Gruppenrichtlinien: Best Practices
Struktur und Dokumentation
Die zweite elementare Regel hängt mit dieser strukturierten Vorgehensweise eng zusammen. Neben einer klaren Strukturierung ist auch eine genaue Dokumentation dessen, was in den verschiedenen Gruppenrichtlinien festgelegt wird, zwingend.
Bei der Strukturierung geht es nicht nur darum, auf der obersten Ebene – also typischerweise der Domäne – eine kleine Zahl von Gruppenrichtlinien mit unterschiedlichen und sich nicht überlappenden Inhalten zu erstellen, sondern auch darum, ein klares Konzept für Anpassungen dieser Richtlinien zu verfolgen. Dabei sind wiederum zwei Fälle zu unterscheiden:
-
Man braucht für einige Benutzergruppen wie Administratoren und Operatoren spezielle Gruppenrichtlinien, um beispielsweise Ausnahmen von den Einschränkungen für Desktop-Einstellungen oder ausführbare Programme vorzunehmen. Dazu kann man beispielsweise mit einer oder wenigen speziellen Gruppenrichtlinien auf Domänenebene arbeiten, bei denen über die Sicherheitseinschränkungen festgelegt ist, dass diese nur für die gewünschten Benutzergruppen gelten. Diese Richtlinien müssen dann die höchste Priorität auf der Domänenebene erhalten, um zuletzt verarbeitet zu werden und die Einstellungen aus anderen Richtlinien zu überschreiben. Falls man auf untergeordneter Ebene noch weitere Einschränkungen vornimmt, muss man gegebenenfalls mit der eigentlich abzulehnenden Einstellung Erzwungen arbeiten, um die weniger strengen Festlegungen für diese Benutzergruppen in jedem Fall durchzusetzen. Eine (bessere) Alternative dazu ist die Zuordnung dieser Richtlinien zu den organisatorischen Einheiten, in denen Administratoren und Operatoren angelegt sind. Damit dabei auch weniger strenge Computereinstellungen zum Tragen kommen, muss man allerdings die Loopbackverarbeitung nutzen.
-
Auf der Ebene der organisatorischen Einheiten muss man sich überlegen, ob man weitere Anpassungen nur auf der untersten Ebene oder – bei mehrstufigen Strukturen von organisatorischen Einheiten – auch auf höheren Ebenen vornehmen will. Das hängt von der Struktur des Active Directory ab. Wenn Benutzer generell nur auf der untersten Ebene angelegt werden, kann man sich darauf beschränken, dort bei Bedarf zusätzliche Gruppenrichtlinien zu definieren. Ansonsten wird man nicht umhin kommen, auf allen Ebenen der organisatorischen Einheiten solche Richtlinien zu definieren – mit entsprechenden Konsequenzen für die Vererbung.
Welche Gruppenrichtlinien es gibt, für wen diese gelten und welche weitergehenden Einstellungen für die Vererbung und Sicherheit vorgenommen wurden, muss unbedingt dokumentiert werden.
Ebenso müssen die einzelnen Parameter, die in Gruppenrichtlinien gesetzt werden, genau beschrieben werden. Dafür bietet sich die Verwendung von Excel-Tabellen an.