Gruppenrichtlinien - Ist das so richtig?

[Cryer 17]

Ich mache gerade die Gruppenrichtlinien neu und erweitere die gleichzeitig. Momentan habe ich die noch nicht aktiviert, weil mich erstmal interessieren würde, ob ich das so richtig gemacht habe oder ob das Einstellungen dabei sind, die später nicht funktionieren werden, weil ich sie eigentlich unter den Benutzereinstellungen machen müsste oder machen sollte oder weil ich dinge drin habe, die schlicht nicht gut sind oder zusätzliche Einstellungen benötigen, damit es sinnvoll klappt. Wäre nett, wenn ihr da mal drüber guckt. Vielleicht ist auch für den ein oder anderen was dabei

 

Zitat

COMPUTER - Standard
Computerkonfiguration -> Richtlinien -> Google -> Google Chrome
- Anonymisierte URL-Datenerfassung aktivieren -> Deaktiviert
- Berichte mit Nutzungs- und Absturzdaten erstellen -> Deaktiviert
- Einstellungen für Werbung für Websites mit aufdringlichen Werbeanzeigen -> Aktiviert -> Werbung auf Websites mit aufdringlichen Werbeanzeigen nicht zulassen
- Empfehlungen zu Medien aktivieren -> Deaktiviert
- Festlegen, wie Daten vom Chrome Cleanup Tool an Google gesendet werden -> Deaktiviert
- Filterung von Inhalten nur für Erwachsene durch "SafeSites" konfigurieren -> Aktiviert
- Fortfahren von der Safe Browsing-Hinweisseite deaktivieren -> Aktiviert
- Lesezeichenleiste aktivieren -> Aktiviert
- Liste von Dateitypen, die nach dem Download automatisch geöffnet werden sollen -> Aktiviert -> "ica" (Test)
- Zwingende Maßnahmen bei irreführenden Inhalten -> Aktiviert

Computerkonfiguration -> Richtlinien -> Google -> Google Chrome -> Passwortmanager
- Aktiviert das Speichern von Passwörtern im Passwortmanager -> Deaktiviert

 

Computerkonfiguration -> Richtlinien -> Google -> Google Chrome -> Start, Startseite und Seite "Neuer Tab"
- Beim Start zu öffnende URLs -> Aktiviert -> "https://***"
- Startseiten-URL konfigurieren -> Aktiviert -> "https://***"

 

Computerkonfiguration -> Richtlinien -> Mozilla -> Firefox
- Firefox Bereinigung deaktivieren -> Aktiviert
- Firefox Home anpassen -> Aktiviert -> Nichts ausgewählt
- Firefox Studien deaktivieren -> Aktiviert
- Firefox Konto deaktivieren -> Aktiviert
- Firefox-Standardbrowser-Überprüfung deaktivieren -> Aktiviert
- Keine Standardlesezeichen -> Aktiviert
- Lesezeichenleiste anzeigen (Veraltet) -> Aktiviert (Test)
- Menüleiste anzeigen -> Aktiviert -> Immer
- Poket für Firefox deaktivieren -> aktiviert
- Telemetrie deaktivieren -> Aktiviert

 

Computerkonfiguration -> Richtlinien -> Mozilla -> Firefox -> Lesezeichen
- Lesezeichen 01 -> Aktiviert ->  Starface - https://*** - Werkzeugleiste
- Lesezeichen 02 -> Aktiviert -> *** - https://*** - Werkzeugleiste

 

Computerkonfiguration -> Richtlinien -> Mozilla -> Firefox -> Startseite
- Startseite -> Aktiviert - https://www.google.de - Ändern der Startseite nicht erlauben aktiviert

 

Computerkonfiguration -> Richtlinien -> Mozilla -> Firefox -> Tracking-Schutz
- Aktiviert -> Aktiviert
- Änderungen an den Einstellungen zum Schutz vor Aktivitätsverfolgung verhindern -> Aktiviert
- Cryptomining -> Aktiviert
- Identifier -> Aktiviert

 

Computerkonfiguration -> Richtlinien -> Startmenü und Taskleiste
- Liste "Zuletzt hinzugefügt" aus Startmenü entfernen -> Aktiviert
- Liste "am häufigsten verwendet" im Startmenü ein- oder ausblenden -> Aktiviert -> Ausblenden
- Liste der zuletzt geöffneten Dokumente beibehalten -> Aktiviert
- Liste häufig verwendeter Programme aus dem Startmenü entfernen -> Aktiviert

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Benutzerprofile
- Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemstart löschen - Aktiviert - 60 Tage
- Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen -> Aktiviert
- Werbe-ID deaktivieren - Aktiviert

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer
- Internet Explorer 11 als eigenständiger Browser deaktivieren -> Aktiviert -> Immer

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Energieverwaltung -> Standbymoduseinstellungen
- Zeitlimit für Standbymodus des Systems angeben (Akkubetrieb) -> Aktiviert -> 0
- Zeitlimit für Standbymodus des Systems angeben (Netzbetrieb) -> Aktiviert -> 0
- Zeitlimit für Systemruhezustand angeben (Akkubetrieb) -> Aktiviert -> 0
- Zeitlimit für Systemruhezustand angeben (Netzbetrieb) -> Aktiviert -> 0

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Remotedeskttopdienste -> Remotedesktopsitzungs-Host -> Verbindungen
- Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen -> Aktiviert

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows Defender Firewall -> Domäneprofil
- Windows Defender Firewall: Eingehende Remotedesktopausnahmen zulassen -> Aktiviert -> *

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> AlleEinstellungen
- Cloudsuche zulassen -> Deaktiviert
- Cortana auf Sperrbildschirm zulassen -> Deaktiviert
- Cortana zulassen -> Deaktiviert
- Cortana-Seite auf Windows-Willkommensseite für AAD-Konto zulassen -> Deaktiviert
- Der Suche und Cortana die Nutzung von Positionsdaten erlauben -> Deaktiviert

 

Computerkonfiguration -> Richtlinien -> Windows-Komponenten -> Windows Update
- Automatische Updates installieren -> Aktiviert -> 4 - Auto. Herunterladen und laut Zeitplan installieren / Checkbox: Updates für andere Microsoft Produkte installieren
- Automatische Updates sofort installieren -> Aktiviert
- Automatischen Neustadt nach Updates während der Nutzungszeit deaktivieren -> Aktiviert -> Start: 07:00, Ende: 21:00
- Empfohlene Updates über automatische Updates aktivieren

 

 

bearbeitet 16. Februar 2023 von Cryer

[NorbertFe 2.045]

vor 15 Minuten schrieb Cryer:

weil mich erstmal interessieren würde, ob ich das so richtig gemacht habe

Ernsthaft? ;) Wie soll man das denn jetzt sagen? Normalerweise deaktiviert/aktiviert/konfiguriert man die Dinge, die man selbst für sich/seine User vorgeben will/soll/muss. Wie soll jemand hier im Forum dazu eine Aussage über richtig oder falsch treffen können? Wenn ich das oben richtig sehe, dann sind das alles Computerrichtlinien. Wenn du die also auf Computerkonten wirken läßt, dann machen die genau das, was du da konfiguriert hast. Ob das sinnvoll ist, musst du eben einschätzen und prüfen.

[testperson 1.680]

Hi,

 

was spricht dagegen, einen Testclient (als VM) in eine Test OU zu packen und die Policies dann zu testen? Letztlich müssen deine Anwendungen / Anwender mit den Policies zurecht kommen.

 

Gruß

Jan

[NilsK 2.939]

Moin,

 

Dagegen spricht, dass man in einer Produktion nicht testet. Wenn man wissen will, ob es so funktioniert, wie man es sich denkt, dann macht man das natürlich im Testlabor. Das kann man sich zur Not auf einem einzelnen PC mit genug RAM einrichten.

 

Darunter hinaus habt ihr  beide natürlich Recht, man sollte und kann nur selbst prüfen, ob es passt.

 

Gruß, Nils

bearbeitet 16. Februar 2023 von NilsK

[Cryer 17]

Also zunächst Danke für die Antworten. Ich denke ich habe mich nicht klar ausgedrückt, was ich wollte.

 

Mir ging es darum zu erfahren, ob diese oder jene Einstellung...

- im Computerbereich richtig aufgehoben ist oder man sie besser im Benutzerbereich vornehmen sollte, weil ...

- so für sich alleine sinnlos / unvollständig ist, weil man noch dies oder das dazu aktivieren / deaktivieren sollte, damit das im Gesamten Sinn ergibt (Beispielsweise was Cortana angeht, Update-Einstellungen oder Minimierung der Datenübermittlung...)

 

Beispielsweise fände ich die Option "Automatische Updates sofort installieren" so wie ich die eingestellt habe gefährlich, wenn nicht gleichzeitig ein automatischer Neustart während der Nutzungszeit verhindert wird. Proteste der Anwender wären vorprogrammiert.

 

Sowas halt.

 

bearbeitet 16. Februar 2023 von Cryer

[daabm 1.356]

Auch das kannst nur Du beurteilen. Niemand hier außer Dir administriert Deine Umgebung.

[NorbertFe 2.045]

vor einer Stunde schrieb Cryer:

Beispielsweise fände ich die Option "Automatische Updates sofort installieren" so wie ich die eingestellt habe gefährlich, wenn nicht gleichzeitig ein automatischer Neustart während der Nutzungszeit verhindert wird.

Alternativ könnte man auch mal den Erklärungstext lesen und verarbeiten. ;)

 

Legt fest, ob Updates, für die weder die Windows-Dienste unterbrochen werden müssen noch Windows neu gestartet werden muss, automatisch installiert werden.

Wenn der Status auf "Aktiviert" festgelegt ist, werden diese Updates automatisch installiert, nachdem sie heruntergeladen wurden und installationsbereit sind.

Wenn der Status auf "Deaktiviert" festgelegt ist, werden solche Updates nicht sofort installiert.

Hinweis: Diese Richtlinie hat keine Auswirkungen, wenn die Richtlinie "Automatische Updates konfigurieren" deaktiviert ist. 

=== Detailed values: === 

Enabled Value:
decimal: 1

Disabled Value:
decimal: 0

 

 

[NilsK 2.939]

Moin,

 

Jupp. Und zu deiner Frage nach Computer oder Benutzer: fast alle Einstellungen gibt es nur an einer Stelle, also ist das gar keine Frage.

 

Gruß, Nils

 

[Sunny61 806]

Noch etwas zu Computer- oder Benutzereinstellungen. Soll es für ALLE Computer gelten, kommen natürlich Computereinstellungen zum Einsatz. Und noch zum Hinweistext, manchmal steht auch dabei ob es nur für ein bestimmtes OS oder bis zu einem bestimmten OS gilt. Das grenzt auch schon manche Einstellung aus.