Ein Modell für die effiziente Nutzung von Gruppenrichtlinien
Richtlinien bearbeiten und verknüpfen
Im folgenden Schritt können die Richtlinien nun bearbeitet werden. Wie bereits weiter oben ausgeführt, sollte man nicht versuchen, alle Änderungen beispielsweise für die Standardrichtlinie in eine GPO zu packen, sondern gegebenenfalls mit mehreren Richtlinien arbeiten. Im Beispiel gibt es die Internet Explorer-Richtlinie und die Desktopeinstellungs-Richtlinie.
Nachdem die Richtlinien vorbereitet wurden, müssen sie den OUs zugeordnet werden. Das kann natürlich schrittweise erfolgen, indem man Richtlinien für verschiedene spezielle Bereiche wie Server oder für verschiedene Themenfelder wie die Internet Explorer-Konfiguration nach und nach entwickelt und aktiviert.
Nach der Bearbeitung der Richtlinieneinstellungen müssen die GPOs mit den Container verknüpft werden, bei denen sie angewendet werden sollen. Die Server-Standardrichtlinie wird beispielsweise mit dem Container Server verknüpft. Dazu kann man in der GPMC einfach Drag&Drop anwenden. Beim Ablegen des GPOs auf der OU Server wird ein Dialogfeld angezeigt, in dem die Verknüpfung bestätigt werden muss (Bild 8).
Bei einem Container wie Server ist zu überlegen, ob alle Einstellungen dort gesetzt werden oder ob nur die Parameter aus übergeordneten Richtlinien überschrieben werden sollen. Die Vererbung kann über den Befehl Vererbung deaktivieren aus dem Kontextmenü deaktiviert werden. Danach wird bei der OU ein weißes Ausrufezeichen auf blauem Grund angezeigt, so dass sofort sichtbar ist, dass die Vererbung deaktiviert wurde. Außerdem werden nur noch die direkt zugeordneten GPOs angezeigt, aber keine der übergeordneten Ebene. Die Bilder 9 und 10 zeigen die Informationen aus dem Register Gruppenrichtlinienvererbung bei deaktivierter und aktivierter Vererbung.
Nachdem dem Container die Richtlinie Server-Standardrichtlinie zugeordnet wurde, wird im folgenden Schritt die Richtlinie Mailserver-Richtlinie dem Container Mail-Server zugewiesen. Einstellungen in der Mailserver-Richtlinie überschreiben damit die allgemeinen Festlegungen für Server.
In den meisten Fällen wird man pro OU eine GPO zuordnen. Die Priorität wird durch die Standardvererebungsregeln gesteuert. Ausnahmen bestätigen aber auch hier die Regel. Besonders deutlich wird das auf der Ebene der Domäne. Dort müssen auch im Beispiel mehrere GPOs zugeordnet werden. Sobald man mit mehr als einer GPO bei einem Container arbeitet, muss die Priorität gesteuert werden.
Standardmäßig hat die Default Domain Policy die höchste Priorität. Wird diese aber nur als Fallback verwendet für den Fall, dass andere Richtlinien deaktiviert wurden, sollte sie die niedrigste Priorität erhalten oder ganz deaktiviert werden. Eine eigene Standard-Domänenrichtlinie sollte ebenfalls eine niedrige Priorität haben, weil die Festlegungen in dieser Richtlinie von speziellen Festlegungen anderer GPOs überschrieben werden können. Entsprechend folgen in aufsteigender Priorität spezielle Richtlinien für einzelne Konfigurationsbereiche. Deren Reihenfolge ist unerheblich, solange die GPOs überschneidungsfrei konzipiert sind. Die höchste Priorität erhalten schließlich Richtlinien für spezielle Benutzergruppen, die diesen höhere Berechtigungen geben (Bild 11). Im Beispiel ist das die Richtlinie Benutzer mit erhöhten Berechtigungen, bei der allerdings auch eine Sicherheitsfilterung genutzt werden muss.
An diesen Schritten wird aber deutlich, dass man selbst bei einer etwas größeren Zahl von Richtlinien und OUs recht gut den Überblick behalten kann, weil man in einem so klaren Konzept genau weiß, was in welcher Richtlinie konfiguriert ist.
Zu guter Letzt sollte man nicht vergessen, die Richtlinien auch zu aktivieren. Erst dann wirken sich die Änderungen auch bei der nächsten Aktualisierung auf das Systemverhalten aus – in der Regel also beim Start eines Rechners und bei der Authentifizierung durch einen Benutzer.