Microsoft hat die Veröffentlichung des Service Pack 3 für Windows XP buchstäblich in letzter Minute verschoben. Schuld ist eine noch nicht beseitigte Inkompatibilität zu einem Produkt, das aus dem eigenen Haus stammt: Microsoft Dynamics RMS.

Welche Inkompatibilitäten das Service Pack noch mit sich bringt, wird sich aber erst beim Einsatz in der “freien Wildbahn” vollständig zeigen.

Sicherlich werden Sie das Service Pack daher in Ihrem Unternehmen erst einsetzen, wenn es auch in der Praxis erprobt ist und Sie es ausführlich in Ihrer Testumgebung auf die Kompatibilität mit den von Ihnen genutzten Programmen getestet haben.

Damit auch kleine Unternehmen, die keine zentrale Updateverwaltung einsetzen, wie z.B. WSUS (Windows Server Update Services),  die Installation des Servicepacks heraus zögern können, stellt Microsoft das Service Pack Blocker Tool bereit.

Mit diesem Tool verhindern Sie übrigens nicht nur die Installation des SP3 unter XP. Es wird ein allgemeiner Registrierungsschlüssel (HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowSP) aktiviert, der die Installation von Service Packs solange verhindert, bis er wieder deaktiviert wird (gelöscht oder Wert=0).

Nach dem Entpacken der heruntergeladenen Datei haben Sie die Wahl zwischen drei Vorgehensweisen:

1. Sie verwenden lokal auf jedem Computer die SPBlockingTool.exe mit dem Schalter /B (mit /U heben Sie die Sperre später wieder auf).
2. Mit der Datei SPreg.bat führen Sie das Gleiche remote für alle Maschinen durch.
3. Sie nutzen die administrative Vorlage NoSPupdate.adm.

In Windows-Netzwerken sind die Gruppenrichtlinien selbstverständlich die beste Wahl.

Sie importieren die Vorlage in die administrativen Vorlagen eines GPO (Gruppenrichtlinienobjekts), indem Sie die Datei NoSPupdate.adm in den Ordner “inf” in dem Windows-Verzeichnis Ihres Domänencontrollers kopieren und sie dann im GPO-Editor über einen Rechtsklick auf  “Administrative Vorlagen” und die Auswahl von “Vorlagen hinzufügen/entfernen” -> “Hinzufügen…” einlesen.

Die neue Richtlinie konfigurieren Sie nun unter “Computerkonfiguration” -> “Windows Components” -> “Windows Updates” -> “Do not allow delivery of the service Pack through Windows Update or Automatic Updates”.

Dass die Gruppenrichtlinie unter dem englischsprachigen Pfad angelegt wird, stört ihre Funktion übrigens in keinster Weise.

Selbstverständlich setzen Sie in Ihrem Windows-Netzwerk Gruppenrichtlinien für unzählige Einstellungen an Clients und Servern ein, denn die zentrale Konfiguration im Netzwerk ist schließlich eine der großen Stärken von Microsofts Betriebssystemen.

Problematisch ist nur das Finden derjenigen Richtlinie, die Ihre gewünschten Einstellungen vornimmt. Besonders wenn es sich nicht um eine Standardanforderung handelt, kann die Suche nach den passenden Konfigurationen hier schon mal länger dauern.

Wenn Sie Windows Vista oder den Windows Server 2008 mittlerweile in Ihrem Unternehmen einsetzen, wollen Sie natürlich auch direkt von den neuen Gruppenrichtlinien Gebrauch machen. Microsoft bietet Ihnen hierfür eine Excel-Datei, die alle Gruppenrichtlinien für Windows Vista und Windows Server 2008 inklusive Beschreibung und wichtigen Informationen enthält. So ist beispielsweise für die administrativen Vorlagen aufgeführt, welche Registrierungsschlüssel verwendet werden.

Hierdurch haben Sie eine gute Übersicht der vorhandenen Gruppenrichtlinien für Windows Server 2008 und Windows Vista, die Sie über Filter und die Suche schnell zu einer Lösung für Ihre Anforderungen bringt

Sie können auf einem Windows Server 2003 im Benutzerprofil eine Beschränkung für die Zeiten hinterlegt werden, an denen sich der Benutzer am System anmelden kann.

Hiervon sind allerdings nur neue Anmeldungen betroffen. Ein Benutzer, der sich innerhalb des erlaubten Zeitraums an der Domäne angemeldet hat, kann beliebig lange am System arbeiten, ohne dass seine Anmeldung nach Ablauf der ausgewählten Zeitspanne automatisch beendet wird.

Damit die Benutzer außerhalb der Zeitspanne automatisch abgemeldet werden, müssen Sie auf Domänenebene unter der Gruppenrichtlinie „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen” -> „Lokale Richtlinien” -> „Sicherheitsoptionen” die Richtlinie „Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen” aktivieren.

In Zukunft werden Ihre Benutzer somit nach Ablaf des erlaubten Zeitfensters automatisch abgemeldet. So haben Sie eine direkte Kontrolle darüber wann die einzelnen Mitarbeiter Zugriff auf Ihre Systeme haben.

Ein mysteriöses Problem beschäftigte einen unserer Leser in der letzten Woche. Er hat als Administrator eine vorhandene Windows-Domäne übernommen und ein Problem bei der Einrichtung von lokalen Administratoren auf den Clients: Nach einem Neustart waren die hinzugefügten Benutzer wieder aus der Gruppe der lokalen Administratoren verschwunden.

Für die Rechtevergabe gibt es in Windows-Domänen eine nützliche Hilfe: Die Gruppenrichtlinie „Eingeschränkte Gruppen” unter „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen”. Hiermit lassen sich auf den Domänen-Computern Mitglieder zu den lokalen Benutzergruppen hinzufügen. Wird ein Domänen-Benutzerkonto nicht über diese Richtlinie gezielt in eine lokale Gruppe aufgenommen, ist sie automatisch nur Mitglied der Gruppe „Benutzer”.

Der Haken an der Sache folgt auf dem Fuße: Die Benutzerkonten, die in der Gruppenrichtlinie definiert werden, ergänzen die Mitglieder der lokalen Gruppen der Computer nicht, sie ersetzen sie. Hier fand sich auch die Ursache für das Problem unseres Lesers: Die lokalen Administratoren waren über die eingeschränkten Gruppen definiert. Alle lokal hinzugefügten Mitglieder der Gruppe wurden hierdurch wieder entfernt, sobald die Gruppenrichtlinie angewendet wurde (z.B. durch einen Neustart oder in den Standardeinstellungen nach ca. 90 Minuten).

Bei der Benutzung dieser Richtlinie sollte man übrigens immer darauf achten, seinen Domänenadministratoren nicht die lokalen Administrationsrechte auf den Clients zu entziehen

Servergespeicherte Profile können den Benutzern die Arbeit enorm erleichtern. Allerdings sollten nicht alle Daten einfach in dem servergespeicherten Profil abgelegt werden, da das Datenaufkommen sonst zu groß wäre. In der Standardkonfiguration sind deshalb bereits die Ordner „Verlauf”, „Lokale Einstellungen”, „Temp” und „Temporäre Internetdateien” des Benutzerprofils von der serverseitigen Speicherung ausgeschlossen.

Ein Leser fragte mich nun, ob man selber Einfluss darauf nehmen kann, welche Ordner aus den serverseitigen Profilen ausgeschlossen sind.

In Windows-Netzwerken führt der komfortabelste Weg über die Gruppenrichtlinien. Unter „Benutzerkonfiguration” -> „Administrative Vorlagen” -> „System” -> „Benutzerprofile” -> „Verzeichnisse aus servergespeichertem Profil ausschließen” müssen einfach die entsprechenden Ordner eingetragen werden.

Für servergespeicherte Profile sollte ruhig ein eigenes GPO (Gruppenrichtlinienobjekt) angelegt und mit den entsprechenden OUs (Organisationseinheiten) verknüpft werden, in denen sich die Benutzer befinden, die servergespeicherte Profile nutzen sollen.

Die integrierte Brennfunktion in Windows XP kann praktisch sein. In Unternehmen ist sie allerdings oft unerwünscht und so wollte ein Leser sie heute gerne deaktivieren. Am liebsten so, dass die Funktion in seiner gesamten Domäne deaktiviert ist.

In den Gruppenrichtlinien ist hierfür die Richtlinie „CD-Brennfunktion entfernen” unter „Benutzerkonfiguration” -> „Administrative Vorlagen” -> „Windows-Komponenten” -> „Windows Explorer” bereits vorhanden. Sie muss nur noch in einem Gruppenrichtlinien-Objekt aktiviert werden, das für die gesamte Domäne gilt.

Auf einem Testserver in seiner Domäne wollte ein Leser den Eingabedialog beim Herunterfahren und Neustarten des Servers deaktivieren. Seinen Testserver startet er oft neu und möchte nicht jedes Mal einen Grund hierfür angeben müssen.

In einer Domänenumgebung regelt man diese Einstellung über die Gruppenrichtlinien.

Unter „Computerkonfiguration” -> „Administrative Vorlagen” -> „System” -> „Ereignisprotokollierung beim Herunterfahren anzeigen” kann die Option deaktiviert werden.

Auf einem Produktivsystem sollte man die Option zur Dokumentation von Änderungen und Rechtfertigung von Ausfallzeiten auf jeden Fall
aktiviert lassen.
Es könnte einem mal den Hals retten, wenn man seinem Chef auch noch nach 2 Monaten einen guten Grund nennen kann