Gruppenrichtlinien: Best Practices

Standardrichtlinien, aktive und inaktive Richtlinien

Eine weitere wichtige Regel ist, dass man die beiden Standard-Richtlinien Default Domain Policy und Default Domain Controllers Policy nicht verändern sollte. Das wird zwar häufig so gemacht, ist aber keinesfalls empfehlenswert.

Der Grund dafür ist einfach: Wenn man diese beiden Richtlinien unverändert lässt, kann man sehr einfach wieder auf die Standardeinstellungen zurückgehen. Man muss dazu nur die anderen Richtlinien deaktivieren, so dass nur noch die Standardeinstellungen gültig sind. Das ist sehr viel einfacher als der Versuch, einzelne Parameter wieder auf die ursprünglichen Werte zurückzusetzen.

Deaktiviert: Richtlinien lassen sich deaktivieren. Damit können fehlerhafte Richtlinien schnell außer Kraft gesetzt werden.
Deaktiviert: Richtlinien lassen sich deaktivieren. Damit können fehlerhafte Richtlinien schnell außer Kraft gesetzt werden.

Ebenso können auf diese Weise neue Richtlinien zunächst komplett erstellt werden, bevor sie aktiviert werden. Generell gilt, dass auch größere Bearbeitungen von bestehenden Richtlinien möglichst außerhalb der Nutzungszeiten an nicht aktiven Richtlinien vorgenommen werden sollten, um eine partielle Verarbeitung von Einstellungen zu vermeiden. Gegebenenfalls kann man dazu auch eine Kopie erstellen, diese modifizieren und erst später anstelle der bisherigen Richtlinie aktivieren.

Eine interessante Option ist, dass man bei allen Richtlinien auch selektiv die Benutzer- oder Computerkonfigurationseinstellungen deaktivieren kann. Damit kann man Richtlinien erstellen, die sich beispielsweise nur auf die Computereinstellungen beziehen, was unter anderem bei speziellen Richtlinien für Server sinnvoll ist.