnung ins Feld Dateiname übernommen. Klicken Sie auf die Schaltfläche Öffnen. 10. Angezeigt wird nun das Dialogfeld Eigenschaften von Client für vorherige Versionen. Klicken Sie auf die Registerkarte Kategorien. 11. Markieren Sie im Auswahlfenster Verfügbare Kategorien den Eintrag Administrative Werkzeuge und klicken Sie danach auf die Schaltfläche Auswählen. 12. Klicken Sie auf die Schaltfläche OK. Ab sofort ist die Softwareverteilung des Clients für vorherige Versionen aktiviert. Sämtliche Computerobjekte, die von diesem Gruppenrichtlinienobjekt beeinflusst werden, erhalten die Softwarekomponente nach dem nächsten Neustart des jeweiligen Clientcomputers. Die verfügbaren Steuerungsmechanismen Wenn Sie den vorangegangenen Abschnitt studiert und vielleicht auch in der Praxis angewendet haben, werden Sie mir sicherlich beipflichten, wenn ich behaupte, dass die Umsetzung einer Softwareverteilung mithilfe der im Active Directory implementierten Bordmittel keine wirkliche Schwierigkeit darstellt. Sind die entsprechenden Vorarbeiten geleistet, ist die Hauptarbeit, also die Erstellung des Gruppenrichtlinienobjekts und dessen Konfiguration innerhalb weniger Minuten erledigt. Zu einer effizienten Softwareverteilung gehört allerdings nicht nur die schnelle Einrichtung der Verteilungsmechanismen. Auch professionelle Steuerungsmechanismen müssen gegeben sein. Was tun, wenn sie plötzlich feststellen, dass das Softwarepaket trotz genauester und sorgfältigster Vorbereitung dennoch eklatante Fehler beinhaltet und sie die Softwareverteilung umgehend stoppen müssen? Wie können Sie dafür sorgen, dass nur ganz bestimmte Clientcomputer ein Softwarepaket erhalten, ohne dafür spezielle Organisationseinheiten anlegen zu müssen? Diese Aspekte sind Grundlage dieses Abschnitts. Kümmern wir uns deshalb um die folgenden Belange: b Der Einsatz von Transformationsdateien bei der Softwareverteilung b Die Verteilung eines Softwarepakets auf Basis von Sicherheitsgruppen b Die Aktualisierung eines bereits installierten Softwarepakets auf Clientcomputern b Das Entfernen bereits verteilter Softwarepakete von den Clientcomputern b Bonus 1: Die Vor- und Nachteile der Softwareverteilung über die Benutzerkonfiguration b Bonus 2: Die Relative Deaktivierung von Gruppenrichtlinienobjekten Der Einsatz von Transformationsdateien bei der Softwareverteilung Im vorherigen Abschnitt habe ich mit Abbildung 8.12 die Funktion einer Transformationsdatei bereits definiert. Schauen wir uns den Ablauf einmal in der Praxis an. Wichtigste Voraussetzung für den Einsatz von Transformationsdateien ist deren Existenz. Ich will Sie mit dieser Aussage nicht veralbern. Um solch eine.mst-datei zu erzeugen benötigen Sie spezielle Programme, die individuell für das jeweilige Softwarepaket zu Verfügung gestellt werden müssen. Im Falle der Office-Produktfamilie ist dieses Werkzeug Teil des jeweiligen Office Resource Kit, welches separat erworben werden kann. Softwareverteilung mit Gruppenrichtlinien 447

24 Teile des Resource Kits können auch von den Microsoft-Internetseiten herunter geladen werden. Besuchen Sie in diesem Zusammenhang die Seite Die Erstellung solch einer.mst-datei ist allerdings nicht Gegenstand dieses Buches. Ich kann Ihnen jedoch versichern, dass Sie sich schnell mit der Materie anfreunden werden, wenn Sie sich erst einmal über die Leistungsfähigkeit dieser Funktionalität vertraut gemacht haben. Alle Werkzeuge und die gesamte Dokumentation der Office Resource Kits sind allerdings nur in englischer Sprache verfügbar. Abbildung 8.16: Es kommt darauf an: Nicht für jedes Windows Installer-Paket muss eine explizite Transformationsdatei erstellt werden, damit individuelle Ausprägungen Anwendung finden. Es gibt aber auch Applikationen, bei deren Verteilung.mst-Dateien zwar eine Rolle spielen. Sie müssen die Transformationsdateien jedoch nicht gesondert erstellen und bei der Erstellung des Softwarepakets auch nicht explizit angeben. Prominentes Beispiel dafür ist der so genannte erweiterte Client von Systems Management Server 2003 in der englischen Sprachversion, wie Sie in Abbildung 8.16 sehen können. Diese Applikation überprüft während der Installation die Existenz von ganz bestimmten.mst-dateien. Findet die Installationsroutine solche Dateien in vordefinierten Verzeichnissen und handelt es sich dabei um Transformationsdateien der internationalen Sprachpakete für SMS 2003 (International Client Pack, ICP), werden diese gleich mit installiert. Resultat ist im Idealfall die Anzeige der SMS-Clientsoftware in der Landessprache des angemeldeten Benutzers. Es ist also eine Frage der Konstruktion und der Komplexität des Installationsprogramms, ob und in welcher Form Transformationsdateien hinzugefügt werden können. Im folgenden Szenario zeige ich Ihnen die notwendigen Schritte zur Integration einer Transformationsdatei in GPO-basierte Softwareverteilung eines Office-Pakets. Die folgenden Voraussetzungen müssen hierfür bereits gegeben sein: b Auf dem Datenserver muss eine so genannte administrative Installation des Office-Pakets bereits vorhanden sein. Bitte beachten Sie in diesem Zusammenhang die Installationsanweisung Ihrer Office-Version. b Die Transformationsdatei wurde bereits von Ihnen erstellt. Diese.mst-Datei beschreibt die individuelle Ausprägung des Standard-Office-Pakets auf einem oder mehreren Computern in Ihrem Unternehmen. Erstellen Sie gegebenenfalls mehrere solcher Transformationsdateien. Beachten Sie bitte, dass.mst-dateien auch in Kombination angewendet werden können. 448 Kapitel 8

25 Abbildung 8.17: Die Kür: Softwareverteilung über Gruppenrichtlinienobjekte mit Transformationsdateien erhöhen die Individualisierungsrate Das Softwarepaket wird in ein neues Gruppenrichtlinienobjekt eingebunden. Natürlich lässt sich das Windows Installer-Paket genauso in bereits vorhandene und schon im Einsatz befindliche GPOs einbetten. Wir erhöhen den Schwierigkeitsgrad jedoch ein wenig und wenden in diesem Abschnitt die Softwareverteilung auf Benutzerebene an. Unser Gruppenrichtlinienobjekt wird den Namen GPO SD OFF2003 WPE tragen. Ich schulde Ihnen eine kurze Erklärung der Abkürzungen: b GPO steht für Gruppenrichtlinienobjekt. Man kann darüber streiten, ob es Sinn macht, alle GPOs mit dem Kürzel GPO im Namen beginnen zu lassen. b SD steht für SoftwareDistribution. Dieses Kürzel kann normale Konfigurationsrichtlinienobjekte von denen abgrenzen, welche sich um die Zuteilung von Software kümmern. b OFF2003 steht repräsentativ für das Office 2003-Paket, welches es zu verteilen gilt. b WPE drückt die Modifikation aus, die wir mittels der Transformationsdatei erreichen werden. W steht dabei für die Anwendung Word, P für PowerPoint und E für Excel. Die.mst-Datei wird also dafür sorgen, dass lediglich diese Komponenten zur Installation herangezogen werden. HINWEIS: Über die Wahl der Gruppenrichtlinienobjekt-Bezeichnungen lässt sich streiten. Vielleicht haben Sie eine eigene Strategie für die Namensvergabe entwickelt. Halten Sie diese Diskussion bitte nicht für Zeitverschwendung. Man muss es nicht gleich extrem übertreiben, aber sprechende Bezeichnungen erleichtern das Auffinden und auch das Zurechtfinden in einer gewachsenen Infrastruktur und ermöglichen auch noch in einigen Jahren eine effiziente Administration und verbauen Ihnen somit nicht die Chance einer eventuellen Reorganisation. Softwareverteilung mit Gruppenrichtlinien 449

26 Erstellen wir nun zuerst einmal das Gruppenrichtlinienobjekt: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur gewünschten Organisationseinheit. In unserem Szenario nutzen wir die Organisationseinheit ECIT IT, welche sich direkt unterhalb der Stammdomäne befindet. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Menüeintrag Eigenschaften. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. 4. Klicken Sie auf die Schaltfläche Neu. Dadurch wird ein neues Gruppenrichtlinienobjekt angelegt, welches erst einmal die Bezeichnung Neues Gruppenrichtlinienobjekt erhält. 5. Ändern Sie die Bezeichnung des neuen Gruppenrichtlinienobjekts auf GPO SD OFF2003 WPE ab. Sie können bei Bedarf auch eine andere Bezeichnung wählen. Belassen Sie den Namen bitte nicht auf der Standardbezeichnung Neues Gruppenrichtlinienobjekt. Drücken Sie nach der Namensänderung die Eingabe-Taste, um die Änderung zu übernehmen. 6. Achten Sie darauf, dass das neu angelegte Gruppenrichtlinienobjekt weiterhin markiert ist. Klicken Sie auf die Schaltfläche Eigenschaften. Ihnen wird das Dialogfeld Eigenschaften von GPO SD OFF2003 WPE angezeigt. 7. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Konfigurationseinstellungen des Computers deaktivieren. Bestätigen Sie die daraufhin angezeigte Warnmeldung mit einem Klick auf die Schaltfläche Ja. 8. Klicken Sie auf die Schaltfläche OK, um die Änderung zu übernehmen. Das Dialogfeld Eigenschaften von GPO SD OFF2003 WPE wird dadurch wieder geschlossen und die Gesamtliste aller mit dieser Organisationseinheit verknüpften GPOs wird angezeigt. Als nächstes konfigurieren wir die Softwareverteilung. Dazu fügen wir das Windows Installer-Paket von Office 2003 dem eben erstellten Gruppenrichtlinienobjekt hinzu und ergänzen die Richtlinie um die Angabe der Transformationsdatei: 1. Sollten Sie das neu erstellte Gruppenrichtlinienobjekt bereits vor sich auf dem Bildschirm zur Bearbeitung geöffnet sehen, fahren Sie bitte mit Schritt 6 fort. 2. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit K. Diese befindet sich direkt unterhalb der Stammdomäne. 3. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Eintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. 4. Klicken Sie auf die Registerkarte Gruppenrichtlinie. 5. Starten Sie die Bearbeitung des Gruppenrichtlinienobjekts GPO SD OFF2003 WPE mit einem Doppelklick auf den gleich lautenden Eintrag in der Auswahlliste Gruppenrichtlinienobjekt-Verknüpfungen. 6. Navigieren Sie im linken Fensterbereich zu Benutzerkonfiguration/Softwareeinstellungen. 7. Klicken Sie im rechten Fenster mit der rechten Maustaste auf den Eintrag Softwareinstallation. Wählen Sie im Kontextmenü den Untermenübefehl Neu/Paket. 8. Tragen Sie im Feld Dateiname des nun angezeigten Dialogfeldes Öffnen den Pfad \\servername\softvert$\off2003 ein. Drücken Sie danach die Eingabe-Taste. Wenn die administrative Installation des Office-Pakets im Vorfeld geklappt hat, sehen Sie jetzt die Dateien PRO11.MSI und OWC11.MSI. 450 Kapitel 8

27 9. Markieren Sie die Datei PRO11.MSI und klicken Sie danach auf die Schaltfläche Öffnen. Ihnen wird das Dialogfeld Software bereitstellen angezeigt. 10. Klicken Sie auf die Schaltfläche Erweitert und danach auf die Schaltfläche OK. 11. Nach einem kurzen Augenblick wird im Fall von Office Professional Edition 2003 das Dialogfeld mit der Bezeichnung Eigenschaften von Microsoft Office Professional Edition 2003 geöffnet. 12. Klicken Sie auf die Registerkarte Bereitstellung von Software. Selektieren Sie auf dieser Registerkarte im Abschnitt Bereitstellungsart die Option Zugewiesen. 13. Klicken Sie nun auf die Registerkarte Änderungen. Klicken Sie hier auf die Schaltfläche Hinzufügen. 14. Erneut wird das Dialogfeld Öffnen angezeigt. Markieren Sie die im Vorfeld erstellte Transformationsdatei ECIT_STD.MST und klicken Sie danach auf die Schaltfläche Öffnen. Die Transformationsdatei wird mitsamt der Pfadangabe in das Auswahlfeld Änderungen übernommen. 15. Klicken Sie auf die Schaltfläche OK, um die Konfiguration zu übernehmen und die Softwareverteilung damit zu starten. Das Ergebnis sehen Sie in Abbildung 8.18 Abbildung 8.18: Klein aber oho: Mit der nächsten Anmeldung eines Benutzers, auf den dieses Gruppenrichtlinienobjekt Anwendung findet, beginnt die Installation von Office Professional Edition HINWEIS: Wenn Sie ein Softwarepaket mithilfe von Gruppenrichtlinienobjekten auf Benutzerebene bereitstellen, stehen Ihnen drei Optionen zu Verfügung: b Veröffentlicht bedeutet, dass das Softwarepaket in der Systemsteuerung des Clientcomputers zur Installation angeboten wird, jedoch noch nicht installiert ist. b Zugewiesen startet die Installation des Softwarepakets, sobald sich ein Benutzer auf dem Clientcomputer anmeldet. Voraussetzung ist jedoch, dass das Gruppenrichtlinienobjekt auf das Benutzerkonto angewendet werden kann. b Erweitert verschiebt die Entscheidung zwischen Veröffentlicht und Zugewiesen auf einen späteren Zeitpunkt. Im Dialogfeld des jeweiligen Softwarepakets können Sie die Einstellungen über die Registerkarte Bereitstellung von Software vornehmen. Softwareverteilung mit Gruppenrichtlinien 451

28 Abbildung 8.19: Umbuchung möglich: Jedes Softwarepaket lässt sich auch nur auf Anforderung installieren. Das verteilt die Netzwerklast auf ein breiteres Zeitfenster. Entscheiden Sie sich für den Bereitstellungsmodus Veröffentlicht, so wird das Softwareinstallationspaket standardmäßig mit der Bereitstellungsoption Automatisch installieren, wenn die Datenerweiterung aktiviert wird versehen. Damit wird folgendem Szenario Rechnung getragen: 1. Ein Benutzer meldet sich auf einem Clientcomputer an. 2. Über Gruppenrichtlinienobjekte ist das Softwarepaket Microsoft Office Professional Edition 2003 veröffentlicht. Zusätzlich ist die Option Automatisch installieren aktiviert. 3. Der Benutzer klickt doppelt auf eine Word-Dokument. 4. Die Installation von Microsoft Office Word 2003 wird gestartet. 5. Nach Abschluss der Installation wird das Word-Dokument angezeigt. Die Bereitstellungsoptionen finden Sie auf der Registerkarte Bereitstellung von Software in den Eigenschaften des jeweiligen Softwarepaketes. Verteilen eines Softwarepakets auf Basis von Sicherheitsgruppen So gut wie alle Objekte innerhalb einer Active Directory-Infrastruktur sind mit Zugriffsberechtigungen ausgestattet. Hier bilden die Gruppenrichtlinienobjekte keine Ausnahme. Diesen Umstand können wir auch bei der Anwendung von Gruppenrichtlinienobjekten ausnutzen. Um Ihre Softwareverteilung im Griff zu behalten, ist es nicht notwendig, jeweils eigene Organisationseinheiten dafür anzulegen. Spätestens nach der zweiten Softwaregeneration wird Ihnen Ihr noch so gutes Konzept im Weg stehen, weil die gewachsenen Ansprüche derart viele Schnittmengen gebildet haben, dass Sie Active Directory als Mittel zur effizienten Verteilung von Software als ungeeignet von der Werkzeugliste streichen müssen. Mit diesem Abschnitt will ich diesem Irrtum vorbeugen. Das Ganze sieht in Abbildung 8.20 vielleicht komplizierter aus, als es in Wirklichkeit ist. Gruppenrichtlinienobjekte werden nur auf die Objekte angewendet, welche das Recht Gruppenrichtlinien übernehmen explizit erhalten haben. Standardmäßig besitzt dieses Recht die Gruppe Authentifizierte Benutzer auf jedem Gruppenrichtlinienobjekt. Authentifizierte Benutzer sind Konten, die sich mit Benutzernamen und Kennwort innerhalb der Domäne angemeldet haben. Dazu gehören auch Computerkonten, was die Möglichkeiten dieser Funktion noch flexibler machen. 452 Kapitel 8

29 Abbildung 8.20: Gewusst, wie: Gruppenrichtlinienobjekte lassen eine Einschränkung auf Teilmengen der Mitglieder einer Organisationseinheiten zu: Das Standardsicherheitsmodell der Active Directory- Infrastruktur macht es möglich. Um die Anwendung eines Gruppenrichtlinienobjekts über dessen Sicherheitsattribute zu steuern, entziehen wir der Gruppe der authentifizierten Benutzer das Recht Gruppenrichtlinie übernehmen und weisen es einer beliebigen Sicherheitsgruppe zu. Zur erfolgreichen Durchführung dieses Szenarios benötigten wir die folgenden Zutaten: Eine Active Directory-Sicherheitsgruppe. Nennen wir sie VG.AG.Office VG steht dabei für VerteilerGruppe, AG für AnwenderGruppe. Ein Gruppenrichtlinienobjekt. Dazu nutzen wir das bereits im vorherigen Abschnitt erstellte Gruppenrichtlinienobjekt GPO SD OFF2003 WPE. Eine Organisationseinheit, auf die das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE angewendet wird. Auch hier lehne ich mich am Beispiel aus dem vorherigen Abschnitt an. Wir nutzen die Organisationseinheit ECIT IT. Beginnen wir nun mit den notwendigen Arbeitsschritten: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit ECIT IT. Diese befindet sich direkt unterhalb der Stammdomäne. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Eintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. Softwareverteilung mit Gruppenrichtlinien 453

30 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. Sie sehen im Auswahlfenster unter anderem das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE. 4. Markieren Sie das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE und klicken Sie danach auf die Schaltfläche Eigenschaften. 5. Klicken Sie im nun angezeigten Eigenschaften-Dialogfeld auf die Registerkarte Sicherheit. 6. Markieren Sie im Auswahlfeld Gruppen- oder Benutzernamen den Eintrag Authentifizierte Benutzer. 7. Deaktivieren Sie im Auswahlfeld Berechtigungen für Authentifizierte Benutzer das Kontrollkästchen Gruppenrichtlinie übernehmen in der Spalte Zulassen. 8. Wir befinden uns immer noch auf der Registerkarte Sicherheit. Klicken Sie auf die Schaltfläche Hinzufügen. Angezeigt wird nun das Dialogfeld Benutzer, Computer oder Gruppen wählen. 9. Tragen Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Gruppennamen VG.AG.Office.2003 ein. Klicken Sie danach auf die Schaltfläche Namen überprüfen. Ist der Objektname richtig geschrieben, so wird er dadurch unterstrichen dargestellt. Klicken Sie auf die Schaltfläche OK. 10. Achten Sie darauf, dass die neu hinzugefügte Sicherheitsgruppe im oberen Auswahlfenster markiert ist. Aktivieren Sie daraufhin das Kontrollkästchen Gruppenrichtlinien übernehmen in der Spalte Zulassen im unteren Auswahlfenster. 11. Klicken Sie auf die Schaltfläche OK, um die vorgenommenen Veränderungen zu übernehmen. Klicken Sie erneut auf die Schaltfläche OK, um auch das Dialogfeld Eigenschaften von ECIT IT zu schließen. Dieses Gruppenrichtlinienobjekt lässt sich nach dieser Übung nur noch auf Objekte anwenden, welche Mitglieder der Sicherheitsgruppe VG.AG.Office.2003 sind. TIPP: Sicherheitsgruppen sind flexible Hilfsmittel auch im Hinblick auf eine gesteuerte Softwareverteilung auf Basis von Active Directory. Beachten Sie in diesem Zusammenhang bitte die nachfolgenden Aspekte: b Da Sicherheitsgruppen auch Computerobjekte aufnehmen können, steht einem universellen Einsatz dieser Technologie nichts mehr im Wege: somit können auch Softwareverteilungen auf Computerebene detailliert gesteuert vorgenommen werden. Eine Architektur der Organisationseinheiten nach den Anforderungen der Softwareverteilung ist damit hinfällig. b Wenn Sie in Ihrem Unternehmen gleichzeitig auf die Kommunikationsplattform Exchange 2000 oder Exchange 2003 setzen, ergeben sich unter Umständen weitere Vorteile bei der Anwendung der soeben geschilderten Strategie: b Wenn Sie Sicherheitsgruppen gleichzeitig als Verteilungsgruppen einsetzen können, funktioniert die Pflege der Gruppenmitgliedschaft über Microsoft Outlook XP oder Microsoft Outlook Über das darin verfügbare globale Adressbuch können die Mitgliedschaften in gleicher Art und Weise gepflegt werden, wie über die Administratorkonsole Active Directory-Benutzer und -Computer. b Die Mitarbeiter können gleichzeitig über die bevorstehende Softwareinstallation informiert werden. Es müssen keine redundanten und somit fehleranfälligen Verteilergruppen speziell für die Kommunikation angelegt werden. 454 Kapitel 8

31 Aktualisieren eines bereits installierten Softwarepakets auf Clientcomputern Irgendwann einmal gibt es selbst von der besten Anwendungssoftware eine Nachfolgeversion. Die aktuell verfügbaren Softwareprodukte sind bis auf einige wenige Ausreißer allesamt aktualisierbar. Steht Ihnen dann noch ein Windows Installler-Paket, also eine.msi-datendatei, zur Verfügung, ist die Aktualisierung in einer Active Directory-Infrastruktur ein Kinderspiel. Die Abbildung 8.21 zeigt Ihnen die notwendigen Schritte in einer schematischen Darstellung. Angenommen, die Ausgangsbasis auf den Clientcomputern in Ihrem Unternehmen ist das Anwendungspaket Office XP Professional. Sie wollen mit dem geringsten Aufwand den Wechsel auf die aktuelle Version Office Professional Edition 2003 realisieren. Folgende Meilensteine liegen für die Erfüllung dieser Aufgabe vor Ihnen: b Erstellen einer administrativen Installation des aktuellen Softwarepakets b Erstellen eines neuen Gruppenrichtlinienobjekts. Mit diesem Gruppenrichtlinienobjekt wird die aktuelle Version der Anwendungssoftware verteilt. b Konfiguration der notwendigen Parameter zur Softwareverteilung innerhalb des neuen Gruppenrichtlinienobjekts b Zusätzlich: Konfiguration der Registerkarte Aktualisierung Abbildung 8.21: Nahtloser Übergang möglich: Mit Gruppenrichtlinienobjekten ist eine Aktualisierung vorhandener Softwarepakete möglich. Optional kann man die installierte Vorgängerversion auch zuerst deinstallieren. Wie sie sehen, sind die für die Umsetzung der Anforderung notwendigen Schritte schnell erledigt. Diese Trivialität verschleiert jedoch die möglichen Konsequenzen. Wenn Sie diese Schritte in Ihrem produktiven Netzwerk anwenden, müssen Sie die daraus resultierende zusätzliche Netzwerklast bereits im Vorfeld berücksichtigen. Dies sollten Sie insbesondere dann tun, wenn Sie sich dafür ent- Softwareverteilung mit Gruppenrichtlinien 455

32 scheiden, das bestehende Paket zu deinstallieren, bevor Sie die aktualisierte Version installieren. Diese Variante benötigt mit Abstand die meiste Installations- und Netzwerknutzungszeit. Allerdings hätte Ihre Wahl auch entscheidende Vorteile: Angelehnt am Beispiel aus Abbildung 8.21 würde das neue Office-Paket auf einer Basis ohne Altlasten installiert werden. Meine Erfahrungen bei der Aktualisierung von Office XP auf Office 2003 mithilfe von Gruppenrichtlinienobjekten haben gezeigt, dass immer noch Bruchstücke der vorherigen Version auf dem Clientcomputer verbleiben. Es reicht eine einzige, vom Benutzer erzeugte Verknüpfung für Microsoft Office Word XP. Klickt dieser Benutzer in bester Absicht auf diese Verknüpfung, versucht das Computersystem die Anwendung Word in der XP-Version wiederherzustellen! In Abbildung 8.21 habe ich bewusst auf die Angabe GPO-Bezeichnungen verzichtet. Wenn Sie sich dafür entscheiden, die Softwareverteilung in Ihrem Unternehmen über nur ein einziges Gruppenrichtlinienobjekt abzuwickeln, so werden Sie bei der Konfiguration der Aktualisierungseinstellungen auf ein Paket innerhalb der aktuellen GPO verweisen. Wie Sie in Abbildung 8.22 sehen können, lässt sich dies über die Selektion der gewünschten Herkunftsart des Pakets einstellen. In diesem Beispiel beinhaltet das aktuelle Gruppenrichtlinienobjekt kein weiteres Softwarepaket. Das Auswahlfenster Zu aktualisierendes Paket zeigt keine weiteren Pakte innerhalb dieser GPO an. Abbildung 8.22: In diesem Gruppenrichtlinienobjekt sind keine Paket zur Aktualisierung vorhanden. Nachfolgend habe ich die notwendigen Schritte zur Konfiguration der Aktualisierung zusammengefasst. Ich gehe in diesem Szenario davon aus, dass sich das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE um die Installation des aktuellen Office Pakets kümmert. Das Office XP-Paket wurde bisher über das Gruppenrichtlinienobjekt GPO SD OFFXP verteilt. Genau darauf nehmen wir nun Bezug: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit ECIT IT. Diese befindet sich direkt unterhalb der Stammdomäne. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Menüeintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. Sie sehen im Auswahlfenster unter anderem das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE. 456 Kapitel 8

33 4. Markieren Sie das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE und klicken Sie danach auf die Schaltfläche Bearbeiten. Der Gruppenrichtlinienobjekt-Editor wird gestartet. 5. Die Softwareverteilung findet über den Teilbereich Benutzerkonfiguration statt. Navigieren Sie deshalb zu Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation. 6. Klicken Sie im rechten Fenster doppelt auf den Paketnamen Microsoft Office Professional Edition Klicken Sie im nun angezeigten Dialogfeld auf die Registerkarte Aktualisierungen. Als Nächstes klicken Sie auf die Schaltfläche Hinzufügen. 8. Im Dialogfeld Aktualisierungspaket hinzufügen (der Inhalt entspricht der Abbildung 8.22), selektieren Sie die Option Speziellen Gruppenrichtlinienobjekt. Klicken Sie nun auf die Schaltfläche Durchsuchen. 9. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt suchen auf die Registerkarte Alle. 10. Markieren Sie im Auswahlfenster Alle in dieser Domäne gespeicherten Gruppenrichtlinienobjekte den Eintrag GPO SD OFFXP. Klicken Sie danach auf die Schaltfläche OK. Sie befinden sich nun wieder im Dialogfeld Aktualisierungspaket hinzufügen. Sofern Sie das richtige Gruppenrichtlinienobjekt ausgewählt haben und sofern in diesem Gruppenrichtlinienobjekt ein Paket im Teilbereich Benutzerkonfiguration enthalten ist, wird Ihnen dieses Paket nun im Auswahlfenster Zu aktualisierendes Paket angezeigt. Vergleichen Sie hierzu gegebenenfalls den Fensteraufbau von Abbildung Klicken Sie auf die Schaltfläche OK, um die Auswahl zu übernehmen. 12. Aktivieren Sie das Kontrollkästchen Vorhandene Pakete aktualisieren und klicken Sie danach auf die Schaltfläche OK. Abbildung 8.23: Zu aktualisierende Softwarepakete sind mit einem besonderen Symbol gekennzeichnet. Nach Abschluss der Konfiguration ändert sich das Symbol des Softwarepakets, wie Sie in Abbildung 8.23 sehen können: Es gesellt sich noch ein grüner Pfeil hinzu, der Ihnen anzeigt, dass dieses Paket eine bereits installierte Anwendung aktualisieren wird. Beachten Sie bitte, dass zu diesem Zeitpunkt keine Abprüfung auf logische Fehler stattfindet. Wenn Sie sich beispielsweise dazu entschließen, die Aktualisierung einer Microsoft Office Visio 2003-Installation durch ein Microsoft AutoRoute-Paket zuzulassen, wird der Installationsprozess alles versuchen, Ihrem Wunsch nachzukommen. Sinnvoll ist das sicherlich nicht. WICHTIG: Eine beliebte Stolperfalle ist der Mix zwischen Computer- und Benutzerbezogener Softwareinstallation. Wenn dann noch Sicherheitsgruppen zur Abgrenzung zum Zug kommen, besteht die Gefahr, dass Sie den Überblick über die Auswirkungen Ihrer Softwareverteilstrategie schnell verlieren. Die Funktion der Aktualisierung ist deshalb nur zwischen Computerkonfiguration der Softwareverteilung mit Gruppenrichtlinien 457

34 Vorgängerversion und Computerkonfiguration der aktuellen Version möglich. Gleiches gilt ebenso für den Teilbereich der Benutzerkonfiguration eines Gruppenrichtlinienobjekts. Alle anderen Kombinationsmöglichkeiten sind jedoch weiterhin möglich. Achten Sie deshalb bei der Planung der Softwareverteilung mithilfe von Gruppenrichtlinien darauf, die Anzahl der Objekte und deren Abhängigkeiten nicht aus den Augen zu verlieren. Entfernen bereits verteilter Softwarepakete von Clientcomputern Gruppenrichtlinienobjekte bieten die Möglichkeit, die darin enthaltenen Softwarepakete mithilfe einer Kontextmenüfunktion zu entfernen. Dabei stehen Ihnen die in Abbildung 8.24 gezeigten Optionen zur Verfügung. Entscheiden Sie sich für die Option Software sofort von Benutzern und Computern deinstallieren, wird dieses Softwarepaket beim nächsten Neustart, beziehungsweise bei der nächsten Neuanmeldung des Benutzers vom der Maschine entfernt. Die Option Benutzer dürfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen verwendet man beispielsweise aus folgenden Anlässen: b Die aktuelle Version des Softwarepakets wird nicht mehr eingesetzt. Eine Nachfolgeversion ist derzeit nicht geplant. b Das Softwarepaket wird durch eine Nachfolgeversion ersetzt. Diese Nachfolgeversion wird ebenfalls durch ein Gruppenrichtlinienobjekt ausgebracht. Die Möglichkeit der automatischen Aktualisierung soll jedoch nicht genutzt werden. Clientcomputer, welche noch nicht in den Genuss der bisherigen Version gelangt sind, sollen diese auch nicht mehr installiert bekommen. Abbildung 8.24: Die möglichen Optionen, um ein Softwarepaket über ein Gruppenrichtlinienobjekt zu entfernen Um an die Optionen zur Entfernung eines Softwarepakets zu gelangen führen Sie die nachfolgenden Schritte aus. Wieder verwenden wir das bereits in den vorherigen Abschnitten verwendet Gruppenrichtlinienobjekt GPO SD OFF2003 WPE: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit ECIT IT. Diese befindet sich direkt unterhalb der Stammdomäne. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Menüeintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. Sie sehen im Auswahlfenster unter anderem das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE. 4. Markieren Sie das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE und klicken Sie danach auf die Schaltfläche Bearbeiten. Der Gruppenrichtlinienobjekt-Editor wird gestartet. 5. Navigieren Sie deshalb zu Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation. 6. Klicken Sie im rechten Fenster mit der rechten Maus auf den Paketnamen Microsoft Office Professional Edition Wählen Sie im Kontextmenü den Untermenübefehl Alle Tasks/Entfernen. 458 Kapitel 8

35 Abhängig von Ihrer Strategie entscheiden Sie sich für eine der beiden angebotenen Varianten, welche Sie in Abbildung 8.24 angezeigt bekommen. Beachten Sie bitte, dass das Softwarepaket dadurch aus der Liste der Softwareinstallationen entfernt wird. Falls Sie Ihre Entscheidung versehentlich getroffen haben und das Entfernen wieder rückgängig machen wollen, müssen Sie das Softwarepaket wieder hinzufügen. Dabei wird das Paket als neues Paket erkannt und die Installation deshalb erneut auf allen Clientcomputern wiederholt. Active Directory kann nicht erkennen, dass Sie in diesem Szenario eine erneute Installation verhindern wollen. Bereits verteilte Softwarepakete erneut verteilen Mit der Funktion Anwendung erneut bereitstellen können Sie die Verteilung eines Softwarepakets wiederholen. Ein Anwendungsbeispiel für diese Option ist die periodische Aktualisierung einer Antiviren-Software. Leider lässt sich diese Operation nicht automatisieren. Die weiter unten in diesem Abschnitt geschilderten Schritte sind also immer wieder manuell aufzurufen. Eine Kombination von periodisch und automatisiert bietet Ihnen SMS Sie ist nicht dafür gedacht, ein bereits installiertes Office-Paket auf den aktuellen Korrekturstand zu bringen. Zwar sind die aktuellen Service- Packs in der Lage, administrative Installationspunkte zu aktualisieren. Würden Sie allerdings den aktualisierten Datenbestand erneut bereitstellen, so belasten Sie unnötigerweise die verfügbaren Netzwerkressourcen und nicht zuletzt auch die Nerven Ihrer Anwender. Für die Ausbringung eines Service Packs eines Office-Pakets empfehle ich Ihnen die Möglichkeiten zur Aktualisierung eines bereits installierten Softwarepaktes. Nähere Information finden Sie weiter oben in diesem Kapitel. Um ein bereits verteiltes Softwarepaket erneut auf den Clientcomputern zur Verteilung bereitzustellen führen Sie die nachfolgenden Schritte aus: 1. Starten Sie die Administratorkonsole Active Directory-Benutzer und -Computer und navigieren Sie im linken Fensterbereich zur Organisationseinheit ECIT IT. Diese befindet sich direkt unterhalb der Stammdomäne. 2. Klicken Sie mit der rechten Maustaste auf die Bezeichnung der Organisationseinheit und wählen Sie im Kontextmenü den Menüeintrag Eigenschaften. Ihnen wird nun das Dialogfeld Eigenschaften von ECIT IT angezeigt. 3. Klicken Sie auf die Registerkarte Gruppenrichtlinie. Sie sehen im Auswahlfenster unter anderem das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE. 4. Markieren Sie das Gruppenrichtlinienobjekt GPO SD OFF2003 WPE und klicken Sie danach auf die Schaltfläche Bearbeiten. Der Gruppenrichtlinienobjekt-Editor wird gestartet. 5. Navigieren Sie deshalb zu Benutzerkonfiguration/Softwareeinstellungen/Softwareinstallation. 6. Klicken Sie im rechten Fenster mit der rechten Maus auf den Paketnamen Microsoft Office Professional Edition Wählen Sie im Kontextmenü den Untermenübefehl Alle Tasks/Anwendung erneut bereitstellen. Bestätigen Sie die angezeigte Warnmeldung (Abbildung 8.25) mit einem Klick auf die Schaltfläche Ja. Abbildung 8.25: Auf ein Neues: Die erneute Bereitstellung eines Softwarepakets sollte nicht zur Aktualisierung von Office-Paketen missbraucht werden. Softwareverteilung mit Gruppenrichtlinien 459

36 HINWEIS: Anwendung erneut bereitstellen ändert nichts an der von Ihnen definierten Verteilungsstrategie. Wurde das Paket ursprünglich im Teilbereich Benutzerkonfiguration eingestellt, wird es bei einer erneuten Bereitstellung weiterhin abhängig vom sich anmeldenden Benutzerkonto bereitgestellt. Die Vor- und Nachteile der Softwareverteilung über die Benutzerkonfiguration Softwarepakete können mittels Gruppenrichtlinienobjekte (GPOs) sowohl auf Benutzer- als auch auf Computerebene konfiguriert werden. Eine Anwendung, die über die Computerkonfiguration eines Gruppenrichtlinienobjekts verteilt werden soll, wird unter den folgenden Voraussetzungen mit dem nächsten Durchstart des Clientcomputers auf selbigem installiert: b Das Gruppenrichtlinienobjekt ist einer Organisationseinheit zugeteilt. b Der Clientcomputer ist Mitglied einer Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird. b In den Eigenschaften des Gruppenrichtlinienobjekts sind die Konfigurationseinstellungen des Computers nicht deaktiviert. b Weder Sicherheits- noch WMI-Filter-Einstellungen schließen die Computerobjekte von der Anwendung des Gruppenrichtlinienobjekts aus. Abbildung 8.26: Die Softwareverteilung über den Teilbereich der Computerkonfiguration sorgt für eine schnellere Verfügbarkeit des Clientcomputers nach erfolgter Anmeldung des Benutzers. Diese Voraussetzungen sind analog ebenso gültig, wenn Sie das Softwarepaket stattdessen im Teilbereich Benutzerkonfiguration anwenden. Allerdings kann verständlicherweise erst nach der erfolgten Anmeldung des Benutzers entschieden werden, ob die Software für dieses Konto bestimmt ist oder nicht. Während der Installationsphase hat der Anwender keinen Zugriff auf seinen Desktop. Diese 460 Kapitel 8

37 Wartezeiten bestehen zwar bei der Installation von Softwarepaketen auf Computerebene genauso. Sie wird jedoch oft als weniger störend empfunden, da die Zeit zwischen erfolgter Anmeldung und Freigabe des Desktops im Sekundenbereich liegt. Die meisten Anwender erwarten, dass die Arbeit am Bildschirm sofort nach der erfolgreichen Anmeldung beginnen kann. Die expliziten Verknüpfungsoptionen von Gruppenrichtlinienobjekten Ob und ich welcher Form Richtlinien zur Anwendung auf Computer- oder Benutzerobjekte gelangen lässt sich über eine Reihe von Konfigurationsparameter steuern. Die wichtigsten haben wir bereits im Verlauf dieses Kapitels kennen gelernt. Allen gemeinsam ist eine absolute Einflussnahme auf das Gruppenrichtlinienobjekt. Aktivieren Sie beispielsweise in den Eigenschaften der Richtlinie GPO SD OFF2003 WPE das Kontrollkästchen Benutzerdefinierte Konfigurationseinstellungen deaktivieren, kann dieser Teilbereich nicht mehr angewendet werden. Im Gegensatz dazu können Sie mithilfe der Optionen, die Sie in Abbildung 8.27 sehen, das Verhalten eines Gruppenrichtlinienobjekts explizit und bezogen auf eine Organisationseinheit steuern. Diese Einstellungen haben keine Auswirkung auf die Anwendung des Gruppenrichtlinienobjekts an anderer Stelle innerhalb der Active Directory- Infrastruktur. Abbildung 8.27: Hackordnung: Die Funktion Kein Vorrang lässt Richtlinien hierarchisch untergeordneter Gruppenrichtlinienobjekte doch wieder zum Zug kommen. Folgende Verknüpfungsoptionen stehen Ihnen auf der Ebene eines Standorts, einer Domäne oder einer Organisationseinheit zur Verfügung: b Kein Vorrang: andere Gruppenrichtlinienobjekte können die festgelegte Richtlinie nicht überschreiben. So finden Sie diese Einstellung: b Markieren Sie das gewünschte Richtlinienobjekt in der Auswahlliste auf der Registerkarte Gruppenrichtlinie. b Klicken Sie auf die Schaltfläche Optionen. b Ihnen wird das Dialogfeld wie in Abbildung 8.27 angezeigt. Werden mehrere GPOs angewendet, so werden diese in der Reihenfolge hierarchisch von unten nach oben abgearbeitet. Nähere Informationen zur hierarchischen Reihenfolgeplanung finden Sie weiter oben in diesem Kapitel im X Abschnitt»Überblick über Gruppenrichtlinienobjekte«. Aktivieren Sie nun dieses Kontrollkästchen, erhalten die in diesem Gruppenrichtlinienobjekt konfigurierten Werte die höchste Priorität. Microsoft empfiehlt, diese Option dezent einzusetzen. Setzen Sie eine Vielzahl von Gruppenrichtlinienobjekten ein, erhöhen Sie mit dieser Option weder die Übersichtlichkeit noch Ihre Erfolgsquote, um im Fehlerfall den Übeltäter einer falsch konfigurierten Gruppenrichtlinienkonstellation ausfindig zu machen. Softwareverteilung mit Gruppenrichtlinien 461

38 b Deaktiviert: Das Gruppenrichtlinienobjekt wird auf diesen Container nicht angewendet. So finden Sie diese Einstellung: b Markieren Sie das gewünschte Richtlinienobjekt in der Auswahlliste auf der Registerkarte Gruppenrichtlinie. b Klicken Sie auf die Schaltfläche Optionen. b Ihnen wird das Dialogfeld wie in Abbildung 8.27 angezeigt. Der Begriff der Deaktivierung wird in diesem Zusammenhang oft falsch interpretiert. Mit dieser Funktion wird lediglich die Anwendung des markierten Gruppenrichtlinienobjekts auf den aktuellen Container unterbunden. Wenden Sie das Gruppenrichtlinienobjekt auch noch an anderer Stelle innerhalb Ihrer Active Directory-Infrastruktur an, sind diese Anwendungsfälle von der Deaktivierung nicht betroffen. Die Deaktivierung bezieht sich also immer nur auf die Konstellation»Genau dieses Gruppenrichtlinienobjekt auf genau diesen Container«. Anhand von zwei Beispielen will ich Ihnen die Auswirkungen der beiden möglichen Verknüpfungsoptionen erläutern. Optisch finden wir in Abbildung 8.28 eine hoffentlich hilfreiche Unterstützung. Dabei gehe ich von jeweils vier Gruppenrichtlinienobjekten aus, die auf einen ganz bestimmten Container angewendet werden. Die GPOs habe ich der Einfachheit halber mit den Bezeichnungen GPO A bis GPO D versehen. Die Bezeichnung des Containers, auf welchen die GPOs Anwendung finden, ist irrelevant. 15 verschiedene Richtlinien werden bezogen auf ihre effektive Auswirkung betrachtet. Natürlich werden in der Praxis erheblich mehr Richtlinien innerhalb eines Gruppenrichtlinienobjekts konfiguriert werden. Für die Illustration ist diese Menge jedoch ausreichend. Beachten Sie, dass GPOs innerhalb eines Containers immer von unten nach oben gelesen und angewendet werden. Konfigurierte Richtlinien, also Richtlinien welche den Zustand aktiviert (+) oder deaktiviert ( ) haben, haben innerhalb der Anwendungshierarchie immer Vorrang vor nicht konfigurierten Richtlinien (o). Abbildung 8.28: Kniffelig: die effektiven Konfigurationsausprägungen bei der Anwendung der verfügbaren Verknüpfungsoptionen 462 Kapitel 8