Gruppenrichtlinien: Best Practices

22.05.2007 von Martin Kuppinger

Gruppenrichtlinien sind eines der leistungsfähigsten, aber auch komplexesten Werkzeuge für die Verwaltung von Clients und Servern in Windows-Umgebungen. Wenn man sich aber an einige Grundregeln hält, kann man mit Gruppenrichtlinien sehr effizient arbeiten.

Die wichtigste Regel bei Gruppenrichtlinien ist eigentlich ganz einfach: Man sollte mit Gruppenrichtlinien nicht experimentieren und auch nicht ad-hoc mal eine Änderung vornehmen, sondern nach genau definierten Vorgehensweisen Anpassungen vornehmen. Da Gruppenrichtlinien so mächtig sind, ist es sonst ausgesprochen schwierig, den Überblick zu behalten.

Das führt auch schon zu der ersten der „Best Practices“. Diese kann man kurz mit „schrittweise vorgehen“ betiteln. Dabei gibt es zwei Facetten. Wenn man sich die Gruppenrichtlinien betrachtet wird schnell deutlich, dass es darin unzählige Einstellungen gibt.

Vielfältig: Alleine für die Konfiguration des Internet Explorer 7 gibt es mehrere Hundert verschiedene Parameter in den Gruppenrichtlinien.

Daher sollte man nicht den Versuch machen, gleich zu Beginn alles über Gruppenrichtlinien zu steuern. Vielmehr bietet es sich an, sich zunächst einen Überblick darüber zu verschaffen, was eigentlich so alles in den Gruppenrichtlinien enthalten ist, bevor man im nächsten Schritt dann einen Bereich nach dem anderen mit Gruppenrichtlinien konfiguriert.

Ein guter Startpunkt sind dabei die Sicherheitseinstellungen. Das gilt zum einen, weil es sich um einen der wichtigsten Bereiche der Gruppenrichtlinien handelt, zum anderen aber auch, weil es dafür beispielsweise mit dem Security Guide für den Windows Server 2003 recht umfassende Anleitungen von Microsoft gibt.

Diese schrittweise Vorgehensweise sollte sich auch bei den Gruppenrichtlinien widerspiegeln. Statt eine große Richtlinie zu erstellen, in der alle Anpassungen enthalten sind, bietet es sich an, für verschiedene Konfigurationsbereiche jeweils eigene Richtlinien zu erstellen. Das Ziel sollten maximal fünf bis acht Richtlinien beispielsweise für Sicherheitseinstellungen, Desktop-Konfigurationsrichtlinien oder die Softwareverteilung sein.

Struktur und Dokumentation

Die zweite elementare Regel hängt mit dieser strukturierten Vorgehensweise eng zusammen. Neben einer klaren Strukturierung ist auch eine genaue Dokumentation dessen, was in den verschiedenen Gruppenrichtlinien festgelegt wird, zwingend.

Bei der Strukturierung geht es nicht nur darum, auf der obersten Ebene – also typischerweise der Domäne – eine kleine Zahl von Gruppenrichtlinien mit unterschiedlichen und sich nicht überlappenden Inhalten zu erstellen, sondern auch darum, ein klares Konzept für Anpassungen dieser Richtlinien zu verfolgen. Dabei sind wiederum zwei Fälle zu unterscheiden:

Man braucht für einige Benutzergruppen wie Administratoren und Operatoren spezielle Gruppenrichtlinien, um beispielsweise Ausnahmen von den Einschränkungen für Desktop-Einstellungen oder ausführbare Programme vorzunehmen. Dazu kann man beispielsweise mit einer oder wenigen speziellen Gruppenrichtlinien auf Domänenebene arbeiten, bei denen über die Sicherheitseinschränkungen festgelegt ist, dass diese nur für die gewünschten Benutzergruppen gelten. Diese Richtlinien müssen dann die höchste Priorität auf der Domänenebene erhalten, um zuletzt verarbeitet zu werden und die Einstellungen aus anderen Richtlinien zu überschreiben. Falls man auf untergeordneter Ebene noch weitere Einschränkungen vornimmt, muss man gegebenenfalls mit der eigentlich abzulehnenden Einstellung Erzwungen arbeiten, um die weniger strengen Festlegungen für diese Benutzergruppen in jedem Fall durchzusetzen. Eine (bessere) Alternative dazu ist die Zuordnung dieser Richtlinien zu den organisatorischen Einheiten, in denen Administratoren und Operatoren angelegt sind. Damit dabei auch weniger strenge Computereinstellungen zum Tragen kommen, muss man allerdings die Loopbackverarbeitung nutzen.
Auf der Ebene der organisatorischen Einheiten muss man sich überlegen, ob man weitere Anpassungen nur auf der untersten Ebene oder – bei mehrstufigen Strukturen von organisatorischen Einheiten – auch auf höheren Ebenen vornehmen will. Das hängt von der Struktur des Active Directory ab. Wenn Benutzer generell nur auf der untersten Ebene angelegt werden, kann man sich darauf beschränken, dort bei Bedarf zusätzliche Gruppenrichtlinien zu definieren. Ansonsten wird man nicht umhin kommen, auf allen Ebenen der organisatorischen Einheiten solche Richtlinien zu definieren – mit entsprechenden Konsequenzen für die Vererbung.

Welche Gruppenrichtlinien es gibt, für wen diese gelten und welche weitergehenden Einstellungen für die Vererbung und Sicherheit vorgenommen wurden, muss unbedingt dokumentiert werden.

Ebenso müssen die einzelnen Parameter, die in Gruppenrichtlinien gesetzt werden, genau beschrieben werden. Dafür bietet sich die Verwendung von Excel-Tabellen an.

Standardrichtlinien, aktive und inaktive Richtlinien

Eine weitere wichtige Regel ist, dass man die beiden Standard-Richtlinien Default Domain Policy und Default Domain Controllers Policy nicht verändern sollte. Das wird zwar häufig so gemacht, ist aber keinesfalls empfehlenswert.

Der Grund dafür ist einfach: Wenn man diese beiden Richtlinien unverändert lässt, kann man sehr einfach wieder auf die Standardeinstellungen zurückgehen. Man muss dazu nur die anderen Richtlinien deaktivieren, so dass nur noch die Standardeinstellungen gültig sind. Das ist sehr viel einfacher als der Versuch, einzelne Parameter wieder auf die ursprünglichen Werte zurückzusetzen.

Deaktiviert: Richtlinien lassen sich deaktivieren. Damit können fehlerhafte Richtlinien schnell außer Kraft gesetzt werden.

Ebenso können auf diese Weise neue Richtlinien zunächst komplett erstellt werden, bevor sie aktiviert werden. Generell gilt, dass auch größere Bearbeitungen von bestehenden Richtlinien möglichst außerhalb der Nutzungszeiten an nicht aktiven Richtlinien vorgenommen werden sollten, um eine partielle Verarbeitung von Einstellungen zu vermeiden. Gegebenenfalls kann man dazu auch eine Kopie erstellen, diese modifizieren und erst später anstelle der bisherigen Richtlinie aktivieren.

Eine interessante Option ist, dass man bei allen Richtlinien auch selektiv die Benutzer- oder Computerkonfigurationseinstellungen deaktivieren kann. Damit kann man Richtlinien erstellen, die sich beispielsweise nur auf die Computereinstellungen beziehen, was unter anderem bei speziellen Richtlinien für Server sinnvoll ist.

Sicherheitskonzepte

Bei den Sicherheitseinstellungen ist zu beachten, dass es in der Gruppenrichtlinienverwaltung (GPMC, Group Policy Management Console) zwei Bereiche gibt, in denen diese konfiguriert werden können.

Zum einen kann bei der Sicherheitsfilterung angegeben werden, für welche Benutzer die Einstellungen eines GPOs gelten sollen. Die Standardeinstellung ist Authentifizierte Benutzer, so dass das GPO bei allen Benutzern angewendet wird, die sich erfolgreich authentifiziert haben.

Sicher: Im Register Delegierung gibt es zusätzliche Sicherheitseinstellungen für Gruppenrichtlinien.

Weitere Einstellungen finden sich im Register Delegierung. Dort können alle Zugriffsberechtigungen, also auch für die Bearbeitung und die Anpassung der Sicherheitseinstellungen von Gruppenrichtlinien, modifiziert werden. Welche Festlegungen dabei durch die Sicherheitsfilterung gesetzt wurden, wird gesondert angezeigt.

Die Standardwerte für die speziellen Gruppen DOMÄNENCONTROLLER DER ORGANISATION und SYSTEM dürfen nicht modifiziert werden. Die Einstellungen für die Gruppen Domänen-Admins und Organisations-Admins bleiben in der Regel auch unverändert. Es kann aber Sinn machen, weitere Einstellungen für spezielle Administratoren- und Operatorengruppen, die Gruppenrichtlinien verwalten dürfen, zu definieren.

Sicherung und Wiederherstellung

Wichtig ist schließlich auch noch, dass man die Sicherung und Wiederherstellung von Gruppenrichtlinien über die GPMC oder spezielle Werkzeuge von Drittanbietern durchführt. Bei der normalen Sicherung des Systemstatus beispielsweise mit dem Sicherungsprogramm des Windows Server 2003 werden die Gruppenrichtlinien nicht so gesichert, dass sie einfach wieder herzustellen wären.

In den Kontextmenüs der einzelnen GPOs finden sich aber die Befehle Sichern respektive Von Sicherung wiederherstellen, mit denen man die Gruppenrichtlinien sicher kann. Man sollte diese Sicherung jeweils nach der Modifikation einzelner Gruppenrichtlinieneinstellungen durchführen.

Im gleichen Kontextmenü gibt es auch den Befehl Einstellungen importieren. Mit diesem sollte man zurückhaltend umgehen. Man kann zwar damit Einstellungen aus anderen GPOs beispielsweise einer anderen Domäne importieren. Das Problem ist aber, dass bei diesem Import grundsätzlich einige Einstellungen nicht korrekt übernommen und daher manuell nachbearbeitet werden müssen. Hier besteht daher ein erhebliches Risiko von Fehlern. Daher muss man genau überlegen, wann man einen solchen Import durchführt und wann man die Einstellungen in einer Gruppenrichtlinie lieber mehrmals für verschiedene Domänen setzt.

Wenn man sich aber an diese Praktiken und weitere, in den vorangegangenen Teilen genannte Ansätze hält, ist das Risiko, dass man mit nicht beherrschbaren Gruppenrichtlinien endet und nicht mehr weiß, wo eigentlich welche Einstellungen definiert sind und worauf sich diese auswirken, relativ gering.

Add-Ons zu Gruppenrichtlinien und weitere Tools