Verwendung von Gruppenrichtlinien und Active Directory Dienste in LogMeIn Central

Bevor Sie die Verwaltungsvorlage implementieren, sollten Sie sich mit den Windows-Gruppenrichtlinien und dem Funktionsumfang von Active Directory vertraut machen.

Beispielmaterial mit Hintergrundinformationen

Understanding the Structure of a Group Policy Object (Informationen zum Aufbau von Gruppenrichtlinienobjekten; in englischer Sprache) https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/13/group-policy-basics-part-1-understanding-the-structure-of-a-group-policy-object/
Managing Group Policy ADMX Files Step-by-Step Guide (Schritt-für-Schritt-Anleitung für die Verwaltung von ADMX-Dateien für Gruppenrichtlinien; in englischer Sprache) http://technet.microsoft.com/en-us/library/cc709647(WS.10).aspx
Editor für lokale Gruppenrichtlinien https://technet.microsoft.com/library/cc725970.aspx?itpid=article.

Laden Sie die Administrative Vorlage herunter

Um die Gruppenrichtlinienkontrolle über die Anwendung zu implementieren, müssen Sie zunächst die Verwaltungsvorlage herunterladen und installieren.

Laden Sie die entsprechenden Dateien für Ihr Betriebssystem von der Support-Seite herunter und speichern Sie sie:
- Für Windows 10, 8, 7, Server 2008R2 oder 2012, laden Sie sowohl logmein.admx ( https://secure.logmein.com/support/logmein.admx) als auch logmein.adml (https://secure.logmein.com/support/logmein.adml) herunter.

Hinzufügen einer Richtlinie

Sobald Sie die erforderlichen Verwaltungsvorlagendateien heruntergeladen haben, können Sie eine Gruppenrichtlinie hinzufügen.

Öffnen Sie das Feld „Ausführen“, indem Sie die Windows-Taste und R drücken.
Navigieren Sie zu den Richtliniendefinitionen Ihrer Domäne, indem Sie \\{Vollqualifizierter Domänenname}\SYSVOL\{Vollqualifizierter Domänenname}\policies\PolicyDefinitions eingeben, wobei {Vollqualifizierter Domänenname} der Name Ihrer Domäne ist.
Beispiel: \\mydomain.net\SYSVOL\mydomain.net\policies\PolicyDefinitions
Kopieren Sie die logmein.admx-Datei in den Ordner.
Erstellen Sie einen neuen Ordner namens en-US und kopieren Sie die logmein.adml-Datei in diesen Ordner.
Die Datei logmein.adml enthält Informationen zur Sprache der Gruppenrichtlinie und ist standardmäßig in Englisch.

Ergebnisse: Die Richtlinie sollte nun in der Konsole des Editors der Gruppenrichtlinienverwaltung für diese Domäne erscheinen. Sie können nun Ihre Gruppenrichtlinie bearbeiten.

Wichtig: Die Richtlinie kann bearbeitet werden unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen und Computerkonfiguration > Richtlinien > Administrative Vorlagen je nachdem, ob Sie die Einstellungen auf Benutzer oder Computer in Ihrer Domäne anwenden möchten.

Nächste Maßnahme:

Tipp: Erstellen Sie eine Sicherungskopie der Vorlagen für die Gruppenrichtlinie, bevor Sie Änderungen vornehmen.

Gruppenrichtlinien-Einstellungen bearbeiten

Sobald Sie eine Gruppenrichtlinie hinzugefügt haben, müssen Sie die Einstellungen festlegen, die Sie auf Ihren Hosts bereitstellen möchten.

Öffnen Sie Active Directory-Benutzer und -Computer.
Klicken Sie mit der rechten Maustaste auf eine Domäne oder Organisationseinheit und wählen Sie Eigenschaften.
Klicken Sie auf die Registerkarte Gruppenrichtlinie.
Markieren Sie die Richtlinie und wählen Sie Bearbeiten.

Einstellungen, die sowohl auf Computer als auch auf Benutzer angewendet werden können, sind unter Computerkonfiguration und Benutzerkonfiguration zu finden.

Option	Beschreibung
Nutzung der Dateifreigabe erlauben	Setzen Sie diese Richtlinie auf Deaktiviert, um zu verhindern, dass die Benutzer mit Hilfe der Dateifreigabefunktion Dateien auf dem Host freigeben können.
Zugriff auf die erweiterte Ansicht (Dashboard) erlauben	Um zu verhindern, dass Benutzer auf die Oberfläche des detaillierten Modus (Dashboard) (oder "klassische Ansicht") zu verhindern, setzen Sie diese Richtlinie auf Deaktiviert.
Neustart per Fernzugriff erlauben	Um zu verhindern, dass Benutzer die Funktion zum Neustart aus der Ferne in der Host-Software verwenden, setzen Sie diese Richtlinie auf Deaktiviert.
Fernsteuerungsberechtigungen festlegen	Aktivieren oder deaktivieren Sie die Einstellungen, die speziell für die Fernsteuerung gelten. Drucken per Fernzugriff erlauben: Wenn Sie diese Option aktivieren, dürfen die clientseitigen Benutzer während der Fernsteuerung hostseitige Dokumente auf einem mit dem Client verbundenen Gerät ausdrucken. Übertragen der Zwischenablage erlauben: Wenn Sie diese Option aktivieren, kann der Inhalt der Host-Zwischenablage mit der Zwischenablage des Clients synchronisiert werden.
Berechtigungen für die Dateiübertragung festlegen	Aktivieren oder deaktivieren Sie die Einstellungen, die speziell für die Dateiübertragung gelten. Dateien vom Host kopieren: Wenn Sie diese Option aktivieren, darf der clientseitige Benutzer Dateien vom Host kopieren. Dateien auf den Host kopieren: Wenn Sie diese Option aktivieren, darf der clientseitige Benutzer Dateien auf den Host kopieren.
Desktopfreigabe zulassen	Wenn Sie diese Option aktivieren, darf der hostseitige Benutzer über die Desktopfreigabefunktion andere Personen zum Zugriff auf den Host einladen.

Wichtig: Wenn eine Richtlinie sowohl auf Computer- als auch Benutzerebene definiert wird, haben die Einstellungen auf Computerebene Vorrang, sofern nicht die Option Computer-Richtlinieneinstellungen haben Vorrang vor Benutzer-Richtlinieneinstellungen auf Deaktiviert gesetzt ist.

Einstellungen, die nur auf Computerebene angewendet werden können, sind unter Computerkonfiguration zu finden.

Option	Beschreibung
Berechtigungen für die Dateiübertragung festlegen	Aktivieren oder deaktivieren Sie die Einstellungen, die speziell für die Dateiübertragung gelten. Dateien vom Host kopieren: Wenn Sie diese Option aktivieren, darf der clientseitige Benutzer Dateien vom Host kopieren. Dateien auf den Host kopieren: Wenn Sie diese Option aktivieren, darf der clientseitige Benutzer Dateien auf den Host kopieren.
Desktopfreigabe zulassen	Wenn Sie diese Option aktivieren, darf der hostseitige Benutzer über die Desktopfreigabefunktion andere Personen zum Zugriff auf den Host einladen.
Computer-Richtlinieneinstellungen haben Vorrang vor Benutzer-Richtlinieneinstellungen	Die Richtlinieneinstellungen für Computer haben standardmäßig Vorrang vor den Richtlinieneinstellungen für Benutzer. Setzen Sie diese Richtlinie auf Deaktiviert, damit Benutzerrichtlinien Vorrang vor Computerrichtlinien haben. Anmerkung: Seien Sie vorsichtig, wenn Sie zulassen, dass Benutzerrichtlinien Vorrang vor Computerrichtlinien haben. Dies könnte es einem Benutzer ermöglichen (wenn explizite Benutzerrichtlinien dies zulassen), Aufgaben auszuführen, die die bestehenden Richtlinien des Host-Computers möglicherweise verbieten.
LogMeIn-Installation erlauben	Um zu verhindern, dass Benutzer den Host auf dem Computer installieren, für den das Richtlinienobjekt gilt, setzen Sie diese Richtlinie auf Deaktiviert.

Die einzige Einstellung, die nur auf Benutzerebene angewendet werden kann, ist unter Benutzerkonfiguration zu finden.

Option	Beschreibung
Benutzerzugriff auf LogMeIn erlauben	Dies ist eine Einstellung auf Benutzerebene. Um zu verhindern, dass ein Benutzer oder eine Benutzergruppe Remote-Sitzungen mit Hosts startet, setzen Sie diese Richtlinie auf Deaktiviert.

Ergebnisse:

Die Vorlage wird auf Netzwerkebene angewendet. Wenn die Hostsoftware das Vorhandensein von Gruppenrichtlinien erkennt, verwendet sie zuerst diese Einstellungen und wendet dann die an anderer Stelle (z. B. über Host Preference Packages) konfigurierten Einstellungen an.

Implementierungsbeispiel 1: Nur Fernsteuerung

Der Host darf ferngesteuert werden, aber alle anderen Aktionen sind untersagt.

Aktivieren Sie alle Fernsteuerungsberechtigungen.
1. Wählen Sie unter Administrative Vorlagen die Option Computerkonfiguration aus.
2. Wählen Sie LogMeIn Policies aus und klicken Sie doppelt auf Fernsteuerungsberechtigungen festlegen.
3. Auf der Registerkarte Richtlinie wählen Sie Aktiviert.
4. Wählen Sie unter „Richtliniendetails“ die Optionen Fernsteuerung erlauben, Drucken per Fernzugriff erlauben und Übertragen der Zwischenablage erlauben aus.
Deaktivieren Sie alle anderen Funktionen.
1. Klicken Sie unter LogMeIn Policies doppelt auf Nutzung der Dateifreigabe erlauben.
2. Wählen Sie auf der Richtlinie-Registerkarte Deaktiviert.
  Ergebnis: Wiederholen Sie die Teilschritte a. und b. für Zugriff auf die erweiterte Ansicht (Dashboard) erlauben, Neustart per Fernzugriff erlauben und Dateiübertragungsberechtigungen festlegen.

Ergebnisse: Die Fernsteuerung ist die einzige Hostfunktion, die auf den Computern verfügbar ist, auf die Sie diese Richtlinie anwenden. Alle anderen Hostfunktionen werden deaktiviert.

Implementierungsbeispiel 2: Erlauben Sie den Zugriff auf den Host für nur eine Einheit in Ihrer Organisation

Erlauben Sie der Einheit "Vertrieb" die Verwendung des Hosts, aber sperren Sie den Host für alle anderen Benutzer in Ihrer Organisation.

Erstellen Sie eine Richtlinie für Ihre Stammorganisation und eine für die Einheit "Vertrieb".
1. Führen Sie die unter Hinzufügen einer Richtlinie beschriebenen Schritte sowohl für die Stammorganisation (LogMeIn-Richtlinie) als auch für die Einheit "Vertrieb" (LogMeIn-Richtlinie-Vertrieb) durch.
Deaktivieren Sie den Zugriff auf den Host auf der Root-Ebene Ihrer Organisation.
1. Klicken Sie mit der rechten Maustaste auf die Stammorganisation und wählen Sie Eigenschaften > Registerkarte Gruppenrichtlinie.
2. Markieren Sie die Richtlinie und wählen Sie Bearbeiten.
3. Erweitern Sie im Fenster Gruppenrichtlinie Benutzerkonfiguration > Administrative Vorlagen und wählen Sie LogMeIn-Richtlinien.
4. Klicken Sie doppelt auf Benutzerzugriff auf LogMeIn erlauben.
5. Setzen Sie die Richtlinie auf Deaktiviert.
6. Speichern Sie Ihre Änderungen.
Erlauben Sie die Verwendung des Hosts für "Vertrieb".
1. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit "Vertrieb", und wählen Sie Eigenschaften > Registerkarte Gruppenrichtlinie.
2. Wählen Sie die Richtlinie, die Sie für den Vertrieb erstellt haben, und wählen Sie Bearbeiten.
3. Erweitern Sie im Fenster Gruppenrichtlinie Benutzerkonfiguration > Administrative Vorlagen und wählen Sie LogMeIn-Richtlinien.
4. Doppelklicken Sie auf Zugang für Benutzer erlauben LogMeIn.
5. Setzen Sie die Richtlinie auf Aktiviert.
6. Speichern Sie Ihre Änderungen.
Ergebnis: LogMeIn wird nur auf jenen Computern aktiviert, die Teil der Organisationseinheit „Vertrieb“ sind.

Beispielimplementierung 3: Deaktivieren des Hosts für eine bestimmte Domäne

Gesperrt wird die Installation der Host-Software für eine bestimmte Domäne.

Erstellen Sie eine Richtlinie für die Domäne, die Sie einschränken möchten.
1. Führen Sie die unter Hinzufügen einer Richtlinie beschriebenen Schritte durch.
Deaktivieren Sie das Recht, den Host für Ihre neue Domain zu installieren.
1. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Eigenschaften > Registerkarte Gruppenrichtlinie.
2. Markieren Sie die Richtlinie und wählen Sie Bearbeiten.
3. Erweitern Sie im Fenster Gruppenrichtlinie Computerkonfiguration > Administrative Vorlagen und wählen Sie LogMeIn-Richtlinien.
4. Klicken Sie doppelt auf LogMeIn-Installation erlauben.
5. Setzen Sie die Richtlinie auf Deaktiviert.
6. Speichern Sie Ihre Änderungen.

Ergebnisse: LogMeIn lässt sich nun nicht in der Domäne installieren, auf die diese Richtlinie angewendet wurde. Darüber hinaus wird die Ausführung aller vorhandenen Installationen beendet, sobald die Richtlinie verbreitet wurde.