Gruppenrichtlinien: Design-Überlegungen

Zugriffsrechte und Verarbeitungsreihenfolge

Ein weiterer kritischer Bereich ist die Sicherheitsfilterung, also die Verwendung von Zugriffsberechtigungen. Bei jedem GPO können im Bereich Sicherheitsfilterung die Gruppen, Benutzer und Computer angegeben werden, für die ein solches Objekt gelten soll.

Eingeschränkt: Die Benutzer, Gruppen und Computer, für die ein GPO angewendet werden soll, lassen sich bei der Sicherheitsfilterung festlegen.
Eingeschränkt: Die Benutzer, Gruppen und Computer, für die ein GPO angewendet werden soll, lassen sich bei der Sicherheitsfilterung festlegen.

Damit kann man beispielsweise steuern, dass bestimmte Richtlinien nur für spezielle Gruppen von Benutzern wie Führungskräfte, IT-Administratoren oder auch für ausgewählte Computer wie Server angewendet werden.

Wenn man das aber über die Zugriffsberechtigungen macht, ist es kaum noch nachvollziehbar, wie sich welche Richtlinien auswirken. Es macht mehr Sinn, mit sauber strukturierten organisatorischen Einheiten beispielsweise auch für Server zu arbeiten und dort gezielt spezielle GPOs zu definieren, die gegebenenfalls auch Einstellungen von höherer Ebene überschreiben und beispielsweise strengere oder weniger einschränkende Zugriffsberechtigungen festlegen.

Ebenfalls nicht unproblematisch ist die Zuordnung mehrerer GPOs zu einem Container. Man könnte diese über Zugriffsberechtigungen nun für verschiedene Gruppen von Benutzern oder Computern anwenden. Man kann aber auch die Verarbeitungsreihenfolge festlegen, wobei hier – analog zur Vererbung – gilt, dass die zuletzt verarbeitete Gruppenrichtlinie die wichtigste ist. Die Verknüpfungsreihenfolge wird dabei als Rangfolge interpretiert, ist also bezüglich der Reihenfolge der Verarbeitung von unten nach oben zu lesen. Mit beiden Ansätzen sollte man sehr vorsichtig sein, da auch hier wieder gilt, dass das Risiko der Unübersichtlichkeit schnell anwächst.

Wenn überhaupt, dann könnten für ausgewählte Benutzergruppen GPOs mit speziellen Benutzerrechten definiert werden, um nicht zusätzliche organisatorische Einheiten definieren zu müssen. Denn hier gibt es eventuell einen Gestaltungskonflikt zwischen den Gruppenrichtlinien und dem Active Directory. Für Gruppenrichtlinien macht eine sehr differenzierte Strukturierung von organisatorischen Einheiten Sinn, während sie beim Active Directory-Design nicht immer erwünscht ist.

Mehrere GPOs sollte man zu einem Container nur zuordnen, wenn diese sich nicht überlappen. So könnte man mit einer Richtlinie die Festlegungen für den Internet Explorer steuern, mit einer anderen dagegen die Konfiguration des Desktops.