Das Gruppenrichtlinienobjekt (Group Policy Object, GPO) von Microsoft ist eine Sammlung von Gruppenrichtlinieneinstellungen, die definieren, wie ein System aussehen und wie es sich für eine definierte Gruppe von Benutzern verhalten wird.
Microsoft stellt ein Programm-Snap-In bereit, mit dem Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden können. Die Auswahl führt zu einem Gruppenrichtlinienobjekt. Das Gruppenrichtlinienobjekt ist ausgewählten Active Directory-Containern zugeordnet, z. B. Standorten, Domänen oder Organisationseinheiten (OU). Mit der Gruppenrichtlinienverwaltung können Sie ein Gruppenrichtlinienobjekt erstellen, das registrierungsbasierte Richtlinien, Sicherheitsoptionen, Softwareinstallations- und Wartungsoptionen, Skriptoptionen und Ordnerumleitungsoptionen definiert.
Arten von Gruppenrichtlinienobjekten
Es gibt drei Arten von Gruppenrichtlinienobjekten: lokal, nicht lokal und Starter.
- Lokale Gruppenrichtlinienobjekte. Ein lokales Gruppenrichtlinienobjektbezieht sich auf die Sammlung von Gruppenrichtlinieneinstellungen, die nur für den lokalen Computer und die Benutzer gelten, die sich an diesem Computer anmelden. Lokale Gruppenrichtlinienobjekte werden verwendet, wenn Richtlinieneinstellungen auf einen einzelnen Windows-Computer oder -Benutzer angewendet werden müssen. Lokale Gruppenrichtlinienobjekte sind standardmäßig auf allen Windows-Computern vorhanden.
- Nicht lokale Gruppenrichtlinienobjekte. Ein nicht lokales Gruppenrichtlinienobjektwird verwendet, wenn Richtlinieneinstellungen für einen oder mehrere Windows-Computer oder -Benutzer gelten müssen. Nicht lokale Gruppenrichtlinienobjekte gelten für Windows-Computer oder -Benutzer, sobald sie mit Active Directory-Objekten wie Websites, Domänen oder Organisationseinheiten verknüpft sind.
- Startergruppenrichtlinienobjekte. Die in Windows Server 2008 eingeführten Starter-Gruppenrichtlinienobjekte sind Vorlagen für Gruppenrichtlinieneinstellungen. Diese Objekte ermöglichen es einem Administrator, eine vorkonfigurierte Gruppe von Einstellungen zu erstellen, die eine Baseline für jede zukünftige zu erstellende Richtlinie darstellen.
Datensicherheit und Gruppenrichtlinienobjekt
Es gibt einige Gruppenrichtlinieneinstellungen, die zur Sicherung des Unternehmensnetzwerks beitragen können. Über Gruppenrichtlinien kann eine Organisation beispielsweise Skripte ausführen, Benutzer am Zugriff auf bestimmte Ressourcen hindern und einfache Aufgaben ausführen, z. B. das Öffnen einer bestimmten Startseite für jeden Netzwerkbenutzer erzwingen.
Einige dieser Sicherheitsmaßnahmen umfassen:
- Beschränken des Zugriffs auf das Control Panel – Über das Control Panel kann ein Unternehmen alle Aspekte eines Computers steuern. Durch die Beschränkung des Zugriffs auf einen Computer können Unternehmen Daten und andere Ressourcen schützen.
- Eingabeaufforderung deaktivieren – Ein Unternehmen kann Eingabeaufforderungen verwenden, um Befehle auszuführen, die Benutzern Zugriff auf hoher Ebene gewähren und andere Systemeinschränkungen umgehen. Aus diesem Grund ist es ratsam, die Eingabeaufforderung zu deaktivieren, um die Sicherheit der Systemressourcen zu gewährleisten. Wenn ein Benutzer versucht, ein Befehlsfenster zu öffnen, nachdem die Eingabeaufforderung deaktiviert wurde, zeigt das System eine Meldung an, dass einige Einstellungen dies verhindern.
- Softwareinstallationen verhindern – Wenn Benutzer Software installieren dürfen, können sie unerwünschte Anwendungen oder Malware installieren, die das System eines Unternehmens gefährden können. Daher ist es besser, Softwareinstallationen über Gruppenrichtlinien zu verhindern.
Vorteile von Gruppenrichtlinienobjekten
Die Implementierung von Gruppenrichtlinienobjekten bietet neben der Sicherheit mehrere Vorteile, darunter:
- Effizientere Verwaltung – Bereits vorhandene Gruppenrichtlinienobjekte wenden eine standardisierte Umgebung auf alle neuen Benutzer und Computer an, die der Domäne einer Organisation beitreten.
- Einfache Verwaltung – Systemadministratoren können Software, Patches und andere Updates über das Gruppenrichtlinienobjekt bereitstellen.
- Bessere Durchsetzung von Kennwortrichtlinien – Gruppenrichtlinienobjekte bestimmen die Kennwortlänge, verwenden Regeln erneut und legen andere Anforderungen für Kennwörter fest, um das Netzwerk eines Unternehmens zu schützen.
- Konfigurieren der Ordnerumleitung – Gruppenrichtlinienobjekte ermöglichen es Unternehmen sicherzustellen, dass Benutzer wichtige Unternehmensdateien auf einem zentralen und überwachten Speichersystem aufbewahren. Beispielsweise kann eine Organisation den Dokumentordner eines Benutzers, der normalerweise auf einem lokalen Laufwerk gespeichert ist, an einen Netzwerkspeicherort umleiten.
Einschränkungen von Gruppenrichtlinienobjekten
Zu den Einschränkungen von Gruppenrichtlinienobjekten gehören:
- Sie werden nacheinander ausgeführt – Gruppenrichtlinienobjekte verarbeiten nacheinander Aktionen. Wenn viele Gruppenrichtlinienobjekte konfiguriert werden müssen, kann es daher lange dauern, bis sich Benutzer anmelden.
- Die Flexibilität ist begrenzt – Gruppenrichtlinienobjekte können nur auf Benutzer oder Computer angewendet werden. Sie sind also begrenzt, wenn es darum geht, kontextbasierte Einstellungen anzuwenden.
- Begrenzte Trigger – Gruppenrichtlinienobjekte können nur beim Start des Computers, bei der Anmeldung eines Benutzers oder in festgelegten Intervallen angewendet werden. Gruppenrichtlinienobjekte können nicht auf Änderungen in der Umgebung reagieren, z. B. Trennen oder erneutes Verbinden des Netzwerks.
- Schwer zu warten – Es gibt keine integrierte Such- oder Filteroption, um eine bestimmte Einstellung innerhalb eines Gruppenrichtlinienobjekts zu finden, was es schwierig macht, Probleme mit vorhandenen Einstellungen zu finden oder zu beheben.
- Keine Versionskontrolle – Änderungen an den Gruppenrichtlinienobjekteinstellungen werden nicht geprüft. Wenn also eine falsche Änderung vorgenommen wird, ist es unmöglich zu sagen, was die Änderung war oder wer sie vorgenommen hat.
Verarbeitungsreihenfolge der Gruppenrichtlinienobjekte
Die Verarbeitungsreihenfolge der Gruppenrichtlinien beeinflusst, welche Einstellungen auf den Computer oder den Endbenutzer angewendet werden. Diese Verarbeitungsreihenfolge wird als LSDOU bezeichnet: lokal, Standort, Domäne, Organisationseinheit. Zuerst wird die lokale Computerrichtlinie verarbeitet, gefolgt von Active Directory-Richtlinien von der Standortebene bis zur Domäne und dann in Organisationseinheiten (Gruppenrichtlinienobjekte in verschachtelten Organisationseinheiten werden zuerst von der Organisationseinheit angewendet, die dem Stamm am nächsten liegt, und von dort aus fortgesetzt). Bei Konflikten wird die zuletzt angewendete Richtlinie wirksam.
Beispiele für Gruppenrichtlinienobjekte
Im Folgenden finden Sie Beispiele für Gruppenrichtlinienobjekte:
- Ein Gruppenrichtlinienobjekt kann die Startseite angeben, die zum ersten Mal angezeigt wird, wenn ein Benutzer Internet Explorer startet. Wenn sich der Benutzer bei der Domäne anmeldet, wird dieses Gruppenrichtlinienobjekt abgerufen und auf die Konfiguration des Internet Explorers des Benutzers angewendet.
- Eine Organisation kann freigegebene Netzwerkdruckerverbindungen für Benutzer aus einer bestimmten Organisationseinheit von Active Directory mithilfe von Gruppenrichtlinien bereitstellen. Wenn sich ein Benutzer bei Windows anmeldet, wird automatisch ein zugewiesener Netzwerkdrucker in der Liste der verfügbaren Drucker angezeigt.
- Administratoren können mithilfe einer Gruppenrichtlinie Einstellungen anpassen, z. B. Computeranzeigen für einen bestimmten Zeitraum ausschalten, Standardprogramme auswählen und verhindern, dass Benutzer die Internetverbindungsoptionen ändern.
Best Practices
Einige Best Practices für Gruppenrichtlinienobjekte umfassen:
- Erstellen Sie eine gut gestaltete Organisationseinheitsstruktur in Active Directory, um die Anwendung und Fehlerbehebung von Gruppenrichtlinien zu vereinfachen.
- Geben Sie Gruppenrichtlinienobjekten beschreibende Namen, damit Administratoren schnell erkennen können, was die einzelnen Gruppenrichtlinienobjekte tun.
- Fügen Sie jedem Gruppenrichtlinienobjekt Kommentare hinzu, in denen erläutert wird, warum es erstellt wurde, wozu es dient und welche Einstellungen es hat.
- Legen Sie keine Gruppenrichtlinienobjekte auf Domänenebene fest, da sie auf alle Computer- und Benutzerobjekte angewendet werden. Dies kann dazu führen, dass einige Einstellungen unnötig auf einige Objekte angewendet werden.
- Verwenden Sie keine Stammcomputer oder Benutzerordner in Active Directory, da es sich nicht um Organisationseinheiten handelt und keine Gruppenrichtlinienobjekte mit ihnen verknüpft werden können. Wenn ein neuer Benutzer oder ein neues Computerobjekt in diesen Ordnern angezeigt wird, sollte es sofort in die entsprechende Organisationseinheit verschoben werden.
- Deaktivieren Sie kein Gruppenrichtlinienobjekt. Löschen Sie stattdessen den Link aus einer Organisationseinheit, anstatt das Gruppenrichtlinienobjekt zu deaktivieren, wenn Sie nicht möchten, dass es angewendet wird. Durch Deaktivieren des Gruppenrichtlinienobjekts wird verhindert, dass es vollständig auf die Domäne angewendet wird. Das könnte ein Problem sein, denn wenn diese bestimmte Gruppenrichtlinie in einer anderen Organisationseinheit verwendet wird, funktioniert sie dort nicht mehr.