Gruppenrichtlinienverwaltung

Gruppenrichtlinien sind eine Active Directory-Verwaltungstechnologie für Windows, die eine zentralisierte Verwaltung von Konfigurationseinstellungen ermöglicht. Obwohl sie nicht die einzige verfügbare Verwaltungslösung ist – PowerShell Desired State Configuration (DSC) und Mobile Device Management (MDM) können ebenfalls verwendet werden – ist die Gruppenrichtlinie die empfohlene Technologie für domänenverbundene Clientgeräte, da sie eine detailliertere Steuerung als andere Lösungen bietet.

Gruppenrichtlinien-Verwaltungskonsole

Gruppenrichtlinieneinstellungen werden in Gruppenrichtlinienobjekten (GPOs) konfiguriert. Sie können GPOs mit Domänen, Standorten und Organisationseinheiten (OUs) verknüpfen. Für noch mehr Kontrolle können GPOs entsprechend den Ergebnissen von WMI-Filtern (Windows Management Instrumentation) angewendet werden, obwohl WMI-Filter sparsam verwendet werden sollten, da sie die Verarbeitungszeit für Richtlinien erheblich verlängern können.

Die Gruppenrichtlinien-Verwaltungskonsole (GPMC) ist ein integriertes Windows-Verwaltungstool, mit dem Administratoren Gruppenrichtlinien in einer Active Directory-Gesamtstruktur verwalten und Daten für die Fehlerbehebung bei Gruppenrichtlinien abrufen können. Sie finden die Gruppenrichtlinien-Verwaltungskonsole im Menü Extras des Microsoft Windows Server Manager. Es ist keine optimale Vorgehensweise, Domänencontroller für alltägliche Verwaltungsaufgaben zu verwenden, daher sollten Sie die Remote Server Administration Tools (RSAT) für Ihre Windows-Version installieren.

Installieren der Gruppenrichtlinien-Verwaltungskonsole

Wenn Sie Windows 10 Version 1809 oder höher verwenden, können Sie die GPMC über die Einstellungen-App installieren:

1. Öffnen Sie die Einstellungen-App, indem Sie WIN+I drücken.
2. Klicken Sie unter Windows-Einstellungen auf Apps.
3. Klicken Sie auf Optionale Features verwalten.
4. Klicken Sie auf + Feature hinzufügen.
5. Klicken Sie auf RSAT: Group Policy Management Tools und klicken Sie dann auf Installieren.

Abbildung 1. Installation der Gruppenrichtlinien-Verwaltungskonsole über die Oberfläche der Einstellungs-App

Wenn Sie eine ältere Version von Windows verwenden, müssen Sie die richtige Version von RSAT von der Microsoft-Website herunterladen.

Der Einfachheit halber können Sie auch den Server Manager installieren. Wenn Sie sich jedoch dagegen entscheiden, können Sie GPMC zu einer Microsoft Management Console (MMC) hinzufügen und die Konsole speichern.

Verwenden der Gruppenrichtlinien-Verwaltungskonsole

Jede AD-Domäne hat zwei Standard-GPOs:

• Standard-Domänenrichtlinie, die mit der Domäne verknüpft ist
• Standard-Domänencontroller-Richtlinie, die mit der OU des Domänencontrollers verknüpft ist

Sie können alle GPOs in einer Domäne sehen, indem Sie auf den Container Gruppenrichtlinienobjekte im linken Bereich der GPMC klicken.

Abbildung 2. Oberfläche der Gruppenrichtlinien-Verwaltungskonsole

Erstellen Sie ein neues Gruppenrichtlinienobjekt

Ändern Sie weder die Standardrichtlinie für Domänencontroller noch die Standarddomänenrichtlinie. Die beste Möglichkeit, eigene Einstellungen hinzuzufügen, ist die Erstellung eines neuen Gruppenrichtlinienobjekts. Es gibt zwei Möglichkeiten, ein neues GPO zu erstellen:

• Klicken Sie mit der rechten Maustaste auf die Domäne, den Standort oder die OU, mit der Sie das neue GPO verknüpfen möchten, und wählen Sie GPO in dieser Domäne erstellen und hier verknüpfen… Wenn Sie das neue GPO speichern, wird es sofort verknüpft und aktiviert.
• Klicken Sie mit der rechten Maustaste auf den Container Gruppenrichtlinienobjekte und wählen Sie im Menü Neu. Sie müssen das neue GPO manuell verknüpfen, indem Sie mit der rechten Maustaste auf eine Domäne, Site oder OU klicken und Vorhandenes GPO verknüpfen auswählen. Sie können dies jederzeit tun.

Unabhängig davon, wie Sie ein neues GPO erstellen, müssen Sie dem GPO im Dialogfeld Neues GPO einen Namen geben, und Sie können wählen, ob es auf einem vorhandenen GPO basieren soll. Informationen zu den anderen Optionen finden Sie im nächsten Abschnitt.

Bearbeiten eines Gruppenrichtlinienobjekts

Um ein GPO zu bearbeiten, klicken Sie mit der rechten Maustaste im GPMC darauf und wählen Sie im Menü Bearbeiten. Der Active Directory-Gruppenrichtlinienverwaltungseditor wird in einem separaten Fenster geöffnet.

Abbildung 3. Oberfläche des Gruppenrichtlinienverwaltungseditors

GPOs sind in Computer- und Benutzereinstellungen unterteilt. Computereinstellungen werden beim Start von Windows angewendet, Benutzereinstellungen werden angewendet, wenn sich ein Benutzer anmeldet. Die Gruppenrichtlinien-Hintergrundverarbeitung wendet Einstellungen regelmäßig an, wenn eine Änderung in einem GPO erkannt wird.

Richtlinien vs. Voreinstellungen

Benutzer- und Computereinstellungen werden weiter in Richtlinien und Voreinstellungen unterteilt:

• Richtlinien tätowieren die Registrierung nicht – wenn eine Einstellung in einem GPO geändert wird oder das GPO aus dem Geltungsbereich fällt, wird die Richtlinieneinstellung entfernt und stattdessen der ursprüngliche Wert verwendet. Richtlinieneinstellungen haben immer Vorrang vor den Konfigurationseinstellungen einer Anwendung und werden ausgegraut, damit Benutzer sie nicht ändern können.
• Voreinstellungen tätowieren die Registrierung standardmäßig, aber dieses Verhalten ist für jede Voreinstellung konfigurierbar. Voreinstellungen überschreiben die Konfigurationseinstellungen einer Anwendung, erlauben dem Benutzer aber immer, die Konfigurationselemente zu ändern. Viele der konfigurierbaren Elemente in den Gruppenrichtlinieneinstellungen sind solche, die zuvor mit einem Anmeldeskript konfiguriert wurden, wie z. B. Laufwerkszuordnungen und Druckerkonfiguration.

Sie können Richtlinien oder Einstellungen erweitern, um deren Einstellungen zu konfigurieren. Diese Einstellungen werden dann auf Computer- und Benutzerobjekte angewendet, die in den Geltungsbereich des GPOs fallen. Wenn Sie beispielsweise Ihr neues GPO mit der OU des Domänencontrollers verknüpfen, werden die Einstellungen auf Computer- und Benutzerobjekte angewendet, die sich in dieser OU und allen untergeordneten OUs befinden. Sie können die Einstellung Vererbung blockieren auf einer Site, Domäne oder OU verwenden, um zu verhindern, dass GPOs, die mit übergeordneten Objekten verknüpft sind, auf untergeordnete Objekte angewendet werden. Sie können auch das Kennzeichen Erzwungen für einzelne GPOs setzen, das die Einstellung Vererbung blockieren und alle Konfigurationselemente in GPOs außer Kraft setzt, die einen höheren Vorrang haben.

GPO-Vorrang

Mehrere GPOs können mit Domänen, Sites und OUs verknüpft werden. Wenn Sie in der GPMC auf eines dieser Objekte klicken, wird rechts auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte eine Liste der verknüpften GPOs angezeigt. Wenn es mehr als ein verknüpftes GPO gibt, haben GPOs mit einer höheren Verknüpfungsreihenfolgenummer Vorrang vor Einstellungen, die in GPOs mit einer niedrigeren Nummer konfiguriert sind.

Sie können die Verknüpfungsreihenfolgenummer ändern, indem Sie auf ein GPO klicken und es mithilfe der Pfeile auf der linken Seite nach oben oder unten verschieben. Auf der Registerkarte Gruppenrichtlinienvererbung werden alle angewendeten GPOs angezeigt, einschließlich derjenigen, die von übergeordneten Objekten geerbt wurden.

Abbildung 4. Informationen über alle angewendeten GPOs in GPMC

Erweitertes Gruppenrichtlinienmanagement

Erweitertes Gruppenrichtlinienmanagement (AGPM) ist als Teil des Microsoft Desktop Optimization Pack (MDOP) für Software Assurance-Kunden verfügbar. Im Gegensatz zu GPMC ist AGPM eine Client/Server-Anwendung, bei der die Serverkomponente GPOs offline speichert, einschließlich einer Historie für jedes GPO. Von AGPM verwaltete GPOs werden als kontrollierte GPOs bezeichnet, da sie vom AGPM-Dienst verwaltet werden und Administratoren sie ein- und auschecken können, ähnlich wie Sie Dateien oder Code in GitHub oder einem Dokumentenmanagementsystem ein- und auschecken könnten.

AGPM bietet eine bessere Kontrolle über GPOs als GPMC. Neben der Versionskontrolle ermöglicht es Ihnen, den Gruppenrichtlinienadministratoren Rollen wie Reviewer, Editor und Approver zuzuweisen, was Ihnen hilft, eine strenge Änderungskontrolle während des gesamten GPO-Lebenszyklus zu implementieren. Die AGPM-Überprüfung ermöglicht außerdem einen besseren Einblick in die Änderungen an Gruppenrichtlinien.

IT-Berater und Autor mit Spezialisierung auf Management- und Sicherheitstechnologien. Russell hat mehr als 15 Jahre Erfahrung in der IT-Branche, er hat ein Buch über Windows-Sicherheit geschrieben und war Mitautor eines Textes für die Reihe Microsoft’s Official Academic Course (MOAC).