Mittwoch, 15. Februar 2012

The lies of GPOs! #6

#6

"In der GPMC gibt es keine Suchfunktion"

Kurz und knapp: Es gibt sie doch!
Leider versteckt sich diese Suche etwas:

Rechtsklick auf die Domäne > Suche


Danach erscheint dieser Dialog:




Was aber wenn ich eine bestimmte Einstellung suche?
 

Auch kein Problem. 

ADMX Vorlagen lassen sich durchsuchen. 
Rechtsklick > Filteroptionen




Anschließend kann beliebig gefiltert werden.



Leider muss man anmerken, dass keine dieser Methoden wirklich zeitgemäß ist. Was man vermisst ist eine "live-search", die Policies und Einstellungen sofort filtert ohne dass man in eine direkte Such- oder Filtermaske wechseln muss. Nunja, man kann nicht alles haben ...





Freitag, 3. Februar 2012

CSEs die ohne Richtlinienänderung Einstellungen erneut setzen

Wie im vergangenen Post bereits angekündigt, werden Richtlinien unter gewissen Umständen auch ohne Änderung der Versionsnummer der Group Policy erneut angewendet.

Das Verhalten der Client Side Extensions wird jedoch auch durch einen Registrykey beeinflusst. Dieser Key nennt sich "NoGPOListChanges" und ist zu finden unter:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\GUID\

Existiert dieser Key nicht oder er ist auf 0x1 gesetzt,
werden die Einstellungen dieser CSE auch ohne Versionsänderungen erneut angewendet.

Ich habe mir einmal die Mühe gemacht, eine Liste zu erstellen, mit dem Standardverhalten der folgenden CSEs:

Nameohne Änderung angewendet
Audit Policy Configuration Ja
Deployed Printer Connections Ja
Enterprise QoS Ja
Folder Redirection Ja
Group Policy Applications Ja
Group Policy Data Sources Ja
Group Policy Device Settings Ja
Group Policy Drive Maps Ja
Group Policy Environment Ja
Group Policy Files Ja
Group Policy Folder Options Ja
Group Policy Folders Ja
Group Policy Ini Files Ja
Group Policy Internet Settings Ja
Group Policy Local Users and Groups Ja
Group Policy Network Options Ja
Group Policy Network Shares Ja
Group Policy Power Options Ja
Group Policy Printers Ja
Group Policy Regional Options Ja
Group Policy Registry Ja
Group Policy Scheduled Tasks Ja
Group Policy Services Ja
Group Policy Shortcuts Ja
Group Policy Start Menu Settings Ja
IP Security Ja
Microsoft Offline Files Ja
Software Installation Ja
802.3 Group Policy Nein
CP Nein
Internet Explorer Branding Nein
Internet Explorer Machine Accelerators Nein
Internet Explorer User Accelerators Nein
Internet Explorer Zonemapping Nein
Microsoft Disk Quota Nein
QoS Packet Scheduler Nein
Registry Nein
Remote Desktop USB Redirection Nein
Scripts Nein
Security Nein
TCPIP Nein
Windows Search Group Policy Extension Nein
Wireless Group Policy Nein


Die vollständige Liste incl. GUIDs der CSEs findet ihr hier:

https://skydrive.live.com/redir.aspx?cid=62a6d19ffda7f555&resid=62A6D19FFDA7F555!112&parid=62A6D19FFDA7F555!110

Nun muss nur noch definiert werden, was man hier unter "angewendet" versteht. Einige CSEs wie z.B. "Software Installation", "Folder Redirection" können bekanntlich nur im Vordergrund ausgeführt werden.

Wenn man also von "die Policy wurde erneut angewandt" spricht, so ist das nicht ganz korrekt. Die Einstellungen der CSE "Software Installation" werden also beim Background-Refresh erneut gezogen, die eigentliche Anwendung der Policy kann jedoch nur im Vordergrund erfolgen, d.h. beim nächsten Startup oder Logon.