Gruppenrichtlinien: Design-Überlegungen

In Gruppenrichtlinien können mehrere Tausend Einstellungen vorgenommen werden. Die Herausforderung liegt darin, auch in komplexen Umgebungen mit verschiedenen Richtlinien den Überblick zu behalten. Das richtige Design von Gruppenrichtlinien hilt dabei.

Die Komplexität des Konzepts der Gruppenrichtlinien resultiert aus mehreren Faktoren. Der erste ist, dass Gruppenrichtlinien unzählige Einstellungen enthalten und damit schon für sich genommen komplex sind. So wurden alleine mit dem Service Pack 2 für Windows XP mehr als 700 zusätzliche Parameter für die Steuerung des Internet Explorer hinzugefügt.

Der zweite wichtige Faktor ist die Vererbung im Zusammenhang mit der Möglichkeit, Richtlinien an verschiedenen Stellen im System zuzuordnen. Richtlinien können Standorten, Domänen und organisatorischen Einheiten zugewiesen werden. Da organisatorische Einheiten wiederum verschachtelt sein können, kann es davon mehrere Ebenen gegen.

Das Vererbungskonzept wird zusätzlich dadurch komplex, dass man die Vererbung manuell steuern und außerdem mehrere Richtlinien, auch mit unterschiedlichen Sicherheitseinstellungen, bei einem Standort, einer Domäne oder einer organisatorischen Einheit zuweisen kann.

Ein weiterer Faktor sind die bereits im ersten Teil der Serie beschriebenen Abhängigkeiten von Systemversionen, die in den Gruppenrichtlinien unter Umständen zu beachten sind. Nicht alle Einstellungen gelten auch für alle Systeme. Das kann im Einzelfall zu weiteren Herausforderungen führen.

Dennoch lassen sich die Gruppenrichtlinien bei richtigem Design in den Griff bekommen. Zu beachten ist aber, dass man dabei immer Kompromisse schließen muss. So bedeutet die nachfolgend beschriebene Verwendung mehrerer GPOs auch, dass das Laden und Verarbeiten der Richtlinien beim Systemstart etwas länger dauern kann. Dafür wird das Risiko von unübersichtlichen Richtlinien, bei denen man im Extremfall am Ende nicht einmal mehr weiß, welche Einstellungen nun wo angewendet werden, minimiert.