Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Die Nutzung der Sicherheitsfilterung

Nicht alle Situationen, in denen unterschiedliche Einstellungen über Gruppenrichtlinien gesetzt werden müssen, lassen sich über die Definition von organisatorischen Einheiten abdecken. In einigen Fällen muss man für Benutzer oder Computer in der gleichen OU unterschiedliche Festlegungen über Gruppenrichtlinien setzen.

Dazu kann die so genannte Sicherheitsfilterung verwendet werden. Die Ergebnisse werden in der GPMC im Register Delegierung bei den Eigenschaften eines GPOs zusammenfassend angezeigt (Bild 2). Die Konfiguration erfolgt im Register Bereich. Dort findet sich der Abschnitt Sicherheitsfilterung, in dem Gruppen, Benutzer und Computer hinzugefügt und entfernt werden können (Bild 3).

Bild 2: Die Festlegungen zur Sicherheitsfilterung werden im Register Delegierung gesetzt.
Bild 2: Die Festlegungen zur Sicherheitsfilterung werden im Register Delegierung gesetzt.
Bild 3: Die Festlegungen zur Sicherheitsfilterung.
Bild 3: Die Festlegungen zur Sicherheitsfilterung.

Bei den Standardrichtlinien sind die Gruppen Domänen-Admins und Organisations-Admins im Register Delegierung als Administratoren definiert worden, während die Gruppe Authentifizierte Benutzer die Zugriffsberechtigungen über die Sicherheitsfilterung erhalten hat. Diese Gruppe umfasst sowohl die authentifizierten Benutzer als auch die authentifizierten Computer! Ein Computer muss sich ja ebenfalls am Active Directory authentifizieren, was im Hintergrund mit einem automatisch generierten Kennwort erfolgt.

Daher muss man im Zusammenspiel von Prioritäten für Richtlinien und einer speziellen Sicherheitsfilterung für ausgewählte Gruppen entsprechende Anpassungen vornehmen. Mit der Sicherheitsfilterung kann beispielsweise für eineGruppe Fachbereichs-Operatoren festgelegt werden, dass diese eine spezielle Richtlinie verwenden darf. Über die Priorisierung kann allerdings nur die Reihenfolge von GPOs, die dem gleichen Container – also einer OU oder Domäne – zugeordnet sind, angepasst werden. Dagegen wird die Standard-Verarbeitungsreihenfolge Standort Domäne – OU nicht angepasst, aus der sich ergibt, dass Richtlinien untergeordneter OUs die höchste Priorität haben, weil damit Einstellungen von zuvor schon verarbeiteten Richtlinien überschrieben werden können.

Die Verknüpfungsreihenfolge wird im Register Verknüpfte Gruppenrichtlinienobjekte bei einem Container modifiziert. Die höchste Priorität hier bedeutet, dass die Richtlinie zuletzt verarbeitet wird und damit gegebenenfalls gleichartige Einstellungen anderer verknüpfter GPOs überschreibt.

Das AD-Design entscheidet

Nimmt man diese Punkte zusammen so wird deutlich, dass das Active Directory-Design entscheidend dafür ist, wie effizient sich Gruppenrichtlinien nutzen lassen. Je mehr mit speziellen Gruppen, der Sicherheitsfilterung und der Priorisierung über die Verknüpfungsreihenfolge gearbeitet werden muss, desto komplexer und unübersichtlicher wird das Konzept der Gruppenrichtlinien.

Bild 4: Die Verknüpfungsreihenfolge kann auf der Ebene einzelner Container angepasst werden.
Bild 4: Die Verknüpfungsreihenfolge kann auf der Ebene einzelner Container angepasst werden.

Die Erstellung organisatorischer Einheiten innerhalb größerer Domänen und das Anlegen spezieller OUs für Server oder die IT-Administratoren bedeutet vergleichsweise wenig Aufwand, auch wenn beim Erstellen von Benutzern jeweils die richtige Zuordnung erfolgen muss. Das ist bei der Arbeit über Active Directory-Benutzer und - Computer aber ohnehin kein Problem und lässt sich auch über Skripts einfach umsetzen.

Etwas aufwändiger ist die Zuordnung von Computern zu speziellen Gruppen. Wenn etwa alle Notebooks von einer speziellen Richtlinie erfasst werden sollen, muss man die entsprechende Gruppe manuell pflegen. Bei Computerkonten, die in speziellen OUs stehen sollen – Server sind das beste Beispiel – sollte man die Konten definieren, bevor man den Rechner in die Domäne aufnimmt. Damit kann man einfach steuern, wo das Konto angelegt wird.