Eine der neuen Funktionen in Windows Vista sind die lokalen Gruppenrichtlinien. Gruppenrichtlinien kennt man ja schon seit Windows 2000, und zumindest einige Administratoren haben sie inzwischen zu schätzen gelernt, auch wenn sich bei Vorträgen des Autors immer wieder zeigt, dass erschreckend viele Administratoren immer noch nicht damit arbeiten. Sicherlich sind Gruppenrichtlinien nicht einfach zu managen, aber sie bringen viele Vorteile.
Die zentrale Steuerung von Gruppenrichtlinien setzt aber voraus, dass man mit dem Active Directory arbeitet. Nun gibt es aber Situationen, in denen man kein Active Directory hat – weil man sich für einen anderen Verzeichnisdienst entschieden hat oder weil man mit Computern wie Kiosk-Systemen arbeitet, die nicht mit dem Netzwerk verbunden sind. Um dort dennoch eine definierte Steuerung von Einstellungen für unterschiedliche Benutzer zu erhalten, hat Microsoft das Konzept der MLGPOs (Multiple Local Group Policy Objects) mit Windows Vista eingeführt. Damit können verschiedene lokale Gruppenrichtlinien verwaltet werden, die für unterschiedliche Benutzer angewendet werden.
Die lokalen Gruppenrichtlinien sind eine Teilmenge der bekannten Gruppenrichtlinien, die in Expert’s inside Windows NT/2000 ja schon sehr intensiv in einer Vielzahl von Artikeln behandelt wurden.
Mit beiden Technologien können Einstellungen ,vorgegeben werden, bei den lokalen Gruppenrichtlinien allerdings mit wichtigen Einschränkungen: Im Gegensatz zur bisherigen Lösung, bei der es nur eine lokale Benutzer- und eine lokale Computerrichtlinie gab, sind aberauch viele Verbesserungen zu verzeichnen. So finden sich nun drei Gruppen von Richtlinien:
-
Die lokale Gruppenrichtlinie ist die oberste Ebene. Dort können auch Computereinstellungen vorgenommen werden.
-
Darunter liegen die beiden Gruppenrichtlinien für administrative und nicht administrative Benutzer. In ihnen können nur Benutzereinstellungen vorgenommen werden, die die Festlegungen aus der lokalen Gruppenrichtlinie überschreiben.
-
Schließlich lassen sich noch Gruppenrichtlinien für einzelne Benutzer definieren, die die Einstellungen weiter anpassen.
Die Verarbeitungsreihenfolge geht in dieser Liste von oben nach unten, sodass die benutzerspezifischen Festlegungen zuletzt verarbeitet werden.
Neu ist auch, dass die lokalen Richtlinien nun auch bei Computern, die Mitglied in einer Domäne sind, verarbeitet werden können. Allerdings werden sie zuerst verarbeitet, bevor die Domäneneinstellungen angewendet werden. Damit sind die Domänen-Gruppenrichtlinien immer von höherer Wichtigkeit. Über die Gruppenrichtlinien der Domäne lässt sich die Verarbeitungm von lokalen Gruppenrichtlinien auch deaktivieren.
Dazu muss man bei den Gruppenrichtlinien die Option Verarbeitung lokaler Gruppenrichtlinienobjekte deaktivieren aktivieren (Bild 1). Diese Option findet sich wie die anderen Einstellungen für die Verarbeitung von Gruppenrichtlinien bei Computerkonfiguration/Administrative Vorlagen/ System/Gruppenrichtlinie.
Ansonsten muss man für die Verwaltung dieser Gruppenrichtlinien nur noch wissen, wie man den Editor konfiguriert: Man öffnet eine eigenständige MMC, am besten mit der Ausführung von mmc.exe aus dem Startmenü, und wählt in der leeren MMC als Snap-In den Gruppenrichtlinieneditor aus. Dieser fragt, welches Objekt bearbeitet werden soll. Hier muss nun Durchsuchen gewählt werden. Das Register Benutzer bietet nun die Möglichkeit, einzelne Benutzer oder die Gruppen Administratoren bzw. Nicht-Administratoren auszuwählen. Mit dem Editor lassen sich die entsprechenden Richtlinien bearbeiten. Man kann auch mehrere Snap-Ins für die verschiedenen Benutzer und Gruppen in eine Konsole aufnehmen, um alle Richtlinien bearbeiten zu können.
Eines wird aber auch deutlich: Da man diese Schritte pro System durchführen muss, ist der Verwaltungsaufwand relativ hoch. Es ist daher genau zu überlegen, in welchen Fällen die Verwendung solcher lokaler Gruppenrichtlinien wirklich Sinn macht. Auf der anderen Seite kann man so nun spezielle Systeme, die ansonsten nicht so differenziert zu schützen wären, sehr viel besser als bisher absichern. Und das spricht dafür, sich in den Situationen, in denen man Systeme betreiben muss, die nicht Mitglied einer Domäne sind, intensiv mit diesem Konzept zu beschäftigen. Ideal wäre es natürlich, wenn man eine lokale Variante der GPMC hätte, mit der man die lokal erstellten Gruppenrichtlinien einfach exportieren und, mit den erforderlichen Anpassungen beispielsweise von SIDs, auf anderen Systemen wieder importieren und den dort vorhandenen lokalen Benutzern zuweisen könnte. Diese Möglichkeit fehlt aber leider noch.