Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Sichern und Importieren

Die bisherigen Ausführungen haben sich auf die Nutzung von Richtlinien innerhalb einer Domäne bezogen. In vielen Fällen sind Richtlinien aber auch über Domänengrenzen hinweg identisch, beispielsweise bei den Festlegungen zum Internet Explorer oder oftmals auch bei den Standardrichtlinien für Desktops.

Um nun die gleichen GPOs nicht mehrfach erstellen und pflegen zu müssen, könnte mit Verknüpfungen über die Domänengrenze hinweg gearbeitet werden. Davon ist aber, wie bereits ausgeführt, in der Praxis abzuraten. Die Alternative ist folgende Vorgehensweise:

  • Ein spezielles, deaktiviertes GPO wird in der Forest-Root-Domäne erstellt. Dieses GPO wird nirgends verknüpft, sondern dient nur als Basisobjekt, das an anderer Stelle über den Import genutzt wird – also eine Art Vorlage.

  • Die Einstellungen in dieser Richtlinie werden bearbeitet.

  • Das GPO wird gesichert.

  • Es wird in ein GPO in einer anderen Domäne importiert.

Bei Änderungen sind nur noch eine erneute Sicherung und der nachfolgende Import erforderlich.

Die Sicherung eines GPOs erfolgt über den Befehl Sichern im Kontextmenü. Im angezeigten Dialogfeld müssen das Verzeichnis für die Speicherung und eine Beschreibung angegeben werden (Bild 12).

Bild 12: Die Sicherung eines GPOs.
Bild 12: Die Sicherung eines GPOs.

Der nächste Schritt ist der Import, der immer nur in ein bereits vorhandenes GPO erfolgen kann. Dieses muss zunächst in den verschiedenen Domänen erstellt werden.

Ein Assistent leitet durch den Importprozess. Er empfiehlt zunächst eine Sicherung des aktuellen GPOs. Das sollte gemacht werden, wenn es sich nicht um ein neu erstelltes, sondern um ein bereits bestehendes GPO handelt, das durch den Import aktualisiert werden soll.

Im nächsten Schritt können der Sicherungsordner und die zu importierende Richtlinie ausgewählt werden (Bild 13). Standardmäßig werden hier – soweit vorhanden – mehrere Versionen von Richtlinien gewählt. Außerdem kann mit Einstellungen anzeigen auch auf die detaillierten Festlegungen zu den Einstellungen in einer Gruppenrichtlinie zugegriffen werden, wobei in diesem Fall die HTML-Ansicht verwendet wird, die auch in der GPMC genutzt wird. Das ist gegebenenfalls hilfreich, um noch einmal zu verifizieren, ob es sich um die richtige GPO-Version handelt.

Bild 13: Der Zugriff auf den Ordner mit gesicherten Richtlinien.
Bild 13: Der Zugriff auf den Ordner mit gesicherten Richtlinien.

Dann werden die Sicherheitsprinzipale und UNC-Pfade überprüft und gegebenenfalls angepasst. Sicherheitsprinzipale können beispielsweise Gruppennamen sein, während UNC-Pfade auf Server verweisen. Bei der Übernahme einer GPO in eine andere Domäne sind zwangsläufig Anpassungen erforderlich. In Fällen, in denen sehr viele solcher Anpassungen nötig werden, empfiehlt es sich, diese Teile der Richtlinie direkt in jeder Domäne zu definieren, auch wenn das einen höheren Erstellungs- und Pflegeaufwand bedeutet. Der Vorteil ist die größere Übersichtlichkeit. Wenn es dagegen nur um wenige Anpassungen geht, lässt sich das beim Import gut beherrschen.

Damit sind alle Informationen für den Import vorhanden. Dieser kann nun durchgeführt werden, und die Richtlinie, in die der Import erfolgt, ist auf dem gleichen Stand wie die Vorlage. Noch schöner wäre es, wenn Microsoft solche Vorlagen standardmäßig unterstützen würde. Vielleicht kommt das ja in einem zukünftigen Release.

Sicherungs- und Importfunktionen können auch genutzt werden, um nur eine Standardrichtlinie für Domänen zu nutzen, in die spezielle Änderungen aus Teilrichtlinien wie denen für den Internet Explorer und die Desktopkonfiguration importiert werden. Damit werden auf Domänenebene weniger Richtlinien zugeordnet, und die Clients müssen weniger Richtlinien verarbeiten. Der Ansatz ist aber insgesamt deutlich unübersichtlicher als die in diesem Artikel vorgestellte Vorgehensweise, und Übersichtlichkeit ist so ziemlich das Wichtigste bei der Nutzung von Gruppenrichtlinien.