Archive

Category Archives for "Active Directory"

Systemsteuerung deaktivieren – Gruppenrichtlinie

In Unternehmen werden die Rechte von normen Benutzern oft stark eingeschränkt. Das ist auch gut so, da eigentlich nur die Programme benutzt werden sollen, die zum Arbeiten wichtig sind. Deshalb können Windows Komponenten deaktiviert oder konfiguriert werden. So kann man auch die Systemsteuerung deaktivieren per Gruppenrichtlinie / GPO.

qimono / Pixabay

 

Systemsteuerung deaktivieren per Gruppenrichtlinie / GPO

Um den Benutzer keine Möglichkeit zu geben an der Systemsteuerung Änderungen vorzunehmen, deaktivieren wir sie einfach per Richtlinie / GPO. Das ist eine Benutzer – Richtlinie. Wir erstellen also eine neue Gruppenrichtlinie unter dem Verzeichnis:

Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung

systemsteuerung deaktivieren gruppenrichtlinie gpo

Hier gibt es den Punkt “Zugriff auf Systemsteuerung und PC-Einstellungen nicht zulassen“. Dieser muss auf “aktiviert” konfiguriert werden. Nachdem die Gruppenrichtlinie / GPO auf eine Benutzer OU zugewiesen wurde, sollte sich die Systemsteuerung nicht mehr öffnen lassen, bzw. die PC Einstellungen nicht mehr öffnen lassen.

Die Systemsteuerung deaktivieren per Gruppenrichtlinie ist also sehr einfach 🙂

 

Siehe auch:

Taskmanager deaktivieren mit Gruppenrichtlinie / GPO

Zugriff auf Wechselmedien verhindern – Gruppenrichtlinie

Viele Unternehmen und Firmen legen großen Wert auf Sicherheit. Ein umstrittener Punkt sind Wechselmedien wie USB Sticks, SD Karten und Weitere. Um den Zugriff auf USB Sticks zu verhindern ist keine leichte Sache. Es gibt aber Möglichkeiten im Active Directory um den Zugriff auf Wechselmedien verhindern zu können. Das erledigt man mit einer Gruppenrichtlinie / GPO.

 

Zugriff auf Wechselmedien verhindern mit Gruppenrichtlinie / GPO

Um den Zugriff auf Wechselmedien zu verbieten, ist eine Computer Gruppenrichtlinie erforderlich. Dazu erstellen wir eine neue GPO und wechseln in folgende Struktur:

Unter Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

Zugriff auf Wechselmedien verhindern

Dort gibt es die Einstellung “Alle Wechselmedienklassen: Jeglichen Zugriff verweigern“.

Diese Computerrichtlinie muss aktiviert sein. Nach dem Zuweisen der Gruppenrichtlinie und einem Neustart sollte der Zugriff auf Wechselmedien verhindert werden.

Standarddrucker von Windows verwalten lassen

Seit Microsoft Windows 10 gibt es eine neue Funktion. Und zwar kann man den Standarddrucker von Windows verwalten lassen. Windows setzt immer den Drucker, der zuletzt in Verwendung war, als Standarddrucker. Ansich super, allerdings kann man das auch in den Einstellungen, per Gruppenrichtlinie / GPO oder in der Registry deaktivieren.

andreas160578 / Pixabay

 

Um Windows zu hindern, immer den Standarddrucker umzustellen oder den Standarddrucker zu ändern, gibt es drei Wege. Der Erste Weg ist für Privatanwender, die anderen beiden sind für Unternehmen und größere Netzwerke interessant.

 

Standarddrucker von Windows verwalten lassen – Einstellungen

Die Option, dass Windows den Drucker ändert, kann in den Einstellungen ganz einfach geändert werden. Dazu gehen wir wie folgt vor:

  1. Einstellungen öffnen (Start-Einstellungen, oder “Windowstaste + i”)
  2. In der Übersicht auf “Geräte, Bluetooth, Drucker und Maus”
  3. Hier auf “Drucker & Scanner”

In dieser Übersicht gibt es das Feld “Standarddrucker von Windows verwalten lassen“. Dieses müsst ihr deaktivieren, wenn ihr nicht wollt, dass Windows euren Drucker ändert. Wenn ihr allerdings diese Option als hilfreich und praktisch empfindet, dann aktivieren.

standarddrucker von windows verwalten lassen einstellungen

 

Standarddrucker von Windows verwalten lassen – Gruppenrichtline / GPO

Wer Windows 10 in Unternehmen eingeführt hat, kennt dieses Problem ebenfalls. Natürlich gibt es wie immer (für fast alles) eine Gruppenrichtlinie. Diese GPO ist eine Benutzer Richtlinie. Zu finden unter folgendem Pfad:

Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Drucker

Hier muss die Richtlinie “Windows-Verwaltung des Standarddruckers deaktivieren” konfiguriert werden.

Standarddrucker von Windows verwalten lassen gruppenrichtlinie

 

Standarddrucker von Windows verwalten lassen – Registry

Wem Gruppenrichtlinien / GPO nicht geheuer ist, kann die Einstellungen zum Ändern des Druckers durch Windows auch per Registry Eintrag steuern. Dazu gehen wir so vor:

  1. Registry öffnen (Suche nach “regedit”)
  2. Zu folgendem Pfad navigieren:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  3. Hier gibt es einen Eintrag “LegacyDefaultPrinterMode“, wenn nicht erstellen wir diesen

Durch Doppelklick auf diesen Eintrag können wir ihn bearbeiten.

Wenn dieser Wert auf „1“ gesetzt wird, so ist diese Einstellung deaktiviert und der Standarddrucker wird nicht von Windows verwaltet. Der Wert „0“ dagegen sagt, dass die automatische Verwaltung aktiv und eingeschaltet ist.

Standarddrucker von windows verwalten lassen registry

Auf Netzwerk warten – Gruppenrichtlinie / GPO

“Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten” – das ist eine sehr wichtige Gruppenrichtlinie. In größeren Umgebungen und Netzwerken wird diese GPO gerne verwendet. Sie besagt, dass Windows auf Netzwerk warten soll, bevor es die restlichen Richtlinien abarbeitet. Wenn diese Richtlinie nicht konfiguriert ist, kann es sein, dass bei den Netzlaufwerken ein rotes “X” zu sehen ist. Das passiert, weil er zum Zeitpunkt des Anbindens noch keine Netzwerkverbindung hergestellt hat.

mohamed_hassan / Pixabay

 

Auf Netzwerk warten – Gruppenrichtlinie / GPO

Natürlich macht es sinn, die Gruppenrichtlinie zu definieren. Erst wenn die Netzwerkverbindung korrekt hergestellt wurde, kann Microsoft Windows die Richtlinien korrekt abarbeiten. Die GPO die benötigt wird heißt:

Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten

Zu finden ist diese unter folgendem Pfad:

Computerkonfiguration\Administrative Vorlagen\System\Anmelden

auf netzwerk warten gruppenrichtlinie gpo

Nachdem die “Auf Netzwerk warten” – Gruppenrichtlinie definiert wurde, solltet ihr keine Probleme mehr mit Laufwerken oder der gleichen haben. Nach einem Neustart wird nun von Windows auf das Netzwerk gewartet. Somit können alle Gruppenrichtlinien korrekt abgearbeitet werden. 🙂

Allerdings kann es natürlich sein, dass die Benutzeranmeldung ein wenig länger dauert! 🙁

Taskmanager deaktivieren mit Gruppenrichtlinie / GPO

Unter Microsoft Windows gibt es einen Taskmanager. Dieser listet alle laufenden Programme, Prozesse und Dienste auf. Außerdem sieht man die Auslastung des Prozessors, Festplatten und anderen Komponenten. In speziellen Fällen möchte man den Benutzer daran hindern den Task Manager zu öffnen. Wie man den Taskmanager deaktivieren kann mit einer Gruppenrichtlinie / GPO im Active Directory, lest ihr in unserem Beitrag.

3dman_eu / Pixabay

 

Taskmanager deaktivieren mit Gruppenrichtlinie / GPO

Um den Task Manager per Richtlinie zu sperren, sind nur wenige Einstellungen im Active Directory (AD) notwendig.

Schritt 1 - Gruppenrichtlinie / GPO

Zuerst erstellen wir eine neue Benutzer – Richtlinie:

User Configuration\Administrative Templates\System\Ctrl+Alt+Del Options

Hier gibt es den Punkt “Remove Task Manager“. Diese Richtlinie muss auf “enabled“, also auf aktiviert gestellt werden.

taskmanager deaktivieren gruppenrichtlinie

Schritt 2 - Für Administratoren erlauben

Natürlich ist es blöd, wenn die angemeldeten Administratoren den Task Manager auch nicht öffnen können. Abhilfe schafft diese Einstellung.

Im Reiter “Delegation” der Richtlinie gibt es den Button “Erweitert“. Hier wählt man einfach die Domänen Admin Gruppe und Stellen die Richtlinie auf “deny“. Somit erhalten die Domänen Administratoren diese Richtlinie nicht. 🙂

taskmanager deaktivieren administratoren

 

Taskmanager deaktivieren in der Registry

Deaktivieren mit Registry Key

Diese Einstellung lässt isch natürlich auch in der Registry erledigen. Um den Taskmanager sperren zu können, navigieren wir zu folgendem Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Hier gibt es den Wert “DisableTaskMgr“. Mit dem Wert “1” wird er deaktiviert, mit “0” wieder aktiviert.

 

Nach einem Neustart des Computers sollte der Task Manager deaktiviert sein. Beim Öffnen erscheint nun folgende Meldung:

taskmanager deaktiviert

1 2 3 14