GPO - Empfohlene Gruppenrichtlinien Server 2008 R2

[ayur]

Hallo!

Ich habe die Gruppenrichlinien auf einem Server 2008 R2 wie folgt konfiguriert und allen Benutzer, ausgenommen dem Admin, zugewiesen:

Code:

[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]

-    Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus

    -    Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden

    -    Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

    -    Registerkarte "Hardware" ausbelnden

    -    Schaltfläche "Suchen" aus Windows Explorer entfernen

    -    Standardkontextmenü des Windows Explorers entfernen

    -    Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

 
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]

    -    Ausführen und Beenden von einem Tasks verhindern

    -    Erstellen von neuen Tasks nicht zulassen


[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]

    -    "Netzwerkverbindungen" aus dem Startmenü entfernen

    -    Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern

    -    Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern

    -    Menü "Suchen" aus dem Startmenü entfernen

    -    Menüeintrag "Hilfe" aus dem Startmenü entfernen

    -    Menüeintrag "Ausführen" aus dem Startmenü entfernen

    -    Option "Abmelden" dem Startmenü hinzufügen

    -    Programme im Menü "Einstellungen" entfernen

    -    Standardprogrammgruppen aus dem Startmenü entfernen

    -    Verknüpfung und Zugriff auf Windows-Update entfernen


[Benutzerkonfiguration\Administrative Vorlagen\Desktop]

    -    Desktopsymbol "Netzwerkumgebung" ausblenden

    -    Pfadänderung für den Ordner "Meine Dateien" nicht zulassen

 
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]

    -    Zugriff auf Systemsteuerung nicht zulassen
 

[Benutzerkonfiguration\Administrative Vorlagen\System]

    -    Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)

    -    Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
 

[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]

    -    Sperren des Computers entfernen

    -    Task-Manager entfernen

Als Grundlage habe ich einige der empfohlenen Gruppenrichtlinien für einen Terminalserver verwendet (Gruppenrichtlinien - Übersicht, FAQ und Tutorials).

Es funktioniert alles, doch:

1) Funktioniert das Windows Update noch bei diesen Einstellungen?

2) Kann ich als Admin noch Software installieren, wenn der Windows Installer gesperrt ist bzw. sollte ich diesen vorher wieder aktivieren?

3) Wie bekomme ich Programme ins Startmenü? Derzeit sind nur noch der Autostart-Ordner, Zubehör und 2 weitere Ordner im Startmenü?

4) Microsoft empfiehlt zu Absicherung eines TS sehr viele GPO Einstellungen vorzunehmen, weit mehr als die o.g. von mir.
Ist es empfehlenswert ristriktiv vorzugehen bzw. die von mir vorgenommenen GPOs zu verwenden?

Weiter Infos:

- Server 2008 R2 Datenserver
- 15 Clients, meist XP Prof. und Win 7 Prof.
- derzeit keine Remote-Nutzer

Danke und Gruß

Ayur

[NorbertFe]

Sowas testet man, bevor man es für alle anschaltet. Dann könntest du dir deine fragen auch selbst beantworten.

Bye
Norbert

[ara]

hast du dir überhaupt mal angeschaut was du da eigentlich konfiguriert hast?

z.B. macht das Entfernen des "Herunterfahren" Buttons keinen Sinn wenn die User nicht an einem TS sind sondern am eigenen Rechner.
Genauso unsinnig finde ich z.B.:
- Sperren entfernen
- Taskmanager entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

Zu deinen Fragen:

1) keiner deiner Einstellungen betrifft das Updateverhalten, also gilt das was bei der Installation ausgewählt wurde. Ob das passt weißt nur du

2) wie kommst du darauf dass du den Windows Installer gesperrt hast?

3) könnte der Punkt "Standardprogrammgruppen aus dem Startmenü entfernen" sein, näheres sollte dir die Hilfe dazu sagen

4) welche Einstellungen du verwenden solltest hängt hauptsächlich von euren Anforderungen ab

[ayur]

Vielen Dank für Eure Infos!

Derzeit ist es noch im Testmodus, da bis dato alle Benutzer unter einer Kennung arbeiten und dieser nicht im AD Ordner liegt, auf welche die Gruppenrichtlinien greifen.

Den Button zum Herunterfahren und die Möglichkeit zum Sperren habe ich nicht deaktiviert.

Ich suche Empfehlungen für Richlinien, welche eher allgemeiner Natur sind.

D.h. was sollte man auf jeden Fall per GPO einrichten.

Meine bisherigen Infos sind zwiespältig. Einige sagen, dass man möglichst restriktiv vorgehen sollte, wiederum andere sagen, dass es übertrieben ist.

[59cobalt]

Wenn du die Frustration deiner User maximieren willst: sei restriktiv.

[NilsK]

Moin,

falscher Ansatz. Am Anfang muss die Analyse stehen, was du erreichen willst. (Ja, das ist Arbeit.) Erst danach gehst du an die Umsetzung.

Gruß, Nils