JumalaSika ltd - Fotolia
Zentrale Datenspeicher bringen Ordnung in Gruppenrichtlinien
In einem zentralen Speicher für Gruppenrichtlinienvorlagen speichern Sie die Vorlagen für alle Active Directory-Domänencontroller zentral. Wir erklären, wie das funktioniert.
Mit einem zentralen Speicher für Gruppenrichtlinienvorlagen erreichen Sie einheitliche Gruppenrichtlinienvorlagen auf allen Domänencontrollern (DC) und setzen somit durch, dass alle verteilten Gruppenrichtlinieneinstellungen auf dem gleichen Stand sind. Da es nur einen zentralen Speicherort gibt, nutzen alle PCs und Mitgliedsserver die gleichen Vorlagen für Gruppenrichtlinien und diese sind recht einfach zu verwalten.
Arbeitsstationen und Mitgliedsserver verwenden zum Anmelden ihren Domänencontroller, der zum Standort und Subnetz passt. Der Domänencontroller liest wiederum die Gruppenrichtlinien und verwendet die Gruppenrichtlinienvorlagen. Wenn Sie einen zentralen Speicher eingerichtet haben, bezieht er diese Vorlagen von dort. Die Arbeitsstationen und Mitgliedsserver haben damit nichts zu tun. ADMX- und ADML-Dateien für Gruppenrichtlinien sind für die Clients uninteressant – sie erhalten die darin enthaltenen Informationen nur über den Domänencontroller.
Zentraler Speicher für Gruppenrichtlinien vereinfacht die Verwaltung der Vorlagen
Ohne einen zentralen Speicher nutzt jeder Domänencontroller in Active Directory seinen eigenen Speicher für Gruppenrichtlinienvorlagen und da Sie jeden davon pflegen, aktualisieren und überwachen sollten, wird das schnell etwas aufwendig. Bei neuen Gruppenrichtlinienvorlagen sollten Sie diese außerdem möglichst gleichzeitig auf alle angebundenen DCs verteilen, damit die Clients konfiguriert sind. Problematisch ist das vor allem bei Vorlagen, die Sicherheitseinstellungen betreffen und möglichst schnell auf allen Clients verteilt sein müssen. Ist auf einem DC die Vorlage noch nicht aktuell, lassen sich bestimmte Einstellungen unter Umständen nicht verteilen.
Der zentrale Speicher hingegen stellt für alle angebundenen DCs alle Vorlagen zentral bereit, es ist keine manuelle Pflege von Vorlagen notwendig. Neu installierte Domänencontroller werden außerdem automatisch mit den notwendigen Vorlagen versorgt, ohne dass Sie eingreifen müssen.
Es kommt häufig vor, dass Sie als Admin Einstellungen auf Clients ausrollen müssen, zum Beispiel wenn es um Sicherheitsvorfälle geht. Wenn in diesem Fall die entsprechenden Vorlagen auf einem DC noch nicht vorhanden sind, geht ein Risiko davon aus, dass Arbeitsstationen sich über diesen Domänencontroller anmelden. Das lässt sich mit einem zentralen Speicher vermeiden.
Zentralen Speicher für Gruppenrichtlinienvorlagen definieren
Um einen zentralen Speicher für Gruppenrichtlinienvorlagen zu erstellen, besteht der erste Schritt darin, alle aktuellen Gruppenrichtlinienvorlagen herunterzuladen und in einem Ordner zu speichern. Dabei kann es sich auch um Gruppenrichtlinien für Microsoft Office und andere Anwendungen handeln, die sich aus dem Internet herunterladen lassen:
Administrative Templates (.admx) for Windows 11 2022 Update (22H2)
Sammeln Sie die ADMX- und ADML-Dateien zunächst, bevor Sie diese an einen zentralen Speicherort verschieben. Generell ist es sinnvoll die Dateien zunächst auf einer lokalen Arbeitsstation in das Verzeichnis C:\Windows\PolicyDefinitions zu speichern und zu prüfen, ob diese lokal in der Verwaltung der Gruppenrichtlinien funktionieren. Anschließend verwenden Sie sie in Active Directory weiter, wie in den nächsten Abschnitten besprochen.
Erstellen Sie den zentralen Speicher auf einem Domänencontroller in der Sysvol-Freigabe, innerhalb des Ordners, der den FQDN (Fully Qualified Domain Name) der Umgebung trägt, zum Beispiel \\dc1\sysvol\joos.int. Der Speicherort für dieses Verzeichnis ist normalerweise C:\Windows\SYSVOL\sysvol\joos.int. Die Freigabe ist in diesem Beispiel auch über den Pfad \\joos.int\SYSVOL\joos.int\PolicyDefinitions verfügbar.
Wechseln Sie in diesem Order in das Verzeichnis Policies. Hier benötigen Sie noch einen weiteren Ordner PolicyDefintions. Nun kopieren Sie dorthin alle ADMX-Dateien, die Sie im zentralen Speicherort als Vorlage benötigen. Die ADML-Dateien kommen in das jeweilige Unterverzeichnis für die Sprache, zum Beispiel de-de oder en-us. Wichtig ist, dass sich die ADMX-Dateien, im Hauptverzeichnis PoliciesDefinition befinden und die ADML-Dateien in den jeweiligen Unterverzeichnissen. Auf die gleiche Weise lassen sich auch die Gruppenrichtlinienvorlagen für Office verteilen.
Auf den zentralen Speicher für Gruppenrichtlinien zugreifen
Alle ADMX-Dateien müssen sich nach dem Vorgang im Verzeichnis C:\Windows\SYSVOL\sysvol\joos.int befinden. Der Name der Domäne hängt natürlich von der jeweiligen Domäne ab.
Um herauszufinden, ob der zentrale Speicher funktioniert, öffnen Sie auf einem Domänencontroller die Gruppenrichtlinienverwaltungskonsole und starten Sie die Bearbeitung einer Gruppenrichtlinie. Bei Richtlinien solle über Administrative Vorlage zu sehen sein, dass die Richtliniendefinitionen nicht aus einem lokalen Speicher gezogen werden, sondern vom zentralen Speicher der Active Directory-Umgebung.
