Flashizzle/peopleimages.com - st
Wann überschreibt eine AD-Domänen-Gruppenrichtlinie die lokale?
Es gibt mehrere Arten von Gruppenrichtlinien, die für ein System angewendet werden können. Daher muss die IT-Abteilung diese GPOs verwalten, damit die richtigen vorhanden sind.
Gruppenrichtlinien bieten Active-Directory-Administratoren Tausende von Konfigurationsoptionen, die sie auf verschiedenen Ebenen anwenden können, wodurch ein flexibles System konsistente Umgebungen mit der richtigen Software, Benutzeroberfläche und den richtigen Sicherheitseinstellungen bereitstellt.
Administratoren müssen jedoch die Reihenfolge der Richtlinienanwendung verstehen, insbesondere beim Troubleshooting, wenn unerwartete Gruppenrichtlinienkonfigurationen zu Konflikten führen. Andernfalls besteht die Gefahr, dass Richtlinien falsch angewendet werden und die Produktivität der Benutzer beeinträchtigt wird.
Ein häufiges Problemfeld, das zu Verwirrung führen kann, ist der Unterschied zwischen lokalen Gruppenrichtlinien und Active-Directory-basierten (AD) Einstellungen. Viele Mitarbeiter im Desktop-Support werden auf diesen Konflikt stoßen, insbesondere in Umgebungen, in denen die Gestaltung und Verknüpfung von Gruppenrichtlinien nicht sorgfältig geregelt ist.
Verstehen Sie Gruppenrichtlinieneinstellungen
IT-Administratoren können Gruppenrichtlinieneinstellungen mithilfe lokaler und AD-basierter Gruppenrichtlinienobjekte (GPOs) konfigurieren. Beide sind nützlich, aber lokale Richtlinien sind in AD-Umgebungen seltener.
Lokale Gruppenrichtlinieneinstellungen
Durch die Konfiguration von Arbeitsstationen mit lokalen Gruppenrichtlinieneinstellungen können Administratoren Konfigurationen auf Windows-Systemen mit und ohne Domänenmitgliedschaft gleichermaßen verwalten.
Lokale GPOs sind jedoch dezentralisiert. Desktop-Administratoren müssen sie für jeden Computer einzeln konfigurieren und anwenden, was bei der Verwaltung zahlreicher Systeme schwierig ist. Stellen Sie sich vor, Sie müssten 30 lokale Gruppenrichtlinieneinstellungen auf 15 verschiedenen Computern konfigurieren. Das wäre zeitaufwendig und würde Raum für menschliche Fehler lassen. Administratoren müssen später zu jedem System zurückkehren, um diese Konfigurationen anzupassen.
Gruppenrichtlinieneinstellungen für Active Directory
Die Zentralisierung ist ein wesentlicher Vorteil von Active Directory, insbesondere bei Gruppenrichtlinien. AD-basierte Gruppenrichtlinienobjekte (GPOs) haben Tausende von Einstellungen zu verwalten – weit mehr als lokale GPOs – und können von einer einzigen Gruppenrichtlinien-Verwaltungskonsole (GPMC) aus verwaltet werden.
Administratoren müssen ein GPO verknüpfen, um seine Einstellungen anzuwenden – bei diesem Prozess wird ein GPO mit einem oder mehreren AD-Objekten verknüpft: AD-Sites, die Domäne und Organisationseinheiten (AD OU). AD-Administratoren können GPOs nicht mit einzelnen Benutzerkonten oder Gruppen verknüpfen.
Achten Sie auf die AD-Begriffe Container und Organisationseinheit (OU). Container sind integrierte Storage-Objekte für grundlegende AD-Funktionen. Organisationseinheiten sind vom Administrator erstellte Gruppen, um Benutzer- und Computerkonten logisch zu organisieren, häufig nach Abteilung, Projekt oder Standort. Der entscheidende Unterschied besteht darin, dass die IT-Abteilung Gruppenrichtlinienobjekte auf Organisationseinheiten anwenden kann, nicht jedoch auf Container.
Die drei AD-Objekte, mit denen Administratoren Gruppenrichtlinienobjekte verknüpfen können, ermöglichen unterschiedliche Bereiche für ihre Einstellungen.
- Standortgebundene Gruppenrichtlinienobjekte gelten für alle Benutzer oder Computer, die sich an einem bestimmten physischen Standort authentifizieren, zum Beispiel in der Unternehmenszentrale oder einer Zweigstelle.
- Domänengebundene Gruppenrichtlinienobjekte gelten für alle Benutzer oder Computer, die Domänenmitglieder sind.
- Organisationsgebundene Gruppenrichtlinienobjekte gelten für alle Benutzer oder Computer, die in dieser Organisationseinheit gespeichert sind. Organisationseinheiten repräsentieren häufig Abteilungen oder andere Geschäftseinheiten, die ähnliche Konfigurationen benötigen.
Hierarchie der Gruppenrichtlinieneinstellungen
Administratoren können Gruppenrichtlinienobjekte auf vier Ebenen anwenden: lokal, an AD-Standorten, in Domänen und in Organisationseinheiten. Probleme entstehen, wenn Gruppenrichtlinien miteinander in Konflikt stehen. Beispielsweise könnte ein Administrator eine Einstellung in einem domänenweit angewendeten Gruppenrichtlinienobjekt aktivieren, während ein anderer Administrator dieselbe Einstellung in einem organisationseinheitsweiten angewendeten Gruppenrichtlinienobjekt deaktiviert. Das führt zu unerwarteten Ergebnissen, es sei denn, das IT-Team kennt die genauen Regeln der Gruppenrichtlinienobjektverarbeitung.
Die Reihenfolge der GPO-Anwendung ist lokal, Standort, Domäne und OU. Die zuletzt angewendete Einstellung gewinnt.
1. Lokale GPOs: Diese Einstellungen werden zuerst von den Systemen verarbeitet und angewendet. Die meisten Geschäftsumgebungen vermeiden diese dezentralen GPOs.
2. AD-Standort-GPOs: AD-GPOs, die mit einem Standort verknüpft sind, werden als Nächstes angewendet. Diese standortspezifischen Einstellungen, die sich auf einen bestimmten Standort beziehen, hängen davon ab, wo sich ein Benutzer oder Computer authentifiziert. Administratoren können ein GPO verwenden, um Druckereinstellungen auf allen Systemen an dem Standort bereitzustellen, an dem sich das Druckgerät befindet.
3. AD-Domänen-GPOs: Domänenverknüpfte GPOs werden als Nächstes angewendet. Diese GPOs sollten unternehmensweite Einstellungen enthalten, die für alle Benutzer und Computer gelten. Dabei handelt es sich häufig um Sicherheitseinstellungen wie Firewall- oder Verschlüsselungsrichtlinien.
4. AD-Organisationseinheit-GPOs: GPOs, die mit OUs verknüpft sind, werden zuletzt angewendet. Diese sind am detailliertesten und stellen in der Regel abteilungsspezifische Einstellungen dar. Die IT-Abteilung kann ein GPO mit der Sales_Dept_OU verknüpfen, die vertriebsspezifische Software bereitstellt, die nicht für andere Abteilungen lizenziert ist. GPOs, die mit untergeordneten OUs verknüpft sind, werden nach GPOs angewendet, die mit der übergeordneten OU verknüpft sind.
Administratoren steht ein No-Override-Dienstprogramm (Erzwingen) zur Verfügung, das dafür sorgt, dass das angegebene GPO zuletzt angewendet wird und somit Konflikte gewinnt. Dadurch wird verhindert, dass mit OU verknüpfte Richtlinien Einstellungen anwenden, die mit domänenbezogenen Richtlinien in Konflikt stehen.
Beispiel für das Troubleshooting bei Konflikten mit Gruppenrichtlinien
Stellen Sie sich eine Firewall-Konfiguration vor, die zu einer Reihe von GPO-Konflikten in verschiedenen Schritten der Verarbeitungsreihenfolge führt.
1. Lokales Gruppenrichtlinienobjekt: Die Windows-Firewall ist deaktiviert. Wenn die Verarbeitung hier stoppt oder das System nicht in die Domäne eingebunden ist, ist die Firewall deaktiviert. Status = Aus.
2. Standort-GPO: Die Firewall ist auf Nicht konfiguriert eingestellt, das heißt, sie verwendet die Windows-Standardeinstellung oder eine Einstellung aus einem zuvor angewendeten Gruppenrichtlinienobjekt, das die Firewall deaktiviert hat. Status = Aus.
3. Domänen-GPO: Die Firewall ist aktiviert, wodurch die Firewall eingeschaltet wird. Wenn die Verarbeitung der Gruppenrichtlinie hier endet, ist die Firewall aktiviert, da dieses Gruppenrichtlinienobjekt später im Prozess angewendet wird als die lokalen und Standort-Gruppenrichtlinienobjekte, die sie deaktiviert haben. Status = Ein.
4. Organisationseinheit-GPO: Die Workstation befindet sich in einem Labor, in dem die Windows-Firewall ausgeschaltet sein muss, sodass sie durch dieses Gruppenrichtlinienobjekt deaktiviert wird. Dieses Gruppenrichtlinienobjekt wird nach dem Domänen-Gruppenrichtlinienobjekt angewendet, sodass die Firewall deaktiviert ist. Status = Aus.
Nach der Verarbeitung der vier Gruppenrichtlinienobjekte wird die Firewall-Konfiguration deaktiviert, da das mit der Organisationseinheit verknüpfte Gruppenrichtlinienobjekt gewinnt.
Troubleshooter könnten einige Gruppenrichtlinienobjekte auffallen, die die Firewall deaktivieren, und andere, die sie aktivieren, was zu Verwirrung über den Firewall-Status führt. Der Schlüssel liegt darin, zu verstehen, dass das zuletzt angewendete Gruppenrichtlinienobjekt die zuvor im Prozess angewendeten Gruppenrichtlinienobjekte überschreibt.
Der Group Policy Modeling Wizard in der GMPC kann Administratoren bei der Analyse von GPO-Konflikten helfen, bevor sie tatsächlich angewandt werden.
Bewährte Verfahren für die Verwaltung von GPOs
Lokale Gruppenrichtlinienobjekte sollten in AD-Umgebungen selten sein. Die Verwaltung dezentraler Konfigurationen ist einfach zu zeitaufwendig. Administratoren sollten alle Gruppenrichtlinienobjekte auf AD-Standort-, -Domänen- und -OU-Ebene verknüpfen, wenn möglich. Es ist viel einfacher, Einstellungen zu ändern und Optionen für mehrere Systeme mithilfe einer zentralisierten AD-Gruppenrichtlinie zu verwalten.
Die folgenden Befehlszeilen-Tools können Administratoren auch dabei helfen, GPO-Konfigurationen auf Desktop-Systemen erneut anzuwenden:
- gpresult: Dieser Befehl zeigt die erfolgreichen Gruppenrichtlinienobjekte an, die die endgültige Systemeinstellungen definieren. Genutzt mit dem Parameter gpresult /H report.html wird eine übersichtliche HTML-Ausgabe erzeugt.
- gpupdate /force: Dieser Befehl lädt die Gruppenrichtlinieneinstellungen vom authentifizierten Domänencontroller herunter und wendet sie erneut an.
Auch die Ereignisprotokolle können beim Troubleshooting hilfreich sein. Dieses Tool hilft IT-Administratoren, bestimmte Fehlermeldungen und Protokolle genauer zu untersuchen. Die IT-Abteilung kann herausfinden, welche Richtlinien vorhanden sind und wie sie sich auf das Ergebnis ausgewirkt haben könnten.
