Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
Richtlinien von Windows 2003 Workgroupserver zentral verwalten
Hallo ihr lieben Leut!
Situation
Obwohl die meisten Server in einer Domäne sind (damit Richtlinien zentral über die Active Directory eingestellt werden können) gibt es leider auch ein paar Workgroup-Server. Die Richtlinien der Workgroup-Server sind entweder auf dem Stand der Installation oder wurden später manuell angepasst.
Problem
Da ich da keinen Überblick habe, wer wo was verändert hat und sowieso möchte, dass die lokalen Änderungen regelmäßig durch aktuelle und vor allem richtige Richtlinien überschrieben werden, suche ich momentan nach einer Lösung für dieses Problem. Im Idealfall soll es ähnlich wie mit den Domänen-Servern funktionieren. Die Workgroup-Server in die Domäne ziehen ist keine Option.
Was ich mir bisher dazu angeschaut habe
Bisher habe ich viel in Büchern gestöbert, „gegooglt“ und Freunde gefragt… Dabei ist herausgekommen, das „Security Templates“ oder der „Security Configuration Wizard“ hilfreich sein könnte. Ich habe allerdings noch nicht ganz verstanden, wie das mein Problem lösen kann. (Vielleicht weiß dazu ja jemand mehr?)
Heul Heul
Leider hat also bisher noch nichts funktioniert. Das kann aber auch daran liegen, dass ich mich zum ersten Mal mit einem (Gruppen)Richtlinien-Problem auseinandersetze und in dem Bereich noch nicht soviel Erfahrung habe.
Bitte Bitte
Hat so was schon mal jemand von euch gemacht? Ich würde mich sehr über Erfahrungen, Tipps oder Ideen freuen, da ich momentan absolut nicht weiter komme.
wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen.
Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist.
Was spricht gegen die Aufnahme der Server in die Domäne?
Von Server zu Server sprechen andere Gründe gegen die Domänenintegration - mal ist es eine spezielle Anwendung (kaum zu glauben, aber so ist es...), mal der Wunsch, dass möglichst wenig Ports offen sind, mal was noch absurderes... wie gesagt: Es ist leider keine Option die Server einfach in die Domäne zu schalten - das wäre auch das was ich bevorzugen würde.
Die Anpassung von lokalen Richtlinien auf Windows-Servern ist mit viel Bastelei verbunden und im größeren Maßstab nicht mehr nachzuvollziehen.
Genau darüber möchte ich gerne mehr wissen. Klingt so, als ob du da schon mal was gemacht hast.
Das Werkzeug deiner Wahl heitßt auf jedem Workgroup-Server "Lokaler Gruppenrichtlinien-Editor".
gpedit kenne ich bereits. Ich möchte allerdings vermeiden, dass ich mich auf jeden Workgroup-Server schalten muss, um lokal dann Änderungen zu vollziehen. Das wäre sehr zeitintensiv, frustrierend und damit keine Lösung.
Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren.
Toll wäre es wenn:
- Die Aktualisierung nicht aufwändig ist,
- die Aktualisierung überprüfbar ist,
- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)
wenn die Server nicht in die Produktionsdomäne sollen, kannst du sie vielleichn einer Zweitdomäne zusammenfassen. Ohne Domäne wirst du jedenfalls keine zentrale Richtlinienverwaltung hinbekommen.
Ja. Aber nach wie vor: Domäne ist No-Go
Zwar könntest du mit Sicherheitsvorlagen oder Ex- und Importgebastel was hinfrickeln, aber das wäre weit entfernt von einer verwaltbaren Lösung. Und schließlich gibt es einiges in den Policies, was diesen einfachen Methoden nicht zugänglich ist.
Gebastel und gefrickel klingt für mich natürlich auch erstmal wie "oh man, viele Stunden Arbeit und nach einer kleinen Änderung am Netz oder sonstwo muss man sich wieder durch Code wühlen".
Wenn alle Workgroup-Server allerdings Zugang zu einer Datei im Netzwerk hätten und diese Datei eine "Sicherheitsvorlage" oder sowas ist, könnte man die in regelmäßigen Abständen auf jedem Server einlesen lassen, so dass sich die lokalen Richtlinien aktualisieren/überschreiben?
Schau dir mal das Tutorial in der iX an, das frommi und ich geschrieben haben:
.: www.kaczenski.de :. iX 01/2009: Tutorial Gruppenrichtlinien, Teil 1
.: www.kaczenski.de :. iX 2/2009: Tutorial Gruppenrichtlinien, Teil 2
.: www.kaczenski.de :. iX 3/2009: Tutorial Gruppenrichtlinien, Teil 3
Im ersten Teil geht es um Richtlinien ohne AD. Aber Spaß wird das nicht machen.
Danke für den Hinweis - auf den ersten Blick scheinen besonders Teil 1 und 3 für mein Problem interessant zu sein. Das schaue ich mir mal genauer an.
Von Server zu Server sprechen andere Gründe gegen die Domänenintegration
Ich suche vielmehr nach einer Idee/Methode/Tool, womit es möglich ist, die Richtlinien auf vielen Workgroup-Servern regelmäßig zu aktualisieren.
Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt.
- Die Aktualisierung nicht aufwändig ist,
- die Aktualisierung überprüfbar ist,
- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)
Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist. Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben.
Toll wäre es wenn:
- Die Aktualisierung nicht aufwändig ist,
- die Aktualisierung überprüfbar ist,
- die Quelle für die Aktualisierung zentral liegen kann (File-Server oder so)
Ich bin gespannt auf Ideen oder Vorschläge!
kannst die lokale GPO auf einem Server nach deinen Ansprüchen editieren
exportieren und auf den anderen servern wieder importieren
über gpedit.msc natürlich
aber wie alle anderen schon sagten, ist echt nicht lustig
und nun spinn ich mal rum:
peer taskplaner und script automatisch importieren ??? (geht das überhaubt )
Wozu? Wie du selbst schreibst sind scheinbar gravierend unterschiedliche Anforderungen an deine Workgroup Server (wobei mir persönlich kaum Gründe bekannt sind. Was ist das denn für eine Anwendung?), so dass dir eine zentrale Möglichkeit ja nicht paßt.
Da hast du natürlich recht. Gewisse Dinge, wie Kennwortrichtlinen erhoffe ich mir dadurch jedoch glatt zu kämmen.
Dir ist schon klar, dass dir bisher alle gesagt haben, dass das Gebastel wird. Gebastel hat es so an sich, dass es "aufwändig" ist, dass es selten "kontrollierbar" ist.
Und alle deine Anforderungen oben sind mit Domänenmitgliedschaft gegeben.
Ganz ehrlich? Laß es.
Hm... leider kann ich nichts handfestes dagegen halten. Im Grunde stimme ich ja zu.
Ich habe mich dazu entschlossen mich noch mal genauer damit zu befassen was gegen die Domänenintegration spricht. Als mir das Problem geschildert wurde, wurde diese Option jedoch immer außen vorgelassen. Gründe waren halt (wie beschrieben) die zusätzlich offenen Ports und die Probleme, die es bei gewissen Anwendungen gibt.
Ich bin trotzdem weiterhin für Alternativen zur Domänenintegration offen und für jeden Rat dankbar.
Richtlinien von Windows 2003 Workgroupserver zentral verwalten
