Gruppenrichtlinienobjekt (Group Policy Object, GPO)
Gruppenrichtlinienobjekte (Group Policy Object, GPO) von Microsoft sind eine Sammlung von Gruppenrichtlinieneinstellungen, die definieren, wie Desktops für eine definierte Benutzergruppe konfiguriert sind.
Microsoft bietet ein Programm-Snap-In, mit dem Admins die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden. Dort erstellen sie Gruppenrichtlinienobjekte, die Active-Directory-Containern zugeordnet sind, zum Beispiel Sites, Domänen oder Organisationseinheiten (OU). Die GPOs enthalten dann für diese Entitäten Richtlinien sowie Sicherheits-, Installations- und Wartungseinstellungen, Konfigurationen für Skripte und zum Verschieben von Ordnen.
Arten von Gruppenrichtlinienobjekten
Es gibt drei Arten von GPOs: lokal, nicht lokal und Starter.
- Lokale Gruppenrichtlinienobjekte. Ein lokales Gruppenrichtlinienobjekt bezieht sich auf die Sammlung von Gruppenrichtlinieneinstellungen, die nur für den lokalen Computer und die Benutzer gelten, die sich an diesem Computer anmelden. Lokale Gruppenrichtlinienobjekte dienen dazu, Richtlinieneinstellungen nur auf einen einzelnen Windows-Computer oder -Benutzer anzuwenden. Lokale Gruppenrichtlinienobjekte sind standardmäßig auf allen Windows-Computern vorhanden.
- Nicht-lokale Gruppenrichtlinienobjekte. Ein nicht lokales Gruppenrichtlinienobjekt wird verwendet, wenn Richtlinieneinstellungen auf einen oder mehrere Windows-Computer oder -Benutzer angewendet werden müssen. Sie gelten für alle Windows-Computer oder -Benutzer, sobald sie mit den zugehörigen Active-Directory-Objekten wie Sites, Domänen oder Organisationseinheiten verknüpft sind.
- Starter-Gruppenrichtlinienobjekte. Gruppenrichtlinienobjekte sind Vorlagen für Gruppenrichtlinieneinstellungen und wurden mit Windows Server 2008 eingeführt.
Objekte ermöglichen es einem Administrator, eine vorkonfigurierte Gruppe von Einstellungen zu erstellen und zu verwenden, die eine Grundlinie für jede zukünftige zu erstellende Richtlinie darstellen.
Gruppenrichtlinien für Sicherheitseinstellungen
Es gibt einige Gruppenrichtlinieneinstellungen, die zum Schutz des Unternehmensnetzwerks beitragen. So kann ein Unternehmen Skripte einrichten, Benutzer am Zugriff auf bestimmte Ressourcen hindern und einfache Aufgaben ausführen, zum Beispiel das Öffnen einer bestimmten Homepage für jeden Netzwerkbenutzer erzwingen.
Einige dieser Sicherheitsmaßnahmen umfassen:
- Einschränken des Zugriffs auf die Systemsteuerung. Über die Systemsteuerung kann der Benutzer alle Aspekte eines Computers kontrollieren. Indem das Unternehmen einschränkt, welche Einstellungen die Nutzer selbst vornehmen können, schützt das Unternehmen Daten und Hardwareressourcen.
- Deaktivieren der Eingabeaufforderung. Nutzer verwenden Eingabeaufforderungen, um Befehle auszuführen, die große Auswirken auf das System haben und bestimmte Einschränkungen der Benutzeroberfläche Aus diesem Grund ist es ratsam, die Eingabeaufforderung zu deaktivieren, um die Sicherheit der Systemressourcen zu gewährleisten.
- Rechte zum Installieren von Software einschränken. Wenn Benutzer Software installieren dürfen, können sie unerwünschte Anwendungen oder Malware installieren, die das System eines Unternehmens gefährden. Daher ist es besser, dies über Gruppenrichtlinien zu verhindern, so dass das IT-Team jede neue Software genehmigen muss.
Vorteile von Gruppenrichtlinienobjekten
Die Implementierung von GPOs bietet neben der Sicherheit mehrere Vorteile, darunter:
- Effizientere Verwaltung – Durch das konsequente Durchsetzen von GPOs haben alle Geräte und Desktops im Unternehmen einheitliche Eigenschaften. Das beschleunigt die Verwaltung.
- Einfache Aktualisierung – Systemadministratoren können Software, Patches und andere Updates über GPOs bereitstellen.
- Durchsetzen von Passwortrichtlinien – GPOs bestimmen die Passwortlänge und weitere Anforderungen, um das Netzwerk eines Unternehmens zu schützen.
- Konfigurieren der Ordnerumleitung – Mit GPOs können Unternehmen sicherstellen, dass Benutzer wichtige Unternehmensdateien auf einem zentralen und überwachten Speichersystem aufbewahren. Dafür können IT-Teams beispielsweise den Inhalt im Dokumentenordner eines Benutzers an einen Netzwerkspeicherort umleiten.

Einschränkungen von GPOs
Zu den Einschränkungen von Gruppenrichtlinienobjekten gehören:
- Sie werden sequentiell ausgeführt; das heißt, GPOs verarbeiten Aktionen nacheinander. Wenn viele Gruppenrichtlinienobjekte konfiguriert werden müssen, kann dies den Startvorgang in die Länge ziehen.
- Die Flexibilität ist begrenzt – GPOs können nur auf Benutzer, Gruppen oder Computer angewendet werden. Daher sind sie begrenzt, wenn es darum geht, Einstellungen anhand des Kontexts anzuwenden.
- Begrenzte Auslöser – GPOs können nur bei der Anmeldung des Benutzers oder in festen Intervallen ausgeführt werden. GPOs können nicht auf Änderungen in der Umgebung reagieren, wie zum Beispiel das Trennen oder erneute Verbinden des Netzwerks.
- Schwierig zu warten – es gibt keine integrierte Such- oder Filteroption, um eine bestimmte Einstellung in einem GPO zu finden, was es schwierig macht, Probleme mit vorhandenen Einstellungen zu finden oder zu beheben.
- Keine Versionskontrolle – Änderungen an den GPO-Einstellungen werden nicht überwacht. Wenn also eine falsche Änderung vorgenommen wird, ist es unmöglich zu sagen, was die Änderung war oder wer sie vorgenommen hat.
Verarbeitungsreihenfolge von GPOs
Die Reihenfolge, in der Windows Gruppenrichtlinien anwendet bestimmt, welche Einstellungen wirklich durchgesetzt werden. Die Eselsbrücke, um sich diese Reihenfolge zu merken, lautet LSDOU: Lokal, Standort, Domäne, Organisationseinheit. Zuerst wird die lokale Computerrichtlinie verarbeitet, gefolgt von Active-Directory-Richtlinien von der Standortebene bis zur Domäne, dann in OU (GPOs in verschachtelten Organisationseinheiten gelten zuerst von der OU, die dem Stamm am nächsten liegt, und wird von dort aus fortgesetzt). Bei Konflikten wird die zuletzt angewendete Richtlinie wirksam.
Beispiele für GPOs
Im Folgenden finden Sie Beispiele für Gruppenrichtlinien:
- Die GPO enthält Einstellungen dafür, welche Webseite als Startseite in den Browsern der Benutzer festgelegt ist.
- Über eine Gruppenrichtlinie weisen Administratoren Netzwerkdrucker bestimmten Organisationseinheiten zu. Wenn sich ein Benutzer sich bei Windows anmeldet, wird der zugewiesene Netzwerkdrucker automatisch in der Liste der verfügbaren Drucker angezeigt.
- Administratoren können eine Gruppenrichtlinie verwenden, um Standardprogramme zum Öffnen von bestimmten Dateitypen festzulegen und den Zugang der Nutzer zu diesen Einstellungen einschränken.
Best Practices für GPOs
- Erstellen Sie eine durchdachte Organisationsstruktur in Active Directory, um das Verwenden von und die Fehlerbehebung für Gruppenrichtlinien zu vereinfachen.
- Geben Sie GPOs ausdrucksstarke Namen, damit Ihre Kollegen schnell erkennen können, was jedes GPO tut.
- Fügen Sie jedem GPO Kommentare hinzu, die erklären, warum es erstellt wurde, welchen Zweck es hat und welche Einstellungen es hat.
- Legen Sie keine Gruppenrichtlinienobjekte auf Domänenebene fest, da sie auf alle Computer- und Benutzerobjekte angewendet werden und sie leicht Entitäten übersehen, für die Sie eine Ausnahme benötigen.
Deaktivieren Sie kein Gruppenrichtlinienobjekt. Löschen Sie stattdessen die Verknüpfung mit der entsprechenden Organisationseinheit. Der Hintergrund ist, dass das GPO möglicherweise