Dadurch kann beispielsweise ein kompetenter Mitarbeiter Anpassungen
vornehmen, die sich eine Arbeitsgruppe zusätzlich zu den
Standardeinstellungen wünscht, gesonderte Software verteilen.
Dazu ist seinerseits nicht einmal ein direkter Zugriff auf einen
Domänencontroller notwendig. Vielmehr kann alles mit der
Gruppenrichtlinien-Management-Console bearbeitet werden. Diese steht
unter [GPM05] in der aktuellen Version mit Service Pack 1
frei zum Download bereit, wird auch nicht mit der Windows Server 2003
CD ausgeliefert, da ihre Fertigstellung erst kurz nach der
Veröffentlichung des Betriebssystems erfolgte. Diese Software ist
unter Windows Server 2003 und Windows XP einsetzbar, weshalb ein
Domänennutzer diese auch von seinem Arbeitsplatz aus nutzen kann, um
Anpassungen vorzunehmen. Zusätzlich geht die administrative Hoheit des
Universitätsrechenzentrums nicht verloren, da ein solcher Nutzer nur
neue GPOs (Gruppenrichtlinieobjekte) erzeugen kann, die zusätzlich zu
den bereits Vorhandenen angewandt werden. Über die Reihenfolge der
Anwendung wurde bereits in 4.7 gesprochen. Diese wirkt sich
natürlich auch hier aus und es sei erwähnt, dass beispielsweise das
vererbte Default-GPO der Domäne in der OU zuerst angewandt wird, also
das neu hinzugefügte spezialisierende Wirkung hat.
Um dieses Werkzeug zu nutzen, muss der Nutzer das MSI-Paket nur auf
seinem Arbeitsplatz installieren, was dank der Bereitstellungsform
auch durch die zentrale Administration stattfinden kann. Danach findet
sich unter
eine MMC-Verknüpfung
namens
, über die das Tool geöffnet werden kann. Um das
Werkzeug dann mit dem mittels externem Kerberos authentifizierten
Account nutzen zu können, muss noch die Vertrauensüberprüfung in den
Optionen des MMC-SnapIns deaktiviert werden. Danach ist eine
Verbindung mit der Domäne möglich und der Einrichtung eines neuen GPOs
in der zugewiesenen OU steht nichts mehr im Wege.
Dabei stellte sich im Rahmen der Tests heraus, dass die Nutzung von
Einstellungsmöglichkeiten absolut unproblematisch von Statten ging,
während die Softwareinstallation Schwierigkeiten bereitete. Ursache
der Schwierigkeiten ist die adäquate Bereitstellung der
Installationsquelle. So muss ein Computer, der durch ein GPO eine zu
installierende Software zugewiesen bekommt, auf die Netzwerkfreigabe
zugreifen können, auf welcher die Paketdatei abgelegt ist. Einem im
Active Directory angelegten Freigegebenen Ordner können in "`Active
Directory Benutzer und Computer"' unter "`Sicherheit"' Berechtigungen
zugeordnet werden, die sich allerdings nur auf die
Freigabeberechtigungen auswirken. Hat der Rechner auf den eigentlichen
Ordner keinen Zugriff, wird ihm dieser auch trotz der für die Freigabe
gesetzten Rechte verwehrt. Zur Rechteverwaltung des Filesystems kann
man den Ordner aber im Explorer öffnen lassen und dort unter
Eigenschaften die Berechtigungen des Filesystems anpassen.
Trotz dieser Umstände, die sich durch geschickte Rechteverwaltung umgehen lassen, kann somit für einen Teil der Anwendungsfälle eine sinnvolle Lösung bereitgestellt werden, mit der den Wünschen mancher Struktureinheit sicherlich Genüge getan werden kann.