Gruppenrichtlinienobjekt
Eine andere Möglichkeit, um den DriveLock Agenten auf mehreren Rechnern zu konfigurieren, ist die Nutzung von Active Directory Gruppenrichtlinien. DriveLock kann mit dem Gruppenrichtlinieneditor in Verbindung mit dem DriveLock Managment Konsole (MMC) Snap-In konfiguriert werden. Dieses Snap-In ist Bestandteil einer DriveLock Komplettinstallation.
DriveLock nutzt Gruppenrichtlinien, um Einstellungen an Rechner zu verteilen, die zu einer Active Directory Domain gehören. Der auf diesen Rechnern laufende DriveLock Agent wendet alle Einstellungen an, die in diesen Gruppenrichtlinien definiert sind.
In einer Active Directory Umgebung sind Rechner in Organisationseinheiten angeordnet (OUs) um gemeinsame identische Einstellungen umzusetzen; es ist daher gängige Praxis, Gruppenrichtlinien – die DriveLock Einstellungen beinhalten – OU’s zuzuweisen. Ein weiterer Grund für die Nutzung von OUs ist die Möglichkeit zur Delegierung administrativer Aufgaben. Die Zuweisung von Gruppenrichtlinien zu OUs anstelle der ganzen Active Directory Domain oder Site ist ebenfalls empfehlenswert, da so geeignete Sicherheitslevel für jede Abteilung definiert werden können.
Um existierende oder neue Gruppenrichtlinien hinzuzufügen, die DriveLock Einstellungen beinhalten, rechts-klicken Sie auf Richtlinien -> Neu/New -> Gruppenrichtlinienobjekt hinzufügen..., um die Gruppenrichtlinie der MMC hinzuzufügen.
Danach wählen Sie die entsprechende GPO und klicken Bearbeiten. Es öffnet sich ein neues Fenster mit dem Microsoft GPO Editor, mit dem die Einstellungen bearbeitet werden können.
Das DriveLock Snap-In zeigt die gleichen Objekte in der Konsole wie bei einer lokalen Konfiguration.
Konfigurationsänderungen werden von dem DriveLock Agenten direkt nach Anwendung der Gruppenrichtlinien durch Windows entdeckt. Dies kann bis zu 30 Minuten nach Erstellung der Richtlinie dauern. Um Änderungen an Richtlinien sofort zu übernehmen, kann eine Aktualisierung der Gruppenrichtlinie initiiert werden. Dazu wird auf Kommandozeilenebene einer der folgenden Befehle ausgeführt (welcher auch über die Agentenfernkontrolle aktiviert werden kann): gpupdate /force