Viele Probleme, mit denen der Service Desk und Administratoren von Windows-Umgebungen zu tun haben, lassen sich vermeiden, wenn man die Gruppenrichtlinien nutzt. Denn oft ist die Ursache von Problemen eine versehentlich oder wissentlich geänderte Systemkonfiguration. Mit den Gruppenrichtlinien lassen sich Konfigurationseinstellungen aber zentral vorgeben. Windows sorgt dabei dafür, dass die Einstellungen spätestens beim nächsten Systemstart wieder auf den vorgegebenen Wert gesetzt werden. Und wenn das nicht reicht, kann man beispielsweise auch viele Bereiche der Systemsteuerung vor der Nutzung durch Anwender schützen.
Zu den Gruppenrichtlinien gibt es im Windows-Umfeld kaum Alternativen. Lösungen für das Client Lifecycle Management, also die Softwareverteilung, das Patch-Management und andere Aufgaben im Betrieb, unterstützen zwar oft die Anpassung von Registry-Einstellungen. Verglichen mit den Gruppenrichtlinien ist das aber mühselig und deckt nur einen Teil der Anforderungen ab.
Genauso stoßen auch die Anwendungen für das Sicherheits-Management schnell an ihre Grenzen, da sich das Konfigurations-Management nicht auf einzelne Sicherheitseinstellungen reduzieren lässt.
Die Gruppenrichtlinien sind dagegen genau für diesen Einsatzbereich entwickelt worden – die zentrale Konfiguration von System- und Sicherheitseinstellungen in Windows-Netzwerken. Damit stellt sich nur noch die Frage, warum die Gruppenrichtlinien nicht in jedem Windows-Netzwerk intensiv genutzt werden. Die Antwort darauf ist einfach: Die Nutzung von Gruppenrichtlinien ist nicht leicht und setzt einiges an Vorüberlegungen voraus.
Grundsätzlich gilt, dass man genau planen muss, welche Einstellungen auf welchen Systemen und für welche Benutzer mit welchen Gruppenrichtlinien gesetzt werden sollen. Da es mehrere tausend Parameter in den Gruppenrichtlinien gibt, ist das ein aufwändiger Prozess. Wenn man sich aber zunächst auf allgemein gültige Einstellungen beschränkt und dort nur die wichtigsten Parameter steuert, kann man schnell erste Erfolge bei der Systemkonfiguration über Gruppenrichtlinien erzielen.
Werkzeuge für das Gruppenrichtlinien-Management
Es gibt sowohl von Microsoft als auch von Drittherstellern etliche Tools, mit denen man Gruppenrichtlinien verwalten kann. Dritthersteller liefern teils Erweiterungen der Funktionalität von Gruppenrichtlinien, teils aber auch Administrationssysteme, in die die Gruppenrichtlinien eingebunden sind. Microsoft selbst stellt über die Support-Tools und die Resource Kit Tools vor allem Befehlszeilenfunktionen bereit, die für die erweiterte Analyse von Problemen mit Gruppenrichtlinien genutzt werden können.
Für den Einstieg und die meisten Aufgaben im Umgang mit Gruppenrichtlinien gibt es aber nur zwei Werkzeuge, die man benötigt. Das eine ist die Gruppenrichtlinienverwaltung oder auch Group Policy Management Console, die kurz als GPMC bezeichnet wird. Dabei handelt es sich um ein Add-on, das von http://www.microsoft.com/technet/downloads/winsrvr/featurepacks/default.mspx geladen werden kann - ein so genanntes Feature Pack. Die GPMC ist erst nach dem Release des Windows Server 2003 fertig geworden und daher nicht Bestandteil des Betriebssystems.
Das zweite Werkzeug ist der Gruppenrichtlinienobjekt-Editor. Er kann nach der Installation der GPMC direkt aus dieser aufgerufen werden. Falls man die GPMC nicht nutzt, kann man ihn aus dem Verwaltungsprogramm Active Directory-Benutzer und -Computer starten. Aber, kurz gesagt: Es macht überhaupt keinen Sinn, ohne GPMC zu arbeiten, da die GPMC die Administration von Gruppenrichtlinien sehr viel übersichtlicher macht.
Was man über Gruppenrichtlinien unbedingt wissen muss…
Bevor man anfängt, mit Gruppenrichtlinien zu arbeiten, muss man zunächst ein paar grundlegende Dinge wissen. Es sind genau genommen nur drei Punkte, die man aber verinnerlichen muss, um Probleme bei der Nutzung von Gruppenrichtlinien zu minimieren.
-
Wie schon der Name des Gruppenrichtlinienobjekt-Editors andeutet, gibt es Gruppenrichtlinienobjekte, die auch kurz als GPOs (Group Policy Objects) bezeichnet werden. Diese Objekte können an verschiedenen Stellen wie bei Domänen und organisatorischen Einheiten verknüpft werden. Damit kann man eine Gruppenrichtlinie mehrfach nutzen. Wenn man das Objekt ändert, wirkt sich das aber auf alle Verknüpfungen aus. Man sollte sich angewöhnen, das Gruppenrichtlinienobjekt grundsätzlich direkt und nicht auf dem Umweg über eine Verknüpfung zu bearbeiten.
-
Innerhalb jedes Gruppenrichtlinienobjekts gibt es Einstellungen für Computer und Einstellungen für Benutzer. Erstere gelten für das System und damit für alle Benutzer, die sich daran anmelden. Letztere gelten nur für bestimmte Benutzer, dafür aber an allen Rechnern, die von diesen genutzt werden. Die meisten Einstellungen gelten entweder für Computer oder für Benutzer. Einige Parameter lassen sich aber in beiden Bereichen konfigurieren. In diesem Fall muss man sich genau überlegen, an welcher Stelle sie eigentlich richtigerweise gesetzt werden.
Vorsicht vor widersprüchlichen Richtlinien
Der dritte Punkt ist der kritischste und führt in der Praxis oft zu nicht beabsichtigten Effekten. Hierfür sollte man bei der Planung der Richtlinien daher besonders viel Zeit aufwenden:
-
Gruppenrichtlinienobjekte können mit verschiedenen Objekten im Active Directory verknüpft werden. Im Einzelnen sind das Standorte, Domänen und organisatorische Einheiten. Die Verarbeitung erfolgt in dieser Reihenfolge. Das bedeutet aber auch, dass Einstellungen aus einer Standort-Richtlinie durch konkurrierende Einstellungen in einer Domänen-Richtlinie überschrieben werden – ebenso wie Einstellungen in der Domänen-Richtlinie durch solche aus organisatorischen Einheiten überschrieben werden können. Die wichtigsten Richtlinien finden sich also sozusagen auf der untersten Ebene von organisatorischen Einheiten. Das Problem lässt sich minimieren, indem man vorher überlegt, welche Richtlinieneinstellung wo gesetzt werden soll. In Einzelfällen wie beispielsweise für Systemadministratoren oder Domänen-Controller kann man dann immer noch übergeordnete Einstellungen auf der Ebene einer organisatorischen Einheit überschreiben. Zur Regel sollte das aber nicht werden. Übrigens lassen sich auch mehrere Richtlinien auf einer Ebene zuordnen. Diese kann man priorisieren. Auch hier ist es aber einfacher, wenn man es vermeidet, dass ein Parameter über mehrere Richtlinien gesetzt wird.
Am letzten Punkt wird zudem deutlich, dass Gruppenrichtlinien das Active Directory voraussetzen. Wenn man nur mit Arbeitsgruppen und ohne Domänen arbeitet, kann man allenfalls lokal einen Ausschnitt der Richtlinien steuern, indem man lokale Sicherheitsrichtlinien konfiguriert.
Natürlich gibt es noch viel mehr wissenswerte Dinge über Gruppenrichtlinien wie beispielsweise Zugriffsberechtigungen, die die Anwendung steuern oder Optionen, um die Vererbung zu unterbrechen. Darauf gehen wir zum Teil in diesem Artikel noch ein. Generell gilt, dass man alles so einfach wie möglich halten sollte, wenn man den Überblick über die Gruppenrichtlinien bewahren will.
Die Standardrichtlinien
Wenn man die GPMC das erste Mal öffnet, finden sich dort zwei Richtlinien. Eine ist als Default Domain Policy, die andere als Default Domain Controllers Policy bezeichnet. Die Erste ist die Standardrichtlinie für die Domäne, die Zweite enthält nur Parameter für die spezielle Konfigurationsanpassung bei Domänen-Controllern.
Es ist eine häufig vorzufindende Praxis, dass diese beiden Richtlinien direkt angepasst werden. Das Problem ist, dass Fehler bei diesem Ansatz nur schwer zu korrigieren sind. Es ist sinnvoller, zumindest jeweils eine parallele Richtlinie für die Anpassungen zu erstellen und auf der gleichen Ebene – also bei der Domäne respektive der OU Domain Controllers – zu verknüpfen. Um die Auswirkungen von Änderungen rückgängig zu machen, kann man im schlimmsten Fall diese eigenen, zusätzlichen GPOs löschen. Das ist einfacher als zu versuchen, alle Änderungen in einer der Standardrichtlinien von Hand rückgängig zu machen.
In der Praxis wird man im Laufe der Zeit eine Reihe von Richtlinien entwickeln, mit denen man verschiedene Einstellungen im System steuert. Aber wie ausgeführt: Man kann mit einer Richtlinie für allgemeine Einstellungen in der Domäne beginnen und das Konzept anschließend Schritt für Schritt weiterentwickeln.
Einige interessante Einstellungen
Wie schon erwähnt gibt es einige tausend Einstellungen in den Gruppenrichtlinien. Alleine zwischen dem Service Pack 1 und dem Service Pack 2 für Windows XP wurden beispielsweise mehr als 700 Parameter für die Steuerung des Internet Explorer neu in die Gruppenrichtlinien aufgenommen.
Da es wenig Sinn macht, alle Einstellungen der Reihe nach durchzuarbeiten, nachfolgend als „Appetizer“ der Hinweis auf ein paar Bereiche der Gruppenrichtlinien mit besonders interessanten Parametern:
-
Im Bereich Computerkonfiguration – Windows-Einstellungen gibt es die Sicherheitseinstellungen. Diese gliedern sich wiederum in viele Teilbereiche wie Lokale Richtlinien - Sicherheitseinstellungen mit den lokal gültigen Sicherheitseinstellungen. In diesem Bereich der Gruppenrichtlinien werden fast alle wichtigen Konfigurationsparameter für die Sicherheit gesetzt.
-
Sowohl bei Computerkonfiguration als auch bei Benutzerkonfiguration gibt es den Abschnitt Administrative Vorlagen. Dort finden sich beispielsweise Einstellungen für den Internet Explorer, mit denen exakt konfiguriert werden kann, wie sich dieser verhält.
-
Bei Benutzerkonfiguration gibt es unterhalb von Administrative Vorlagen den Knoten Systemsteuerung. Dort lassen sich unter anderem viele Funktionen der Systemsteuerung für Benutzer deaktivieren.
-
Bei Computerkonfiguration – Administrative Vorlagen – System ist auch der Bereich Gruppenrichtlinien interessant. Denn dort kann das Verhalten der Gruppenrichtlinien konfiguriert werden.
Das ist nur ein kleiner Ausschnitt der Möglichkeiten. Es gibt kaum einen Bereich bei Windows-Systemen, der nicht über Gruppenrichtlinien gesteuert werden kann.
Gruppenrichtlinien und Systemversionen
Wenn man mit Gruppenrichtlinien arbeitet, muss man sich allerdings einer Tücke bewusst sein: Viele Einstellungen gelten nur für bestimmte Systemversionen. Microsoft hat eigentlich mit jedem Service Pack neue Parameter in die Gruppenrichtlinien aufgenommen.
Die meisten Teile von Gruppenrichtlinien werden über so genannte Richtlinienvorlagen gesteuert. Dabei handelt es sich bis Windows XP und Windows Server 2003 um einfache, strukturierte Textdateien. Ab Windows Vista und dem Windows Server Longhorn wird mit XML-Dateien gearbeitet.
Bei der Bearbeitung von Gruppenrichtlinien ist es wichtig, dass man prüft, mit welchen Richtlinienvorlagen man arbeitet. Die neuesten Richtlinienvorlagen sind jeweils auf der Download-Website von Microsoft verfügbar. Da in den Richtlinien Versionsinformationen enthalten sind, halten sich die Probleme in Umgebungen mit unterschiedlichen Windows-Versionen in Grenzen. Man muss aber bei jedem Parameter darauf achten, ob er beispielsweise auch von Windows 2000 unterstützt wird.
Wenn man nun beginnen möchte, eigene Gruppenrichtlinien zu erstellen, sollte man zwei Hinweise beachten:
-
Änderungen nur in eigenen, neuen GPOs vornehmen, die man relativ einfach wieder löschen kann.
-
Änderungen in Testumgebungen gründlich austesten, um Probleme in den produktiven Systemen zu vermeiden.
Wenn man sich zusätzlich bei jeder Anpassung noch einmal genau überlegt, welche Konsequenzen diese hat, kann eigentlich nicht mehr viel schiefgehen. (ala)