Gruppenrichtlinien: Design-Überlegungen

Vererbungssteuerung

Die zweite wichtige Grundregel beim Design von Gruppenrichtlinien ist, die Zuordnung von Gruppenrichtlinien so einfach wie möglich zu halten. Hier gibt es wie ausgeführt drei wichtige Einflussfaktoren:

• Die Vererbung von GPOs kann beeinflusst werden.

• Durch Zugriffsberechtigungen kann festgelegt werde, dass sich GPOs nur auf ausgewählte Objekte auswirken.

• Bei einem Container können mehrere GPOs verknüpft werden. Deren Verarbeitungsreihenfolge kann anschließend gesteuert werden.

Man sollte mit allen drei Ansätzen sehr zurückhaltend umgehen. Die Vererbung von GPOs kann einerseits gezielt pro Container unterbrochen werden. Das betrifft primär organisatorische Einheiten, bei denen man so verhindern kann, dass sie Einstellungen von der Domäne oder übergeordneten Einheiten erben.

Dazu verwendet man den Befehl Vererbung deaktivieren aus dem Kontextmenü. Zu beachten ist, dass alle Einstellungen von höherer Ebene nicht übernommen werden – man muss die Parameter in der gewünschten Weise also bei der untergeordneten organisatorischen Einheit neu definieren. Genutzt werden sollte diese Option allenfalls bei speziellen Containern wie Domain Controllers oder einem für die Serverobjekte, um für diese spezielle Richtlinien anzuwenden.

Noch problematischer ist die Option Erzwungen, die sich im Kontextmenü des Containers Verknüpfte Gruppenrichtlinienobjekte bei den einzelnen GPOs findet. Damit kann man beispielsweise auf der Ebene einer Domäne festlegen, dass die Einstellungen einer Richtlinie auch auf den untergeordneten Ebenen gelten sollen. Das Vererbungskonzept wird also umgekehrt. Diese Option sollte generell vermieden werden, da sie das gesamte Modell der Gruppenrichtlinien sehr unübersichtlich macht.