Ein Modell für die effiziente Nutzung von Gruppenrichtlinien

Der richtige Umgang mit Gruppenrichtlinien

Mit der Erstellung der Strukturen im Active Directory ist es aber nicht getan. Für die optimale Nutzung von Gruppenrichtlinien müssen einige weitere Regeln zur Bearbeitung und Zuordnung von GPOs beachtet werden:

  • Die beiden Standard-Richtlinien Default Domain Policy und Default Domain Controllers Policy sollten auf keinen Fall verändert werden. Stattdessen sollten Änderungen in zusätzlichen Richtlinien vorgenommen werden. Das hat den Vorteil, dass man die Umgebung mit minimalem Aufwand auf den ursprünglichen Zustand zurücksetzen kann, indem man alle Verknüpfungen zu GPOs außer zu den Standardrichtlinien löscht. Die Standardrichtlinien können mit niedriger Priorität aktiv bleiben.

  • Die Änderungen in Gruppenrichtlinien sollten in kleinen Häppchen erfolgen. So könnte man eine Internet Explorer-Richtlinie erstellen, in der nur die Anpassungen für den Internet Explorer erfolgen. Andere Beispiele sind Desktop-Konfigurationsrichtlinien, IPsec-Richtlinien, Authentifizierungsrichtlinien oder Richtlinien, mit denen die Authentifizierungseinstellungen oder die Einschränkungen für Dienste gesteuert werden. Von einigen dieser Richtlinien wie denen zur Einschränkung von Diensten werden ohnehin unterschiedliche Varianten für verschiedene Gruppen von Systemen benötigt. Es ist zwar grundsätzlich etwas aufwändiger, mit mehreren Richtlinien zu arbeiten, die beim Start verarbeitet werden müssen. Da die einzelnen Richtlinien aber schlank bleiben, sollte sich bei heute üblichen Netzwerkbandbreiten und Rechnergeschwindigkeiten keine inakzeptable Verzögerung ergeben. Außerdem können die Standardrichtlinien gegebenenfalls deaktiviert werden, wenn sichergestellt ist, dass alle Einstellungen über eigene Richtlinien gesetzt werden. Die Deaktivierung kann über das Kontextmenü eines GPOs erfolgen (Bild 5). Im Register Verknüpfte Gruppenrichtlinienobjekte lassen sich über das Kontextmenü auch einzelne GPOs deaktivieren.

Bild 5: GPOs können über das Kontextmenü deaktiviert werden.
Bild 5: GPOs können über das Kontextmenü deaktiviert werden.

  • Standort-Richtlinien sollten nur mit Zurückhaltung genutzt werden. Nur bei Einstellungen, die pro Standort erfolgen müssen, sollten solche Richtlinien erstellt werden. Das ist aber nur selten der Fall, so dass man meist auf diesen Typ von Gruppenrichtlinien verzichten kann.

  • Auch wenn es in einigen Situationen erforderlich ist, die Einstellungen zur Sicherheitsfilterung bei GPOs anzupassen, sollte man auch hier Zurückhaltung üben. Wenn man mehrere Richtlinien mit jeweils unterschiedlichen Festlegungen zur Sicherheitsfilterung bei einer Domäne oder OU benötigt, sollte grundsätzlich geprüft werden, ob man nicht besser weitere OUs mit jeweils nur einer Zuordnung einer Gruppenrichtlinie anlegt. Das gilt nicht für alle Fälle – aber Ausnahmen wie die weiter oben genannten bestätigen die Regel.

  • Schließlich sollten auch Vererbungseinschränkungen nur genutzt werden, wenn es unbedingt erforderlich ist. Bei jeder OU kann im Kontextmenü der Befehl Vererbung deaktivieren ausgewählt werden, womit erreicht wird, dass keine Richtlinien von übergeordneten Containern übernommen werden. Das kann vor allem bei Containern wie Domain Controllers oder anderen Ordnern für Server, aber auch bei der OU für den IT-Bereich interessant sein, um sicherzustellen, dass es dort keine unerwünschten Einflüsse beispielsweise aus den Standardrichtlinien für die Domäne gibt. Bei verknüpften Gruppenrichtlinienobjekten kann im Kontextmenü auch konfiguriert werden, dass die Vererbung erzwungen wird. Damit werden Richtlinienparameter in untergeordneten Containern überschrieben, auch wenn die dort verknüpften GPOs eigentlich die höhere Priorität hätten. Verknüpfungen, bei denen diese Option gesetzt ist, können nicht deaktiviert werden.

Schließlich gilt es noch, alle Änderungen genau zu dokumentieren. Man muss für jedes GPO und jede Verknüpfung mit Containern für die Verwendung von Sicherheitsfiltern und anderer Festlegungen dokumentieren, was man warum gemacht hat. Der Aufwand dafür ist nicht zu unterschätzen, erhöht die Nachvollziehbarkeit von Gruppenrichtlinien aber immens.