Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Die konkrete Umsetzung an einem Beispiel

Nachdem die wichtigsten Regeln für die Nutzung von Gruppenrichtlinien erläutert wurden, werden nachfolgend noch einige für die Umsetzung wesentliche Punkte an konkreten Beispielen erklärt.

Der Ausgangspunkt ist eine Domäne, in der bereits wichtige organisatorische Einheiten definiert sind. Neben der Abbildung der wichtigsten organisatorischen Strukturen gibt es hier bereits spezielle OUs für die Server – mit mehreren untergeordneten OUs – und für die IT-Administration. Außerdem ist eine organisatorische Einheit Arbeitsplatzrechner vorhanden.

Ob diese erforderlich ist oder nicht, muss man im Einzelfall prüfen. Der Hintergrund für die Erstellung einer solchen OU ist, dass der spezielle Container Computers ebenso wenig wie der spezielle Computer Users in der GPMC sichtbar ist. Das liegt daran, dass es sich nicht um OUs handelt und diesen Containern daher auch keine Gruppenrichtlinien zugeordnet werden können. Um also unterschiedliche Einstellungen für verschiedene Gruppen von Computern vornehmen zu können, muss man entweder

  • mit Gruppen von Computern und der Sicherheitsfilterung bei Richtlinien auf Domänenebene arbeiten,

  • die Computer den OUs für die Benutzer zuordnen oder

  • spezielle Strukturen für die Verwaltung von Computern erstellen.

Letzteres ist vor allem dann sinnvoll, wenn sich die Berechtigungen für Computer von denen für Benutzer unterscheiden können und man daher relativ differenzierte Berechtigungen benötigt. Außerdem kann man in diesem Fall sowohl mit GPOs für Benutzer als auch mit solchen für Computer arbeiten, was die Übersichtlichkeit erhöht. Dafür steigt allerdings auch die Anzahl der GPOs und damit der Aufwand für deren Verarbeitung.

Neue organisatorische Einheiten lassen sich übrigens direkt in der GPMC erstellen, was in der Regel aber nicht sinnvoll ist. Diese vorbereitenden Schritte sollten eher in Active Directory-Benutzer und -Computer oder mit Skripts durchgeführt werden, um auch gleich die Benutzer und Computer korrekt zuordnen zu können.

Bild 6: Die GPMC mit den organisatorischen Strukturen der Beispielumgebung.
Bild 6: Die GPMC mit den organisatorischen Strukturen der Beispielumgebung.

Die Erstellung der GPOs

Im ersten Schritt sollten nun die erforderlichen GPOs erstellt werden. Diese werden im Ordner Gruppenrichtlinienobjekte verwaltet. Es empfiehlt sich, Änderungen immer nur dort vorzunehmen und bei den einzelnen OUs nur die Verknüpfungen und andere OU-spezifische Einstellungen zu administrieren. Die GPMC zeigt ohnehin Warnmeldungen an, wenn versucht wird, Änderungen an einem GPO direkt dort vorzunehmen.

Die neu erstellten GPOs sollten zunächst deaktiviert werden, auch wenn sie noch nicht verknüpft sind. Das reduziert aber das Risiko, dass sie versehentlich zu früh aktiviert werden und zu unerwünschten Änderungen führen. Die Deaktivierung muss jeweils manuell über den Befehl Status der Gruppenrichtlinie/Alle Einstellungen deaktiviert erfolgen (Bild 7). Dort hat man auch die Möglichkeit, die Einstellungen nur für Benutzer oder Computer zu deaktivieren, was später wichtig wird, wenn Richtlinien nur für Computer – beispielsweise bei Servern – oder Benutzer gelten sollen.

Bild 7: Die Liste vorbereiteter Gruppenrichtlinienobjekte, die zunächst deaktiviert sind.
Bild 7: Die Liste vorbereiteter Gruppenrichtlinienobjekte, die zunächst deaktiviert sind.

Alle diese GPOs gelten zunächst für die spezielle Gruppe Authentifizierte Benutzer. Diese Einstellung muss gegebenenfalls noch angepasst werden – allerdings nur insoweit, als GPOs beispielsweise auf der Domänenebene zugeordnet werden, wie es bei einer Richtlinie Benutzer mit erhöhten Berechtigungen für die „Low-End-Operatoren“ im Fachbereich der Fall wäre.