Gruppenrichtlinien

26.02.2007 von Martin Kuppinger
Auch bei den Gruppenrichtlinien gibt es – wenig überraschend – mit Windows Vista und Windows Server „Longhorn“ einige Veränderungen. Neben vielen neuen Konfigurationseinstellungen sind dabei vor allem die neuen Steuerungsfunktionen für die Geräteinstallation und die XML-basierenden administrativen Vorlagen erwähnenswert.

Die Gruppenrichtlinien bleiben das wichtigste Verwaltungswerkzeug für Netzwerkumgebungen. Über Gruppenrichtlinien können Konfigurationseinstellungen für Clients und Server zentral vorgegeben werden. Microsoft hat die Fähigkeiten der Gruppenrichtlinien mit jedem Zwischenrelease von Windows erweitert. Bei Longhorn und Vista werden die Möglichkeiten der Gruppenrichtlinien nun noch einmal signifikant erweitert. Die Änderungen betreffen sowohl die Sicherheitseinstellungen als auch die Systemkonfiguration über die administrativen Vorlagen.

Bild 1: Die Konfigurationsoptionen für die Windows-Firewall in den Gruppenrichtlinien.

Änderungen bei den Sicherheitseinstellungen

Wenn man auf den Bereich Windows Settings/Security Settings bei Computer Configuration geht, fällt sofort die wesentlich höhere Zahl von Unterpunkten auf. Die Konfiguration der Windows Firewall ist hier nun ebenso zu finden wie spezielle Richtlinien für Wired Networks. Auf die Einstellungen für die Network Access Protection wird im folgenden Artikel noch näher eingegangen. Bei den Standardbereichen wie beispielsweise den lokalen Richtlinien gibt es dagegen nur kleinere Änderungen.

Bild 2: Die neuen Einstellungen für die Steuerung der Geräteinstallation.

Ein interessanter Punkt ist die Konfiguration der Einstellungen für die Windows Firewall und von erweiterten Sicherheitseinstellungen im Bereich Windows Firewall with Advanced Security. Dort können Festlegungen für verschiedene Szenarien konfiguriert werden. Unter anderem wird hier zwischen dem privaten und dem öffentlichen Profil unterschieden. Ersteres wird in privaten Netzwerken, Letzteres in öffentlichen Netzwerken angewandt. Benutzer werden bei Verbindungen zu Netzwerken gefragt, um welche Art von Netzwerk es sich handelt.

Über die Einstellungen kann eine sehr differenzierte Konfiguration der Sicherheit auf Windows-Systemen erfolgen. Die Konfiguration ist nicht nur sehr viel umfassender, sondern auch sehr viel einfacher als noch bei Windows XP und dem Windows Server 2003.

Administrative Vorlagen

Auch bei den administrativen Vorlagen hat sich einiges getan. Die Liste der Einstellungen ist stark gewachsen. Besonders deutlich wird das einerseits bei den Systemeinstellungen, die nun sehr viel detaillierter sind und deutlich mehr Dienste als bisher umfassen, und bei den Windows-Komponenten. Zu den neuen Komponenten gehört die Bitlocker Driver Encryption, andere bisher noch nicht standardmäßig über die Gruppenrichtlinien konfigurierbare Module sind der Smart Card-Reader, Tablet PC-Einstellungen und einige mehr. Neben Clientkomponenten gibt es auch etliche Servermodule, die darüber nun besser als bisher gesteuert werden können.

Bild 3: Die administrativen Vorlagen werden nun in einer Reihe kleinerer XML-Dateien abgelegt.

Die Gruppenrichtlinien werden dadurch zwar einerseits noch umfangreicher, dafür gibt es aber inzwischen kaum noch Einschränkungen bezüglich der Systemfunktionen, die über die Gruppenrichtlinien gesteuert werden.

Die Steuerung der Geräteinstallation

Eine der wichtigsten Neuerungen im Bereich der Gruppenrichtlinien ist die Steuerung der Geräteinstallation, bei den administrativen Vorlagen im Bereich System findet man im Abschnitt Device Installation die Device Installation Restrictions. Dort können für Geräteklassen und Geräte-IDs Einschränkungen vorgenommen werden. Insbesondere kann angegeben werden, welche Klassen von Geräten installiert werden dürfen oder eben nicht.

Besonders einfach ist die Nutzung von Device-IDs, die sich über den Geräte-Manager bei den Gerätekennungen einfach ermitteln lassen. Die IDs sind Zeichenketten, die deutlich einfacher sind als beispielsweise die GUIDs, die für Klassen von Geräten verwendet werden.

Um die unkontrollierte Nutzung insbesondere von USB-Geräte zu verhindern, bietet es sich an, eine Liste von zulässigen Geräten zu erstellen.

Eine Einschränkung gibt es aber für diesen Bereich der Gruppenrichtlinien: Er kann nur mit Windows Vista-Systemen genutzt werden. Bei Windows XP müssen weiterhin Produkte von Drittherstellern genutzt werden, um die unkontrollierte Nutzung vor allem von USB-Geräte einzuschränken.

XML-basierende Vorlagen

Die wohl größte Veränderung bei den Gruppenrichtlinien hat aber im Hintergrund stattgefunden. Statt der bisherigen .adm-Dateien wird nun standardmäßig mit .admx-Dateien gearbeitet. Diese liegen nicht mehr in %systemroot%\inf, sondern in %systemroot%\PolicyDefinitions mit einer ganzen Liste solcher Vorlagen. Es wird nämlich nicht mehr mit wenigen großen Vorlagen gearbeitet, sondern es wurde für jeden Bereich der Gruppenrichtlinien eine eigene Datei erstellt (Bild 3). Das macht die Änderung und Anpassung dieser Dateien deutlich einfacher. Zudem wird nun mit XML gearbeitet und nicht mehr mit der proprietären Struktur der bisherigen Richtlinienvorlagen. Das ist zunächst zwar eine Umstellung, falls man schon bisher solche Vorlagen erstellt hat. Insgesamt sind die Dateien aber nun deutlich übersichtlicher als bisher.

Das gilt vor allem für größere .admx-Dateien, denn in kleinen Dateien mit nur einer oder wenigen Einstellungen müssen zunächst ebenfalls alle Standard-Tags enthalten sein. Microsoft hat für die ADMX-Dateien ein Schema publiziert, in dem die zulässigen Tags, Elemente und Attribute der XML-Dateien ausführlich beschrieben sind.