Erstellen der Gruppenrichtlinie für die Domaincontroller Konfiguration
Wichtiger Hinweis!!! Bearbeiten Sie niemals die Default Domain Controller oder Default Domain Policy, auch wenn Microsoft es der Einfachheit halber empfiehlt!!!
In unserem Beispiel, kontern wir die Einstellungen in den Default Policies mit eigenen Gruppenrichtlinien.
- Öffnen Sie die Gruppenrichtlinien Verwaltungskonsole und navigieren Sie auf Gruppenrichtlinien Objekte
- Drücken Sie die rechte Maustaste um das Kontextmenü zu öffenen und wählen Sie Neu
- Vergeben Sie nun einen Namen für die Richtlinie
- Anschließen klicken Sie mit der rechten Maustaste auf die Richtline und wählen bearbeiten
- Folgen Sie nun bitte folgendem Strukturbaum Computer Einstellungen -> Richtlinien -> Windows Einstellungen -> Sicherheits Einstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien
- Auf der rechten Seite finden Sie alle zur Verfügung stehenden Überwachungsrichtlinien
- Klicken Sie mit der rechten Maustaste auf die für Sie relevante Richtlinie und wählen Sie dann Eigenschaften, um diese zu Konfigurieren.
Wichtiger Hinweis!!! Bitte klären Sie im Vorfeld, mit dem im Unternehmen verantwortlichen Sicherheits- und Datenschutzbeauftragen, welche Überwachungen für Ihr Unternehmen zulässig sind.
- Im Eigenschaftensmenü der entsprechende Richtlinie, können Sie nun die Richtlinie aktivieren und entscheiden, wann Sie benachrichtigt werden wollen. Hierbei stehen Erfolgreich oder Fehler zur auswahl. Unter Erklärung, erhalten Sie noch weitere Erläuterungen über die Funktion und den Umfang der Richtlinie. Bestätigen Sie die Änderungen dann mit OK
- Schließen Sie nun die Bearbeitungskonsole und wählen die Gruppenrichtlinie aus. Im Menü Reiter Details auf der rechten Seite, ändern Sie bitte den GPO Status Einstellungen für Benutzer deaktivieren. So werden lediglich Computer von dieser Richtlinie betrachtet.
Verteilen der Gruppenrichtline
Im nächsten Schritt verteilen wir die Gruppenrichtlinie an die Domaincontroller.
- Um dies zu erreichen, navigieren wir in der Gruppenrichlinien Management Konsole auf die OU (Organisationunit), in denen sich sie Domaincontroller befinden. Im Regelfall befinden sich diese unter Forest: -> Domain -> Domaincontroller
Wichtiger Hinweis!!! Es ist nicht empfohlen, Domaincontroller aus dieser OU zu entfernen. Es sind Prozesse und Delegierungen mit dieser OU verknüpft, die den Betrieb und die Funktion der Domaincontroller steuern. Ein Umziehen der Domaincontroller in eine ander OU kann sich negativ auf die Active Directory Umgebung auswirken.
- Klicken Sie mit der rechten Maustaste auf die OU und wählen Sie eine existierende Gruppenrichtlinie verbinden aus
- Aus der nun folgenden Liste wählen Sie bitte die betreffende Gruppenrichtlinie aus und drücken dann OK
- Im nächsten Schritt müssen wir die neue Gruppenrichtlinie hirarchisch so anordnen, dass sie die Default Domain Controller Richtlinie überschreibt. Das sogenannte kontern einer Richtlinie. Hierfür wählen wir über die OU auf der rechten Seite den Reiter verknüpfte Gruppenrichtlinie Objekte aus
- In diesem Menü, ist zu beachten, dass die Richtlinie mit der niedrigsten Verknüpfungsnummer als letzte ausgeführt wird. Dies fürt dazu, dass Ihre Richlinien Einstellung die der anderen Richtlinien überschreiben. Standardmässig werden neuen Gruppenrichtlinie an die letzte Stelle gesetzt.
Sie können die Pfeile an der linken Seite nutzen, um Ihre Richtlinie zu verschieben.
Hinweis! Als konfigurierte Teile einer Richtlinie, gelten Einstellung die aktiviert oder deaktiviert sind. Nicht konfiguriert in einer Gruppenrichtlinie gilt nicht als Konfiguration.
Validieren der Gruppenrichtlinie
Als letztes, überprüfen wir ob die Gruppenrichtlinie angewendet wurde. Hierfür benötigen wir eine PowerShell oder Commandline plus die Gruppenrichtlinien Management Konsole.
- Verbinden Sie sich mit einem Ihrer Domaincontroller und starten Sie eine Konsole. In meinem Fall ist es eine PowerShell. Tippen Sie dann den Befehl gpupdate /force ein und drücken Sie enter
- Wenn die Gruppenrichtlinien erfolgreich angewendet wurden, sollten Sie dieses auch als Ausgabe bestätigt bekommen
- Jetzt wechseln Sie bitte wieder in die Gruppenrichtlinien Management Konsole und klicken dort auf Gruppenrichtlinien Resultate. Hier möchten wir jetzt einen neuen Bericht erstellen, um zusehen, welche Richtlinien im Detail angewendet wurden.
- Klicken Sie mit der rechten Maustaste auf den Wizzard für die Gruppenrichtlinien Resultate.
- Wählen Sie jetzt das System aus, gegen welches Sie testen wollen. In unserem Fall wäre dies ein Domaincontroller. Wenn Sie bereits auf dem Domaincontroller arbeite, wählen Sie lokaler Computer. Sollte es sich um ein Remotesystem handeln, wählen Sie bitte anderer Computer aus und durchsuchen das Active Directory nach dem benötigten System
- Im nächsten Menü wählen Sie bitte aus für welchen Benutzer Sie Richtlinie überprüfen wollen. In unserem Fall handelt es sich um eine Computerrichtlinie, welche keinen Einfluss auf den Benutzer hat. Sie können somit auch die Benutzerrichtlinien ausblenden lassen.
- Danach erscheint nochmal ein kurzer Überprüfungsbildschirm
- Im rechten Bildschirmbereich erscheint dann eine Zusammenfassung. Das erstellen der Zusammenfassung kann eine Zeit dauern. Dies ist abhängig von der Anzahl der Richtlinien und verwendeten WMI Filter