Im Standard veröffentlicht der Hersteller Microsoft jeden 2ten Dienstag im Monat seine Aktualisierungen. Durch diese Vorgabe entstehen folgende Termine für das Jahr 2021:
In manchen Momenten ist es sinnvoll Gruppenrichtlinien direkt zu verteilen. Dieses ist seit Windows Server 2012 und Windows 8 möglich.
Über die Gruppenrichtlinien-Verwaltung können die Richtlinien unterhalb einer OU direkt an die zugeordneten Clients auf den Clients vor dem Standard-Intervall aktualisiert werden. Nach Aufruf der Funktionalität wird die Anzahl der betroffenen Computer in einem Abfrage-Fenster angezeigt. Man erhält in diesem auch eine Warnmeldung über die eventuelle Auslastung von Netzwerkressourcen, wenn viele Clients aktiviert werden sollen.
Für diese Funktionalität sind die folgenden Firewall-Regeln am Client erforderlich:
Auf den zentralen Firewalls sind die folgenden Ports freizuschalten:
Noch etwas Hintergrund-Material gibt es bei Microsoft
Im Active Directory gibt es eine standardmäßige Gruppenrichtlinie für die Einstellungen der Kennwörter verwandt. Diese sind im Regelfall in der „Default Domain Policy“ verankert. Als Erweiterung der Konfigurationsmöglichkeit wurden die fein abgestimmten AD-Kennwortrichtlinien (Fine-grained Password Policy / FGPP) mit Windows Server 2008 eingeführt.
Mit dieser Methode ist es möglich verschiedene Kennwort-Parameter für Benutzer festzulegen. Die Einstellungen zur Aushandlung der Computer-Kennwörter wird weiterhin von der Standard-Richtlinie übernommen.
Da die Funktionalität entweder per Powershell oder ADSIEdit zur Verfügung oder bearbeitet werden muss, ist es für die Administration einfacher, dieses über eine AD-Gruppe zu verwaltet. Allerdings ist dabei auf eines zu achten: Es funktioniert nur mit einer globalen AD-Gruppe.
Alle anderen Gruppenformen werden bei der Zuordnung der Definition ignoriert. Wird eine Gruppe von der globalen Gruppe in eine andere Form überführt, greift automatisch die Standard-Richtlinie. Somit sollte man sich beim Einsatz von Gruppen für die Verwaltung der Benutzerzuordnung überlegt werden, ob die Gruppenform mit einem Skript oder einer Applikation überwacht wird.
Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. Häufig werden weitere Daten benötigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen benötigt. Dazu habe ich ein Skript erstellt.
import-module activedirectory [System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null $groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") $Domaincontroller = "LAB-DC1.demo.local" $Folder = [System.Environment]::GetFolderPath("MyDocuments") $Exportfile = $Folder + "\" + $groupname + ".csv" $Parameter ="name, mail, samaccountname" $Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName $Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8
Als Voraussetzung für die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese müssen nach Installation der passenden MSI über „Programme und Features“ aktiviert werden. Anschließend sollte noch der Domänencontroller im Ablauf angepasst werden.
Zur Abfrage wird ein kleines GUI-Fenster geöffnet in dem der benötigte Gruppenname eingetragen wird. Anschließend wird eine Liste im Dokumente-Ordner des ausführenden Benutzers erstellt. Diese enthält in dieser Ausführung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.
In manchen Domänen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalität an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:
$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System" $value = "UserPolicyMode" $UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value If ($UserPolicyMode -eq $null){ $wshell = New-Object -ComObject Wscript.Shell $wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")} Elseif ($UserPolicyMode -eq 1){ $wshell = New-Object -ComObject Wscript.Shell $wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenführen (Merge)"" gesetzt.",0,"GPO Loopback")} Elseif ($UserPolicyMode -eq 2){ $wshell = New-Object -ComObject Wscript.Shell $wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}
Dabei wird der Wert
UserPolicyMode
aus dem Registrypfad
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
abgefragt.
Entsprechend des Ergebnisses wird eine Messagebox dargestellt.
Über den „Ressourcen-Manager für Dateiserver“ (File Server Resource Manager) können auf Windows Server 2008 sowie Windows Server 2012 verschiedene Funktionen konfiguriert werden. Dieses gilt unter anderem für eine Kontingentverwaltung (Quota management).
Damit können zum Beispiel Benutzerverzeichnisse auf eine Größe beschränkt werden. Es können entweder Ordner oder ganze Partitionen damit definiert werden. Auch lässt sich dieses über einen Prozess automatisieren, so dass bei einer Neuanlage eines Ordners direkt eine vorher festgelegte Einschränkung dort gilt. Dieses wird nur mit dem Dateisystem NTFS unterstützt.
Aufgrund von Anpassungen zwischen verschiedenen Vorlagen oder Einstellungen kann es passieren, dass die ausgewerteten Prozente nicht mehr stimmen. Nun muss man allerdings nicht das gesamte Regelwerk neu schreiben, sondern kann über einen Befehl die Ordner neu berechnen lassen.
dirquota quota scan /path:
Zum Beispiel greifen anschließend auch wieder Regelwerke, bei denen vorher schon der Trigger überschritten war.
Weitere Informationen: hier
Seit Windows 7 werden servergespeicherte Profile für jede Betriebssystemversion getrennt voneinander betrachtet:
Somit können sich Fehler nicht von einem zum anderen Build verteilen.