Tipps zu Gruppenrichtlinien

Die Gruppenrichtlinien sind gleichermaßen komplex wie unverzichtbar. Um Ihnen die Nutzung zu erleichtern, und damit das eine oder andere Problem umgangen werden kann, liefert der vorliegende Beitrag ein paar nützliche Tipps und Tricks.

Gruppenrichtlinien für Terminaldienste

Im Artikel 260370 der Knowledge Base von Microsoft sind zwei Ansätze erläutert, wie man Gruppenrichtlinien speziell für die Verwendung auf Terminalservern konfigurieren kann. Der in der Regel bevorzugte Ansatz ist die Erstellung einer eigenen OU für die Terminalserver, der dann eine spezielle Richtlinie zugeordnet wird.

Die Verarbeitungszeit von Gruppenrichtlinien

Im zweiten Artikel dieses Hefts wurde ein Konzept für die Nutzung von Gruppenrichtlinien vorgestellt, das mit einer etwas größeren Zahl von GPOs arbeitet, die von einem Computer verarbeitet werden müssen. Dabei gibt es grundsätzlich einen Konflikt zwischen dem Wunsch nach einer übersichtlichen Administration von Gruppenrichtlinien und der Performance.

Mehr GPOs, die verarbeitet werden müssen, erhöhen die Zeit für den Start von Computern und die Authentifizierung. Außerdem gilt, dass die Verarbeitung weniger großer GPOs schneller vonstatten geht als die vieler kleiner.

Das Problem ist bei entsprechender Leistungsfähigkeit des Netzwerks, der Server und der Clients nicht mehr so groß wie noch vor einigen Jahren. Es besteht aber grundsätzlich weiter. Daher gilt auch bei dem beschriebenen Konzept, dass man die Anzahl der GPOs nicht zu groß werden lassen sollte.

Außerdem gibt es noch zwei wichtige Ansätze Ansätze, um die Auswirkungen auf die Benutzer möglichst in Grenzen zu halten:

  • Soweit in einem GPO nur Einstellungen entweder für Computer oder Benutzer definiert sind, kann der jeweils andere Teil deaktiviert werden.

  • Des Weiteren kann zumindest bei etwas älteren Richtlinienvorlagen die asynchrone Verarbeitung von Gruppenrichtlinien aktiviert werden. Somit kann eine Anmeldung erfolgen, bevor alle Richtlinien verarbeitet wurden, was aber zu unerwarteten Resultaten bei der Nutzung der Systeme führen kann. Daher ist diese Option in den neueren Richtlinienvorlagen standardmäßig nicht mehr enthalten.

Letztlich muss man testen, wie das konkrete Lastverhalten der Server, des Netzwerks und der Clients beim gewählten Modell für Gruppenrichtlinien ist. Gegebenenfalls kann man immer noch Änderungen in getrennten GPOs vornehmen und diese später durch Importieren zusammenführen und so mit weniger GPOs zu arbeiten. Das ist aber nur eine Notlösung. Da die Nutzung von Gruppenrichtlinien meist eher an der Komplexität der Administration als einer etwas längeren Verarbeitungsdauer bei Start und Authentifizierung scheitert, spricht einiges dafür, die genannten Performance-Nachteile in Kauf zu nehmen.