Gruppenrichtlinien: Design-Überlegungen

Die Zuordnung von Gruppenrichtlinien

Die Zuordnung von Gruppenrichtlinien – also die Verknüpfung eines GPOs (Group Policy Objects) mit einem Container – kann an verschiedenen Stellen erfolgen. Die oberste Ebene sind Standorte, dann kommen die Domänen und schließlich organisatorische Einheiten.

Gruppenrichtlinien vererben sich von oben nach unten. Es werden also erst die Richtlinien für Standorte, dann für Domänen und anschließend die für organisatorische Einheiten verarbeitet, wobei bei letzteren auch die hierarchische Struktur von organisatorischen Einheiten beachtet wird. Dieser Ansatz bedeutet, dass Einstellungen, die beispielsweise für einen Standort vorgenommen wurden, durch andere Werte für den gleichen Parameter auf der Ebene von Domänen oder organisatorischen Einheiten überschrieben werden. Die wichtigste Gruppenrichtlinie ist also die bei der niedrigsten Ebene der organisatorischen Einheiten.

Flexibel: Gruppenrichtlinienobjekte können auf verschiedenen Ebenen – von Standorten über Domänen bis hin zu organisatorischen Einheiten – verknüpft werden.
Flexibel: Gruppenrichtlinienobjekte können auf verschiedenen Ebenen – von Standorten über Domänen bis hin zu organisatorischen Einheiten – verknüpft werden.

Dieses Konzept macht Sinn. Man kann die allgemeinen Festlegungen auf der Ebene von Domänen vornehmen. Diese werden gegebenenfalls durch spezielle Festlegungen für untergeordnete Container überschrieben. Das beste Beispiel dafür sind die beiden Standard-Richtlinien Default Domain Policy und Default Domain Controllers Policy. Die erste legt generelle Regeln für alle Systeme in der Domäne fest, die zweite überschreibt einige Einstellungen speziell für die im Container Domain Controllers verwalteten Systeme.

Beim Design sollte man diese Grundstruktur nutzen. Die erste Überlegung ist, ob man überhaupt auf der Ebene von Standorten mit Gruppenrichtlinien arbeiten sollte. Falls es keine spezifischen Einstellungen für Standorte gibt, lautet die Antwort hier ganz klar „nein“, weil man die Komplexität reduziert. Die Praxis zeigt, dass man Gruppenrichtlinien auf Standortebene kaum einmal benötigt. Nur wenn es Einstellungen geben sollte, die pro Standort unterschiedlich sind, sollte man solche Richtlinien definieren.

Ansonsten gilt als Grundregel, dass man sich auf Richtlinien für Domänen und untergeordnete organisatorische Einheiten beschränken sollte. Dabei werden Grundeinstellungen bei der Domäne definiert und bei untergeordneten organisatorischen Einheiten nur noch Abweichungen behandelt.