Zugriffsrechte mit Gruppenrichtlinien steuern

Eine der interessantesten Herausforderungen im Zusammenhang mit Gruppenrichtlinien ist die Steuerung von Zugriffsberechtigungen. Gruppenrichtlinien können Berechtigungen sowohl im Dateisystem als auch für Freigaben und in der Registry steuern. Die Vorgehensweise wird in diesem Artikel erläutert.

Nur selten werden Gruppenrichtlinien in der Praxis tatsächlich genutzt, um Berechtigungen auf Zielsystemen zu steuern. Dafür gibt es folgende Gründe:

  • Der Konfigurationsaufwand erscheint im ersten Moment relativ hoch.

  • Einige der Begrifflichkeiten wie Eingeschränkte Gruppen sind nur schwer nachvollziehbar.

  • In Teilbereichen wie den Einstellungen für die Registry kann nur eingeschränkt mit der Vererbung gearbeitet werden.

Der dritte der genannten Punkte steht in engem Zusammenhang mit dem ersten Aspekt. Faktisch ist der Konfigurationsaufwand zumindest bei der Vergabe von Berechtigungen im Dateisystem überschaubar, weil dort mit der Vererbung gearbeitet werden kann. Bei der Registry ist der Aufwand in der Tat höher, weil es mehr spezifische Festlegungen zu beachten gilt. In beiden Fällen kann aber die Nutzung vordefinierter Sicherheitsvorlagen helfen, den Aufwand zu minimieren.

Eingeschränkte Gruppen

Im Bereich der Sicherheitskonfiguration sind eingeschränkte Gruppen eine der interessantesten Funktionen, die es bei den Gruppenrichtlinien überhaupt gibt. Mit ihnen können Eigenschaften für sicherheitssensitive Gruppen, die lokal auf den Zielsystemen gespeichert werden, gesetzt werden:

  • Zum einen kann man festlegen, wer Mitglied der Gruppe ist und wer nicht.

  • Zum anderen kann definiert werden, in welchen anderen Gruppen diese Gruppe Mitglied ist.

Die Funktion sollte ausschließlich zur Konfiguration lokaler Gruppen auf Arbeitsstationen und Mitgliedsservern eingesetzt werden. Die Steuerung von Gruppen auf Domänencontrollern und damit im Active Directory darf nicht über diese Schnittstelle erfolgen.

Eingeschränkte Gruppen werden im entsprechenden Bereich unterhalb von Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen definiert. Die Gruppen können dort über den Befehl Gruppe hinzufügen aus dem Kontextmenü in die Liste aufgenommen werden. Dabei reicht es aus, den Gruppennamen anzugeben. Das System arbeitet auf Basis von Gruppennamen und nicht von SIDs (Security Identifiers), da die lokalen Gruppen ja auf jedem System, auf das die Gruppenrichtlinie angewendet wird, unterschiedliche SIDs haben.

Bei den Eigenschaften einer Gruppe können anschließend die Mitglieder und Mitgliedschaften konfiguriert werden. Die Benutzer und Gruppen, die hier angegeben werden, kann man entweder aus dem Active Directory auswählen oder explizit angeben (Bild 1). Zu beachten ist dabei, dass man nur Benutzer und Gruppen, die in der Domäne definiert sind, sinnvoll zuordnen kann.

Bild 1: Die Eigenschaften einer eingeschränkten Gruppe.
Bild 1: Die Eigenschaften einer eingeschränkten Gruppe.

Nachdem die Einstellungen definiert wurden, werden die Änderungen bei der nächsten Aktualisierung der Gruppenrichtlinie in den lokalen Systemen umgesetzt. Alle Benutzer und Gruppen, die in der eingeschränkten Gruppe aufgeführt sind, werden in die lokale Gruppe aufgenommen. Alle Benutzer und Gruppen aus der lokalen Gruppe, die nicht bei der eingeschränkten Gruppe definiert sind, werden entfernt. Das gilt auch für administrative Konten. Daher muss die Nutzung eingeschränkter Gruppen genau geplant werden.

Diese Funktionalität ist allerdings mit einem großen Fragezeichen zu versehen, denn mit den domänenlokalen Gruppen kann man eine direkt in Active Directory-Benutzer und -Computer integrierte Alternative nutzen, die das gleiche Ergebnis bringt. Diese Gruppen werden im Active Directory verwaltet, erscheinen aber auf Mitgliedssystemen als lokale Gruppen. Statt solche Gruppen über den Umweg der eingeschränkten Gruppen zu steuern, können sie auch zentral angelegt werden. Die Zuordnungen von Benutzern und anderen Gruppen gelten in diesem Fall generell für alle Systeme.

Allerdings gibt es hier durchaus Unterschiede. Das liegt schon daran, dass man mit Gruppenrichtlinien den Geltungsbereich sehr genau steuern kann. Eine Gruppe Lokales Druckermanagement kann in verschiedenen Gruppenrichtlinien unterschiedliche Mitglieder und Mitgliedschaften haben. Außerdem wird man in der Regel für Server und für einzelne Benutzer sehr unterschiedliche Vorgaben bezüglich der domänenlokalen Gruppen treffen wollen.

Zudem sind die eingeschränkten Gruppen am besten geeignet, um bestehende Gruppen zu modifizieren. Ein gutes Beispiel ist die Gruppe Hauptbenutzer, der immer wieder unterschiedliche Mitglieder – typischerweise aus im Active Directory definierten globalen Gruppen – zugewiesen werden sollen.

Für ein durchgängiges, effizientes Management von Gruppen und Zugriffsberechtigungen über alle Systeme im Netzwerk hinweg ist die Verwendung der eingeschränkten Gruppen in jedem Fall unverzichtbar.