Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Die Herausforderung bei der Nutzung von Gruppenrichtlinien liegt darin, einen Kompromiss aus einer differenzierten Steuerung von Clients und einem möglichst geringen administrativen Aufwand zu finden. Ein Modell für die effiziente Nutzung von Gruppenrichtlinien wird in diesem Artikel vorgestellt.

Das größte Risiko bei Gruppenrichtlinien liegt darin, dass man sehr viel Arbeit in die Einrichtung steckt, ohne den gewünschten Erfolg zu erzielen, und leicht den Überblick verliert. Um das zu vermeiden, muss man sich beim Design von Gruppenrichtlinien an bestimmte Vorgehensweise oder „Best Practices“ halten.

Die Basis

Da Gruppenrichtlinien nur Domänen, organisatorischen Einheiten und Standorten zugeordnet werden können, ist die Strukturierung der Active Directory-Infrastruktur entscheidend für die Effizienz der Arbeit mit Gruppenrichtlinien. Das heißt nicht, dass man sich beim Design des Active Directory primär an den Gruppenrichtlinien orientieren muss. Aber um eine optimale Lösung zu finden, sollten sie mit beachtet werden.

Eine sinnvolle Struktur des Active Directory ist in der Regel auch eine relativ gute Basis für die Gruppenrichtlinien. Wer das Active Directory sauber strukturiert, hat zumindest eine Basis für eine effiziente Umsetzung von Gruppenrichtlinien, bei der es allerdings meist noch zwei größere Herausforderungen gibt:

  • Die Strukturen des Active Directory sind oft zu grob, um effizient mit Gruppenrichtlinien arbeiten zu können.

  • Deshalb werden für einen effizienten Einsatz von Gruppenrichtlinien in der Regel ergänzende Strukturen benötigt, wie sie beispielsweise mit dem Container Domain Controllers in Einzelfällen auch vorhanden sind.

Bei der Arbeit mit Gruppenrichtlinien ist zu beachten, dass es sich um ein Konstrukt handelt, das sich in erster Linie an Domänen orientiert. Eine Vererbung über die Grenzen von Domänen in einem hierarchisch aufgebauten Forest mit mehreren Domänen ist nicht möglich – geschweige denn, über die Grenzen von Forests hinweg, selbst wenn mit Cross-Forest-Trusts gearbeitet wird.

Theoretisch können zwar auch GPOs (Group Policy Objects, Gruppenrichtlinienobjekte) aus anderen Forests zugeordnet werden. In der Praxis macht das aber wenig Sinn, weil der Verarbeitungsaufwand bei der Nutzung von GPOs über Domänengrenzen zu hoch ist. Um aber einheitliche Standardrichtlinien in mehreren Domänen zu erhalten, kann man in einer Domäne – sinnvollerweise der Top-Level-Domäne im Forest – ein GPO erstellen, das nicht verknüpft ist, sondern nur die Informationen enthält, die sich in allen Standardrichtlinien finden sollen. Dieses kann gesichert und anschließend in jeder Domäne in die definierte Standardrichtlinie eingelesen werden. Die verwendete Standardrichtlinie ist dabei – so viel vorab – sinnvollerweise nicht die Richtlinie Default Domain Policy.

In einem Forest gibt es eine oder mehrere Domänen, innerhalb derer der größte Teil des Managements von Gruppenrichtlinien erfolgt. Pro Domäne gibt es die zwei bekannten Standardrichtlinien:

  • Default Domain Policy ist die Standardrichtlinie, die für alle Clients und Server in einer Domäne gilt.

  • Default Domain Controllers Policy ist der organisatorischen Einheit Domain Controllers zugeordnet und enthält Einstellungen speziell für die Domänencontroller.

Zu beachten ist, dass sich die Richtlinie Default Domain Policy auch auf den Ordner Domain Controllers auswirkt, was sich im Register Gruppenrichtlinienvererbung in der GPMC gut erkennen lässt (Bild 1). Das ist deshalb wichtig, weil sich Änderungen in der Richtlinie damit auch auf Domänencontroller auswirken, was keineswegs immer erwünscht ist.

Bild 1: Die Richtlinie Default Domain Policy wird auch auf den Ordner Domain Controllers vererbt.
Bild 1: Die Richtlinie Default Domain Policy wird auch auf den Ordner Domain Controllers vererbt.

Sobald die Domänen etwas größer werden, stößt man aber an die Grenzen für die effiziente Nutzung von Gruppenrichtlinien. Schon bei einigen Dutzend Benutzern wird man nicht mehr mit einer einheitlichen Richtlinie auskommen, von speziellen Gruppen wie Administratoren und Operatoren einmal ganz abgesehen. Wenn es in einer Domäne Hunderte oder Tausende von Benutzern gibt, muss man in jedem Fall weiter strukturieren. Das Mittel hierfür sind die organisatorischen Einheiten.

Genau das ist auch der Bereich, in dem man die Strukturen des Active Directory unter Umständen für Gruppenrichtlinien anpassen muss. Denn oft wird für die normale Administration nicht mit organisatorischen Einheiten gearbeitet. Sie machen auch manches schwieriger wie beispielsweise die Konfiguration von Provisioning-Lösungen, die in diesem Fall Benutzer und Gruppen in einer Vielzahl organisatorischer Einheiten anlegen müssen statt nur in einer oder wenigen Domänen. Auf der anderen Seite wird der Implementierungsaufwand für Gruppenrichtlinien deutlich geringer, wenn man mit organisatorischen Einheiten arbeitet, um Benutzer mit gleichen Bedürfnissen zusammenzufassen. Dabei ist die Strukturierung nach dem organisatorischen Aufbau des Unternehmens ein Ansatz, der eigentlich immer funktioniert. Das kann zwar bei organisatorischen Änderungen einigen Anpassungsaufwand verursachen, ist aber in der Regel noch gut beherrschbar. Zudem gilt es auch hier einen Mittelweg zwischen der genauen Abbildung und der Nutzbarkeit zu finden. Grundsätzlich gilt, dass man organisatorische Strukturen nur soweit abbilden muss, wie sich daraus auch Änderungen für die Gruppenrichtlinien ergeben.

Falls man für andere Anforderungen eine detailliertere Strukturierung vorgenommen hat, ist das wiederum kein Problem, da sich Gruppenrichtlinien vererben. Im Zweifelsfall werden sie nur auf höherer Ebene organisatorischer Einheiten und nicht auf der niedrigsten Ebene zugeordnet.