GPOs

Airport Night Run

??? Wie geht gpresult aus User-Sicht?
!!! PowerShell starten: gpresult /h c:\temp\userresult.html /scope user !

??? Wie geht ein gpresult aus Computer-Sicht?
!!! Dafür benötigt man aber eine PowerShell mit Admin-Rechte: gpresult /h c:\temp\computerresult.html /scope computer !
Tipp: Immer Delegierungen einrichten: 6x Zulassen 0x Verweigern

 

??? Wie ändere ich die Kennwortrichtlinien und Kontosperrungsrichtlinien?

!!! Default Domain Policy / Pfad dahin: Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien navigieren!

??? Welche Richtlinie zieht der Client überhaupt?

!!! PowerShell: gpresult /h C:\Users\Public\richtlinien.html!

??? Wie kann ich per GPO Windows-Dienste aktivieren und deaktivieren?

!!! Computerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Dienste!

!!! Alternativ: Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Systemdienste!

??? Wie exportiere ich ein bestehendes (gutes) Startmenü per PowerShell?

!!!PowerShell: Export-StartLayout –path!

??? Wie ändere ich ihn per GPO den Bildschirmhintergrund?

!!!Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Desktop / Desktop / Desktophintergrund / Pfad eingeben.!

??? Wie richte ich Umgebungsvariablen ein?

!!! Computerkonfiguration / Einstellungen / Windows Einstellungen / Umgebung!

??? Wie erstelle ich ein benutzerdefiniertes Startmenü per XML-Datei?

!!!Computerkonfiguration / Einstellungen / Windows-Einstellungen / Umgebung!

!!! Alternativ: Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Startmenü und Taskleiste / Startlayout / Startlayoutdatei: %xyz_Startlayout_ab%

??? Wie ändere ich den Lockscreen?

!!! Computerkonfiguration / Richtlinien / Administrative Vorlagen / Systemsteuerung / Anpassung / Ein bestimmtes Standardbild für den Sperr- und Anmeldebildschirm erzwingen. Pfad eingeben / Haken rein bei: Unterhaltung, Tipps, Tricks und mehr auf dem Sperrbildschirm deaktivieren!

???Wie deaktiviere ich PowerShell?

!!! Per Applocker-Regel: GPO: Computerkonfiguration / Richtlinien / Windows Einstellungen / Sicherheitseinstellungen / Anwendungssteuerungsrichtlinien / AppLocker / Ausführbare Regeln / Standardregel erstellen / Neue Regel erstellen / Aktion: Verweigern / Jeder / Pfad / „%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\powershell.exe“ / Weiter / Weiter!

??? Wie funktioniert der Policy Analyzer für GPOs?

  1. Extrahiere PolicyAnalyzer.zip
    1. Das ist Bestandteil vom Microsoft Security Compliance Toolkit
  2. Starte Gruppenrichtlinienverwaltung
  3. Gehe in Gruppenrichtlinienobjekte und wähle die erste GPO aus
  4. Gehe auf „Sichern“ und erzeuge eine Textdatei im jeweiligen Ordner mit dem GPO-Namen
  5. Wiederhole die o. g. Schritte und wähle die zweite GPO aus
  6. Schneide die zwei Ordner über die Zwischenablage aus
  7. Starte PolicyAnalyzer.exe
  8. „Add“ EINMAL „GPO“
  9. Erzeuge EINE PolicyRules-Datei um diese Datei zu „Import…“ (importieren)
  10. „Add“ erneut den ZWEITEN Ordner
  11. Erzeuge erneut eine PolicyRules-Datei um auch diese zu importieren
  12. Jetzt drücke auf „View / Compare“
  13. Gehe im Policy Viewer auf „Export“ und erzeuge eine Excel-Datei
    1. Das dauert selbst bei wenigen GPOs Minimum eine Minute
  14. Speichere die Excel-Datei
  15. Fertig