Generell können Sie mit Windows Server 2008 R2, Windows Small Business Server 2011, Windows Vista und Windows 7 verschiedene Aufgaben durchführen, welche die Geräteinstallation durch Benutzer beeinflussen.
Die Anwender haben dann das Recht, entsprechende Geräte auch ohne Administratorrechte zu installieren, beziehungsweise erhalten eine Meldung, wenn nicht unterstützte Geräte mit den Computern verbunden werden sollen:
• Sie können verhindern, dass Anwender Geräte installieren, und dabei genau festlegen, welche Geräte sie nicht installieren dürfen.
• Sie können konfigurieren, dass Anwender nur Geräte, also auch USB-Sticks, installieren, die auf einer Liste der genehmigten Geräte stehen.
• Umgekehrt können Sie Anwendern untersagen, Geräte zu installieren, die auf einer bestimmten Liste stehen. Alle anderen Geräte können in diesem Fall von den Anwendern installiert werden.
• Sie können den Schreib- und Lesezugriff auf USB-Sticks konfigurieren. Das gilt aber nicht nur für USB-Sticks, sondern auch für CD- und DVD-Brenner, Disketten oder externe Festplatten.
Geräte-Identifikations-String und Gerätesetupklasse
Windows untersucht bei der Anbindung eines neuen Gerätes zwei Informationen, die das angeschlossene Gerät übermittelt. Auf Basis dieser Informationen kann Windows unter anderem entscheiden, ob ein interner Windows-Treiber zum Einsatz kommt oder ob der Treiber des Drittherstellers verwendet werden soll. Auch zusätzliche Funktionen der Endgeräte lassen sich dadurch aktivieren.
Diese beiden Informationen zur Installation von Gerätetreibern sind die Geräte-Identifikations-String und die Gerätesetupklasse Ein Gerät verfügt normalerweise über mehrere Geräte-Identifikations-Strings, die der Hersteller festlegt. Dieser String ist auch in der *.inf-Datei des Treibers hinterlegt. Auf dieser Basis entscheidet Windows, welchen Treiber es installieren soll. Es gibt zwei Arten von Geräte-Identifikations-Strings:
• Hardware IDs: Diese Strings liefern eine detaillierte und spezifische Information über ein bestimmtes Gerät. Hier sind der genaue Name, das Modell und die Version des Gerätes als sogenannte Geräte-ID festgelegt. Teilweise liefert der Treiber nicht alle Informationen, zum Beispiel die Version, mit. In diesem Fall kann Windows selbst entscheiden, welche Version des Treibers installiert wird.
• Kompatible IDs: Diese IDs verwendet Windows, wenn es keinen passenden Treiber zum Gerät finden kann. Diese Informationen sind allerdings optional und sehr generisch. Der Treiber unterstützt dann nur Grundfunktionen des Geräts.
Geräteklassen
Windows weist Treiberpaketen einen bestimmten Rang zu. Je niedriger der Rang, umso besser passt der Treiber zum Gerät. Der beste Rang für einen Treiber ist 0. Je höher der Rang, umso schlechter passt der Treiber. In Windows Server 2008 R2, SBS 2011 und auch Windows Vista und Windows 7 können beide Informationen nicht nur zur Identifikation des Gerätetreibers verwendet werden, sondern auch zur Zuweisung von Richtlinien, über die Windows die Funktionen und Berechtigungen des Geräts verwaltet.
Die Gerätesetupklassen sind eigene Arten von Identifikations-Strings. Auch auf diese Strings verweist das Treiberpaket. Alle Geräte, die sich in einer gemeinsamen Klasse befinden, installiert Windows auf die gleiche Weise unabhängig von ihrer eindeutigen Hardware-ID.
Das heißt zum Beispiel: Alle DVD-Laufwerke installiert Windows auf exakt die gleiche Weise. Die Gerätesetupklasse ist durch einen Globally Unique Identifier (GUID) angegeben. Um die Hardware-ID oder die Gerätesetupklasse eines Gerätes zu ermitteln, verbinden Sie dieses am besten zunächst mit einem Windows-PC und lassen den Treiber installieren. Im Anschluss rufen Sie den Geräte-Manager auf. In den Eigenschaften des Gerätes wechseln Sie auf die Registerkarte Details. Über die Auswahl der Option Hardware-IDs im Dropdown-Menü Eigenschaften lässt sich die Hardware-ID eines Gerätes anzeigen. Diese Informationen können Sie später in der Richtlinie hinterlegen.
Über dieses Menü können Sie weitere Informationen über die Eigenschaften des Geräts anzeigen lassen, unter anderem auch die Geräteklasse. Die Werte lassen sich markieren und über die Zwischenablage bei Bedarf wieder in die Gruppenrichtlinien einfügen.
Geräteinstallation per Gruppenrichtlinien
Die Einstellungen für die Geräteinstallationen nehmen Sie über Gruppenrichtlinien vor. Die entsprechenden Einstellungen finden Sie über Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation. Aktivieren Sie an dieser Stelle die Richtlinie Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlauben, können Administratoren auf PCs mit aktivierter eingeschränkter Geräteinstallation über den Assistenten zum Hinzufügen von Hardware Treiber installieren. Das funktioniert auch dann, wenn Sie bestimmte Geräte von der Installation ausschließen.
Zusätzlich haben Sie an dieser Stelle weitere Möglichkeiten, die Sie per Richtlinie verteilen können:
• Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind - Aktivieren Sie diese Einstellung, können Anwender keine Geräte installieren, bis diese Geräte in der Einstellung Installation von Geräten mit diesen Geräte-IDs zulassen oder Installation von Geräten zulassen, die diesen Gerätesetupklassen entsprechen definiert sind.
• Wenn Sie die Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind nicht konfigurieren oder aktivieren, können Anwender alle Geräte installieren mit Ausnahme der Geräte, die in den Einstellungen Installation von Geräten mit diesen Geräte-IDs verhindern oder Installation von Geräten verhindern, die diesen Gerätesetupklassen entsprechen oder Installation von Wechselgeräten verhindern definiert sind.
• Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlauben - Bei dieser Einstellung können die Mitglieder der lokalen Administratorengruppe jede Art von Treiber installieren, unabhängig von den Gruppenrichtlinieneinstellungen. Dazu muss der Administrator allerdings den Assistenten zum Hinzufügen von neuer Hardware verwenden. Wenn diese Einstellung nicht gesetzt ist, dürfen auch die Administratoren die entsprechenden Geräte nicht installieren.
• Installation von Geräten mit diesen Geräte-IDs verhindern - Hier können Sie eine Liste festlegen, in der Sie alle Hardware-IDs und Kompatible-IDs der Geräte hinterlegen, deren Installation Sie verhindern wollen. Diese Richtlinie hat immer Vorrang vor allen anderen Richtlinien, in denen die Installation von Geräten erlaubt ist.
• Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen - Bei dieser Richtlinie wird für die Anwender die Installation kompletter Geräteklassen verhindert. Diese Einstellung hat Vorrang vor allen anderen Einstellungen und Richtlinien, welche die Installation von Geräten erlauben.
• Installation von Geräten mit diesen Geräte-IDs zulassen - Hier können Sie eine Liste aller Geräte auf Basis der Hardware-ID oder der Kompatible-ID hinterlegen, welche die Anwender installieren dürfen. Diese Richtlinie ist aber nur in Verbindung mit der Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind sinnvoll, da dadurch die Anwender davon abgehalten werden, andere Geräte als die hinterlegten zu installieren. Diese Richtlinie kann durch die Richtlinien Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen, Installation von Geräten mit diesen Geräte-IDs verhindern, Installation von Wechselgeräten verhindern überschrieben werden.
• Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen - Hier können Sie, analog zur Richtlinie mit den Geräte-IDs, festlegen, welche Geräteklassen die Anwender installieren dürfen.
Gruppenrichtlinien einsetzen
Um in den Richtlinien für die Zulassung oder Verhinderung der Installation von Geräten Hardware-IDs aufzunehmen, rufen Sie die Eigenschaften dieser Einstellung auf und aktivieren Sie diese.
Klicken Sie im Anschluss auf die Schaltfläche Anzeigen und dann auf die Schaltfläche Hinzufügen. Hier können Sie die Hardware-ID einfügen, die Sie zuvor in den Eigenschaften des Gerätes im Gerätemanager in die Zwischenablage kopiert haben.
Wird die Installation eines Gerätes untersagt, erhält ein Anwender entsprechende Fehlermeldungen, die darauf hinweist, dass die Installation auf Basis einer Richtlinie untersagt ist. In den Richtlinien können Sie auch einen benutzerdefinierten Text hinterlegen.
Konfiguration von Gruppenrichtlinien für den Zugriff auf Wechselmedien
Zusätzlich zu der Möglichkeit die Installation von Geräten zu steuern, können Sie unter Windows Server 2008 R2, SBS 2011 und Windows Vista und Windows 7 Gruppenrichtlinien einrichten, die den schreibenden und lesenden Zugriff auf Wechselmedien steuern. Die Richtlinie zur Steuerung von Wechselmedien können Sie sowohl unter der Computerkonfiguration als auch in der Benutzerkonfiguration durchführen. Sie finden die Einstellungen für den Zugriff auf Wechselmedien unter
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
Die Einstellungen dieser Richtlinie sind selbsterklärend. Wenn Sie eine Richtlinie aufrufen, finden Sie eine ausführliche Information über die Auswirkungen der Richtlinie. Nicht jedes Brennprogramm von Drittherstellern hält sich an die Einstellungen in der Richtlinie für den schreibenden Zugriff auf CDs oder DVDs. Wenn Sie sicherstellen wollen, dass keine CDs oder DVDs gebrannt werden können, sollten Sie die Installation von DVD- oder CD-Brennern über die entsprechende Richtlinie einstellen.
Neue Gruppenrichtlinie erstellen
Wollen Sie Geräteinstallationen verhindern, bietet es sich an, dass Sie eine neue Gruppenrichtlinie erstellen und der Domäne oder OU (Organisationseinheit) zuweisen, in der Sie die Geräteinstallation oder den Zugriff auf Wechselmedien steuern wollen. Um ein neues GPO zu erstellen, klicken Sie in der Gruppenrichtlinienverwaltung auf den Knoten Gruppenrichtlinienobjekte und wählen im Kontextmenü den Befehl Neu aus.
Geben Sie danach dem GPO einen passenden Namen, der wiedergibt, welche Einstellungen mit diesem GPO verteilt werden. Nach der Erstellung des Gruppenrichtlinienobjekts (GPO) ist dieses in der Domäne vorhanden. Allerdings gibt die GPO keine Einstellungen weiter, da das GPO noch nicht verknüpft ist und keinerlei Einstellungen enthält. Der nächste Schritt besteht daher darin, die Gruppenrichtlinie zu bearbeiten und die Einstellungen vorzunehmen, die Sie an die Arbeitsstationen verteilen wollen.
Hier können Sie die Einstellungen vornehmen, die wir oben ausführlich erläutert haben. Klicken Sie im Menü Gruppenrichtlinienobjekte mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie im Kontextmenü die Option Bearbeiten aus. Damit öffnet sich der Gruppenrichtlinienverwaltungs-Editor, mit dessen Hilfe Sie die Einstellungen innerhalb des GPOs vornehmen. Der Gruppenrichtlinienverwaltungs-Editor besteht aus zwei Hälften. Auf der linken Seite können Sie auswählen, für welchen Bereich Sie Einstellungen vornehmen wollen. Gruppenrichtlinieneinstellungen nehmen Sie über den Knoten Richtlinien vor.
• Die Einstellungen unter Computerkonfiguration wenden PCs beim Starten an.
• Die Einstellungen unter Benutzerkonfiguration wendet Windows an, wenn sich ein Benutzer am PC anmeldet.
Richtlinien anwenden
Wenn Sie sich durch die Knoten auf der linken Seite klicken, sehen Sie auf der rechten Seite die Einstellungen, die in diesem Bereich verfügbar sind. Öffnen Sie die Einstellungen einer Gruppenrichtlinie per Doppelklick, können Sie Konfigurationen vornehmen, die an die Benutzer bei der Benutzerkonfiguration oder die PCs bei der Computerkonfiguration weitergegeben werden.
Damit die Einstellungen in der Gruppenrichtlinie angewendet werden, müssen Sie diese mit einer OU oder der ganzen Domäne verknüpfen. Klicken Sie dazu in der Gruppenrichtlinienverwaltung mit der rechten Maustaste entweder auf die OU, mit der Sie dieses GPO verknüpfen wollen, oder auf die Domäne. Wählen Sie aus dem Kontextmenü die Option Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus. Die Benutzerkonten in einer SBS-Domäne befinden sich in der OU MyBusiness\Users\SBSUsers.
Es öffnet sich ein Fenster, in dem Ihnen alle Gruppenrichtlinien angezeigt werden, die in der Domäne bereits konfiguriert sind. Wählen Sie in dem Fenster das GPO aus und bestätigen Sie mit OK. Nach der erfolgreichen Auswahl wird die Verknüpfung des GPOs unterhalb der Domäne angezeigt. Sie können das GPO auch nur mit einzelnen OUs verknüpfen und so viele OUs verknüpfen, wie Sie wollen. Wenn Sie später eine Änderung an dem GPO vornehmen, wird diese Änderung automatisch an alle verknüpften OUs weitergegeben. In der Gruppenrichtlinienverwaltung erkennen Sie dank der übersichtlichen Baumstruktur unter jedem Container, welche Gruppenrichtlinien verknüpft sind. Ab diesem Moment ist das GPO aktiv. Als Nächstes können Sie testen, ob die Einstellungen auch übernommen wurden. (mje)