10.3. Beispiele für Gruppenrichtlinien#

Gruppenrichtlinien werden von einem Windows System aus mit Hilfe der Gruppenrichtlinienverwaltung (GPMC) angelegt und bearbeitet. Im Folgenden ist die Konfiguration der Gruppenrichtlinien von einem Windows 7 System aus beschrieben auf dem dazu die Gruppenrichtlinienverwaltung (GPMC) aus den Remote System Administration Tools (RSAT) installiert sein muss.

Alle Gruppenrichtlinieneinstellungen können je nach Bedarf gesammelt über ein Gruppenrichtlinienobjekt vorgenommen oder auf separate Objekte verteilt werden. Um den Bezug zwischen einem ausgewählten Gruppenrichtlinienobjekt und Objekten im Samba-Verzeichnisdienst herzustellen, kann es mit einer Organisationseinheit (OU) verknüpft werden, z.B. der Schul-OU. Einige der hier beispielhaft beschriebenen Gruppenrichtlinieneinstellungen wirken sich nur auf Benutzer- und andere nur auf Computerkonten aus.

Da die Einstellungen eines Gruppenrichtlinienobjekts nur für Objekte ausgewertet werden, die unterhalb des speziellen Verzeichniszweigs liegen, mit dem es verknüpft wurde, ist es wichtig, dass das entsprechende Gruppenrichtlinienobjekt hinreichend hoch in der hierarchischen Objektordnung verknüpft wird.

Einige der genannten Gruppenrichtlinien-Einstellungen beziehen sich auf den Bereich der Computerkonfiguration und werden nur beim Systemstart korrekt von den entsprechenden Windows-Komponenten ausgewertet. Für solche Einstellungen ist daher ein Neustart der Windows-Arbeitsplatzsysteme nach Aktivierung des Klassenarbeitsmodus notwendig.

Bemerkung

Zu diesem Thema ist auch ein Hinweis von Microsoft zu Windows XP Systemen zu beachten:

Jede Version von Windows XP Professional stellt eine Funktion zur Optimierung für schnelles Anmelden zur Verfügung.

Computer mit diesen Betriebssystemen warten standardmäßig beim Starten nicht auf den Start des Netzwerks. Nach der Anmeldung werden die Richtlinien im Hintergrund verarbeitet, sobald das Netzwerk zur Verfügung steht.

Dies bedeutet, dass der Computer bei der Anmeldung und beim Start weiterhin die älteren Richtlinieneinstellungen verwendet. Daher sind für Einstellungen, die nur beim Start oder bei der Anmeldung angewendet werden können (z. B. Softwareinstallation und Ordnerumleitung), möglicherweise nach dem Ausführen der ersten Änderung am Gruppenrichtlinienobjekt mehrere Anmeldungen durch den Benutzer erforderlich.

Diese Richtlinie wird gesteuert durch die Einstellung in Computerkonfiguration\Administrative Vorlagen\System\Anmeldung\Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten.

Diese Funktion ist in den Betriebssystemversionen von Windows 2000 oder Windows Server 2003 nicht verfügbar.”

—Quelle: Group Policy processing and precedence [5]

10.3.1. Generelle Hinweise zu Gruppenrichtlinien und Administrativen Vorlagen#

Auf dem Schulserver sollte das Verzeichnis /var/lib/samba/sysvol/DomänenNameDerUCS@schoolUmgebung/Policies/PolicyDefinitions/ angelegt werden. Sobald dieses Verzeichnis angelegt ist, bevorzugt das Windows-Programm zur Gruppenrichtlinienverwaltung die dort hinterlegten Administrativen Vorlagen im ADMX-Format vor den lokal auf dem Windows 7 System installierten Administrativen Vorlagen.

Da in den nachfolgenden Abschnitten zusätzliche Administrative Vorlagen verwendet werden, die ebenfalls in dem oben genannten Verzeichnis abzulegen sind, wird empfohlen, nach dem Erstellen des Verzeichnisses einmalig die lokal installierten Administrativen Vorlagen aus dem Verzeichnis C:\Windows\PolicyDefinitions in das neue Verzeichnis zu kopieren. Da das Verzeichnis serverseitig unterhalb der SYSVOL-Freigabe liegt, wird es per Voreinstellung auf alle Samba 4 Server der Domäne synchronisiert.

Die Administrativen Vorlagen sind an sich keine Gruppenrichtlinien, sie dienen nur zur Erweiterung der Einstellungsmöglichkeiten die das Windows Programm zur Gruppenrichtlinienverwaltung dem Administrator zur Auswahl anbietet. Für neuere Windows-Versionen, wie z.B. Windows 8, stellt Microsoft aktualisierte Administrative Vorlagen zum Download zur Verfügung.

Grundsätzlich können Gruppenrichtlinien im Samba Verzeichnisdienst mit Organisationseinheiten (OU) und der LDAP-Basis verknüpft werden. Im UCS@school-Kontext werden jedoch nur Verknüpfungen unterhalb der Schul-OU auch automatisch in das OpenLDAP-Verzeichnis synchronisiert. Verknüpfungen mit der LDAP-Basis werden z.B. durch OpenLDAP-Zugriffsbeschränkungen blockiert, damit sich eine Anpassung der damit verknüpften Gruppenrichtlinien durch einen Schul-Administrator nicht auch auf alle anderen Schulen auswirkt.

Eine solche Änderung wird im S4 Connector auf der Schule als Reject notiert. Wenn tatsächlich gewünscht ist, eine Änderung der Gruppenrichtlinienverknüpfung an der LDAP-Basis und unter OU=Domain Controllers auch in das OpenLDAP-Verzeichnis und damit an alle Schulen zu synchronisieren, kann auf dem Schulserver folgender Befehl mit dem zentralen Administrator-Passwort ausgeführt werden:

$ eval "$(ucr shell)"
$ /usr/share/univention-s4-connector/msgpo.py \
  --write2ucs \
  --binddn "uid=Administrator,cn=users,$ldap_base" \
  --bindpwd <password>

Der S4 Connector erkennt eine kurze Zeit später bei dem nächsten Resync, dass der Reject aufgelöst wurde.

10.3.2. Windows-Anmeldung im Prüfungsraum auf Mitglieder der Klassenarbeitsgruppe beschränken#

Neu in Version 4.4v4: Mit UCS@school 4.4v4 werden die Windows-Anmeldungen während einer Klassenarbeit automatisch von UCS@school verwaltet.

Dabei werden über das Nutzerattribut sambaUserWorkstations alle Schülerkonten der Klassenarbeitsgruppe auf die Rechner des Computerraumes beschränkt. Zusätzlich wird verhindert, dass sich der originale Nutzer an einem Windowsrechner anmelden kann. Dieser Mechanismus kommt ohne die hier beschriebene Einrichtung von Windows Gruppenrichtlinien aus und erfordert daher keinen Neustart der Rechner.

Sollten keine weiteren Gruppenrichtlinien eingerichtet worden sein, müssen die Rechner vor oder nach einer Klassenarbeit überhaupt nicht mehr neugestartet werden. In diesem Fall kann die Aufforderung der Lehrer zum Neustart der Rechner während der Einrichtung von Klassenarbeiten über die Univention Configuration Registry Variable ucsschool/exam/default/show/restart abgeschaltet werden.

Da das im folgenden konfigurierte Gruppenrichtlinienobjekt je nach Verknüpfung im Samba-Verzeichnisdienst die Anmeldung an betroffenen Windows-Arbeitsplatzsystemen einschränkt, wird dringend empfohlen, als erstes die Anwendung der neuen Gruppenrichtlinie auf solche Windows-Arbeitsplatzsysteme einzuschränken, auf die sie sich später im Klassenarbeitsmodus auswirken soll. Dies geschieht am einfachsten über die Anpassung der Sicherheitsfilterung, die im Folgenden beschrieben ist.

Damit die Gruppenrichtlinieneinstellungen von Windows-Arbeitsplatzrechnern ausgewertet werden, ist es notwendig, einen Bezug zwischen dem angelegten Gruppenrichtlinienobjekt und den Rechnerobjekten im Samba-Verzeichnisdienst herzustellen. Um dies zu erreichen, kann das Gruppenrichtlinienobjekt mit einer Organisationseinheit (OU) verknüpft werden, die den Rechnerobjekten im Verzeichnisbaum übergeordnet ist, in der Regel mit der Schul-OU.

10.3.2.1. Anwendungsbereich der GPO auf Klassenarbeitscomputer einschränken#

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. In der Baumdarstellung der Gruppenrichtlinienverwaltung die Gruppenrichtlinie anklicken.

  3. Auf dem geöffneten Reiter Bereich im Abschnitt Sicherheitsfilterung die Schaltfläche Hinzufügen betätigen.

  4. In das Eingabefeld Geben Sie die zu verwendenden Objektnamen ein den Namen der Klassenarbeitsgruppe (OUNameDerOU-Klassenarbeit, z.B. OUgym17-Klassenarbeit) eintragen und den Dialog mit OK schließen.

  5. Auf dem geöffneten Reiter Bereich im Abschnitt Sicherheitsfilterung die Gruppe Authenticated Users auswählen und die Schaltfläche Entfernen betätigen.

10.3.2.2. Einschränkung der Windows-Anmeldung auf Klassenarbeitsbenutzerkonten und Lehrer#

  1. In der Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt zur Bearbeitung öffnen (Kontextmenü des GPO in der Baumdarstellung).

  2. Im neu geöffneten Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣ Zuweisen von Benutzerrechten

  3. Im neu geöffneten Richtlinien-Dialog Eigenschaften von Lokal anmelden zulassen auf dem Reiter Sicherheitsrichtlinie die Option Diese Richtlinieneinstellung definieren aktivieren.

  4. Dann die Schaltfläche Benutzer oder Gruppe hinzufügen betätigen.

  5. In das Eingabefeld Benutzer und Gruppennamen den Namen Administratoren eintragen und den Dialog mit OK schließen.

  6. Erneut die Schaltfläche Benutzer oder Gruppe hinzufügen betätigen.

  7. Im neu geöffneten Dialog die Schaltfläche Durchsuchen betätigen.

  8. In das Eingabefeld Geben Sie die zu verwendenden Objektnamen ein den Namen der Klassenarbeitsgruppe (OUNameDerOU-Klassenarbeit, z.B. OUgym17-Klassenarbeit) eintragen und den Dialog mit OK schließen.

  9. Den Dialog Benutzer oder Gruppe hinzufügen ebenfalls mit OK schließen.

  10. Erneut die Schaltfläche Benutzer oder Gruppe hinzufügen betätigen.

  11. Im neu geöffneten Dialog die Schaltfläche Durchsuchen betätigen.

  12. In das Eingabefeld Geben Sie die zu verwendenden Objektnamen ein den Namen der Lehrergruppe (lehrer-NameDerOU, z.B. lehrer-gym17) eintragen und den Dialog mit OK schließen.

  13. Den Dialog Benutzer oder Gruppe hinzufügen ebenfalls mit OK schließen.

  14. Den Richtlinien-Dialog Eigenschaften von Lokal anmelden zulassen mit OK schließen.

10.3.3. Zugriff auf USB-Speicher und Wechselmedien einschränken#

Zur Einschränkung des Zugriffs auf USB-Speicher und Wechselmedien sind je nach Windowsversion zwei Fälle zu beachten:

  • Die Einschränkung der Benutzung bereits installierter Gerätetreiber

  • Die Einschränkung der Installation neuer Gerätetreiber

Während für Windows XP beide Einschränkungen notwendig sind, bietet Windows 7 durch erweiterte Richtlinien vereinfachte und erweiterte Kontrollmöglichkeiten. In Mischumgebungen ist eine Kombination der skizzierten Einstellungen zu empfehlen.

Bemerkung

Die Liste der hier erwähnten Einstellungen erhebt nicht den Anspruch auf Vollständigkeit. Es ist notwendig die Einstellungen entsprechend der lokalen Gegebenheiten zu testen. Insbesondere sollte folgende Microsoft-Dokumentation beachtet werden: Threats and Countermeasures Guide: External Storage Devices [6].

10.3.3.1. Zugriff auf USB-Speicher an Windows XP einschränken#

Diese Richtlinie wird über eine Administrative Vorlage (ADMX) definiert, die in Verwenden von Gruppenrichtlinien zum Deaktivieren von USB-, CD-ROM-, Disketten- und LS-120-Treibern [7] beschrieben ist. Erst nach Einbinden der Administrative Vorlage (ADMX) können folgende Einstellungen getroffen werden. Beispiele für ADMX-Dateien liegen unter /usr/share/doc/ucs-school-umc-exam/examples/GPO. Zum Einbinden der ADMX-Dateien müssen diese auf die SYSVOL-Freigabe kopiert werden (siehe Generelle Hinweise zu Gruppenrichtlinien und Administrativen Vorlagen).

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ Spezielle Einstellungen ‣ Treiber einschränken

  3. Richtlinie USB Sperren öffnen, Aktiviert auswählen und mit OK bestätigen.

Bemerkung

Hier stehen auch weitere Gerätetypen zur Auswahl, z.B. CD-ROM-Laufwerke.

10.3.3.2. Installation neuer Gerätetreiber für USB-Speicher an Windows XP verbieten#

Diese Richtlinie definiert eingeschränkte Dateisystemberechtigungen gemäß Wie kann ich verhindern, dass Benutzer eine Verbindung zu einem USB-Speichergerät herstellen? [8].

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Dateisystem

  3. Rechtsklick auf Datei hinzufügen…

  4. Das Verzeichnis C:\Windows\Inf ansteuern und dort die Datei usbstor.inf auswählen und mit OK bestätigen.

    Bemerkung

    Gegebenenfalls wird die Dateiendung .inf nicht mit angezeigt.

  5. In dem neu geöffneten Dialog Datenbanksicherheit für … in der oberen Liste Gruppen- oder Benutzernamen die Schaltfläche Hinzufügen betätigen und den Namen der Klassenarbeitsgruppe hinzufügen,

  6. In der darunter angezeigten Liste Berechtigungen für … in der Zeile Vollzugriff, Spalte Verweigern ein Häkchen setzen und mit OK bestätigen.

  7. Den Dialog Datenbanksicherheit für … mit OK schließen.

  8. Das neue Dialogfenster Windows-Sicherheit mit Ja bestätigen.

  9. Das neue Dialogfenster Objekt hinzufügen mit OK schließen.

Analog sollten Einstellungen für %SystemRoot%infusbstor.pnf und %SystemRoot%system32driversusbstor.sys definiert werden.

10.3.3.3. Zugriff auf USB-Speicher an Windows 7 einschränken#

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Benutzerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ System ‣ Wechselmedienzugriff

  3. Z.B. Richtlinie Wechseldatenträger: Lesezugriff verweigern öffnen, Aktiviert auswählen und mit OK bestätigen.

Bemerkung

Weitere Informationen zu diesem Thema liefert z.B. Controlling the Use of Removable Devices and Media [9].

10.3.3.4. Installation neuer Gerätetreiber für USB-Speicher an Windows 7 Clients verbieten#

Zusätzliche Einschränkungen zur Installation von Gerätetreibern sind auch unter Windows 7 möglich. Die Einstellungsmöglichkeiten bieten eine größere Kontrolle, setzen aber auch konkrete Erfahrungen mit den im Einzelfall eingesetzten Geräten voraus. Daher ist dieser Abschnitt nur als Einstiegshilfe zu verstehen. Die folgende Einstellung würde die zusätzliche Installation jeglicher Treiber für Wechselgeräte deaktivieren. Es kann hier z.B. dann zusätzlich sinnvoll sein, Administratoren von dieser Einschränkung auszunehmen.

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ System ‣ Geräteinstallation ‣ Einschränkungen bei der Geräteinstallation

  3. Hier kann die Installation von Treibern für bestimmte Geräteklassen, Geräte-IDs oder alle Wechselgeräte eingeschränkt werden.

  4. Richtlinie Installation von Wechselgeräten verhindern öffnen, Aktiviert auswählen und mit OK bestätigen.

Die Richtlinie Administratoren das Außerkraftsetzen der Richtlinien unter … erlauben erlaubt Mitgliedern der Administratorengruppe die getroffenen Einschränkungen zu umgehen.

Noch stärkere Restriktionen sind möglich, indem man die Ausschlusslogik auf Whitelisting umstellt. Dies kann über die Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind erreicht werden.

Bemerkung

Weitere Informationen zu diesem Thema liefert z.B. Device Management and Installation Step-by-Step Guide: Controlling Device Driver Installation and Usage with Group Policy [10].

10.3.4. Vorgabe von Proxy-Einstellungen für den Internetzugriff#

Im Folgenden sind Vorgaben für Internet Explorer, Google Chrome und Mozilla Firefox beschrieben. Während Microsoft selbst Administrative Vorlagen mitliefert, sind für Google Chrome und Mozilla Firefox jeweils eigene Administrative Vorlagen notwendig.

Zusätzlich zur Vorgabe einer Proxyeinstellung ist für den Klassenarbeitsmodus eine Sperrung des Benutzerzugriffs auf eben diese Einstellungen sinnvoll. Dazu gibt es zwei unterschiedliche Ansätze:

  1. Im Fall des Internet Explorers bietet die Administrative Vorlage die Möglichkeit, das entsprechende Einstellungsfenster zu sperren.

  2. Im Fall von Google Chrome und Mozilla Firefox werden hingegen die Proxy-Einstellungen per Gruppenrichtlinie für den Arbeitsplatzrechner vorgegeben, statt für den Benutzer, und sind dadurch z.B. für Schüler nicht mehr veränderbar. Für diese Browser ist es daher wichtig darauf zu achten, die Einstellungen, wo nötig, im Zweig Computerkonfiguration des Gruppenrichtlinieneditors statt im Zweig Benutzerkonfiguration vorzunehmen.

10.3.4.1. Proxy-Vorgabe für den Internet Explorer#

  1. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Benutzerkonfiguration ‣ Richtlinien ‣ Windows-Einstellungen ‣ Internet Explorer-Wartung ‣ Verbindung

  2. Richtlinie Proxyeinstellungen öffnen, Aktiviert auswählen und bestätigen.

  3. Proxyadresse für HTTP sowie Secure und das entsprechende Port-Feld ausfüllen (Wert der Univention Configuration Registry Variable squid/httpport, Standardwert: 3128).

  4. Ggf. Für alle Adressen denselben Proxyserver verwenden aktivieren.

10.3.4.2. Sperrung der Proxyeinstellung für den Internet Explorer#

  1. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen: Vom zentralen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) ‣ Windows-Komponenten ‣ Internet Explorer ‣ Internetsystemsteuerung

  2. Richtlinie Verbindungsseite deaktivieren öffnen und Aktiviert auswählen und bestätigen.

10.3.4.3. Proxy-Vorgabe für Google Chrome#

Die Administrativen Vorlagen für Google Chrome werden durch das Zip-Archiv policy_templates.zip des Chromium-Projekts bereitgestellt. Die entsprechenden Dateien liegen unter /usr/share/doc/ucs-school-umc-exam/examples/GPO/. Der Inhalt des admx Verzeichnisses sollte in das Verzeichnis PolicyDefinitions auf den Schulserver kopiert werden, so dass dort die Datei chrome.admx liegt. Die *.adml Dateien aus den Unterverzeichnissen müssen in gleichnamige Unterverzeichnisse unter PolicyDefinitions kopiert werden.

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen: Vom zentralen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) ‣ Google ‣ Google Chrome ‣ Proxy-Server

  3. Richtlinie Auswählen, wie Proxy-Server-Einstellungen angegeben werden öffnen und Aktiviert auswählen.

  4. Im Dropdown System-Proxy-Einstellungen verwenden auswählen und bestätigen.

10.3.4.4. Proxy-Vorgabe für Mozilla Firefox#

Auf dem Schulserver sollte das Verzeichnis /var/lib/samba/sysvol/DomänenNameDerUCS@schoolUmgebung/Policies/PolicyDefinitions/ angelegt werden. Nähere Informationen sind im Abschnitt zu Google Chrome zu finden.

Die Administrativen Vorlagen für Mozilla Firefox werden durch das FirefoxADM-Projekt bereitgestellt. Es ist sinnvoll, die dort definierten ADM-Vorlagen in das ADMX-Format umzuwandeln.

Beispiele für ADMX Dateien liegen unter /usr/share/doc/ucs-school-umc-exam/examples/GPO. Der Inhalt des admx Verzeichnisses sollte in das Verzeichnis PolicyDefinitions auf den Schulserver kopiert werden, so dass dort die Datei firefoxlock.admx liegt. Die *.adml Dateien aus den Unterverzeichnissen müssen in gleichnamige Unterverzeichnisse unter PolicyDefinitions kopiert werden.

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen: Vom zentralen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) ‣ Mozilla Firefox Locked Settings ‣ General

  3. Richtlinie Proxy Settings öffnen und Aktiviert auswählen.

  4. Im Dropdown Preference State die Einstellung Locked auswählen.

  5. Im Dropdown Proxy Setting die Einstellung Manual Proxy Configuration auswählen.

  6. Im Feld Proxy Setting die Einstellung Manual Setting - HTTP Proxy eintragen.

  7. Im Feld HTTP Proxy Port den Proxy Port eintragen (Wert der Univention Configuration Registry Variable squid/httpport, Standardwert: 3128).

  8. Den Dialog mit OK bestätigen.

Da Mozilla Firefox bisher nicht selbständig die über die Administrativen Vorlagen definierten Einstellungen in der Windows-Registry berücksichtigt, ist es notwendig diese Einstellungen über ein Startup- bzw. Shutdown-Skript in Mozilla-Konfigurationsdateien übersetzen zu lassen. Das FirefoxADM-Projekt stellt diese Skripte in Form von zwei *.vbs Dateien zur Verfügung. Deren Einbindung ist über die folgenden Schritt möglich.

  1. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Windows-Einstellungen ‣ Skripts (Start/Herunterfahren)

  2. Richtlinie Starten öffnen.

  3. Im Dialog Eigenschaften von Starten auf dem Reiter Skripts die Schaltfläche Dateien anzeigen betätigen.

  4. In das vom automatisch geöffneten Windows Explorer angezeigte (leere) Verzeichnis (MachineScriptsStartup im betreffenden GPO-Verzeichnis) die Datei firefox_startup.vbs kopieren und das Explorer-Fenster schließen.

  5. Im Dialog Eigenschaften von Starten die Schaltfläche Hinzufügen betätigen.

  6. Im neu geöffneten Dialog Hinzufügen eines Skripts neben dem Feld Skriptname den Namen firefox_startup.vbs eintragen und Dialog mit OK bestätigen.

  7. Im Dialog Eigenschaften von Starten den Dialog mit OK bestätigen.

  8. Richtlinie Herunterfahren öffnen, und dort analog zu dem Vorgehen bei Starten das Skript firefox_shutdown.vbs eintragen. Im Detail also:

    1. Im Dialog Eigenschaften von Herunterfahren die Schaltfläche Hinzufügen betätigen,

    2. In das vom automatisch geöffneten Windows Explorer angezeigte (leere) Verzeichnis (MachineScriptsShutdown im betreffenden GPO-Verzeichis) die Datei firefox_shutdown.vbs kopieren und das Explorer-Fenster schließen.

    3. Im neu geöffneten Dialog Hinzufügen eines Skripts neben dem Feld Skriptname den Namen firefox_shutdown.vbs eintragen und Dialog mit OK bestätigen.

  9. Im Dialog Eigenschaften von Herunterfahren den Dialog mit OK bestätigen.

10.3.5. Zugriff auf bestimmte Programme einschränken#

Bemerkung

Die Liste der hier erwähnten Einstellungen erhebt nicht den Anspruch der Vollständigkeit. Es ist notwendig die Einstellungen entsprechend der lokalen Gegebenheiten zu testen. Insbesondere sollten folgende Microsoft-Dokumentationen beachtet werden:

  • Using Software Restriction Policies to Protect Against Unauthorized Software [11]

  • Administer Software Restriction Policies [12].

10.3.5.1. Kommandoeingabeaufforderung deaktivieren#

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Benutzerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ System

  3. Richtlinie Zugriff auf Eingabeaufforderung verhindern öffnen und Aktiviert auswählen und bestätigen.

10.3.5.2. Zugriff auf Windows-Registry-Editor deaktivieren#

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Benutzerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ System

  3. Richtlinie Zugriff auf Programme zum Bearbeiten der Registrierung verhindern öffnen

  4. Aktiviert auswählen und den Dialog mit OK bestätigen.

10.3.5.3. Konfiguration von Software Restriction Policies (SRP)#

Aufgrund der Tiefe des Eingriffs der Software Restriction Policies ist zu empfehlen, diese zunächst in einer Testumgebung zu auszuprobieren. Bei der Analyse von Zugriffsfehlern kann die Ereignisanzeige des Windows-Clients helfen.

Die Software Restriction Policies greifen auch in die Bearbeitung von Login- und Logoff-Skripten ein. Alle dort verwendeten Programme bzw. Programmpfade sollten auf Ausführbarkeit getestet werden.

Bemerkung

Die Liste der hier erwähnten Einstellungen erhebt nicht den Anspruch der Vollständigkeit. Es ist notwendig die Einstellungen entsprechend der lokalen Gegebenheiten zu testen. Insbesondere sollte folgende Microsoft-Dokumentation beachtet werden:

  • Using Software Restriction Policies to Protect Against Unauthorized Software [11].

  • Administer Software Restriction Policies [12].

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Benutzerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Richtlinien für Softwareeinschränkung

  3. Rechtsklick auf Neue Richtlinien für Softwareeinschränkung erstellen.

  4. Im rechten Fensterteil Erzwingen öffnen.

  5. Einstellung Alle Benutzer außer den lokalen Administratoren auswählen und mit OK bestätigen.

  6. Im rechten Fensterteil Sicherheitsstufen öffnen.

  7. Nicht erlaubt per Doppelklick öffnen.

  8. Als Standard auswählen und mit OK bestätigen.

  9. Im rechten Fensterteil Zusätzliche Regeln öffnen.

  10. Rechtsklick auf Neue Pfadregel….

  11. In das Eingabefeld Pfad den UNC-Pfad \\%USERDNSDOMAIN%\SysVol eingeben, damit Logon- und GPO-Skripte ausgeführt werden können.

  12. In der Dropdown-Liste Nicht eingeschränkt auswählen und mit OK bestätigen.

    Tab. 10.1 Beispiele für weitere Pfadregeln#

    Pfad

    Sicherheitsstufe

    \\%USERDNSDOMAIN%\SysVol

    Nicht eingeschränkt

    \\%LogonServer%\SysVol

    Nicht eingeschränkt

    \\%LogonServer%\netlogon

    Nicht eingeschränkt

    \\%COMPUTERNAME%\Templates$\*

    Nicht eingeschränkt

    %UserProfile%\LocalSettings\Temp\*.tmp

    Nicht eingeschränkt

    %WinDir%\system32\cscript.exe

    Nicht eingeschränkt

    %WinDir%\system32\wscript.exe

    Nicht eingeschränkt

    %ProgramFiles%

    Nicht eingeschränkt

    %ProgramFiles(x86)%

    Nicht eingeschränkt

    *.lnk

    Nicht eingeschränkt

  13. Es kann sinnvoll sein zusätzlich Programm-Pfade als Nicht erlaubt einzustufen, z.B.:

    Tab. 10.2 Beispiele für weitere Pfadregeln#

    Pfad

    Sicherheitsstufe

    %UserProfile%\LocalSettings\Temp

    Nicht erlaubt

    %SystemRoot%\temp\*

    Nicht erlaubt

    %SystemRoot%\System32\mstsc.exe

    Nicht erlaubt

    %SystemRoot%\System32\dllcache\*

    Nicht erlaubt

    %SystemRoot%\System32\command.com

    Nicht erlaubt

    %SystemRoot%\System32\cmd.exe

    Nicht erlaubt

    %SystemRoot%\repair\*

    Nicht erlaubt

    %SystemDrive%\temp\*

    Nicht erlaubt

  14. Es sollte beachtet werden, dass schreibbare Verzeichnisse, auf die der Zugriff nicht per Software Restriction Policy eingeschränkt ist, Benutzern die Möglichkeit geben, Programmdateien dort abzulegen und so die definierten Regeln zu umgehen.

10.3.6. Verwendung temporärer Benutzerprofil-Kopien#

Bei der Verwendung von UCS@school werden serverseitige Profile verwendet, die bei der Anmeldung eines Benutzers auf den jeweiligen Windows-Rechner kopiert werden.

In der Standardeinstellung von Windows wird bei der Abmeldung des Benutzers das Profil nicht gelöscht und eine lokale Kopie vorgehalten. Gerade in Verbindung mit dem Klassenarbeitsmodus führt dies zu einer unnötigen Auslastung der lokalen Festplatte.

Über eine Richtlinie kann Windows angewiesen werden, die lokale Profil-Kopie nach der Abmeldung des Benutzers wieder zu verwerfen.

  1. In der Gruppenrichtlinienverwaltung ein neues Gruppenrichtlinienobjekt anlegen und/oder ein existierendes Gruppenrichtlinienobjekt zur Bearbeitung öffnen.

  2. Im Gruppenrichtlinienverwaltungseditor den folgenden Zweig öffnen: Computerkonfiguration ‣ Richtlinien ‣ Administrative Vorlagen ‣ System ‣ Benutzerprofile

  3. Richtlinie Zwischengespeicherte Kopien von servergespeicherten Profilen löschen öffnen und Aktiviert auswählen und bestätigen.