Vista: Lokale Gruppenrichtlinien

Dazu muss man bei den Gruppenrichtlinien die Option Verarbeitung lokaler Gruppenrichtlinienobjekte deaktivieren aktivieren (Bild 1). Diese Option findet sich wie die anderen Einstellungen für die Verarbeitung von Gruppenrichtlinien bei Computerkonfiguration/Administrative Vorlagen/ System/Gruppenrichtlinie.

Bild 1: Die Festlegungen zur Deaktivierung einer lokalen Gruppenrichtlinie.
Bild 1: Die Festlegungen zur Deaktivierung einer lokalen Gruppenrichtlinie.

Ansonsten muss man für die Verwaltung dieser Gruppenrichtlinien nur noch wissen, wie man den Editor konfiguriert: Man öffnet eine eigenständige MMC, am besten mit der Ausführung von mmc.exe aus dem Startmenü, und wählt in der leeren MMC als Snap-In den Gruppenrichtlinieneditor aus. Dieser fragt, welches Objekt bearbeitet werden soll. Hier muss nun Durchsuchen gewählt werden. Das Register Benutzer bietet nun die Möglichkeit, einzelne Benutzer oder die Gruppen Administratoren bzw. Nicht-Administratoren auszuwählen. Mit dem Editor lassen sich die entsprechenden Richtlinien bearbeiten. Man kann auch mehrere Snap-Ins für die verschiedenen Benutzer und Gruppen in eine Konsole aufnehmen, um alle Richtlinien bearbeiten zu können.

Eines wird aber auch deutlich: Da man diese Schritte pro System durchführen muss, ist der Verwaltungsaufwand relativ hoch. Es ist daher genau zu überlegen, in welchen Fällen die Verwendung solcher lokaler Gruppenrichtlinien wirklich Sinn macht. Auf der anderen Seite kann man so nun spezielle Systeme, die ansonsten nicht so differenziert zu schützen wären, sehr viel besser als bisher absichern. Und das spricht dafür, sich in den Situationen, in denen man Systeme betreiben muss, die nicht Mitglied einer Domäne sind, intensiv mit diesem Konzept zu beschäftigen. Ideal wäre es natürlich, wenn man eine lokale Variante der GPMC hätte, mit der man die lokal erstellten Gruppenrichtlinien einfach exportieren und, mit den erforderlichen Anpassungen beispielsweise von SIDs, auf anderen Systemen wieder importieren und den dort vorhandenen lokalen Benutzern zuweisen könnte. Diese Möglichkeit fehlt aber leider noch.

Bild 2: Die Auswahl von Benutzern und Gruppen für eine lokale Gruppenrichtlinie.
Bild 2: Die Auswahl von Benutzern und Gruppen für eine lokale Gruppenrichtlinie.