So verwenden Sie den lokalen Gruppenrichtlinien-Editor zur Feinabstimmung Ihres Computers

In diesem Artikel erfahren Sie, wie Sie mit dem Editor für lokale Gruppenrichtlinien Änderungen an Ihrem Computer vornehmen.

Hinweis: Der Gruppenrichtlinien-Editor ist nur in der Pro-Version von Windows 10 verfügbar. Home- oder Home Premium-Benutzer haben keinen Zugriff darauf.

• So installieren Sie den Gruppenrichtlinien-Editor (GPEdit.Msc) unter Windows 10 Home Edition

Gruppenrichtlinien sind ein leistungsstarkes Tool zum Einrichten von Unternehmensnetzwerken, zum Sperren von Computern, damit Benutzer keine Änderungen vornehmen können, zum Verhindern der Ausführung nicht genehmigter Software und für viele andere Zwecke.

Für Heimcomputer sind Anwendungen wie die Begrenzung der Passwortlänge und das Sperren des Computers, um nur genehmigte ausführbare Dateien auszuführen, nicht sehr verfügbar. Dieses Tool verfügt jedoch über viele andere Dinge, die Sie konfigurieren können, z. B. das Deaktivieren von Windows-Funktionen, die Sie nicht mögen, das Blockieren bestimmter Anwendungen oder das Erstellen von Skripts, die ausgeführt werden, wenn Sie sich abmelden oder anmelden.

• 8 „Optimierungen“ der Windows-Gruppenrichtlinie, die jeder Administrator kennen sollte
• 4 Tipps zum Öffnen des Editors für lokale Gruppenrichtlinien unter Windows 8/8.1
• 10 wichtige Gruppenrichtlinieneinstellungen unter Windows, die sofort vorgenommen werden müssen

Benutzeroberfläche des lokalen Gruppenrichtlinien-Editors

Die Benutzeroberfläche des Editors für lokale Gruppenrichtlinien ähnelt der anderer Verwaltungstools. Die Baumansicht auf der linken Seite ermöglicht Benutzern die Suche nach Einstellungen anhand einer hierarchischen Ordnerstruktur. Es verfügt über eine Liste mit Einstellungen und einen Vorschaubereich, der weitere Informationen zu bestimmten Einstellungen bereitstellt.

Sie müssen sich um zwei Verzeichnisse der obersten Ebene kümmern:

• Computerkonfiguration : Enthält Computereinstellungen für alle angemeldeten Benutzer.
• Benutzerkonfiguration : Enthält Einstellungen, die für das Benutzerkonto gelten.

In jedem dieser Ordner gibt es mehrere andere Ordner, die eine Reihe verfügbarer Einstellungen bereitstellen:

• Softwareeinstellungen : Enthält softwarebezogene Konfigurationen und ist auf Windows-Clients standardmäßig leer.
• Windows-Einstellungen: Enthält Sicherheitseinstellungen und Skripte für die Anmeldung/Abmeldung sowie das Starten/Herunterfahren.
• Administrative Vorlagen : Dieser Ordner enthält registrierungsbasierte Konfigurationen zum schnellen Anpassen von Computern oder Benutzerkonten.

Passen Sie Sicherheitsregeln an

Wenn Sie auf „Zugriff auf die Eingabeaufforderung verhindern“ doppelklicken , erscheint ein Fenster wie unten gezeigt. Tatsächlich sehen die meisten Einstellungen in administrativen Vorlagen so aus.

Mit dieser speziellen Einstellung können Sie Benutzern den Zugriff auf die Eingabeaufforderung verweigern . Sie können im Dialogfeld auch Einstellungen konfigurieren, um Batchdateien zu blockieren .

Wenn Sie die Option „Nur bestimmte Windows-Anwendungen ausführen“ im selben Ordner wie die obige Option aktivieren, können Sie die Ausführung bestimmter Windows-Anwendungen auf dem System zulassen.

Wenn Sie in diesem Fall eine Anwendung ausführen, die nicht in der Liste aufgeführt ist, erhalten Sie eine Fehlermeldung wie unten dargestellt.

Hier sollten Sie die Regeln sorgfältig anpassen, sonst wird Ihr Computer für die Nutzung gesperrt.

Optimieren Sie die UAC-Einstellungen aus Sicherheitsgründen

Im Ordner Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen finden Sie eine Reihe interessanter Einstellungen zur Computersicherheit .

Die erste Option, die wir uns in diesem Ordner ansehen, ist Benutzerkontensteuerung: Verhalten der Erhöhungsaufforderung für Administratoren . Wenn Sie im angezeigten Dialogfeld „ Anmeldeinformationen auf dem sicheren Desktop anfordern“ auswählen , müssen Sie oder ein anderer Benutzer ein Kennwort eingeben, wenn Sie etwas im Administratormodus ausführen.

Mit dieser Option verhält sich Windows eher wie Linux oder Mac und erfordert bei jeder Änderung ein Kennwort.

Einige andere nützliche Optionen:

• Benutzerkontensteuerung: Nur signierte und validierte ausführbare Dateien erhöhen: Diese Option verhindert, dass Anwendungen, die nicht digital signiert sind, als Administrator ausgeführt werden.
• Wiederherstellungskonsole, automatische Administratoranmeldung zulassen : Wenn Sie die Wiederherstellungskonsole zum Ausführen von Systemaufgaben verwenden müssen, müssen Sie ein Administratorkennwort angeben. Wenn Sie Ihr Passwort vergessen, können Sie mit dieser Option Ihr Passwort einfacher zurücksetzen. Da Sie Ihr Windows-Passwort jedoch problemlos entfernen können, ist diese Option tatsächlich weniger sicher.

Weitere Informationen: Anweisungen zum Anmelden an Ihrem Computer, wenn Sie Ihr Passwort vergessen haben

Es ist zu beachten, dass viele der in der Liste aufgeführten Richtlinien nicht für alle Windows-Versionen gelten. Beispielsweise ist die Einstellung „Symbol für eigene Dateien entfernen“ nur unter Windows XP und 2000 verfügbar. Andere Richtlinien wie „ Mindestens Windows XP“ oder ähnliches funktionieren nicht auf allen Versionen.

Es gibt viele Einstellungen im Gruppenrichtlinien-Editor. Sie können sich die Zeit nehmen, sie zu erlernen. Mit den meisten Einstellungen hier können Sie Windows-Funktionen deaktivieren, die Ihnen nicht gefallen. Nur sehr wenige bieten Funktionen, die standardmäßig nicht verfügbar sind.

Richten Sie Skripts ein, die beim Anmelden, Abmelden, Starten oder Herunterfahren ausgeführt werden

Wenn Sie ein Abmelde- und Anmeldeskript einrichten möchten, das bei jedem Start Ihres Computers ausgeführt wird, können Sie dies nur im Gruppenrichtlinien-Editor tun.

Dies ist sehr nützlich, wenn Sie das System bereinigen oder jedes Mal, wenn Sie Ihren Computer herunterfahren, eine schnelle Sicherung bestimmter Dateien durchführen. Sie können Batchdateien oder sogar PowerShell-Skripte verwenden. Zu beachten ist, dass diese Skripte „unauffällig“ ausgeführt werden müssen, da sonst der Abmeldevorgang blockiert wird.

Es gibt zwei Arten von Skripten, die Sie verwenden können:

• Start-/Herunterfahrskripts : Sie finden diese Skripts unter Computerkonfiguration > Windows-Einstellungen > Skripts und werden unter dem lokalen Systemkonto ausgeführt, sodass sie Systemdateien manipulieren können, aber nicht als Benutzerkonto ausgeführt werden.
• Anmelde-/Abmeldeskripte : Dieses Skript befindet sich unter Konfiguration > Windows-Einstellungen > Skripte und wird unter dem Benutzerkonto ausgeführt.

Beachten Sie, dass Sie mit dem Abmelde- und Anmeldeskript keine Dienstprogramme ausführen können, die Administratorzugriff erfordern, es sei denn, Sie deaktivieren UAC vollständig .

Beispielsweise erstellen wir ein Abmeldeskript, indem wir zu Benutzerkonfiguration > Windows-Einstellungen > Skripts gehen und auf Abmelden doppelklicken .

Im Fenster „Abmeldeeigenschaften“ können Sie Abmeldeskripts zur Ausführung hinzufügen.

Darüber hinaus können Sie auch PowerShell-Skripte konfigurieren.

Beachten Sie, dass Sie diese Skripte in einem bestimmten Ordner aufbewahren müssen, damit sie ordnungsgemäß funktionieren.

Platzieren Sie das Abmelde- und Anmeldeskript im folgenden Verzeichnis:

• C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

Und belassen Sie das Start- und Shutdown-Skript im Verzeichnis:

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

Sobald Sie das Abmeldeskript konfiguriert haben, können Sie es testen.

Beachten Sie: Wenn das Skript die Eingabe von Benutzerdaten erfordert, bleibt Windows während des Herunterfahrens oder Abmeldevorgangs 10 Minuten lang hängen, bevor das Skript deaktiviert wird und Windows neu gestartet werden kann. Daher müssen Sie diesen Punkt beim Erstellen des Skripts berücksichtigen.

Im Geschäftsleben ist es eines der mächtigsten und wichtigsten Werkzeuge. Da dieser Artikel jedoch nur dazu gedacht ist, die grundlegende Verwendung von Gruppenrichtlinien für nicht erfahrene Benutzer vorzustellen, wird er nicht näher darauf eingehen.