Gruppenrichtlinie

Was ist eine Gruppenrichtlinie?

Mithilfe der Gruppenrichtlinien implementieren Netzwerkadministratoren Konfigurationen für Benutzer und Computer in Microsoft Active Directory. Diese hierarchische Infrastruktur fungiert als Sicherheits-Tool, da so Sicherheitseinstellungen durchgesetzt werden.

Gruppenrichtlinien ermöglichen es Administratoren, Sicherheitsrichtlinien für Benutzer und Computer zu definieren. Diese Richtlinien, die zusammenfassend als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden, basieren auf einer Sammlung individueller Gruppenrichtlinieneinstellungen. Administratoren verwalten Gruppenrichtlinienobjekte über eine zentrale Schnittstelle namens Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Gruppenrichtlinien können auch über die Kommandozeile (Command Line Interface, CLI) mit Befehlen wie gpresult und gpupdate gesteuert werden.

Hierarchie der Gruppenrichtlinien

Gruppenrichtlinienobjekte werden hierarchisch angewendet und oft miteinander kombiniert, um effektivere Richtlinien zu bilden. Lokale Gruppenrichtlinienobjekte werden zuerst angewendet, gefolgt von Gruppenrichtlinienobjekten auf Standort-, Domänen- und Organisationseinheitsebene.

Erweiterung der Gruppenrichtlinien

Die systemeigene Sammlung von Gruppenrichtlinieneinstellungen bezieht sich ausschließlich auf das Windows-Betriebssystem. Ein Administrator kann systemeigene Gruppenrichtlinieneinstellungen beispielsweise verwenden, um eine Mindestkennwortlänge durchzusetzen, zu verhindern, dass Benutzer die Systemeinstellungen einsehen, oder das Installieren von Sicherheitspatches zu erzwingen. Gruppenrichtlinien sind jedoch so konzipiert, dass sie durch administrative Vorlagen erweiterbar sind. Sie ermöglichen das Konfigurieren verschiedener Anwendungen durch Gruppenrichtlinieneinstellungen. Eines der bekanntesten Beispiele hierfür ist die Sammlung administrativer Vorlagen für Microsoft Office.

Administrative Vorlagen bestehen aus zwei Komponenten: Eine ADMX-Datei, die als XML-Datei (Extensible Markup Language) alle mit der Vorlage verknüpften Gruppenrichtlinieneinstellungen enthält, und dazu ADML-Datei, die als Sprachdatei fungiert. Sie gibt Gruppenrichtlinieneinstellungen in der vom Administrator gewählten Sprache aus.

Lokale und zentralisierte Gruppenrichtlinien im Vergleich

Gruppenrichtlinienobjekte können über das eigene Betriebssystem oder über Active Directory lokal auf einen Windows-Computer angewendet werden. Lokale Gruppenrichtlinien ermöglichen das Anwenden von Sicherheitseinstellungen entweder auf einzelne Computer, oder auf Computer, die ein Domänencontroller verwaltet. Diese Richtlinieneinstellungen können jedoch nicht zentral eingestellt werden. Umgekehrt können Active-Directory-basierte Gruppenrichtlinienobjekte zentral verwaltet werden, aber sie werden nur implementiert, wenn sich ein Benutzer von einem Computer anmeldet, der zur Domäne gehört.

Viele Organisationen verwenden eine Kombination aus lokalen und Active-Directory-Gruppenrichtlinienobjekten. Die lokalen Richtlinieneinstellungen bieten Sicherheit, wenn der Benutzer nicht in einer Domäne angemeldet ist, während Active-Directory-Gruppenrichtlinienobjekte erst nach der Anmeldung des Benutzers gelten.