Gruppenrichtlinienobjekt (Group Policy Object, GPO)

Was ist ein Gruppenrichtlinienobjekt?

Eine Sammlung von Gruppenrichtlinieneinstellungen in Microsoft sind die Gruppenrichtlinienobjekte (Group Policy Object, GPO). Die GPOs bestimmen, wie Desktops für eine bestimmte Benutzergruppe konfiguriert sind.

Microsoft bietet ein Programm-Snap-In, mit dem Admins die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden. Dort erstellen sie Gruppenrichtlinienobjekte, die Active-Directory-Containern zugeordnet sind, zum Beispiel Sites, Domänen oder Organisationseinheiten (OU). Die GPOs enthalten dann für diese Entitäten Richtlinien sowie Sicherheits-, Installations- und Wartungseinstellungen, Konfigurationen für Skripte und zum Verschieben von Ordnern.

Verschiedene Gruppenrichtlinienobjekte

Es gibt drei Arten von GPOs: lokal, nicht lokal und Starter.

Lokale Gruppenrichtlinienobjekte

Ein lokales Gruppenrichtlinienobjekt bezieht sich auf die Sammlung von Gruppenrichtlinieneinstellungen, die nur für den lokalen Computer und die Benutzer gelten, die sich an diesem Computer anmelden. Lokale Gruppenrichtlinienobjekte dienen dazu, Richtlinieneinstellungen nur auf einen einzelnen Windows-Computer oder -Benutzer anzuwenden. Lokale Gruppenrichtlinienobjekte sind standardmäßig auf allen Windows-Computern vorhanden.

Nicht-lokale Gruppenrichtlinienobjekte

Ein nicht lokales Gruppenrichtlinienobjekt wird verwendet, wenn Richtlinieneinstellungen auf einen oder mehrere Windows-Computer oder -Benutzer angewendet werden müssen. Sie gelten für alle Windows-Computer oder -Benutzer, sobald sie mit den zugehörigen Active-Directory-Objekten wie Sites, Domänen oder Organisationseinheiten verknüpft sind.

Starter-Gruppenrichtlinienobjekte

Gruppenrichtlinienobjekte sind Vorlagen für Gruppenrichtlinieneinstellungen und wurden mit Windows Server 2008 eingeführt.

Objekte ermöglichen es einem Administrator, eine vorkonfigurierte Gruppe von Einstellungen zu erstellen und zu verwenden, die eine Grundlinie für jede zukünftige zu erstellende Richtlinie darstellen.

Mehr Sicherheit durch Gruppenrichtlinien

Es gibt einige Gruppenrichtlinieneinstellungen, die zum Schutz des Unternehmensnetzwerks beitragen. So kann ein Unternehmen Skripte einrichten, Benutzer am Zugriff auf bestimmte Ressourcen hindern und einfache Aufgaben ausführen, zum Beispiel das Öffnen einer bestimmten Homepage für jeden Netzwerkbenutzer erzwingen.

Einige dieser Sicherheitsmaßnahmen umfassen:

• Einschränkung des Zugriffs auf die Systemsteuerung: Über die Systemsteuerung kann der Benutzer alle Aspekte eines Computers kontrollieren. Indem das Unternehmen einschränkt, welche Einstellungen die Nutzer selbst vornehmen können, schützt das Unternehmen Daten und Hardwareressourcen.
• Deaktivierung der Eingabeaufforderung: Nutzer verwenden Eingabeaufforderungen, um Befehle auszuführen, die große Auswirken auf das System haben und bestimmte Einschränkungen der Benutzeroberfläche. Aus diesem Grund ist es ratsam, die Eingabeaufforderung zu deaktivieren, um die Sicherheit der Systemressourcen zu gewährleisten.
• Einschränkung der Rechte zur Softwareinstallation: Wenn Benutzer Software installieren dürfen, können sie unerwünschte Anwendungen oder Malware installieren, die das System eines Unternehmens gefährden. Daher ist es besser, das über Gruppenrichtlinien zu verhindern, so dass das IT-Team jede neue Software genehmigen muss.

Vorteile der Gruppenrichtlinienobjekte

Die Implementierung von GPOs bietet neben der Sicherheit mehrere Vorteile, darunter:

• effizientere Verwaltung: Durch das konsequente Durchsetzen von GPOs haben alle Geräte und Desktops im Unternehmen einheitliche Eigenschaften. Das beschleunigt die Verwaltung.
• einfache Aktualisierung: Systemadministratoren können Software, Patches und andere Updates über GPOs bereitstellen.
• Durchsetzung von Passwortrichtlinien: GPOs bestimmen die Passwortlänge und weitere Anforderungen, um das Netzwerk eines Unternehmens zu schützen.
• Konfiguration der Ordnerumleitung: Mit GPOs können Unternehmen sicherstellen, dass Benutzer wichtige Unternehmensdateien auf einem zentralen und überwachten Speichersystem aufbewahren. Dafür können IT-Teams beispielsweise den Inhalt im Dokumentenordner eines Benutzers an einen Netzwerkspeicherort umleiten.

Einschränkungen der GPOs

Zu den Einschränkungen von Gruppenrichtlinien gehören:

• sequenzielle Ausführung: Das heißt, GPOs verarbeiten Aktionen nacheinander. Wenn viele Gruppenrichtlinienobjekte konfiguriert werden müssen, kann das den Startvorgang in die Länge ziehen.
• begrenzte Flexibilität: GPOs können nur auf Benutzer, Gruppen oder Computer angewendet werden. Daher sind sie begrenzt, wenn es darum geht, Einstellungen anhand des Kontexts anzuwenden.
• begrenzte Auslöser: GPOs können nur bei der Anmeldung des Benutzers oder in festen Intervallen ausgeführt werden. GPOs können nicht auf Änderungen in der Umgebung reagieren, wie zum Beispiel das Trennen oder erneute Verbinden des Netzwerks.
• schwierige Wartung: Es gibt keine integrierte Such- oder Filteroption, um eine bestimmte Einstellung in einem GPO zu finden, was es schwierig macht, Probleme mit vorhandenen Einstellungen zu finden oder zu beheben.
• keine Versionskontrolle: Änderungen an den GPO-Einstellungen werden nicht überwacht. Wenn also eine falsche Änderung vorgenommen wird, ist es unmöglich zu sagen, was die Änderung war oder wer sie vorgenommen hat.

Die GPO-Verarbeitungsreihenfolge

Die Reihenfolge, in der Windows Gruppenrichtlinien anwendet, bestimmt, welche Einstellungen wirklich durchgesetzt werden. Die Eselsbrücke, um sich diese Reihenfolge zu merken, lautet LSDOU: Lokal, Standort, Domäne, Organisationseinheit (OU). Zuerst wird die lokale Computerrichtlinie verarbeitet, gefolgt von Active-Directory-Richtlinien von der Standortebene bis zur Domäne, dann in OU (GPOs in verschachtelten Organisationseinheiten gelten zuerst von der OU, die dem Stamm am nächsten liegt, und wird von dort aus fortgesetzt). Bei Konflikten wird die zuletzt angewendete Richtlinie wirksam.

GPO-Beispiele

Im Folgenden finden Sie Beispiele für Gruppenrichtlinien:

• Die GPO enthält Einstellungen dafür, welche Webseite als Startseite in den Browsern der Benutzer festgelegt ist.
• Über eine Gruppenrichtlinie weisen Administratoren Netzwerkdrucker bestimmten Organisationseinheiten zu. Wenn sich ein Benutzer sich bei Windows anmeldet, wird der zugewiesene Netzwerkdrucker automatisch in der Liste der verfügbaren Drucker angezeigt.
• Administratoren können eine Gruppenrichtlinie verwenden, um Standardprogramme zum Öffnen von bestimmten Dateitypen festzulegen und den Zugang der Nutzer zu diesen Einstellungen einschränken.

GPO Best Practices

Erstellen Sie eine durchdachte Organisationsstruktur in Active Directory, um das Verwenden von und die Fehlerbehebung für Gruppenrichtlinien zu vereinfachen.

Geben Sie GPOs ausdrucksstarke Namen, damit Ihre Kollegen schnell erkennen können, was jedes GPO tut.

Fügen Sie jedem GPO Kommentare hinzu, die erklären, warum es erstellt wurde, welchen Zweck es hat und welche Einstellung es hat.

Legen Sie keine Gruppenrichtlinienobjekte auf Domänenebene fest, da sie auf alle Computer- und Benutzerobjekte angewendet werden und sie leicht Entitäten übersehen, für die Sie eine Ausnahme benötigen.

Deaktivieren Sie kein Gruppenrichtlinienobjekt. Löschen Sie stattdessen die Verknüpfung mit der entsprechenden Organisationseinheit. Das Deaktivieren des GPO verhindert, dass es in der Domäne vollständig angewendet wird. Das könnte ein Problem sein, denn wenn diese bestimmte Gruppenrichtlinie in einer anderen OU verwendet wird, funktioniert sie dort nicht mehr.