Alternativen zu Gruppenrichtlinien?

Die mit dem Windows 2000 Server und dem Active Directory eingeführten Gruppenrichtlinien waren von Beginn an eine umstrittene Funktion. Sie waren mit ausschlaggebend dafür, dass Microsoft das Konzept noch einmal überarbeiten musste und sich das Release von Windows 2000 verzögerte. Die großen Pilot- und Testkunden hatten die erste Version als nicht praxisgerecht abgelehnt. Die dann beim Windows 2000 Server implementierte Lösung hat sich aber über die Jahre auch nicht unbedingt als einfacher erwiesen. Auch heute gibt der überwiegende Teil der Administratoren bei entsprechenden Fragen während Vorträgen an, dass Gruppenrichtlinien gar nicht oder nur unter Nutzung der minimalen Möglichkeiten zum Einsatz kommen.

Diese Situation wirft die Frage auf, ob es nicht einfachere Alternativen gibt, mit denen man ein vergleichbares Ergebnis erreichen kann.

Der Sicherheitskonfigurations-Assistent

Der Sicherheitskonfigurations-Assistent ist Teil des Service Pack 1 für den Windows Server 2003. Mit ihm lassen sich Sicherheitsrichtlinien für Server erstellen, auf andere Systeme kopieren und auch wieder deinstallieren. Im Vergleich mit den Gruppenrichtlinien weist dieses Werkzeug aber eine Reihe von Einschränkungen auf:

• Mit dem Assistenten lässt sich, wie der Name schon sagt, nur die Sicherheitskonfiguration anpassen.

• Die Einstellungen, die damit konfiguriert werden, sind fest vorgegeben. Es können beispielsweise keine Erweiterungen über Gruppenrichtlinien vorgenommen werden.

• Es dient ausschließlich der Serverkonfiguration, nicht für das Konfigurationsmanagement bei Clients.

• Das Tool bietet zudem auch nicht die Breite an Einstellungen, die es bei den Gruppenrichtlinien gibt – auch nicht bezüglich der Sicherheitseinstellungen.

• Das Management von Sicherheitskonfigurationen muss weitgehend manuell erfolgen. Die Konfigurationen werden in einzelnen XML-Dateien gespeichert, die gegebenenfalls manuell auf andere Systeme kopiert und dort installiert werden müssen. Der Assistent arbeitet lokal und nicht wie beispielsweise die Gruppenrichtlinienverwaltungskonsole (GPMC; Group Policy Management Console) übergreifend für alle Systeme im Netzwerk. Es können auch nicht mehrere Richtlinien kombiniert werden, wie es bei Gruppenrichtlinien der Fall ist.

Insgesamt reicht also die Funktionalität dieses Assistenten nicht aus. Er ist für die Sicherheitskonfiguration einzelner Server in kleineren Netzwerken durchaus nützlich. Für die Administration vieler Server in verteilten Netzwerken oder das Konfigurationsmanagement für Clients fehlt aber die erforderliche Funktionalität. Das Tool kommt daher nicht als Lösung in Frage.

Client Management-Tools

Ein zweiter denkbarer Ansatz wäre die Nutzung von Werkzeugen für das Client-Management – also die Suiten, die aus den klassischen Softwareverteilungslösungen entstanden sind. In diesem Marktsegment gibt es unzählige Anbieter, von Microsoft mit dem SMS über Novell mit ZENworks bis hin zu Altiris, LANdesk, Enteo, Matrix42, Brainware, Asdis, Managesoft und vielen weiteren.

Diese Tools sind darauf ausgelegt, Informationen an Clients zu verteilen. Teilweise gibt es auch die Option, Registry-Parameter zu steuern, ganz selten einmal auch die Möglichkeit, Zugriffsberechtigungen im Dateisystem zu setzen. Praktisch allen fehlen aber derzeit noch die nötigen Funktionen für ein umfassendes, strukturiertes Konfigurations- und Sicherheitsmanagement bei Windows-Clients. Am weitesten ist hier sicher Novell mit ZENworks – aber nur deshalb, weil dort mit den Gruppenrichtlinien gearbeitet wird, die in das ZENworks Desktop Management eingebunden sind.

Ansonsten gibt es zwar einige Ansätze etwa für das Sicherheitsmanagement von Clients, die aber zum jetzigen Stand alle nicht so flexibel und umfassend wie die Gruppenrichtlinien sind. Insofern sind auch Management-Tools kein Ersatz für die Gruppenrichtlinien, sondern eher eine Ergänzung.