Die mit dem Windows 2000 Server und dem Active Directory eingeführten Gruppenrichtlinien waren von Beginn an eine umstrittene Funktion. Sie waren mit ausschlaggebend dafür, dass Microsoft das Konzept noch einmal überarbeiten musste und sich das Release von Windows 2000 verzögerte. Die großen Pilot- und Testkunden hatten die erste Version als nicht praxisgerecht abgelehnt. Die dann beim Windows 2000 Server implementierte Lösung hat sich aber über die Jahre auch nicht unbedingt als einfacher erwiesen. Auch heute gibt der überwiegende Teil der Administratoren bei entsprechenden Fragen während Vorträgen an, dass Gruppenrichtlinien gar nicht oder nur unter Nutzung der minimalen Möglichkeiten zum Einsatz kommen.
Diese Situation wirft die Frage auf, ob es nicht einfachere Alternativen gibt, mit denen man ein vergleichbares Ergebnis erreichen kann.
Der Sicherheitskonfigurations-Assistent
Der Sicherheitskonfigurations-Assistent ist Teil des Service Pack 1 für den Windows Server 2003. Mit ihm lassen sich Sicherheitsrichtlinien für Server erstellen, auf andere Systeme kopieren und auch wieder deinstallieren. Im Vergleich mit den Gruppenrichtlinien weist dieses Werkzeug aber eine Reihe von Einschränkungen auf:
-
Mit dem Assistenten lässt sich, wie der Name schon sagt, nur die Sicherheitskonfiguration anpassen.
-
Die Einstellungen, die damit konfiguriert werden, sind fest vorgegeben. Es können beispielsweise keine Erweiterungen über Gruppenrichtlinien vorgenommen werden.
-
Es dient ausschließlich der Serverkonfiguration, nicht für das Konfigurationsmanagement bei Clients.
-
Das Tool bietet zudem auch nicht die Breite an Einstellungen, die es bei den Gruppenrichtlinien gibt – auch nicht bezüglich der Sicherheitseinstellungen.
-
Das Management von Sicherheitskonfigurationen muss weitgehend manuell erfolgen. Die Konfigurationen werden in einzelnen XML-Dateien gespeichert, die gegebenenfalls manuell auf andere Systeme kopiert und dort installiert werden müssen. Der Assistent arbeitet lokal und nicht wie beispielsweise die Gruppenrichtlinienverwaltungskonsole (GPMC; Group Policy Management Console) übergreifend für alle Systeme im Netzwerk. Es können auch nicht mehrere Richtlinien kombiniert werden, wie es bei Gruppenrichtlinien der Fall ist.
Insgesamt reicht also die Funktionalität dieses Assistenten nicht aus. Er ist für die Sicherheitskonfiguration einzelner Server in kleineren Netzwerken durchaus nützlich. Für die Administration vieler Server in verteilten Netzwerken oder das Konfigurationsmanagement für Clients fehlt aber die erforderliche Funktionalität. Das Tool kommt daher nicht als Lösung in Frage.
Client Management-Tools
Ein zweiter denkbarer Ansatz wäre die Nutzung von Werkzeugen für das Client-Management – also die Suiten, die aus den klassischen Softwareverteilungslösungen entstanden sind. In diesem Marktsegment gibt es unzählige Anbieter, von Microsoft mit dem SMS über Novell mit ZENworks bis hin zu Altiris, LANdesk, Enteo, Matrix42, Brainware, Asdis, Managesoft und vielen weiteren.
Diese Tools sind darauf ausgelegt, Informationen an Clients zu verteilen. Teilweise gibt es auch die Option, Registry-Parameter zu steuern, ganz selten einmal auch die Möglichkeit, Zugriffsberechtigungen im Dateisystem zu setzen. Praktisch allen fehlen aber derzeit noch die nötigen Funktionen für ein umfassendes, strukturiertes Konfigurations- und Sicherheitsmanagement bei Windows-Clients. Am weitesten ist hier sicher Novell mit ZENworks – aber nur deshalb, weil dort mit den Gruppenrichtlinien gearbeitet wird, die in das ZENworks Desktop Management eingebunden sind.
Ansonsten gibt es zwar einige Ansätze etwa für das Sicherheitsmanagement von Clients, die aber zum jetzigen Stand alle nicht so flexibel und umfassend wie die Gruppenrichtlinien sind. Insofern sind auch Management-Tools kein Ersatz für die Gruppenrichtlinien, sondern eher eine Ergänzung.
Lösungen für heterogene Umgebungen
Noch komplexer wird die Situation, wenn heterogene Umgebungen verwaltet werden sollen. Das gilt schon für unterschiedliche Windows-Versionen. Gruppenrichtlinien sind erst ab Windows 2000 nutzbar, und es bestehen erhebliche Unterschiede bezüglich der unterstützten Einstellungen in den Gruppenrichtlinien.
Leider fehlen aber auch die Alternativen. Es gibt derzeit keine mir bekannten Werkzeuge, mit denen sich Konfigurations- und Sicherheitseinstellungen in größerem Umfang auch für ältere Windows-Versionen oder gar für Linux steuern ließen.
Eigene Tools
Bleibt noch die Option, eigene Lösungen zu realisieren. Dazu können beispielsweise Resource Kit-Tools, mit denen sich remote Änderungen in der Registry durchführen lassen, oder Skripts eingesetzt werden. Solche Skripts könnten beim Starten oder Beenden des Systems oder bei der Anund Abmeldung von Benutzern laufen. Dieser Ansatz hat aber im Vergleich mit Gruppenrichtlinien nur Nachteile:
-
Die Entwicklung leistungsfähiger Skripts, mit denen Registry-Parameter verändert oder Zugriffsberechtigungen im Dateisystem gesetzt werden, setzt ein umfassenderes Wissen voraus als die Bearbeitung von Gruppenrichtlinien.
-
Der Entwicklungs- und Testaufwand ist höher als bei Gruppenrichtlinien.
-
Die Wartung solcher Skripts ist ebenfalls aufwändiger als die Nutzung von Gruppenrichtlinien.
Letztlich zeigt der Überblick, dass es keine echten Alternativen zu den Gruppenrichtlinien gibt. Microsoft hat hier ein sehr konsistentes Modell für das Management von Windows-Umgebungen geschaffen. Das zeigt sich auch daran, dass die Grundidee inzwischen in ersten Ansätzen auch im Linux-Umfeld Einzug hält. Letztlich wird man beim Konfigurations- und Sicherheitsmanagement seiner Windows-Umgebungen nicht umhin kommen, mit den Gruppenrichtlinien zu arbeiten – so hoch der anfängliche Aufwand auch sein mag.