In Windows 8.1 und Windows Server 2012 R2 hat Microsoft viele neue Gruppenrichtlinien-Einstellungen integriert, die in den Vorgängerversionen Windows 8 und Windows Server 2012 nicht enthalten waren. Viele dieser Einstellungen können die Arbeit mit Windows 8.1 auf Rechnern, aber auch auf Servern deutlich verbessern. Vornehmen lassen sich diese Einstellungen mit dem Gruppenrichtlinien-Editor in Windows 8.1 und Windows Server 2012 R2. Diesen starten Sie durch Eingabe von gpedit.msc auf der Startseite.
Haben Sie bereits Rechner mit Windows 8.1 im Einsatz, setzen aber noch Domänencontroller mit Windows Server 2012 ein, können Sie die neuen Einstellungen über ADMX-Dateien verfügbar machen. Danach können Sie Einstellungen für Windows 8.1 auch in Windows Server 2012 vornehmen. Die Vorlagendateien stellt Microsoft im Download-Center zur Verfügung.
In diesem Beitrag zeigen wir Ihnen einige interessante neue Möglichkeiten der Gruppenrichtlinien.
Startseite, Sperrbildschirm und Desktop über Richtlinien steuern
In Windows 8.1 haben Sie die Möglichkeit, das Aussehen der Startseite an einem Muster-PC anzupassen, die Einstellungen zu exportieren und danach die Export-Datei per Gruppenrichtlinie an andere Rechner im Netzwerk zu verteilen. Der Export wird in eine XML-Datei vorgenommen. Diese speichern Sie auf den Domänencontrollern oder an einem zentralen Speicherort auf den einzelnen Rechnern. Für den Export verwenden Sie das Cmdlet Export-StartLayout, zum Beispiel mit Export-StartLayout -path <Pfad zur XML-Datei> -As XML. Neben der Möglichkeit, die XML-Datei im Netzwerk zu verteilen und so das Aussehen der Startseite zu vereinheitlichen, können Sie Änderungen der Startseite auch untersagen.
Die Einstellungen für die Startseite finden Sie über Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste. Über Startseitenlayout aktivieren Sie die zentrale Verteilung der Startseite und geben auch den Pfad zur XML-Datei mit. Sie können diese Einstellung aber nicht nur auf Benutzerbasis im Bereich Benutzerkonfiguration vornehmen, sondern auch im Bereich Computerkonfiguration, also unabhängig von den angemeldeten Benutzern.
An dieser Stelle haben Sie auch die Möglichkeit, neue Apps wieder direkt auf der Startseite anpinnen zu lassen. Sie können hier auch eine Liste von Apps pflegen, die bei der Installation automatisch an die Startseite gepinnt werden. Standardmäßig ist das in Windows 8.1 nicht mehr der Fall. Sie verwenden dazu die Einstellung Anheften der App an die Startseite bei der Installation.
In diesem Zusammenhang ist natürlich auch die neue Möglichkeit interessant, mit der Sie Windows 8.1 direkt auf dem Desktop starten können, ohne die Startseite anzeigen zu müssen. Einstellen können Sie das über die Eigenschaften der Startseite auf der Registerkarte Navigation mit der Option Beim Anmelden oder schließen sämtlicher Apps anstelle der Startseite den Desktop anzeigen. Natürlich können Sie diese Einstellung auch über Richtlinien vornehmen.
In Windows 8.1 Update (siehe auch Windows 8.1 Update - das ist neu) ist diese Einstellung übrigens automatisch gesetzt. Hier startet Windows 8.1 immer in den Desktop, auch wenn die Option nicht gesetzt ist. Über Richtlinien lässt sich das Verhalten mit der Option Beim Anmelden anstatt der Startseite den Desktop anzeigen steuern. Die Einstellung ist bei Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste zu finden.
Viele Anwender wollen den Sperrbildschirm nicht nutzen. Dieser hat zunächst auch nichts mit der eigentlichen Anmeldung zu tun, sondern zeigt nur Informationen an. Sie können in Windows 8.1 den Sperrbildschirm deaktivieren. Die Einstellungen sind bei Computerkonfiguration/Administrative Vorlagen/Systemsteuerung/Anpassung zu finden. Aktivieren Sie dazu die Einstellung Sperrbildschirm nicht anzeigen. In Windows 8.1 können Anwender auf der Startseite auch eine Diashow anzeigen.
Wollen Sie den Sperrbildschirm anzeigen, das Verwenden einer Diashow aber verhindern, dann aktivieren Sie die Option Aktivieren der Diashow auf dem Sperrbildschirm verhindern.
Die Suche auf der Startseite in Windows 8.1 umfasst auch Ergebnisse im Internet. Wollen Sie das generell verhindern, aktivieren Sie die Option Nicht im Internet suchen bei Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste.
Remotedesktop-Sitzungen spiegeln und einstellen
Remotedesktop-Sitzungen lassen sich mit Windows Server 2012 R2 und Windows 8.1 wieder spiegeln. In Windows Server 2012 hat Microsoft diese Möglichkeit entfernt. Die Einstellungen dazu lassen sich über Gruppenrichtlinien steuern. Die Spiegelung selbst nehmen Sie über den Server-Manager vor.
Wollen Sie den Server-Manager in Windows 8.1 verfügbar machen, brauchen Sie die Remoteserver-Verwaltungstools für Windows 8.1. Diese enthalten auch den Server-Manager und die Möglichkeit, Benutzersitzungen zu spiegeln, ohne dass Sie weitere Tools installieren müssen. Berechtigen Sie Anwender zum Spiegeln von Sitzungen, zum Beispiel Support-Mitarbeiter oder den Helpdesk, installieren Sie auf den Rechnern der Mitarbeiter am besten die Remoteserver-Verwaltungstools und fügen zum Server-Manager die Remotedesktop-Sitzungs-Hosts (ehemals Terminalserver) hinzu.
Die Verwaltung der Remotedesktop-Dienste findet im Server-Manager über den Bereich Remotedesktop-Dienste statt. Haben Sie die Farm eingerichtet haben, dann sehen Sie die angebundenen Anwender im Bereich Verbindungen, wenn Sie auf den Namen der entsprechenden Sammlung klicken. Über das Kontextmenü verwalten Sie die Benutzer und starten auf Wunsch auch die Spiegelung.
Klicken Sie eine Sitzung mit der rechten Maustaste an, dann haben Sie verschiedene Möglichkeiten, die Benutzer zu verwalten. Diese Möglichkeiten hatten Sie bereits in Windows Server 2012. Neu ist die Option Schatten im Kontextmenü der Benutzersitzungen. Mit dieser Option können Sie Sitzungen spiegeln, wie in Vorgängerversionen von Windows Server 2012. Es sind dazu keine weiteren Konfigurationen notwendig. Sobald Sie eine Sammlung erstellen und RemoteApps veröffentlichen, sind die Anwendungen zur Spiegelung bereit.
Klicken Sie die Option zum Spiegeln an (Schatten) und wählen zunächst aus, ob Sie die Sitzung nur sehen wollen, ohne selbst steuern zu können (Anzeige), oder ob Sie in der Sitzung auch Eingaben vornehmen wollen (Steuerelement). Standardmäßig ist nach der Installation der Remotedesktop-Sitzungs-Hosts beides erlaubt und möglich.
Einstellungen für die Spiegelung nehmen Sie über lokale Richtlinien oder in der Gruppenrichtlinie vor, die Sie den Remotedesktop-Sitzungs-Hosts zuweisen. Sie finden die Konfiguration über Benutzerkonfiguration/(Richtlinien)/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Verbindungen. Hier finden Sie die Einstellung Regeln für Remotesteuerung von Remotedesktopdienstebenutzern festlegen.
Um Einstellungen zu ändern, aktivieren Sie also die Richtlinie und wählen dann aus dem Dropdown-Menü aus den angezeigten Optionen aus:
• Keine Remotesteuerung zulassen - Administratoren können keine Remotesteuerung verwenden oder Remotebenutzersitzungen anzeigen. Eine Spiegelung ist daher nicht erlaubt. Wenn ein Administrator eine Sitzung spiegeln will, erscheint die Meldung, dass die Funktion über Richtlinien geblockt ist.
• Vollzugriff mit Erlaubnis des Benutzers - Erlaubt Administratoren mit Zustimmung des entsprechenden Benutzers die Steuerung einer Sitzung, also auch die Bedienung. Natürlich ist dann auch das Anzeigen erlaubt.
• Vollzugriff ohne Erlaubnis des Benutzers - Erlaubt Administratoren auch ohne Zustimmung des Benutzers die Steuerung der Sitzung. In diesem Fall können Administratoren beim Spiegeln auch den Haken bei der Option entfernen, dass der Benutzer gefragt werden muss. Auch die Anzeigefunktion ist mit dieser Einstellung erlaubt.
• Sitzung mit Erlaubnis des Benutzers anzeigen - Erlaubt Administratoren das Anzeigen von Sitzungen mit Zustimmung des Benutzers. Eine Steuerung der Sitzungen ist aber nicht erlaubt.
• Sitzung ohne Erlaubnis des Benutzers anzeigen - Ermöglicht Administratoren das Anzeigen von Sitzungen auch ohne dessen Zustimmung.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Administratoren mit Zustimmung des Benutzers in dessen Remotedesktopdienste-Sitzung eingreifen und Sitzungen spiegeln. Das geht auch, wenn Sie gar nichts konfigurieren.
Cloud-Nutzung und Store steuern - OneDrive deaktivieren
Windows 8.1 ist noch enger mit OneDrive (ehemals SkyDrive) verbunden als Windows 8. In Unternehmen ist die Nutzung der Cloud nicht immer gewünscht. Sie haben daher die Möglichkeit, die Cloud-Nutzung einzuschränken. Sollen Ihre Anwender in Windows 8.1 kein OneDrive nutzen, deaktivieren Sie die Anbindung über Gruppenrichtlinien. Dazu navigieren Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/OneDrive. Hier finden Sie die Einstellung Verwendung von OneDrive für die Datenspeicherung verhindern.
Außerdem können Sie hier die Option deaktivieren, dass Windows-8.1-Rechner die Daten über getaktete Verbindungen synchronisieren, also zum Beispiel Notebooks über mobile UMTS-Verbindungen. Die Synchronisierung findet dann nur bei der Anbindung an ein Netzwerk oder WLAN statt.
Seit Windows 8.1 Update lassen sich Apps von der Startseite auch direkt über die Taskleiste anpinnen und starten, auch der Store. Das ist in vielen Unternehmen aber nicht gewünscht. In vielen Unternehmen ist die generelle Verwendung von Apps eher unerwünscht. Daher stört es durchaus, wenn Windows-8-Apps auf einmal in der Taskleiste auftauchen.
Der einfachste Weg ist, wenn Sie den App-Store auf Firmenrechnern komplett deaktivieren. Diese Option werden sicherlich die meisten Unternehmen nutzen wollen. Dadurch wird auch das Icon auf der Taskleiste entfernt. Wenn Sie die Gruppenrichtlinie zum Deaktivieren des App-Stores vor der Installation von Windows 8.1 Update im Unternehmen durchsetzen, wird auch das Icon nicht in der Taskleiste angepinnt. Die Einstellung mit der Bezeichnung Store-Anwendung deaktivieren finden Sie in der Computerkonfiguration oder in der Benutzerkonfiguration über Administrative Vorlagen\Windows-Komponenten\Store.
Alternativ können Sie natürlich auch die Einstellung Angeheftete Programme aus Taskleiste entfernen im Bereich Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste aktivieren. Achten Sie aber darauf, dass von dieser Einstellung auch herkömmliche Anwendungen betroffen sind, nicht nur Windows-8-Apps. Nach der Aktivierung dieser Einstellung können Anwender keinerlei Programme mehr an die Taskleiste anpinnen.
Eine weitere Alternative ist die Möglichkeit, das Entfernen über ein Skript durchzuführen und dieses Skript wiederum über Richtlinien zu verteilen. Microsoft bietet dazu im Script Center ein passendes Skript an
Rechner beim Einsatz von Gruppenrichtlinien schneller starten
Immer wenn ein Rechner im Netzwerk startet, überträgt er die notwendigen Gruppenrichtlinien vom Domänencontroller auf den Client. Das kann bei zahlreichen Clients natürlich durchaus Zeit kosten und den Start des Rechners verhindern. Hier bieten Windows 8.1 und Windows Server 2012 R2 eine echte Verbesserung. Sie haben die Möglichkeit, Gruppenrichtlinien zwischenzuspeichern. Verwenden Sie diese Option, muss Windows 8.1 nur noch die Neuerungen der Richtlinien über das Netzwerk kopieren, der Rest wird aus dem Cache gelesen. Das beschleunigt die Anmeldung in Active-Directory-Umgebungen und entlastet das Netzwerk.
Skript-Verzögerung: Achtung bei der Skriptverwendung in Windows 8.1
Ein häufiges Problem bei der Verwendung von Windows 8.1 ist das verzögerte Anwenden von Skripten, die Sie über Gruppenrichtlinien verteilen.
Dafür ist die Einstellung Anmeldeskriptverzögerung konfigurieren schuld. Sind hier falsche Einstellungen gesetzt, kann es passieren, dass Skripte erst Minuten nach der eigentlichen Anmeldung von Anwendern gestartet werden. Die entsprechende Einstellung finden Sie über Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie. Aktivieren Sie die Einstellung Anmeldeskriptverzögerung konfigurieren und setzen den Wert auf 0.
Fazit
Viele Unternehmen scheuen sich, Windows 8.1 einzusetzen, da viele Bereiche der Bedienung neu und ungewohnt für Anwender sind. Allerdings bieten die neuen Möglichkeiten für die Einstellungen über Gruppenrichtlinien einen echten Mehrwert. Vor allem die Steuerung der Startseite und des Desktops sowie anderer Einstellungen können Anwender dabei unterstützen, besser mit Windows 8.1 zu arbeiten. Durch ein wenig Konfigurationsarbeit können Anwender von der höheren Geschwindigkeit und Verbesserung der Bedienung profitieren, ohne durch die neue Oberfläche eine zu starke Beeinträchtigung zu erfahren. (mje)