Desktopmanagement mit Gruppenrichtlinien

23.03.2007 von Martin Kuppinger

Am häufigsten werden vermutlich die Gruppenrichtlinien-Einstellungen für die Arbeitsumgebung von Benutzern genutzt, also die Steuerung des angezeigten Desktops. Der Artikel gibt einen zusammenfassenden Überblick über die wichtigsten Einstellungen.

Als mit Windows 95 die Systemrichtlinien als Vorläufer der Gruppenrichtlinien eingeführt wurden, lag der Fokus auf der Konfiguration der Arbeitsumgebung von Benutzern. Inzwischen hat das Management der Sicherheit und des Internet Explorers einen sehr hohen Stellenwert gewonnen. Vorgaben für die Arbeitsumgebung von Benutzern haben aber immer noch eine hohe Bedeutung.

Wer die Gruppenrichtlinien konsequent nutzt, kann den Handlungsspielraum für Benutzer deutlich einschränken und eine zumindest weitgehend identische Desktopumgebung für alle Benutzer schaffen. Da es sich um die Arbeitsumgebung für Benutzer handelt, finden sich die Einstellungen folgerichtig im Bereich Benutzerkonfiguration/-Administrative Vorlagen. Dort lassen sich verschiedene wichtige Festlegungen treffen.

In den meisten Fällen ist die Zielsetzung, die Handlungsspielräume von Benutzern zu reduzieren, indem man bestimmte Symbole und Informationen ausblendet.

Startmenü und Taskleiste

Der erste wichtige Bereich für Desktopeinstellungen ist Startmenü und Taskleiste. Hier findet sich eine lange Liste von Einstellungen, mit deren Hilfe bestimmte Elemente aus dem Startmenü entfernt werden können (Bild 1). Bei diesen Festlegungen muss individuell überlegt werden, welche Eigenschaften man entfernen möchte und welche nicht. Es gibt Anwendungsbereiche, in denen es Sinn macht, den Zugriff auf die Netzwerkverbindungen zu unterbinden, weil ohnehin alle Ressourcen vorkonfiguriert sind. Wenn Benutzer aber zu vielen Servern im Netzwerk navigieren können müssen, muss die Option beibehalten werden.

Bild 1: Die umfangreiche Liste der Einstellungen für die Konfiguration von Startmenü und Taskleiste.

Einigen Optionen scheinen ohnehin etwas widersprüchlich zu sein. So kann man nicht von Benutzern einerseits verlangen, dass sie ihre Rechner korrekt herunterfahren und andererseits die Option Befehl „Herunterfahren“ entfernen und Zugriff darauf verweigern wählen. Wichtig ist, dass man dem Benutzer den erforderlichen Handlungsspielraum gibt und die benötigten Möglichkeiten nicht beschränkt. Interessant sind die folgenden beiden Parameter:

Liste der zuletzt geöffneten Dokumente nicht behalten.

Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren.

Die erste Option deaktiviert die Liste vollständig, die zweite pflegt sie innerhalb einer Arbeitssitzung. Die Nutzung dieser Optionen kann erforderlich sein, um Anforderungen des Betriebsrats zu entsprechen. In eine ähnliche Richtung gehen die beiden Optionen

Persönlich angepasste Menüs deaktivieren

Benutzerüberwachung deaktivieren

Die erste der beiden Optionen sorgt dafür, dass Menüeinträge, die selten genutzt werden, nicht ausgeblendet werden. Die zweite erfasst nicht, wie häufig bestimmte Anwendungen genutzt werden, was normalerweise im Bereich Software der Systemsteuerung sichtbar wird. Beide Funktionen könnten so interpretiert werden, dass damit das Arbeitsverhalten von Benutzern nachvollziehbar wird, und lassen sich daher deaktivieren.

Desktopeinstellungen

Weitere Einstellungen können bei Desktop vorgenommen werden. Im Unterordner Active Desktop finden sich mehrere Einstellungen, mit denen der Active Desktop – also die neuere Variante des Windows-Desktops mit Hyperlinks – aktiviert und konfiguriert werden kann. Hier geht es ähnlich wie bei den Festlegungen zur Taskleiste und Systemsteuerung darum, die Handlungsspielräume von Benutzern einzuschränken. Direkt bei Desktop gibt es Optionen, mit denen verschiedene Standardsymbole vom Desktop entfernt werden können. Dazu zählen beispielsweise

Eigene Dateien

Arbeitsplatz

Netzwerkumgebung

Wichtig ist hier einerseits wieder, dass man den Benutzern den erforderlichen Handlungsspielraum lässt. Andererseits muss auch beachtet werden, dass eine Konsistenz zu anderen Konfigurationsbereichen gegeben ist. Es macht beispielsweise wenig Sinn, die Netzwerkumgebung aus dem Startmenü zu entfernen, das Symbol aber auf dem Desktop zu belassen.

Dagegen kann es sehr sinnvoll sein, das Internet Explorer-Symbol zu entfernen, falls im Unternehmen generell ein anderer Browser eingesetzt wird. Dabei sollte man wiederum das Symbol auch aus dem Startmenü und der Taskleiste entfernen.

Systemsteuerung

Sehr umfassende Steuerungsmöglichkeiten gibt es für einige Bereiche der Systemsteuerung (Bild 2). Zunächst kann der Zugriff auf die Systemsteuerung völlig deaktiviert werden, damit Benutzer keine Anpassungen im System selbst durchführen können. Für viele Benutzer dürfte das aber auch adäquat sein. Wenn man einer Gruppe Hauptbenutzer umfassendere Berechtigungen durch speziell zugeordnete Gruppenrichtlinien gibt, können einzelne Benutzer bei Bedarf die erforderlichen Konfigurationsänderungen durchführen. Besser dürfte es in der Regel aber sein, die Option Angegebene Systemsteuerungsymbole ausblenden oder Nur angegebene Systemsteuerungssymbole anzeigen zu verwenden, um die Funktionalität der Systemsteuerung zu beschränken.

Bild 2: Die Optionen für die Anpassung der Systemsteuerung.

Für die Bereiche Software, Anzeige, Drucker sowie die Regions- und Sprachoptionen können in den jeweiligen Unterordnern noch weitere Anpassungen vorgenommen werden. Das ist in den meisten Fällen erforderlich, um diese wichtigen Bereiche für Benutzer verfügbar zu machen, ohne ihnen alles zu erlauben. So kann es Sinn machen, dem Benutzer zwar die Auswahl des Bildschirmschoners zu erlauben, aber einen Kennwortschutz für den Bildschirmschoner aus Sicherheitsgründen zu erzwingen.

Weitere Einstellungen

Weitere wichtige Einstellungen finden sich in den Bereichen Windows Explorer und Microsoft Management Console unterhalb von Windows-Komponenten. Hier kann das Verhalten des Windows Explorer und der MMC eingeschränkt werden. Das ist wichtig, um nicht über diese Werkzeuge durch die Hintertür wieder Funktionen erreichbar zu machen, die an anderer Stelle blockiert wurden.

Zu beachten ist wie immer, dass es bei den verfügbaren Einstellungen deutliche Versionsunterschiede geben kann. Die Einstellungen bei Administrative Vorlagen basieren alle auf Festlegungen in den Richtlinienvorlagen. Diese werden aber in der Regel mit jedem Service Pack aktualisiert. Daher finden sich in der neuesten Version einige Einstellungen nicht mehr, die in früheren Versionen verfügbar waren. Dafür gibt es aber unzählige neue Einstellungen. Gegebenenfalls kann es daher erforderlich sein, einzelne Parameter, die man beispielsweise mit Windows 2000 genutzt hat, manuell in die aktuellen Richtlinienvorlagen einzufügen, um sie auch mit Windows XP Service Pack 2 nutzen zu können.